Prendo spunto da questo messaggio di Piero Cavina ___ Inizio messsaggio inviato:
Data: Sun, 22 Nov 2009 08:41:03 +0100 A: [email protected] Oggetto: Re: [ml] log amministratori di sistema Il giorno Fri, 20 Nov 2009 23:44:44 +0100 Piero Cavina <[email protected]> ha scritto: > Ma in definitiva, quale sarebbe il senso del tracciare gli accessi > amministrativi ai client, quando sono usati solo come interfaccia > utente (emulazioni di terminale - applicazioni web)? Prevenire azioni > di spionaggio degli amministratori tramite installazione di keylogger? > Il fatto è che se la mettiamo su questo piano, gli amministratori > hanno mille risorse per accedere ai dati (modificarli magari è un po' > più complicato) senza lasciare tracce. per avviare una pubblica riflessione: cittadino qualsiasi il cittadino qualsiasi fin dal momento della nascita viene "registrato" in un archivio, anagrafico, dal quale scaturiscono poi una sequela di altri "documenti" (di solito cartacei), codice fiscale, patente di guida, documenti per l'iscrizione alle scuole e poi università, eccetera. divenendo maggiorenne, magari accende un prestito per comperare l'auto o per finanziarsi gli studi, poi compera casa, altri dati, avra' un conto bancario, altri dati. riducendoli per comodità a nome e cognome, data di nascita e luogo di residenza, questi dati sono sempre "quelli"... ora... se questi dati fossero, come dire, custoditi in un server centrale, dello Stato, e il cittadino autorizzasse l'uso secondo quello che serve per esempio per il limitato periodo delle iscrizioni o per il limitato periodo di un finanziamento e, allo scadere dei tempi previsti per legge, i dati divenissero "inaccessibili" salvo espresso intervento del cittadino? io penso che in questo modo chiunque accede ai dati del cittadino, lo informerebbe automaticamente del motivo e del momento in cui questo avviene, perche' il sistema centralizzato invia un'email o un sms al cittadino e lo informa. penso a qualcosa tipo quello che oggi avviene con alcune banche quando si usa il conto corrente o la carta di credito, non e' difficile, tecnologicamente parlando. dati centralizzati e gestiti da persone fidate,perche' dello Stato ci dobbiamo necessariamente fidare, impedirebbero ad esempio casi come quelli che io ho vissuto personalmente di finanziamenti accollati per "errore" sulla base dell'omonimia (salvo poi dover intervenire spendendo tanti soldi per dimostrare una differenza sul codice fiscale), oppure dati di finanziamenti di 19 anni fa ancora "vivi" dentro le innumerevoli basi dati di agenzie dalla dubbia fiducia che gestiscono per conto terzi i "fatti negativi" (avere la carta di credito diventa un fatto negativo... a quanto pare). per esperienza, gli amministratori di sistema, in determinati contesti quali penso siano quelli in cui il garante vuole mettere regole precise, sono talmente professionali e capaci (e talmente oberati di cose da fare) che non trovano tempo o motivo per "forzare" in maniera stramba le basi dati e carpire informazioni che per lo piu' sono quelle che abbiamo appena detto, ricavabili in termini di costi e capacità tecnologiche con meno sforzo applicando "buone pratiche" di ingegneria sociale. Semmai il pericolo maggiore sono gli "utenti normali" che accedono alle basi dati e "svistano" un codice fiscale, rovinando una persona, oppure sbirciano sul tabulato telefonico di un tizio per rivendere per qualche migliaio di euro informazioni al giornale di pettegolezzo di turno. Mi deve essere sfuggito, probabilmente, ma non ho visto nessun "regolamento" sulla sicurezza-diffusa nei confronti di questo "pericolo", nei confronti del fatto che moltissimi computer usati negli uffici siano liberamente accessibili, spediti spesso a fare manutenzione dal negoziante di computer con i dati dentro i dischi senza una preventiva "bonifica", e cosi' discorrendo, non mi dilungo, perche' penso che in lista sappiamo tutti come funzionano veramente le cose. -- wipedisk "In un mondo piatto qualsiasi cosa si possa fare, sarà fatta, e molto più velocemente di quanto voi pensiate. L’unico dubbio è se sarete voi a farla o se dovrete subirla."
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
