• User Attivo

    Server dedicati e server proprietari: di chi sono le responsabilità?

    Salve a tutti,
    prendendo in esame i 2 casi: server dedicati di proprietà dell'houser e server con co-location di proprietà del cliente, di chi sono le responsabilità della garanzia di sicurezza dei dati?
    In parole povere se bucano il server e prendono dati riservati, di chi è la colpa in entrambi i casi?

    Grazie


  • Super User

    Tecnicamente dell'aministratore del sistema, legalmente della società intestataria del contratto di housing o dedicato.


  • User Attivo

    @gero said:

    Tecnicamente dell'aministratore del sistema, legalmente della società intestataria del contratto di housing o dedicato.
    In entrambi i casi è così? Per società intestataria intendi il cliente?


  • User Attivo

    Le responsabilità sono di chi è stato negligente, non importa se il provider o il cliente. Ad esempio, se il provider è a conoscenza della password e la lascia incustodita, è colpa sua se viene utilizzata da terzi, ma questo è vero fino ad un certo punto perché il cliente dovrebbe cambiarla con una certa regolarità...
    Inoltre, se la compromissione è fisica, significa che il server era incustodito, qualcuno è entrato nel datacenter e ne ha violato la sicurezza. Di chi è la responsabilità? Della guarda giurata che non era lì in quel momento probabilmente...

    In pratica... dipende! Ogni caso è un episodio a se.


  • User Attivo

    @Shazan said:

    Le responsabilità sono di chi è stato negligente, non importa se il provider o il cliente. Ad esempio, se il provider è a conoscenza della password e la lascia incustodita, è colpa sua se viene utilizzata da terzi, ma questo è vero fino ad un certo punto perché il cliente dovrebbe cambiarla con una certa regolarità...
    Inoltre, se la compromissione è fisica, significa che il server era incustodito, qualcuno è entrato nel datacenter e ne ha violato la sicurezza. Di chi è la responsabilità? Della guarda giurata che non era lì in quel momento probabilmente...

    In pratica... dipende! Ogni caso è un episodio a se.
    Ok, però ipotizziamo un buco software nel server. Entrano, hackerano il db mysql e prelevano dati sensibili. In questo caso c'è differenza tra server dedicato (configurato da loro inizialmente e lasciato gestire al cliente) e server proprietario (configurato dal cliente)?


  • User Attivo

    Un buco software di che tipo? Errata configurazione? 0-day exploit? I casi sono tantissimi, non puoi dirlo a priori. Del resto il provider spesso configura il software secondo le direttive del cliente, se quest'ultimo ha bisogno di accedere a MySQL dall'esterno per esempio? Non lo farei mai su una macchina di hosting condiviso ma se un cliente di un dedicato me lo chiede perché ne ha bisogno, anche se non è un'opzione sicura, io la applico. Se poi riescono ad accedere ad uno dei suoi db...? Ma è forse mia la responsabilità?
    E anche se ci fosse una mancanza da parte del provider, il cliente perché non ha commissionato un penetration test prima di metterla in produzione? Allora la responsabilità è di entrambi...

    Il punto è che non esistono sistemi sicuri al 100%, è sempre possibile trovare una falla in una macchina esposta su Internet, anche quando la colpa non è di nessuno...


  • User Attivo

    Dipende da quali sono i termini del contratto che sottoscrivi; il 99.9% delle volte il provider scarica tutte le responsabilità sul cliente, specialmente in caso di server unmanaged.


  • User

    @Nicola said:

    Dipende da quali sono i termini del contratto che sottoscrivi; il 99.9% delle volte il provider scarica tutte le responsabilità sul cliente, specialmente in caso di server unmanaged.

    Questo mi sembra abbastanza ovvio. Visto che in sistemi di questo tipo e' il cliente a modificare configurazione e quant'altro, e' quindi normale con il provider non puo' prenderesi la responsabilita' di cose configurate dal cliente.

    Normalmente in caso di colocation o housing le garanzie offerte dal provider sono piu' che altre garanzie fisiche.


  • User

    Se affitti un server, la responsabilità è del cliente, perchè, in teoria, dovrebbe aggiornare tutti i software e/o il sistema operativo alla versione più recente. Se hai un server di tua proprietà e lo metti in housing, è lo stesso discorso. Nettamente diverso è se hai un servizio managed, perchè il provider DEVE garantirti innanzitutto sicurezza. Attenzione però ai vari livelli di "Servizio Managed". Leggete bene i contratti. 🙂


  • User Attivo

    La sicurezza non è un concetto assoluto, esistono vari livelli e spesso bisogna scendere a compromessi e rischiare se si ha bisogno di determinate funzioni e/o impostazioni. Ad esempio, un server su cui girano siti dinamici è più a rischio di uno che ospita solo siti statici perché l'uso di linguaggi di scripting aumenta il rischio. E se per installare Joomla occorre che il safe_mode sia su Off, e proprio non puoi fare a meno di installarlo, devi rinunciare al maggior livello di sicurezza che il safe_mode su On ti offre. Se poi tramite una vulnerabilità di Joomla un malintenzionato riesce a scrivere su /tmp (Joomla richiede anche questo per funzionare correttamente) e da li lancia uno script tramite Perl, di chi è la responsabilità anche se il server è managed? Oppure il provider dovrebbe rispondere ad un cliente che ha in affitto un server managed che non è disposto ad impostare il safe_mode su Off e che quindi non può installare Joomla sul SUO dedicato? Mi sembra veramente assurdo.


  • User Attivo

    Grazie a tutti per le risposte, ho le idee più chiare ora.