Garante e Amministratori: cosa vuol dire log completo, inalterabile e integro?

Non per giustificare il Garante, ma in una legge che riguarda una platea così ampia è difficile se non impossibile includere definizioni che non debbano essere interpretate. Proprio per questo bisogna sempre rifarsi alla ratio legis, o almeno a un minimo di buon senso. Da quello che sento in giro sull'argomento, già solo il buon senso sarebbe un bel traguardo.

Il Garante ha chiesto le registrazioni degli accessi degli amministratori ai dati personali, niente di piu'. Questo significa che:

1. Se su un sistema non ci sono dati personali, non sono richieste le registrazioni degli accessi. Va notato che i dati personali si annidano ovunque, come nella cache del browser che può contenere dati personali, ad esempio relativi a scelte religiose, politiche, sessuali ;)
   
2. Il Garante ha chiesto registrazioni degli accessi, non log completi. Anche il buon senso suggerisce che serve l'informazione elementare, non una caterva di dati grezzi. La documentazione Windows dice che un accesso con credenziali di dominio genera alcune decine di registrazioni nei log di sistema, e anche salvandoli integralmente la completezza è beffata visto che nessuno di questi riporta i privilegi, amministrativi o meno, con cui è avvenuto l'accesso.

Le registrazioni, e non i dati grezzi, devono essere complete, inalterabili, integre, conservate per almeno 6 mesi.

Completezza:

1. Il buon senso suggerisce che non deve essere possibile far sparire registrazioni, o almeno deve rimanere traccia della sparizione. Se metto una password in busta chiusa sulla scrivania chiunque può aprirla, ma rimane traccia dell'illecito.
   
2. Quindi le registrazioni secondo me devono essere numerate progressivamente, con accorgimenti per cui è possibile verificare se ne manca qualcuna, altrimenti manca la completezza. Secondo me potrebbe essere sufficiente che i computer all'avvio registrino un evento che include la numerazione di partenza (es. computer+data+ora+progressivo), e che questa venga incrementata ed indicata in ogni evento successivo.
3. La completezza si può soddisfare solo assieme all'inalterabilità.
   

Inalterabilità:

1. Il primo accorgimento da adottare è che le registrazioni siano immediatamente raccolte e conservate in computer diversi da quelli che le generano, altrimenti è fin troppo facile far sparire le tracce del delitto simulando un malfunzionamento del disco fisso.
   
2. Raccolgliere le registrazioni altrove non basta. L'unico modo per ottenere l'inalterabilità secondo me è "firmare" gli eventi il prima possibile, appena "nascono". Firmarli dopo che sono anche solo transitati in rete è già troppo tardi, qualcuno potrebbe modificarli prima che arrivino al punto di raccolta. Gli strumenti per farlo non mancano, e per usarli non serve nemmeno essere amministratori, ma basta leggere le riviste di hacking in edicola!

Integrità. Sinceramente non ho ben chiaro cosa si richieda ancora, se già sono soddisfatte completezza e inalterabilità come descritto sopra. Il Garante parla di "possibilità di verifica della loro integrità". Io interpreto quindi come possibilità di verifica delle caratteristche definite sopra, completezza e inalterabilità.

Conservazione, facciamo ancora appello al buon senso:

1. Per la conservazione centralizzata non ci sono grossi problemi di spazio se si conservano le informazioni essenziali, la cosa cambia se si conservano i dati grezzi. Anche solo per la memorizzazione temporanea sui client in attesa della raccolta, potrebbe essere necessario riconfigurare lo spazio allocato e le modalità di utilizzo degli Event Log periferici.
   
2. Durante i 6 mesi di conservazione il computer che li ospita deve essere a sua volta amministrato. E' ovvio quindi che anche un amministratore, che è e deve rimanere onnipotente, in questo periodo non deve poter alterare le registrazioni. Forse è a questo che si riferisce l'inalterabilità, ma se completezza e integrità sono soddisfatte come citato, e l'accesso al computer (ridondato) che conserva le registrazioni è opportunamente limitato e controllato, non dovrebbe essere un problema.
   
3. Salvare i log su CDROM? I dati su un CDROM sono inalterabili, ma se non sono numerati e firmati alla fonte prima di arrivare al masterizzatore può essere successo di tutto ;)
4. Ovviamente gli eventi vanno trasferiti al più presto e conservati su computer diversi da quelli che li generano.

Eccomi

Ho creato questo blog per esprimere quello che non ho modo di esternare nelle occasioni ufficiali.

Sono pensieri liberi di un consulente travolto da un insolito destino nella soluzione del Provvedimento del Garante della Privacy sugli Amministratori di sistema, sperando che le mie considerazioni possano essere utili ad altri.
Bruno

P.S.: Per il momento la mia identità rimane segretissima ;) non vorrei trovarmi l'FBI in casa con il mitra spianato alle 4 di mattina, ma ho comunque l'intenzione di rispondere a commenti ed email.