Garante Privacy e log varii ...

[ceccus]

Salve,
Scrivo qui, perchè questa problematica, ce l'ha chi gestisce in proprio delle macchine. Se non fosse il posto giusto, prego gli amministratori di scusarmi e di spostare loro nella sezione consona ...
Vengo al dunque : al 15 Dicembre 2009, tutti gli accessi alle varie piattaforme, da parte degli amministratori dovranno essere loggati e registrati in modo tale da non essere alterati e tali dati dovranno essere tenuti a disposizione per almeno 6 mesi ...
Ebbene, CHI ha uno o più server dedicati, come si sta attrezzando ?
Come si attrezza con MySQL ? Che logga "di tutto di più" ??? E con le password degli utenti in chiaro ...
Francamente, chi ha un blog , un Forum, un Portale ... mi sembra sia abbastanza penalizzato ... insomma, iniziamo una bella discussione su come fare per ...

Ciao !!

[revhosting]

15) Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l'accesso o anche le attività eseguite?
Il provvedimento non chiede in alcun modo che vengano registrati dati sull'attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema. Si veda la risposta alla faq n. 11.

11) Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L'adeguatezza rispetto allo scopo della verifica deve prevedere un'analisi dei rischi?
La caratteristica di completezza è riferita all'insieme degli eventi censiti nel sistema di log, che deve comprendere tutti gli eventi di accesso interattivo che interessino gli amministratori di sistema su tutti i sistemi di elaborazione con cui vengono trattati, anche indirettamente, dati personali. L'analisi dei rischi aiuta a valutare l'adeguatezza delle misure di sicurezza in genere, e anche delle misure tecniche per garantire attendibilità ai log qui richiesti.

Ho dato un veloce sguardo e credo che questi siano i punti salienti che rispondono alla tua domanda. Da come ho capito è sufficiente salvare dati come la data d'accesso, la durata del login, la data di logout. I comandi inseriti (query per restare in sql) non c'entrano con il provvedimento.

A questo punto rigiro la domanda. Va bene salvare i log di accesso ma accesso a cosa? Al sistema di fatturazione / area clienti o anche sql, ftp, pannelli amministrativi chi più ne ha più ne metta?

Comunque riguarda solo gli amministratori di sistema quindi non è difficile

1) Cosa deve intendersi per "amministratore di sistema"?
In assenza di definizioni normative e tecniche condivise, nell'ambito del provvedimento del Garante l'amministratore di sistema è assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali.
Il Garante non ha inteso equiparare gli "operatori di sistema" di cui agli articoli del Codice penale relativi ai delitti informatici, con gli "amministratori di sistema": questi ultimi sono dei particolari operatori di sistema, dotati di specifici privilegi.
Anche il riferimento al d.P.R. 318/1999 nella premessa del provvedimento è puramente descrittivo poiché la figura definita in quell'atto normativo (ormai abrogato) è di minore portata rispetto a quella cui si fa riferimento nel provvedimento.
Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.

Bene o male tutti abbiamo i log

[ceccus]

Salve,

Bene o male tutti abbiamo i log

...
Ecco, è qui che sta "il succo" ... nel senso che, per esempio, MySQL, essendo un DB, sottostà alla disciplina del Garante ... e lì, il log o lo hai completo (con tutte le queryes che vengono eseguite, compreso l' accesso degli eventuali amministratori , con le password in chiaro), o non lo hai proprio ...
E questo, a mio avviso, potrebbe essere un problema per i Provider ... ma , probabilmente, lo è ancora di più per chi, ripeto, ha un piccolo Blog , un Forum che "lavora", per esempio, con MySQL ...
Su SQLServer, per esempio, è possibile "filtrare" gli eventi e "reindirizzarli" su quello generale di sistema (Eventvwr).
Su Oracle, va "acceso" il suo sistema di Audit ... e comunque, è un qualcosa che va a caricare ulteriormente il sistema ... mediamente del 10% ...
Quindi, volevo sapere, se qualcuno di Voi ha adottato o prodotti di terze parti o si è affidato agli strumenti nativi del prodotto (per esempio MySQL) per cercare di ottemperare alla disposizione delGarante ...

Ciao !!

[guest]

Da quel che so io, bisogna salvare solo gli accessi degli amministratori ai server.
Ovvero, data di login, ip, username, bla bla bla di accesso (via ssh o via console) al server, non quello che si fa con esso.

Teoricamente, se vengono commessi atti illeciti, basta poter sapere chi era collegato in quel momento alla macchina, il cosa è stato commesso dovrebbe saperlo già la polizia (se non lo sapesse, non sarebbero nemmeno a controllare a casa tua).

Un po come per il wifi, non è necessario salvare l'elenco dei siti visitati dagli utenti (anzi, credo sia vietato per privacy) ma soltanto poter dire chi era collegato e quando.

Se uno di questi utenti commette atti illeciti, la polizia sa già che stava navigando tramite la tua postazione grazie ai log del destinatario (quelli del sito visitato), risalgono a te grazie all'ip ed in quel momento tu devi essere in grado di dire: alle ore X erano collegate queste 3 persone di nome Mario, Gianni, Paolo, bla bla bla

[ceccus]

Salve,
Vero ciò che dici ... il problema, però, è che con molti DB , vedi Oracle e MySQL, NON è possibile loggare SOLO il login (logout) dell' Amministratore ... devi loggare TUTTO e poi, eventualmente, "filtrare" a monte ... DOPO aver loggato il tutto ... e questo è un bel problema ... primo perchè ci vuole spazio , secondo perchè il file ottenuto, poi, NON deve esserealterabile , e , terzo, perchè si perdono performances ... personalmente ho tenuto il General Log di MySQL attivo per 24 ore e , mediamente, si sono "persi" in performances il 10% della potenza del Server ...
Per questo domandavo se qualcno si affidava a prodotti di terze parti oppure a soluzioni "casalinghe" ... è ovvio che le grandi aziende si stiano attrezzando, ma le "risorse" che possono mettere in campo le grandi aziende non sono paragonabili a quelle che può mettere il "singolo" (o quasi) ...

Ciao !!

[guest]

ma bisogna loggare gli accessi al server fisico, non al db.
Questo è quel che ho capito.

[ceccus]

Salve,
NO ... occorre loggare le LOGIN (e le eventuali LOGOUT, quando ci sono ...perchè sui sistemi UNIX neppure ci sono sempre ...) degli Amministratori , compresi i DATABASE (il Garante in questo è stato chiaro ...)
Noi, per esempio, in azienda abbiamo i DB più disparati ... DB2 for Z/OS , DB2 UDB , Oracle RAC, PostgreeSQL , MySQL , MS SQL Server ... e di tutti questi dobbiamo loggare le login/logout degli Amministratori ...
Ma in Azienda ................. ma chi ha un piccolo Blog/Forum ... come si sta attrezzando ??? E i Provider, come si stanno attrezzando ??? Se leggi in giro sulla rete, trovi molto materiale in proposito, di gente che è molto preoccuopata, e , personalmente, anche io lo sono ...

Ciao !!

[ceccus]

Salve,
Dalle FAQ del Garante : ( Garante Privacy )

19) La registrazione degli accessi è relativa al sistema operativo o
anche ai DBMS?
Tra gli accessi logici a sistemi e archivi elettronici sono comprese
le autenticazioni nei confronti dei data base management systems
(DBMS), che vanno registrate.

Quindi, direi , che lascia ben poco all' interpretazione ...

[GrG]

Il problema è: cosa si intende per dati sensibili?

Ovvero: dovrò loggare tutto sul mio VPS dove sono storati gli ip degli utenti negli access_log?

Come vi state attrezzando per questo tipo di log?

[guest]

Uhm.
Con un filtro di rsyslog si dovrebbe risolvere in pochi minuti, dopo aver attivato a priori il log di mysql.
Mysql logga tutto, ma rsyslog salva solo quello che ti serve.

Mi preoccupa paggiormente il decadimento prestazionale nell'attivare il log su server trafficati, piuttosto che filtrare selettivamente il contenuto del log stesso prima del salvataggio.

Eventualmente anche una named pipe potrebbe fare al caso nostro.

[ceccus]

Salve,
E infatti ... la domanda è proprio questa ...
Sicuramente, all' interno di un qualsiasi DB che "serve" un Blog, un Forum, un Portale, ci sono dati sensibili ... vedi indirizzo IP , vedi casella di posta (anche se non sempre viene considerto dato sensibile ...) e quindi, in teoria (ma sembrerebbe in pratica) TUTTI devono sottostare alla legge del Garante ...
Il problema è : MySQL , per esempio, ha il suo LOG, ma logga TUTTO, e la password di chi si connette, la logga in chiaro ...
Questo comporta problemi, come dicevo prima, di spazio , di performnces, e di inalterabilità, in quanto scrive si di un Files (dalla versione 5.1.29 (o 12, non mi ricordo ...) può scrivere anche su tabella) e questo deve essere reso inalterabile.
E' per questo che chiedevo come gli altri si stavano attrezzando ...

Ciao !!

[ceccus]

Salve,
@Guest : il decadimento prestazione c'è ... quantificabile intorno al 10% ... dalle prove che ho fatto sul mio server DATI (IBM X-345 , dual XEON 2.4 GHZ, 4 GB di RAM , 3 HDD U320 ...)
E quella è una macchina dedicata e fa solo DB (MySQL) ...
Per il discorso "filtro" ... OK, ma il file lo devi "produrre" e qualcuno te lo potrebbe alterare nel mentre (un Amministratore, te stesso ...) ... forse lo potresti mettere nel DB , però siamo alle solite ... filtrarlo sul DB è più semplice e si potrebbero sfruttare gli Event presenti nela release 5.1 di MySQL (Personalmente utilizzo la versione 5.1.34 su macchina Window sServer 2003 32 bit)

Ciao !!

[guest]

Si so che c'è un decadimento prestazionale.
Per l'inalterabilità, dato che su ambienti *nix l'amministratore per definizione "può fare tutto", credo che l'unica sia creare un file ogni X giorni/ore/minuti o quel che è (rsyslog lo fa in automatico) e dotarsi di un servizio di timestamping/firma digitale esterno che ne certifichi l'autenticità e l'immutabilità.

Oppure loggi su un server configurato dall'amministratore ma che una volta in produzione non consenta più accessi se non al titolare dell'azienda. una sorta di box che riceve i log al quale l'amministratore non possa accedere se non chiedendo autorizzazione al titolare.

[GrG]

Ho davvero seri dubbi. Non penso che il proprietario di qualunque dedicato con su un sito debba loggare.

Ma ho dubbi anche per l'hosting: si parla di dati personali. Quindi devo loggare solo sul server dove ho l'anagrafica o anche dove ci sono i files dei siti? E se fosse una SAN?

[danielej]

Secondo me non si può fare un discorso troppo generalizzato che vada bene per chi ha un suo server dedicato non gestito da terzi, nel testo vedo:

3) Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell'ambito applicativo del provvedimento?
Non è possibile rispondere in generale. In diversi casi, anche con un personal computer possono essere effettuati delicati trattamenti rispetto ai quali il titolare ha il dovere di prevedere e mettere in atto anche le misure e gli accorgimenti previsti nel provvedimento. Nel caso-limite di un titolare che svolga funzioni di unico amministratore di sistema, come può accadere in piccolissime realtà d'impresa, non si applicheranno le previsioni relative alla verifica delle attività dell'amministratore né la tenuta del log degli accessi informatici.

Per ciò che va inteso come amministratore di sistema invece vedo:

Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.

Quanto scritto per me si potrebbe adattare al caso di un server dedicato non managed, in cui ci si occupa solo di loggare tutto ciò che riguarda l'interazione del server con l'esterno e mettere in sicurezza ciò che serve (fin qui cose che già normalmente si dovrebbero fare) a quel punto non servirà loggare ciò che fa l'amministratore internamente al server perchè lui stesso corrisponde anche alla persona autorizzata al trattamento dei dati.

Visto il testo del provvedimento penso che l'amministratore di sistema vada inteso come un soggetto che normalmente non sarebbe autorizzato ad accedere a quei dati, ma ci accede per ragioni tecniche.

Per i server dedicati managed invece l'amministratore è una figura distinta quindi la situazione è diversa.