Vous êtes sur la page 1sur 5

Misure minime di sicurezza: aspetti pratici

Misure minime di
sicurezza: aspetti pratici
Le norme contenute nell'Allegato B del “Codice in materia di protezione
dei dati personali” descrivono, tra gli altri, i requisiti minimi di sicurezza
dei sistemi informatici destinati al trattamento dei dati personali.
In questo articolo vedremo come implementarle, mostrando un semplice
caso pratico, in ambiente Windows e Linux

di Massimo Farina > mfarina@infomedia.it e Stefano Sanna > ssanna@infomedia.it

I
l trattamento di dati personali attraverso l’uso di lizzazione degli operatori, senza il cui impegno e diligenza la
sistemi informatici e telematici impone il rispetto di salvaguardia dei dati custoditi dal sistema può risultare com-
pratiche organizzative e parametri tecnici che garan- pletamente compromessa.
tiscano la protezione dei dati da accessi non autoriz-
zati. Il Codice in materia di protezione dei dati 17) Il trattamento di dati personali con strumenti elettro-
personali (Codice Privacy [1]) contiene le Misure nici è consentito agli incaricati dotati di credenziali di
minime di sicurezza da adottare (Allegato B) e fornisce autenticazione che consentano il superamento di una
indicazioni generali per titolari, responsabili, incaricati e procedura di autenticazione relativa a uno specifico
amministratori di sistema. Le problematiche di sicurezza in trattamento o a un insieme di trattamenti.
ambito aziendale (anche di piccole realtà), specie nel caso
della protezione dei sistemi destinati al trattamento dei dati Il primo punto può apparire scontato ma è fondamentale: per
sensibili ad opera di più incaricati con ruoli diversi, posso- l’accesso ad un sistema informatico destinato al trattamento
no crescere in maniera esponenziale su molteplici fronti. I dei dati è necessario che esso sia dotato di meccanismi che
sistemi dovranno gestire una lista di controllo degli accessi, impediscano l’accesso a coloro che non sono dotati delle cre-
che assegni a ciascuno i diritti minimi sui dati, per consen- denziali (nel caso più semplice: username e password).
tire di compiere il proprio lavoro e, allo stesso tempo, pro- Questo porta immediatamente ad escludere sistemi operati-
teggere i dati per le quali non si dispone dei requisiti di vi basati sul vecchio DOS, nonché Windows 95/98/ME, nei
accesso. quali la procedura di login può essere superata… con la sem-
Il rispetto della normativa sulla privacy, però, non riguarda plice pressione del tasto ESC! In questi sistemi, infatti, l’uso di
soltanto soggetti di grandi dimensioni (Pubblica diversi codici di accesso ha funzione di personalizzazione
Amministrazione, piccole e grandi aziende), ma investe piuttosto che di protezione del sistema, considerato anche il
anche piccole realtà, quali esercizi commerciali e gruppi. fatto che i file system supportati non gestiscono le ownership
Una associazione culturale, ad esempio, dovrà gestire in dei file e permessi distinti per utenti e gruppi. Drasticamente,
maniera opportuna i dati dei propri soci, adempiendo alle la normativa impone di dotarsi di sistemi moderni, evitando
misure minime in maniera corretta. Come caso pratico con- la pratica del riciclo di macchine ormai obsolete e non in
sideriamo, dunque, la gestione dei dati attraverso l’utilizzo grado di gestire sistemi più recenti. Su questi ultimi, comun-
di un unico calcolatore destinato alla memorizzazione e ela- que, sarà necessario disabilitare eventuali funzioni di auto-
borazione delle informazioni e alla quale avranno accesso logon, con le quali il sistema effettua l’accesso automatico con
un amministratore del sistema e uno o due incaricati con il uno username predefinito scelto dall’utente.
medesimo ruolo.
Vedremo come in ambiente Windows e Linux siano già dis- 18) Le credenziali di autenticazione consistono in un
ponibili strumenti che consentono di ottenere dei buoni codice per l’identificazione dell’incaricato associato a
livelli di sicurezza. una parola chiave riservata conosciuta solamente dal
medesimo oppure in un dispositivo di autenticazione
Sistema di autenticazione informatica in possesso e uso esclusivo dell’incaricato, eventual-
L’Allegato B enumera, in 11 punti, quali caratteristiche di mente associato a un codice identificativo o a una
autenticazione deve possedere il sistema informatico. Alcune parola chiave, oppure in una caratteristica biometrica
indicazioni sono di carattere squisitamente tecnico; altre dell’incaricato, eventualmente associata a un codice
dipendono da un attento processo di informazione e sensibi- identificativo o a una parola chiave.

DEV > n. 131 luglio/agosto 2005 23 <<


Speciale
Privacy

Il secondo punto chiarisce immedia-


tamente il significato di credenzia-
le: la classica coppia username/pas-
sword oppure un dispositivo di
autenticazione hardware (smart
card, chiave USB), anche di tipo bio-
metrico.

19) Ad ogni incaricato sono asse-


gnate o associate individual-
mente una o più credenziali
per l’autenticazione.

20) Con le istruzioni impartite


agli incaricati è prescritto di
adottare le necessarie cautele
per assicurare la segretezza FIGURA 1
della componente riservata Le policy per la gestione delle password in ambiente Windows
della credenziale e la diligen-
te custodia dei dispositivi in
possesso ed uso esclusivo dell’incaricato. particolare distribuzione in uso (in Figura 2 si vedono alcu-
ne immagini della configurazione di Mandrake), mentre altri,
Punto fondamentale: come accennato in apertura, senza l’in- quali chage (per la gestione della scadenza delle password) o
dispensabile collaborazione e precisione degli incaricati, l’in- cracklib (per valutare la vulnerabilità di una password), pos-
tera infrastruttura di sicurezza perde di valore ed efficacia. sono essere utilizzati indipendentemente dalla versione instal-
lata. È evidente che un sistema automatico, benché in grado
21) La parola chiave, quando è prevista dal sistema di di riconoscere password banali, riconducibili a termini pre-
autenticazione, è composta da almeno otto caratteri senti in un vocabolario e a semplici variazioni di questi, non
oppure, nel caso in cui lo strumento elettronico non lo può ovviare al requisito di assenza di “riferimenti agevolmen-
permetta, da un numero di caratteri pari al massimo te riconducibili all’incaricato”.
consentito; essa non contiene riferimenti agevolmente A parte i casi eccessivamente banali (nome, cognome e com-
riconducibili all’incaricato ed è modificata da que- binazioni di questi), sarà pressoché impossibile evitare che
st’ultimo al primo utilizzo e, successivamente, almeno l’utente usi come password la denominazione di un soggetto
ogni sei mesi. In caso di trattamento di dati sensibili e a cui è affezionato.
di dati giudiziari la parola chiave è modificata alme- Nomi di partner, animali domestici, squadre o gruppi del
no ogni tre mesi. cuore fanno parte del campionario di password difficilmente
individuabili da un sistema automatico ma facilmente intuibi-
Al punto 1 si sono già esclusi alcuni sistemi operativi che non li da colleghi e attenti osservatori.
sono in grado di garantire il requisito minimo di accesso vin-
colato al possesso di credenziali. 22) Il codice per l’identificazione, laddove utilizzato, non
può essere assegnato ad altri incaricati, neppure in
tempi diversi.

23) Le credenziali di autenticazione non utilizzate da


Windows e Linux forniscono almeno sei mesi sono disattivate, salvo quelle preventi-
vamente autorizzate per soli scopi di gestione tecnica.
strumenti per l’uso di password
non banali 24) Le credenziali sono disattivate anche in caso di perdi-
ta della qualità che consente all’incaricato l’accesso ai
dati personali.

I tre punti appena enunciati dovranno essere rispettati a cura


Al punto 5 è richiesto che la password abbia una lunghezza dell’amministratore di sistema, il quale terrà traccia degli
minima, che non sia banalmente riconducibile all’utente, che account attivati e successivamente disattivati (ma presenti sul
sia modificata al primo accesso e abbia una scadenza prede- sistema, in modo da poter conservare, ad esempio, la pater-
finita. In ambiente Microsoft, Windows 2000 (Figura 1) e suc- nità di un certo file conservato nel file system) e, analoga-
cessive versioni del sistema è possibile stabilire policy di asse- mente, verificherà l’eventuale inutilizzo di un account per
gnazione delle password [2]: attraverso le Impostazioni pro- procedere alla definitiva disattivazione.
tezione locali del gruppo Strumenti di Amministrazione del
Pannello di Controllo è possibile imporre requisiti minimi di 25) Sono impartite istruzioni agli incaricati per non
complessità (sia in termini di lunghezza che di prevedibilità lasciare incustodito e accessibile lo strumento elettro-
della stringa) ed assegnare validità minima e massima in nico durante una sessione di trattamento.
accordo con quanto richiesto dalla normativa.
In ambiente Linux è possibile disporre di funzionalità analo- Accanto alla evidente necessità di prevenire che una posta-
ghe: alcuni strumenti per la configurazione dipendono dalla zione con una sessione di lavoro aperta resti non presidiata,

>> 24 DEV > n. 131 luglio/agosto 2005


Misure minime di sicurezza: aspetti pratici

sarà necessario attivare la funzione, presente in tutti gli tà, ma la semplice assegnazione delle credenziali è solo l’ini-
ambienti grafici, che consente di bloccare la workstation zio della procedura di protezione del sistema.
dopo un certo intervallo di inattività (generalmente attraverso
il salvaschermo). Oltre le misure minime…
Se è vero, infatti, che l’uso di password e liste di controllo
26) Quando l’accesso ai dati e agli strumenti elettronici è d’accesso (per gli scenari più complessi), l’adozione di
consentito esclusivamente mediante uso della compo- policy efficaci per le password, l’eventuale uso di strumenti
nente riservata della credenziale per l’autenticazione, hardware quali token USB o smart card, costituiscono un
sono impartite idonee e preventive disposizioni scritte primo fondamentale livello di protezione delle macchine
volte a individuare chiaramente le modalità con le destinate al trattamento dei dati, è altrettanto vero che alcu-
quali il titolare può assicurare la disponibilità di dati ne leggerezze sulla gestione del sistema nel suo complesso
o strumenti elettronici in caso di prolungata assenza o possono portare a conseguenze disastrose.
impedimento dell’incaricato che renda indispensabile A questo proposito, l’esperienza di ciascuno porterà imme-
e indifferibile intervenire per esclusive necessità di ope- diatamente alla memoria qualche episodio avvenuto duran-
ratività e di sicurezza del sistema. In tal caso la custo- te lo svolgimento della propria attività professionale e occor-
dia delle copie delle credenziali è organizzata garan- rerebbero numerose pagine per compilare una lista dei casi
tendo la relativa segretezza e individuando preventi- più comuni. Limitiamo per ora la nostra attenzione ad un
vamente per iscritto i soggetti incaricati della loro caso particolarmente semplice: si ipotizzi che su un sistema
custodia, i quali devono informare tempestivamente dotato di una robusta gestione delle credenziali di accesso e
l’incaricato dell’intervento effettuato. permessi limitati sui singoli file di interesse sia presente un
account di servizio.
Per gli approfondimenti sul decimo punto si veda l’articolo
di questo Speciale “Quali altri modi per intendere la
Privacy?”: l’esercizio del diritto dell’utente ad avere accesso
ai propri dati deve essere garantito anche nel caso in cui
l’incaricato non possa essere present. Infine, per completez- Smart card e sistemi biometrici
za riportiamo anche l’ultimo punto (11), in cui si specifica
un caso particolare per il quale le norme appena descritte possono aumentare la sicurezza
non si applicano: delle credenziali di accesso
27) Le disposizioni sul sistema di autenticazione di cui ai
precedenti punti e quelle sul sistema di autorizzazione
non si applicano ai trattamenti dei dati personali
destinati alla diffusione. Tale account potrebbe essere stato reso disponibile per con-
sentire ad alcuni utenti ospiti di usare una risorsa locale non
Quanto mostrato fino a qui non presenta sostanziali difficol- condivisa (ad esempio, uno scanner). Quale problema

FIGURA 2
Un esempio di policy per la gestione della password in Linux

DEV > n. 131 luglio/agosto 2005 25 <<


Speciale
Privacy

È sufficiente, ad esempio, che la


configurazione del BIOS sia accessi-
bile (ancora una volta, dunque, non
protetta da password), perché un
individuo con competenze di base
possa impostare l’avvio della mac-
china da supporto diverso da disco
rigido interno (ad esempio da
floppy, CDROM o, per il modelli
più recenti, da pen drive su porta
USB), caricare un sistema operativo
di supporto sufficientemente attrez-
zato per leggere il file system del
disco rigido (basterebbe una buona
distribuzione Live di Linux) e, infi-
ne, sottrarre i dati di interesse.
Se la configurazione del BIOS fosse
inaccessibile, operazione analoga
potrà essere compiuta rapidamente
dotandosi di un PC portatile, apren-
do il case della macchina e colle-
gando, con apposita interfaccia
IDE-USB (oppure SCSI-USB,
SerialATA-USB, c’è solo l’imbarazzo
della scelta), il disco rigido della
macchina violata ad una porta USB
del portatile: si potrà così operare
FIGURA 3
Il responso del Microsoft Baseline Security Analyzer una clonazione vera e propria del
disco rigido, per poi procedere, in
un secondo tempo, ad un attacco di
potrebbe creare un utente di questo tipo sul sistema? Primo forza bruta su eventuali oggetti crittografati.
fra tutti, dopo aver appurato la versione del sistema opera- Le possibilità, anche con questo tipo di approccio, sono
tivo in esecuzione, l’utente malintenzionato potrebbe tenta- numerose e, purtroppo, spesso sono straordinariamente effi-
re di sfruttare un exploit per guada-
gnare credenziali di amministratore
e, dunque, accesso ai dati protetti.
D’altra parte, pur agendo in un
sistema aggiornato (dunque in
assenza di malfunzionamenti noti),
l’uso di uno strumento per il recu-
pero di password smarrite (ad
esempio, alcuni di questi, per siste-
mi Windows, sono facilmente repe-
ribili in rete [3]) potrebbe aprire le
porte alle informazioni relative agli
account di sistema e permettere
l’accesso ai dati a nome di un altro
utente.
Un sistema Linux senza shadow
password potrà essere oggetto di
analogo attacco, in cui l’utente
ospite, dopo aver copiato il file
/etc/passwd, potrà utilizzare un cal-
colatore di media potenza per
esplorare lo spazio delle possibili
chiavi in un tempo ragionevolmen-
te modesto [4]. Quanto descritto
finora non considera l’ipotesi di un
attacco, per così dire, fisico: anziché
forzare il sistema contenente i dati
di interesse attraverso la console, la
rete o un software ad hoc, si
potrebbe procedere ad una forzatu-
ra hardware o in fase di inizializza- FIGURA 4 Su Linux possiamo impostare un controllo periodico
su alcuni parametri di sicurezza
zione del sistema.

>> 26 DEV > n. 131 luglio/agosto 2005


Misure minime di sicurezza: aspetti pratici

caci (con accezione fortemente negativa!). Si tenga presente relative alla protezione da attacchi provenienti dalla rete: il
che quanto descritto finora può avvenire, potenzialmente, tema si amplia notevolmente, sia per la molteplicità dei casi
senza che i responsabili dei sistemi si accorgano del danno. possibili che per le implicazioni nell’uso di applicativi quali
Linux [5] e Windows [6] dispongono di validi strumenti per client email, web browser e la necessità di una adozione
la cifratura del disco rigido e la loro adozione è fortemente sistematica di firewall. Tali temi sono stati trattati nel detta-
consigliata quanto non possa essere garantita la totale sicu- glio sulle pagine delle riviste Infomedia, alla quali si riman-
rezza dei locali in uso. Il caso estremo, infatti, è rappresen- da per approfondimento.
tato dal furto del supporto di memorizzazione (disco rigido
interno o esterno) o della workstation completa. Usando Conclusioni
strumenti di cifratura forte, senza disporre delle credenziali In questo breve articolo sono stati analizzati i requisiti minimi
sarà pressoché impossibile avere accesso ai dati. di autenticazione previsti dal Codice Privacy. In un caso sem-
plice, come una singola workstation e incaricati con medesi-
I passi successivi mo ruolo, gli strumenti disponibili sono sufficienti a garantire
Il sistema di autenticazione non è l’unico accorgimento da il rispetto della norma. V
adottare per essere in regola con la normativa. Nel caso, infat- a rilevato, però, che accanto ai requisiti tecnici, vi sono
ti, in cui più soggetti abbiano accesso ai dati con ruoli diver- importanti implicazioni dal punto di vista organizzativo e
si, sarà necessario prevedere un Sistema di autorizzazione, comportamentale: informare ed educare alla sicurezza diven-
attraverso una opportuna Access Control List a livello di siste- ta indispensabile.
ma e di applicazioni. Vedremo prossimamente alcuni importanti approfondimenti
sui temi presentati in questo articolo.

La sicurezza deve essere garantita Bibliografia


[1] Decreto legislativo 30 giugno 2003, n. 196 - Codice in
anche a livello hardware materia di protezione dei dati personali
[2] Microsoft Corporation, “Enforcing Strong Password Usage
Throughout Your Organization”, http://www.microsoft.
com/smallbusiness/support/articles/enforce_strong_pas-
In questi casi più complessi sarà necessaria una analisi ad swords.mspx
hoc, per le quali la redazione dettagliata del Documento [3] Daniel Petri, “How can I gain access to a Windows
programmatico sulla sicurezza e la consulenza di esperti NT/2000/XP/2003 computer if I forgot the administrator’s
in loco risulta fondamentale. Restano, invece, di rilevante password? How can I reset the administrator’s password if
importanza le problematiche di backup (e relativa conserva- I forgot it?”, http://www.petri.co.il/forgot_administra-
zione degli archivi) e di aggiornamento del sistema. In parti- tor_password.htm
colare, si legge nel prosieguo dell’Allegato B: [4] Michael H. Jackson, “Linux Shadow Password HOWTO”,
http://www.ibiblio.org/pub/Linux/docs/HOWTO/other-
17) Gli aggiornamenti periodici dei programmi per elabo- formats/html_single/Shadow-Password-HOWTO.html
ratore volti a prevenire la vulnerabilità di strumenti [5] D. J. Barrett, R. Silverman, R. G. Byrnes, “Linux Security
elettronici e a correggerne difetti sono effettuati alme- Cookbook”, O’Reilly, 2003, ISBN 0-596003919
no annualmente. In caso di trattamento di dati sensi- [6] Microsoft Corporation, “Encrypting File System in
bili o giudiziari l’aggiornamento è almeno semestrale. Windows XP and Windows Server 2003”,
http://www.microsoft.com/technet/prodtechnol/winxp-
Tra le azioni contemplate da questo punto della norma, si intra- pro/deploy/cryptfs.mspx
vedono chiaramente gli aggiornamenti del sistema operativo e [7] Microsoft Corporation, Baseline Security Analyzer,
degli applicativi utilizzati, nonché il costante aggiornamento http://www.microsoft.com/technet/security/tools/mbsa-
dei programmi antivirus. Sia in ambiente Windows (Baseline home.mspx
Security Analyzer) che in Linux sono ormai disponibili stru- [8] Carla Schroder, “Linux Cookbook”, O’Reilly, 2004, ISBN
menti in grado di effettuare un check su elementi base del 0596006403
sistema (Figura 3 e 4) e utility che informano circa la disponi- [9] AA. VV, “Speciale Smart Card”, Gruppo Editoriale
bilità di aggiornamenti opzionali, consigliati e critici. Infomedia, DEV n. 121
È evidente che la presenza di patch correttive per gravi
difetti del sistema o degli applicativi dovrà essere verificata Massimo Farina
costantemente (grazie anche ai sistemi automatici di cui s’è
detto): in tal senso, alcuni operatori del settore tendono a È Patrocinatore Legale del Foro di Cagliari. É specializzato in
interpretare la norma in maniera restrittiva, intendendo l’ag- Informatica Giuridica e lavora come consulente freelance
giornamento annuale/semestrale non come semplice appli- nell’ambito della formazione e dei servizi alle Pubbliche
cazione delle eventuali patch rilasciate, ma come verifica Amministrazioni ed alle imprese.
presso il fornitore che il software in uso sia effettivamente
oggetto di continui aggiornamenti. In altre parole, questa Stefano Sanna
interpretazione mira ad evitare situazioni di stallo in cui un
sistema non è più aggiornabile perché il produttore ha È ricercatore presso il CRS4 (Centro Ricerche, Sviluppo e Studi
abbandonato una certa linea di produzione: in tal caso è Superiori in Sardegna) nell’ambito delle applicazioni wireless
opportuno (se non vitale) valutare la migrazione ad un siste- e mobile computing. È co-fondatore del GULCh, Gruppo Utenti
ma più moderno. Linux Cagliari.
In questa analisi non abbiamo considerato le problematiche

DEV > n. 131 luglio/agosto 2005 27 <<