Rispondo alle risposte di Stefano (e premetto CEG). > -----Original Message----- > From: ing. Stefano Centineo [mailto:[email protected]] > Sent: 17 March 2015 12:41 > To: [email protected] > Subject: Re: [lex] Credenziali e comportamento > > Provo a rispondere da "tecnico" lasciao l'autorevolezza legale a chi ne sa' > di piu': > > Commenti .. in line: > > >> Buongiorno, > >> mio primo messaggio su lex su una situazione particolare. > >> > >> Sistemista amministratore di sistemi in una piccola azienda (meno di > >> 15 dip) > >> > >> L'amministratore gli chiede esplicitamente di consegnare le password > >> di gestione dei sistemi. > > > > E ne ha tutti i diritti. Anche perché bisogna garantire l'accesso ai > > dati. In realtà (copio e incollo dall'Allegato B): "sono impartite > > idonee e preventive disposizioni scritte volte a individuare > > chiaramente le modalita' con le quali il titolare puo' assicurare la > > disponibilita' di dati o strumenti elettronici in caso di prolungata > > assenza o impedimento dell'incaricato che renda indispensabile e > > indifferibile intervenire per esclusive necessita' di operativita' e > > di sicurezza del sistema > concordo.. e subito dopo, stante all'allegato B, "PROVVEDE A CAMBIARLE" > per garantire l'univocita' delle credenziali "note SOLO a chi le usa" >
CEG: deve cambiarle, ma solo quando le usa. In qualche modo, le password di supermucca devono essere a disposizione di più di una persona, sennò, se qualcosa succede all'unica persona che le conosce, sono fritti. Alcuni sistemi possono essere configurati affinché non ci sia un'unica supermucca (e quindi vanno configurati vari AdS), altri no e quindi bisogna ricorrere a tecniche di "custodia" della sua password. > >> > >> Su quei sistemi esiste solamene l'account root/administrator. > >> > > > > Questa è anche colpa del sistemista che non ha impostato utenze di > amministrazione personali per buone pratiche di sicurezza. > > > mai sentito parlare di "sudoers" ? o, per $Win, del gruppo "administrators" > (per non scendere in tecnicismi tipo: SELinux, Windows Policy, ecc.) CEG: hai ragione. > > > >> Il sistemista consegna le password di sistema (quindi quelle di root > >> administrator) via email alle persone indicate dall'amministratore. > .. che notoriamente e' un sistema "sicuro" e "trusted" per comunicare in > maniera riservata chicchessia (sigh) CEG: non avevo commentato questa riga perché mi ero depresso. Ma tu hai commentato benissimo. > > > >> Nel msg indica di non avere altri account su quelle macchine e "cede" > >> la gestione dei sistemi. > >> > >> Come dovrebbe comportarsi questa persona? > >> Di chi è la responsabilità se su quelle macchine succede qualcosa? > > > > Del titolare. Che dovrebbe impartire le idonee e preventive disposizioni > > scritte. > E nominare gli AdS. > RIBADISCO: > Titolare => gestione e obblighi (ricordarsi il grande messaggio > "ragnesco" : da grandi poteri derivano grandi responsabilità !!) > Amministratori di sistema => nominati dal titolare !! con indicazione > precisa di obblighi e responsabilità (ce l'avete ??) > > > >> Puo' rifiutarsi di intervenire su quelle macchine se non gli vengono > >> fornite > >> credenziali nuove/diverse dalle preesistenti? > > > > No. Perché? La responsabilità è del titolare. > > Per correttezza, dovrebbe cercare di proporre al titolare una soluzione > "corretta" per la gestione dei sistemi: creazione di utenze personali degli > AdS, > cosa fare nei rarissimi casi in cui sia necessario disporre della password di > supermucca, log delle attività, eccetera. > > Avrebbe già dovuto farlo prima, se ne avesse avuto le competenze (questo non > lo so; ma se era a conoscenza della normativa, qualche dubbio l'avrebbe dovuto > sollevare; ad ogni modo, la responsabilità è del titolare = amministratore, > anche > della formazione delle persone). > > > concordo ! > > > >> E' obbligato a fare da "insegnante" alle persone alle quali ha passato le > >> credenziali? > > > > Sì. > > "Obbligato" non è la parola giusta, ma si tratta di correttezza. > > Esperienza personale: se non lo fa, lo silurano e gli altri andranno avanti > benissimo anche senza di lui (con qualche difficoltà iniziale, ma poi basta). > E io, > personalmente, appoggerei il siluramento. > > > ri-concordo; specie quando gli admin sono "consulenti" questa è la cosa > piu' difficile da effettuare nel trasferimento di competenze ... > > > >> > >> Un avvocato è stato sentito, e secondo l'avvocato questa persona deve > eseguire > >> qualsiasi ordine gli venga impartito compreso quello di intervenire > conaccount > >> condivisi. E' il comportamento corretto da tenere? > > > > Sì. > > non vorrei offendere i colleghi avvocati in lista, ma.. forse avrei > sentito anche un parere diverso o hai riferito troppo stringatamente. CEG: anche il mio "sì" era stringato. Come diceva Rodolfo Vardelli, "eseguire qualsiasi ordine" deve essere fatto cum grano salis (ho parafrasato; il concetto sarebbe lungo, ma immagino che tutti quelli che ci leggono abbiano capito). L'amico AdS avrebbe dovuto già da tempo porsi questa domanda ed evitare lui stesso di accedere come "root" o "admin" o "dba" eccetera, ma con un'utenza personale; ora deve ricorrere ai ripari e proporre una buona soluzione (e arrivato a questo punto, sarà anche difficile). > ciao > S. > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
