2008/7/6 rino lo turco <[EMAIL PROTECTED]>: > Riccardo Raffaelli ha scritto: >>> >>> 2008/6/25 rino lo turco <[EMAIL PROTECTED]>: >>> >>> vedo che quanto a gestione siamo molto poveri. [...] > giusto sono solo il dirigente di un sistema informativo costituito da 3500 > utenti , Sorvolo su questo, su cui potrei flammare per ore, ma quello che ti posso dire e parlo con cognizione di causa, è che avere un log, anche se scritto su un file di testo, non verificato, ecc. ti può salvare la pelle. E nel caso che ho vissuto il log l'aveva solo la parte che ha vinto, scritto, come si dice dalle mie parti, "su un foglio di carta della spianata", ovvero in formato testo. Per il giudice è stato sufficiente, valutato il contesto e l'attendibilità dei testi. Non gli è fregato nulla del fatto che fosse un file di testo. Da quel che ho visto, di solito fanno sequestrare il server (il disco nei casi più fortunati) e se trovano un log che sia di testo, firmato elettronicamente o meno e il loro CTU dice che è attendibile, a loro basta.
Ma più che al giudice, interessa a quello per cui lavori come dicevo qui: >> Esempio: ho un cliente che mi dice "Ieri ho inviato una email [...] >> Ecco, se tu fossi l'amministratore di quel sistema, avresti perso il posto >> di lavoro. Tu scrivi: > questo lo dice uno che comprende molto poco di responsabilità. No, lo dice solo chi a fine mese ti deva pagare la fattura. Per cui, normalmente tenderei a soddisfare al meglio le sue richieste anche se non ci capisce molto.... :) >> Ma questo è solo uno dei tanti esempi. >> Ne vuoi un altro? >> Tizio mi querela perchè il mio server ha inviato in data [una >> settimana fa?] migliaia di email al suo server, sovraccaricando le >> linee. Come dimostro che non è stato il mio server? E se è stato il >> mio server come faccio a capire da quale utente/client è partito il >> bombardamento? > dimostrare che un fatto sia avvenuto o non avvenuto lo si fa in diversi modi > , la buona funzionalità di un server è dimostrabile per altre vie. Magari mi piacerebbe conoscerle un paio di queste vie... Ovviamente sarebbe ancor più interessante se queste vie (ammesso che esitano soluzioni commercialmente interessanti) siano percorribili dalla maggior parte delle piccole-medie aziende e non solo dalla multinazionale da migliaia utenti.... > D'altornde se usi un log come dimostri la sua fedeltà, usi sistemi idonei a > d impedirne la modifica ? usi sistemi idonei a definirne la paternità?, usi > sistemi idonei a definirne il momento di creazione?, usi sistemi idonei a > dare certezza sui dati raccolti ivi compresi gli orari? > Il tuo log è sicuramente carente , manca di dati idonei per essere usato a > tal fine, in altri termini è carta straccia, inidoneo a dimostrare dei fatti. Allora, cerchiamo di capirci. Da una parte dici che non bisogna tenere i log perchè se ti scoprono sono una violazione della privacy. E dall'altra mi dici che se li tengo per dimostrare un reato non sono attendibili. Cioè? Sono attendibili per la privacy e valgono nulla per un eventuale dolo? Mi pare una contraddizione. >> Ancora: >> Ricevo una querela da parte di un tizio che afferma di aver ricevuto >> un portscan diretto al suo server e proveniente dai miei indirizzi. >> Che faccio se non ho il log "passato" del firewall? > idem , non sei in grado di dimostrare la realtà del log. Quindi tu invece dici che averlo o non averlo è uguale. In realtà mi risulta che non è sempre necessario dimostrare la validità di un log, almeno con il nostro sistema legislativo e per quello che ho assistito... > ci sono infinite esigenze , ci sono alcuni casi in cui un log potrebbe > servire, mai in modo eslcusivo e comunque per essere usato senza correre il > rischio di trasformarlo in un boomerang va creato e gestito in modo > appropriato. > Sono certo che il tuo log in questo momento oltre a non poter essere usato a > tali fini sta violando altre norme 196 compresa e non unica. E' anche possibile. Ma come hai detto, non avendo sistemi di registrazione sicura, marche temporali ecc., non è attendibile e quindi non rischio. :) D'altra parte, come ho detto, mi serve per verificare immediatamente come mai il tal giorno alla tal ora la tal email non è partita (o è partita e da chi, se pensiamo ad esempio ad una email diffamatoria). E per far questo, non sono così sicuro che esistano altri mezzi meno "invasivi". Ciao. Riccardo. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
