Riccardo Raffaelli ha scritto:
2008/6/25 rino lo turco <[EMAIL PROTECTED]>:
vedo che quanto a gestione siamo molto poveri.
A cosa serve un log? praticamente a niente nell'ordinario e sopratutto non
serve a niente la sua conservazione.
Il log ha un senso solo quando è necessario dimostrare alcune cose !.
Caro Rino,
non so che mestiere fai, ma evidentemente non fai l'amministratore di
sistemi informatici.
giusto sono solo il dirigente di un sistema informativo costituito da
3500 utenti , 15 addetti interni piu una ventina esterni , che si occupa
di gestire l'intera azienda sanitaria locale senza nessuna esclusione ,
ovvero al contrario di altre realtà nella mia nessun sw è al di fuori
del mio controllo. Provengo da altri sia a carattere privato, presso
azienda anche internazionali.
In 30 anni credo di averne viste di cose , che ne dici? dimenticavo la
mia carriera è iniziata in ibm credo prima ancora che tu iniziassi non
al tua cariera ma credo la tua vita; amministro un capitale abbastanza
elevato e i dati del mio sistema possono anche mettere in pericolo la
vita umana oltre a creare altri problemi, quindi lascia stare certe
battutine che rischi bastonate che possono lasciarti il segno per
parecchio tempo; poi se vuoi sederti alla mia scrivania, vieni pure,
sono curioso di sapere per quanto resisti e per quanto non fai danni
Se così fosse non scriveresti certe cose.
"A cosa serve un log?" Uhmmm, dunque fammi pensare.... ah, sì "Il log
ha un senso solo quando è necessario dimostrare alcune cose !"
E chi lo dice che si possano dimostrare le cose sempre e solo con il
log attivato "al momento"?
Esempio: ho un cliente che mi dice "Ieri ho inviato una email
fondamentale per la mia attività ad un mio cliente. Il cliente mi dice
che non l'ha mai ricevuta.
Siccome a causa di questo ci ho rimesso 100.000 euro, voglio sapere
subito perchè il sistema di posta che amministri non ha inviato questa
email e se questo potrà ricapitare". Ecco, se tu fossi
l'amministratore di quel sistema, avresti perso il posto di lavoro.
questo lo dice uno che comprende molto poco di responsabilità.
Ma questo è solo uno dei tanti esempi.
Ne vuoi un altro?
Tizio mi querela perchè il mio server ha inviato in data [una
settimana fa?] migliaia di email al suo server, sovraccaricando le
linee. Come dimostro che non è stato il mio server? E se è stato il
mio server come faccio a capire da quale utente/client è partito il
bombardamento?
dimostrare che un fatto sia avvenuto o non avvenuto lo si fa in diversi
modi , la buona funzionalità di un server è dimostrabile per altre vie.
D'altornde se usi un log come dimostri la sua fedeltà, usi sistemi
idonei a d impedirne la modifica ? usi sistemi idonei a definirne la
paternità?, usi sistemi idonei a definirne il momento di creazione?, usi
sistemi idonei a dare certezza sui dati raccolti ivi compresi gli orari?
Il tuo log è sicuramente carente , manca di dati idonei per essere usato
a tal fine, in altri termini è carta straccia, inidoneo a dimostrare dei
fatti.
Ancora:
Ricevo una querela da parte di un tizio che afferma di aver ricevuto
un portscan diretto al suo server e proveniente dai miei indirizzi.
Che faccio se non ho il log "passato" del firewall?
idem , non sei in grado di dimostrare la realtà del log.
Ci sono migliaia di situazioni in cui è necessario avere un log
continuo anche sufficientemente dettagliato e ti garantisco che sono
molto più frequenti di quel che pensi le situazioni in cui è così.
ci sono infinite esigenze , ci sono alcuni casi in cui un log potrebbe
servire, mai in modo eslcusivo e comunque per essere usato senza
correre il rischio di trasformarlo in un boomerang va creato e gestito
in modo appropriato.
Sono certo che il tuo log in questo momento oltre a non poter essere
usato a tali fini sta violando altre norme 196 compresa e non unica.
E non ti ho detto tutto.
Quindi prima di rispondere medita e ragiona che ne hai bisogno .
rino
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
