Re: Ri-Sistemi biometrici

> Prima vi espongo il caso, poi i dubbi...
> Lavoro come consulente informatico presso un centro di ricerca sulle 
> malattie metaboliche ereditarie. Arrivano campioni di materiale 
> organico, se ne estrae il dna, lo si legge e si ricercano pattern 
> corrispondenti a malattie metaboliche note (e si fa ricerca per quelle 
> che non si conoscono), poi si restituisce il responso a chi ha richiesto 
> l'esame. Evidentemente i dati che girano sono *un po'* sensibili... :)

beh, sensibili o meno la riservatezza di un'analisi clinica può comunque 
essere oggetto di imbarazzo da parte del cliente e pertanto la serietà 
del laboratorio sta anche nel sapere gestire correttamente questi dati.

> Per evitare vulnerabilita' varie di tutti i sistemi che potrei pensare 
> di usare, la mia idea era di prendere la cosa da un punto di vista 
> diverso dal solito. 

è sicuramente sempre la soluzione migliore, più una cosa è 
personalizzata più sarà difficile capirne il senso

> Il laboratorio ha (avra', mio compito e' costruirla) 
> una rete informatica interna protetta da firewall e portata ad un 
> livello di sicurezza decente (password per accedere ai sistemi, linux 
> sistemato bene ove possibile, windows 2000 pro dove non ci si puo' 
> mettere linux, politiche abbastanza strette per le password, ecc.), 

l'uso del firewall è quasi sempre indispensabile, tuttavia sarebbe bene 
prestare una particolare attenzione proprio al firewall:

io uso sempre e solo FreeBSD quando si tratta di fare qualcosa di serio, 
e sul firewall è tutto chiuso (sendmail, telnetd, ftpd, apache ecc) e 
gira *solo ed esclusivamente* il NAT del kernel che peraltro è 
all'interno di una jail (così ammesso che qualcuno buchi il server si 
trova dentro una prigione e per danneggiare il sistema vero e proprio 
deve lavorare ancora molto). Il livello di sicurezza è impostato alto e 
il PC è fisicamente locato in un posto non accessibile a tutti.
Se hai problemi di spazio esistono nuovi PC che tengono il posto di 
un'autoradio e integrano 2 interfacce Lan eth 10/100.

> tuttavia non ritengo queste misure di sicurezza sufficienti a garantire 
> un livello di sicurezza idoneo ai dati che sono trattati li'.
> Soluzione vecchia come il mondo: quando arriva una richiesta questa 
> viene etichettata con un numero e vengono rimossi i dati anagrafici, 
> durante tutto il procedimento viene gestita con quel numero e, nel 
> momento in cui e' pronta, viene restituita al richiedente con tutti i 
> dati anagrafici.

ecco, questo è un metodo intrinsecamente sicuro

> La mia idea era di destinare un computer, scollegato dalla rete 
> informatica, alla gestione dell'archivio di dati anagrafici e numeri di 
> pratica. A questo punto il problema della sicurezza viene spostato sulla 
> sicurezza fisica e da accessi indesiderati su quel pc.

mi sembra eccessivo dal momento che un buon firewall è più che 
sufficiente per proteggere la rete per ore ed ore, dal momento che è 
solo questione di tempo è meglio un occhio periodico a una rete 
firewallata che dimenticarsi di un PC fuori rete.

Non so come siete organizzati ma con un minimo di accorgimenti nella 
sicurezza "fisica" (le persone che girano per i laboratori) 
responsabilizzando i colleghi in tal senso, magari mettendo gli 
screensaver con password personalizzata e non cedibile (martellando un 
po i colleghi), hai gia protetto tutti i tentativi di cracker 
occasionali avventori del laboratorio.
Parti dal presupposto che nessun sistema è inattaccabile, dubito che 
qualcuno possa essere interessato a perdere ore ed ore di tempo per 
spiare le analisi dei clienti e in ogni caso se l'accesso viene da fuori 
fai in tempo a scoprirlo tenendo monitorato il firewall. Puoi 
configurarlo in modo che tutti i login locali e remoti ti arrivino in 
email, tu parti dal presupposto che normalmente nessuno debba loggare 
sul firewall e se ti arriva una email sai che lo stanno bucando, anche 
se un buon firewall è penetrabile da ben poche persone. Tuttavia è bene 
accudirlo giorno per giorno, perché la sicurezza vera non sta in quanto 
sono grossi i muri ma in quanto sono tenuti d'occhio.


> Niente scheda di rete, niente floppy, niente masterizzatore, niente 
> porte usb attive, password di bios, teca in plexiglas attaccata al muro 
> con i tappi a pressione e chiusa con lucchetto 1, case chiuso con 
> lucchetto 2, dischi ide in raid 1 con script in cron che ogni 3 ore 
> salva l'archivio e tiene una settimana di archivi (cosi' non lo si 
> cancella per sbaglio, o perlomeno diventa difficile farlo), file system 
> crittato dove ci sono gli archivi e i backup, password di accesso al 
> sistema con politica tendente all'insano e...

eccessivo e inutile, come dicevo prima proteggere troppo massicciamente 
è un motivo per dimenticarsene, è meglio avere dei computer in rete che 
la mattina quando arrivi ti siedi li e guardi di che salute godono dalla 
tua postazione e li controlli periodicamente.

Per risolvere il "casino locale" (i colleghi che abusano dei computer 
del laboratorio per instalare i cdrom di focus ecc.) puoi organizzarti 
affinché i dati delle analisi condotte siano memorizzati in tempo reale 
su un server e che tale server si trovi in un posto sicuro (magari 
assieme al firewall) con un bel sistema di gestione utente/gruppo e una 
bella base di dati sicura e prestante. Per essere ancora più tranquillo 
puoi allestire una stazione di backup sistematico (magari un DDS o 
simili) che ogni giorno della settimana faccia un backup incrementale 
del database delle analisi, mentre le analisi gia consegnate al cliente 
vengono automaticamente rimosse dal server dopo il primo backup a 
seguire in modo che i dati completi li hai solamente dentro ai nastri, i 
quali custodirai a lor volta in una cassaforte (a sua volta sorvegliata 
da TVCC e/o allarme e/o controllo accessi).
In questo modo hai che i dati di un'analisi rimangono sul server 
solamente pochi giorni riducendo così considerevolmente la probabilità 
che in caso di manomissione questi vengano intercettati.

Per implementare quello che dicevi tu potresti fare un server separato 
dove ci sono solo le anagrafiche dei clienti, e solo il client che 
gestisce le prenotazioni associa il numero della pratica al nome 
(l'associazione si trova cmq dentro la base di dati sul server, ma la 
logica che le lega è dentro al programma che gira sul client), così 
l'atto dell'associazione avviene solo quando l'utente prenota l'esame 
che viene generato un numero di pratica e quando l'esame viene stampato 
che il client va a cercare l'anagrafica del cliente nel database.



> ...sistema biometrico (impronta digitale)?
> ...chiavetta usb con certificato di autorizzazione?
> ...smart card?
> ...lascio perdere, faccio mettere una cassaforte e ci metto dentro il 
> registro (scritto a penna) che altrimenti starebbe su pc?

perché non allestite un piccolo bunker protetto da controllo accessi, 
allarme e telecamera dove mettere dentro la cassaforte, i server di rete 
e le pratiche cartacee importanti?
Magari il controllo accessi può essere fatto con riconoscimento 
biometrico e abilitando all'accesso solo i responsabili e il tecnico dei 
server.

> Tenete presente che il pc sta in una stanza dove passano cani e porci 
> (deve stare li') e non lo posso mettere sotto chiave, in un posto dove 
> ogni tanto di notte qualcuno entra pure dalle finestre per fregarsi la 
> roba, e che io posso intervenire solo su quella che e' la mia 
> giurisdizione (qualsiasi cosa riconducibile ad una macchina di von 
> neumann ;) ).

se il PC è solo un client, ammesso anche che venga asportato, i tuoi 
dati sono al sicuro, prevenire i furti è un discorso a parte e potrà 
interessare al proprietario del laboratorio, intanto preoccupati dei dati.


> Il punto e' che dal thread in corso sui sistemi biometrici, mi sono 
> fatto l'idea che non sono la soluzione ultima di tutti i problemi e che 
> la sensazione di sicurezza che danno puo' invece essere falsata...

L'unica sicurezza aggiuntiva è data dal fatto che è impossibile perdere 
la chiave d'accesso che risulta indissolubilmente legata ai parametri 
fisici della persone nonché dal fatto che la stringa digitale associata 
alla lettura biometrica è piuttosto ingombrante e complessa, tuttavia 
una volta scoperto/intercettato/falsificato l'equivalente digitale 
l'utente del sistema biometrico è fregato a vita poiché non è possibile 
mutare la chiave.

> Che si fa? Qualcuno ha esperienza di sistemi di autenticazione combinati 
> (tipo smart card, impronta digitale e password, "something you have, 
> something you are, something you know")?

io installo impianti antifurto, tvcc e controllo accessi, e mi occupo 
anche di gestire la rete interna della mia azienda (perché sono 
informatico di formazione nonché di tradizione familiare).
Come controllo accessi in questo periodo vanno molto i lettori di 
prossimità, che sono dei piccoli lettori grandi come la placca di un 
interrutore da parete che leggono delle apposite schede semplicemente 
passandole a meno di 10 cm dal lettore.
Esistono schede formato carta di credito (iso), chiavine, portachiavi, 
medaglie e braccialetti che tuttavia svolgono la medesima funzione.

Ogni scheda contiene un codice alfanumerico di un numero di cifre 
variabile a seconda dello standard utilizzato, tuttavia ogni centralina 
di controllo accessi è in grado di leggere molti formati.

Integrando un sistema di controllo accessi a un sistema di antifurto e 
videosorveglianza puoi proteggere un'area critica in maniera piuttosto 
efficace.

Diversamente sono contrario a usare sistemi di autenticazione locale sui 
PC, soprattutto se c'è di mezzo Windows, perché sarebbe come montare una 
porta blindata su un muro di legno di balsa ... anche perché alla fine 
del discorso la lettura biometrica o la lettura di una smart card 
magnetica, di prossimità o una touch memory che sia, altro non è che una 
password un po più complicata che non la rende introvabile, 
intracciabile o infalsificabile.
Pertanto sei vuoi essere *veramente* sicuro è meglio avere un buon 
compromesso tra semplicità d'uso (una password mnemonica cambiata 
periodicamente è sufficiente) e periodicità frequente dei controlli 
dello stato del sistema, a condizione che quest ultimo sia ben concepito.


saluti
Fabio



--



     ------------------------------------------
        VEGA - Sicurezza e Servizi - S.r.l.
       Via Romea 150/i - 48100 Ravenna - RA
                  ITALIA - ITALY
               tel. +39 0544 478900
               fax. +39 0544 478905
              vega@xxxxxxxxxxxxxxxxx
    ------------------------------------------



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List