Recentemente è divenuto effettivo un provvedimento che obbliga le aziende a nominare esplicitamente gli amministratori del proprio sistema informativo i quali devono provvedere a mantenere un registro di tutti gli accessi che eseguono a scopo amministrativo su tutte le macchine della rete.
Il provvedimento iniziale è questo: http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499
L'amico Edoardo Benussi ha risposto a molte domande sul newsgorup winserver a questo proposito. Per chi è interessato a eventuali soluzioni da adottare, non postate sul mio blog, non sarei d'aiuto, ma leggete i vecchi thread (e domandate se avete ancora dubbi).
La prima domanda che mi sono posto è: "qual'è lo scopo del provvedimento?". Posso intuire che sia quello di sorvegliare coloro che hanno il sommo potere di amministratore sui dati, potenzialmente sensibili, custoditi nel sistema informativo.
Ok, mi dico ancora, utile per redarguire l'amministratore che fa il curioso, ma che valore legale hanno queste informazioni? Assolutamente zero, il nulla assoluto, ed il motivo è prettamente tecnico.
Per essere chiari qualsiasi indagine giudiziaria non può e non deve mai basarsi su informazioni prelevate da un sistema in cui l'"accusato" abbia accesso amministrativo sul sistema stesso (cioè qualsiasi PC personale) o che ci sia stata la possibilità che vi sia stato installato del "malware" (e vammi a provare il contrario visto che gli antivirus non possono garantire un bel niente). Il resto sono baggianate all'italiana degne solo di gossip.
Ma cavoli, c'è ancora bisogno di ripetere che non c'è modo tecnologico per dare alcuna garanzia sull'integrità delle informazioni quando il sistema operativo è accesso da un account di amministratore? Se sono admin, sono parte del TCB (Trusted Computing Base) e questo significa:
- Poter far girare software in kernel mode che non è soggetto, per definizione, a nessun controllo di sicurezza
- Alterare qualsiasi informazioni senza che questa venga loggata in alcun modo
- Fare tutto ciò di cui sopra in modo molto agevole semplicemente installando un rootkit che rende la cosa facile e realizzabile anche per mio figlio di 8 anni
Ovviamente questo non vale solo per Windows ma per tutti i sistemi operativi, e se il provvedimento fosse stato fatto interpellando un tecnico, la cosa sarebbe emersa nei primi 5 minuti di conversazione. Vergogna.
E attenzione che i log vanno tenuti per tutte le macchine dove c'è un implicazione di privacy, quindi i log degli accessi sui router, dei centralini voip, delle appliance, e se in sala mensa c'è una TV con il DLNA che tiene un log dei film che avete visto .... Ri-Vergogna!
Il risultato è tragicamente il solito modo per far perdere tempo e denaro alle aziende che dovrebbero invece preoccuparsi seriamente di gestire la materia della sicurezza in altro modo, eseguendo le update, gestendo correttamente i certificati, applicando le best practice di sicurezza per ITPro e Developer.
Ma quando il Garante comincerà a garantire il cittadino invece di mettergli i bastoni tra le ruote?