Alza il volume e canta anche tu ! Za za ! Seee
UPDATE (possiamo ancora usarlo): “Di conseguenza – limitatamente alle misure tecniche e organizzative necessarie per quanto richiesto – il termine per l’adozione delle prescrizioni è stato prorogato al 15 dicembre prossimo.“
Il Garante ha scritto nelle sue FAQ che
19) La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?
Tra gli accessi logici a sistemi e archivi elettronici sono comprese le autenticazioni nei confronti dei data base management systems (DBMS), che vanno registrate.
e
Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.
Questo significa, per chi ha un mysql server, che bisogna aggiungere a my.cnf
log = /var/log/mysql/mysql.log
Il problema qual’è ? Il problema è che così facendo mysql logga tutto: connect, query, quit
Time Id Command Argument
090611 21:33:43 1 Connect debian-sys-maint@localhost on
1 Quit
2 Connect debian-sys-maint@localhost on
2 Quit
3 Connect debian-sys-maint@localhost on
3 Query show /*!40003 GLOBAL */ variables
3 Quit
4 Connect debian-sys-maint@localhost on mysql
4 Query select @@version_comment limit 1
4 Query show variables like ‘datadir’
4 Quit
5 Connect debian-sys-maint@localhost on
5 Query select @@version_comment limit 1
5 Query SELECT count(*) FROM mysql.user WHERE user=’root’ and password=’password’
5 Quit
6 Connect debian-sys-maint@localhost on
6 Query select @@version_comment limit 1
6 Query select concat(”select count(*) into @discard from `”,
TABLE_SCHEMA, “`.`”, TABLE_NAME, “`”)
from information_schema.TABLES where ENGINE=”MyISAM”
Ovviamente l’installazione di un semplice cms tipo joomla/drupal/wordpress implica una serie di query ben maggiori e quindi overhead diffusi, memoria sprecata, I/O ridotto, cpu più carica. Non parliamo poi del requisito relativo all’integrità dei log… mysql scrive su un file di testo quindi pure qui direi che non ci siamo.
Una grossa azienda non avrà problemi ma una piccola azienda, magari una start-up, dovrà farsi carico di questi COSTI maggiori e in generale i responsabili IT saranno responsabili penalmente di ciò.
Le soluzioni ?
1) Migrare verso altri prodotti con relativi costi e tempo sprecato.
2) Lasciare tutto così sperando di non esser beccati.
3) Usare qualche prodotto di terze parti che comunque non può coprire tutti i requisiti di questa legge.
4) Migrare il proprio portale verso un cms che utilizzi file di testo al posto di database tipo FlatNuke…
Io vorrei tanto sapere chi è stato consultato per emanare questa norma e queste FAQ ma credo che non lo saprò mai per via della… privacy !
NB: io davo per scontato che fosse chiaro, evidentemente non lo è quindi tengo a precisare che non è mysql ad essere illegale, ma utilizzare mysql per la gestione dei dati sensibili può portare da luglio 2009 ad operare in modo non conforme alle disposizioni emanate dal garante della privacy (uff ora spero non ci siano altri fraintendimenti) e lo scopo di questo post è proprio quello di trovare una soluzione a questo problema.
Pubblicato in Riflessioni | Contrassegnato da tag garante, log, mysql, Privacy | 19 Commenti »
Onorevole Carlucci, ho seguito con interesse la puerile querelle che hanno scatenato contro la Sua proposta e prima di tutto volevo estenderLe tutto il mio appoggio per l’iniziativa che Lei sta portando avanti. Proprio per questo mi sento di darLe, nel mio piccolo, un contributo per far ancora meglio e di più nella lotta alla pedo-pornografia.
Inizio quindi con lo scindere il contenuto dal mezzo trasmissivo. Consiglio di sentire l’audio in sottofondo mentre si legge:
Da un punto di vista strettamente commerciale è giusto che i detentori dei diritti su certi contenuti li sfruttino come meglio credano o possano ed è altrettanto giusto bloccare la trasmissione di contenuti “vietati” se questi infrangono le leggi come apologia di reato, pedofilia, ecc..
Per quanto riguarda invece i mezzi trasmissivi la Sua proposta di legge si focalizza su internet. Emanando così la norma viene data la possibilità di trasmettere contenuti “vietati” su vecchi mezzi come Itapac, Fidonet o bbs e non si tengono in considerazione i nuovi futuri mezzi come internet2 (che è diverso da internet), darknet, trasmissione dati nello spazio.
Rifletta anche che tecnicamente sarebbe possibile farsi inviare a mezzo posta un cdrom/dvd con contenuti “vietati” sebbene l’uso di lettori dvd sia legale.
Io non vorrei che in Italia alcuno potesse comprare all’estero un contenuto “vietato” e se lo potesse comodamente vedere nella sua casa locata nel territorio Italiano magari assieme ad amici !
In una legislatura che prevede finalmente un dipartimento per la semplificazione normativa direi che è il caso di estendere questa norma a qualunque mezzo trasmissivo che permetta l’immissione e la fruizione di contenuti audiovisivi “vietati” riprendendo quanto deciso dalla Rai sull’obbligatorietà del pagamento del canone da parte di tutti i possessori di apparecchi atti o adattabili alla ricezione di segnali audiovisivi compresi i computer.
Infine per una più efficace lotta alla pedo-pornografia non è da combattere solo ed esclusivamente chi immette in “rete” i contenuti ma anche i suoi fruitori.
Proprio a fronte di queste considerazione e della Sua sensibilità la invito a combattere con maggior forza e, senza offesa alcuna, con lungimiranza la lotta che sta portando avanti estendendo i controlli da Lei proposti anche a tutti i mezzi che permettono la fruizione di contenuti audiovisivi nessuno escluso e quindi auspichiamo che nessuno possa immettere e visionare contenuti in modo anonimo proprio per raggiungere quanto Lei stessa giustamente dice
“regole tecniche per l’applicazione
delle norme di legge e di regolamento
relative alla prevenzione e alla
repressione dei reati commessi per mezzo
della rete internet”
estendendo quindi l’obbligo di autenticazione a televisori, videoregistratori ecc… entro 60 giorni dalla pubblicazione sulla gazzetta ufficiale a tutti.
E’ molto importante che Lei estenda questi obblighi anche a chi visiona o preleva contenuti perchè tecnicamente è possibile su internet scaricare dall’estero contenuti “vietati” senza ritrasmetterli esattamente come avviene visionando un qualunque sito web estero.
Confido che Lei continui fino in fondo in questa importante battaglia.
Firmato
My B Side
Pubblicato in Politica, Riflessioni | Contrassegnato da tag anonimato, Carlucci, porno | 1 Commento »
Il corteo con preghiera finale da parte degli islamici in piazza del Duomo ha fatto un pò girare le palle a diverse persone e allora qualcuno ha ben pensato di fare in modo che ” i fatti come quelli avvenuti davanti al Duomo di Milano non abbiano a ripetersi”.
Il 9 Gennaio 2009 però c’è stato un corteo simile (presidio con fiaccolata senza preghiera) promosso dalla CISL che non ha disturbato nessuno e che era stato promosso dall’arci già il 5 Gennaio.
La cosa ha sollevato molte perplessità e preoccupazioni. Altri la elogiano.
Grillo dice su Maroni, «che ha disposto che non si possa manifestare nelle piazze italiane dove c’è una chiesa, cioè tutte le piazze… Ma lui è condannato per oltraggio a pubblico ufficiale e comanda la Polizia».
Fin’ora però in piazza del Duomo si son tenuti comizi politici, manifestazioni sindacali, ecc… Questo significa che non vedremo più cortei della CGIL / CISL / UIL arrivare ai piedi della Madunina ? Non sentiremo più Berlusconi al colosseo o Veltroni fare propaganda politica nel centro di Milano ?
Non scordiamoci che per qualunque manifestazione pubblica (ad esempio per poter fare una processione) bisogna avvertire le autorità ed infatti c’è sempre l’appoggio dei vigili urbani/carabinieri proprio perchè questi sono stati preventivamente avvisati e d’ora in poi dovranno anche filmare il tutto ! E lo dice anche il Corriere.
Mi auguro che questa norma sia per tutti o per nessuno ! I prefetti d’ora in poi avranno una grossa responsabilitàhahahah nel dire “Tu si”, “Tu no”, “Tu si”, “Tu si” e “Tu no”…..
Perchè se, come avete visto dai link, la differenza tra la fiaccolata della CISL e la manifestazione degli Islamici è solo la preghiera finale, allora non si può emanare una direttiva del genere che va a colpire anche gli altri. Abbiate il coraggio di dire: di fronte ad una chiesa possono pregare solo i Cattolici, gli altri no.
A mal pensare invece s’è preso spunto da questa storia per mettere a tacere qualcuno in modo del tutto arbitrario.
Io vorrei vedere delle norme applicate in modo chiaro e semplice ! Si può manifestare in Duomo ? Si/No ?
Se pregare (nota bene la parola pregare) in Duomo Allah e non Dio comporta tutto questo perchè allora non vietano il calcio o i film violenti in prima serata ? Io trovo socialmente più pericolosa la televisione d’oggi giorno (specie per un bimbo) piuttosto che gente che prega… siano essi mussulmani, buddisti o quel che l’è.
Per precisare: io sono ateo e apartitico quindi questo discorso non è pro o contro qualcuno, mi fa solo inca%%are il fatto che vengano fatte le cose, probabilmente, alla carlona.
Fossi io il capo dello stato sarei preoccupato di questa direttiva, Di Pietro nel dire che “Napolitano dorme” viene attaccato da entrambi gli schieramenti.
Boh, speriamo bene, anzi… preghiamo
Pubblicato in Politica, Riflessioni, itaglia | Contrassegnato da tag chiesa, Duomo, Manifestazioni, Maroni, Milano, Pregare, Telecamere | Lascia un commento
Un assessore che fa (bene) il suo lavoro e cosa succede ? Lo bloccano…
Pubblicato in Riflessioni | Lascia un commento
Tratto dall’ Associazione Nazionale per Operatori e Responsabili della Conservazione Sostitutiva:
1) “omessa o inidonea informativa” ex art. 13 d.lgs. 196/2003
un’unica fascia che va da 6.000,00 a 36.000,00 euro, innalzando così il minimo edittale della sanzione, ma riducendone al contempo il tetto massimo.
2) Trattamento di dati personali effettuato in violazione delle “misure minime di sicurezza” indicate nell’art. 33 o delle disposizioni indicate nell’art. 167
una somma compresa tra i 20.000,00 e i 120.000,00 euro e, nei casi di cui all’art. 33, viene addirittura escluso il pagamento (entro sessanta giorni) in misura ridotta precedentemente consentito al titolare!
3) “misure c.d. necessarie”
ai sensi dell’art 143, verrà applicata, in ogni caso, una sanzione amministrativa compresa tra i 30.000,00 e i 180.000,00 euro.
4) “omessa o incompleta notificazione al Garante” ex art. 37 del Codice
da 20.000,00 a 120.000,00 euro, anche se viene eliminata la sanzione accessoria della pubblicazione dell’ordinanza-ingiunzione
5) “omessa informazione o esibizione al Garante”
da 10.000,00 a 60.000,00 euro
6) i titolari di banche dati di particolare rilevanza o dimensioni e nel caso di più violazioni di un’unica o di più disposizioni di quelle sopra evidenziate
sanzione da 50.000,00 a 300.000,00 euro, senza possibilità di beneficiare del pagamento in misura ridotta.
Io sinceramente stavo pensando ad una bufala però….
E’ tutto vero !!!! Guardate il sito del parlamento a questo link !
Art. 44.
Disposizioni in materia di tutela della riservatezza
… 2. All’articolo 161, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole da: «tremila euro a diciottomila euro» fino alla fine del comma sono sostituite dalle seguenti: «da seimila euro a trentaseimila euro»….
E… boh vabbeh non commento per oggi è troppo… però mi informo eh ? Certo che mi informo.
Infatti ora sto leggendo le “procedure semplificate per le misure minime di sicurezza” dove vedo per esempio che le aziende di piccole dimensioni:
devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l’anno, e effettuare backup dei dati almeno una volta al mese.
Giuro ! C’è scritto così ! Ed è datato 09 dicembre 2008. Leggete su ! Informatevi !
E se io uso Linux o il Mac o Open Solaris ogni quante volte devo aggiornare l’antivirus ? Altrimenti prendo una multa ???
Il testo aggiornato della normativa direttamente dal Garante della privacy. Cercate il testo “Capo I – Violazioni amministrative”.
Buona notte
Pubblicato in Internet, Politica, Riflessioni, itaglia | Lascia un commento
E continuiamo a facilitare l’innovazione e le imprese, riduciamo i costi, semplifichiamogli la vita per farli concentrare solo sul business…
Fonti:
Pubblicato in Politica, Riflessioni, itaglia | Lascia un commento
Come ogni mattina mi son letto Punto-informatico e oggi mi ha colpito l’articolo su Privacy, gli obblighi degli Amministratori di Sistema.
In pratica, il caro Garante della Privacy ha pensato bene di regolamentare la gestione dei log d’accesso ai server e apparati di rete e “conservare gli “access log” per almeno sei mesi in archivi immodificabili e inalterabili” … “ciò vuol dire che le registrazioni devono avere i riferimenti temporali certi e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo” (6 mesi).
La provvedimento è stata pubblicato sulla Gazzetta Ufficiale n.300 il 24 Dicembre 2008
1) non si capisce cosa bisogna loggare, se solo gli accessi o anche le operazioni fatte
2) i log di testo sono alterabili quindi, anche se su hard disk, devono essere criptati e firmati elettronicamente.
(non posso tenere i log su hd e poi masterizzarli e ovviamente non posso scrivere una riga di log alla volta su cd)
3) mi dovrò fare un log server dedicato con sw a pagamento e far riferimento ad una CA (io non posso farmi una CA ovviamente perchè poi posso alterare i certificati)
4) se dall’esterno mi fanno una sql injection alterandomi i dati su db (e senza quindi venir loggati sull’access log) mentre io sto controllando lo spazio libero sui dischi, in caso di truffa chi diventa il colpevole ? Io che risulto “certificato” come l’unico ad aver acceduto a quella macchina ?
5) visto che vogliono dirci come dobbiamo fare il nostro lavoro… non sono a conoscenza di una norma che mi obblighi a tenere gli orologi di computer e apparati di rete sincronizzati tra loro e con qualche orologio atomico quindi ora mi registrerò una settimana di log e poi copierò questi log per 6 mesi, tanto il mio lavoro è molto ripetitivo e visto il punto nr. 4 comunque se vogliono incolparmi possono farlo.
Altre considerazioni ?
Pubblicato in Internet, Politica, Riflessioni, itaglia | Lascia un commento
