From: Stefano Zanero <[EMAIL PROTECTED]>
Subject: Re: [lex] Il titolare vuole le mail dei dipendenti (e
pat&mir wrote:
in parole povere, il datore in certi casi può conoscere le crednziali,
però
Si', solo quando tali credenziali sono l'unico modo per poter accedere a
un dato, e.g. quando sono le componenti indispensabili per la
decifratura dello stesso o casi simili.
In tutti gli altri casi:
comunque scritti in un regolament condiviso, e soprattutto che una volta
aperta la busta
Quella busta _non deve esistere_ , e l'allegato B della 196
_esplicitamente vieta che quella busta esista_. E' uno dei santi
cambiamenti che ci sono stati rispetto alla 675.
che è la ratio della norma quando prevede credenziali note solo a chi le
utilizza (note non vuol dire non accessibili ad altri,
Questo e' un sofisma. La 196 e' inusualmente chiara:
- Se possibile, l'incaricato SI CAMBIA DA SOLO la password, e quindi
evidentemente e volutamente la conosce SOLTANTO lui
- SOLO SE NON SI PUO' FARE ALTRIMENTI, si fa in modo che altri possano
accedere a quella password (ad esempio con la famigerata busta).
Se si puo' fare altrimenti, e cioe' nel 99% dei sistemi, occorre e basta
che si diano delle linee guida per l'uso di un account amministrativo di
bypass, SENZA rendere ne' note, ne' accessibili, ne' conoscibili le
password degli utenti.
Pensavo che questo argomento l'avessimo dibattuto a morte nel 2004...
--
Cordiali saluti,
Stefano Zanero
****** punti di vista, i tuoi, che posso anche condividere, nel senso che
anche io consiglio di non ricorrere alla busta sigillata, e se insistono
cerco di farmi assistere nell'aiutarli a trovare una strada diversa, da un
bravo ingegnere tipo te; ma la realtà è un'altra.
La realtà è che raramente mi sono trovato davanti a situazioni dove il
ricorso alla busta chiusa non avviene;
i motivi sono molteplici, e soprattutto molto generalizzati nella realtà,
pochissimi sono i dirigenti responsabili del trattamento di strutture
complesse che sanno come risolvere un problema di accesso 'sicuro' senza
ricorrere alle credenziali dei loro incaricati, e molti di meno sono quelli
che accettano di imparare come si fa, c'è poi il non trascurabile problema
che sempre mi pongono... se manca il lavoratore per accedere chiamo
l'amministratore di sistema come lei mi dice, avv, ma se manca anche lui che
faccio? Come faccio? e soprattutto come faccio ad essere tutelato contro
l'ammisnistratore che ne sa sempre più di me?... Potrei dirgli..studia
laureati in informatica, oppure assumi un altro amministratore e non lo far
mai incontrare con l'altro... ma ti sembrano cose sensate? Anche tecnici
colleghi tuoi, da me interpellati per risolvere questi problemini concreti
si sono dovuti mettere le mani nei capelli davanti all'ostinazione del
cliente, del responsabile , o di chi non vuole proprio perdere tempo in
certe cose e pretede di avere la soluzione a portata di mano; la busta è una
delle strade più semplici consigliate proprio dai tecnici anche contro il
mio parere (ma nel caso di esame mi pare che non si trattava di consigliare
come mettere in sicurezza un sistema, ma come fare a risolvere una
situazione già definita deve la busta c'è già).
nella realtà che ho sempre affrontato io si vuole lavorare senza troppi
intoppi e quindi difficilmente si rinuncia alla busta chiusa che già
conosce.
Io sono sicuro di vivere in un altro pianeta, ma c'è poco da fare.
Seconda cosa, la 196 non fa nessun divieto esplicito, come dici tu, al
limite si limita a non dire , non parlare di buste chiuse e custodi delle
password, un pò poco per poter dire che questo è un divieto esplicito
soprattutto in una norma dove si parla di misure minime da adottare senza
escludere che se ne possano adottare altre; ma io non voglio addentrarmi in
problemi di ermeneutica ed interpretazione della legge, tu pensala come
vuoi, io rimango della mia opinione che in materia di interpretazione
normativa ritengo più 'adeguata' della tua su questo punto.
Da ultimo, il mio punto di vista nel discutere di queste cose è semplice e
te lo racconto con un esempio:
se tizio viene nel mio studio e mi dice che caio gli ha dato un pugno per
strada, non posso rispondergli che non è possibile che sia accaduto perchè
la legge lo vieta, o meglio perchè nella legge non c'è scritto che il pugno
può essere dato, non posso alzare la voce criminalizzandolo perchè ha
ricevuto un pugno che la legge vieta di dare.... il povero cristo che ne ha
buscate potrebbe anche rifarsi su di me e a ragione... :-)
dovrò dirgli come fare a risolvere il suo problema; cercando il più
possibile di conciliare le sue esigenze e le norme che ho a disposzione,
oltre a tenere conto dei fatti... ad esempio se non ci sono testimoni o
altri elementi di prova, potrei anche dirgli di lasciar perdere la via
giudiziaria.... anche se la legge prevede che è reato: forse tu te la
sentiresti di chiosare dicendo che l'art. x del codice penale punisce
ecc..... ?
Beh non c'è molta differenza tra la tua risposta e questo mio esempio, non
credi?
buone cose patrizio galeotti
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
