Home > Architettura > Log Sicuro Firmato - S3Log > Sicurezza e valore legale della Firma dei Log

S3Log - Sicurezza e valore legale della Firma dei Log

Il principio del servizio S3Log è quello di garantire che gli eventi raccolti:

1. sono registrati in modo sicuro;
2. non sono modificabili a posteriori;
3. costituiscono prova certa di quanto rilevato dai sensori.

Registrazione Sicura

Il livello di sicurezza del meccanismo globale di log è il risultato del livello di sicurezza dei singoli componenti (sensori, S3Log Collector, server S3Log, operatori), e del livello di sicurezza dei canali di comunicazione.

Il livello di sicurezza dei componenti è:

• inversamente proporzionale alla distanza (in termini di rete) dal server S3Log,
• direttamente proporzionale al proprio livello di hardening.

La distanza dal server S3Log misura il livello di esposizione di un componente ad agenti esterni:

• livello 0:
  i sensori sono i componenti più distanti, in quanto operano in un'area della rete in cui sono erogati i servizi applicativi, e a cui accedono gli utenti esterni;
• livello 1:
  il S3Log Collector rappresenta il primo livello di protezione del servizio, a cui possono accedere solo i sensori;
• livello 2:
  il server S3Log rappresenta il secondo e più elevato livello di protezione del servizio, accessibile solo dal S3Log Collector per la comunicazione degli eventi da registrare e dalle postazioni degli operatori.

Le postazioni degli operatori devono possibilmente operare al livello di sicurezza del server S3Log (postazioni dedicate, livello 2) o quantomeno al livello di sicurezza del S3Log Collector (postazioni condivise con altri servizi sicuri, livello 1).

I canali di comunicazione utilizzati sono tre, ognuno con un proprio grado di sicurezza:

• grado 1:
  comunicazione su protocollo 'syslog' tra i sensori e il S3Log Collector: questi canali operano con un protocollo non connesso (UDP) in chiaro, e la protezione può essere solo a livello del controllo del flusso di rete (firewall di attraversamento, auto-firewalling del S3Log Collector);
• grado 2a:
  comunicazione su protocollo dedicato tra il S3Log Collector e il server S3Log, che può essere crittografato con schemi proprietari a chiavi simmetriche (eventualmente concordati con il cliente), protetto intrinsecamente con il protocollo SSL implementato da STunnel, e protetto a livello del controllo del flusso di rete (firewall di attraversamento, auto-firewalling del server S3Log);
• grado 2b:
  comunicazione su protocollo dedicato tra le postazioni operatore e il server S3Log, che può essere crittografato con schemi proprietari a chiavi simmetriche (eventualmente concordati con il cliente), protetto intrinsecamente con il protocollo SSL, e protetto a livello del controllo del flusso di rete (firewall di attraversamento, auto-firewalling del server S3Log).

La protezione intrinseca dei singoli componenti (hardening) deve rispondere ad adeguati livelli di protezione di controllo e di accesso, definiti in base alle Policy del servizio.

Non Modificabilità a Posteriori

Questa garanzia viene offerta dal meccanismo di firma digitale a bordo del server S3Log, che permette di firmare digitalmente sequenze di eventi registrati nel file di log.

Ovviamente il livello di garanzia è:

• direttamente proporzionale al livello di hardening del server S3Log,
• direttamente proporzionale alla granularità del meccanismo di firma.

Il meccanismo di firma opera non sui singoli eventi, ma solo sulla sequenza raccolta in un intervallo fisso di tempo (maggiori le prestazioni del sistema, più fine la granularità adottabile, in quanto il meccanismo di firma è un processo CPU-bound).

Bisogna tenere presente che tra il momento di rilevazione di un evento da parte di un sensore al momento di firma dell'evento da parte del processo S3LogS del server S3Log, intercorrono alcune fasi in cui l'evento è esposto, in varia misura, a possibili tentativi di manipolazione: la probabilità di occorrenza di tale manipolazione è:

• direttamente proporzionale al livello di sicurezza del componente che lo tratta;
• direttamente proporzionale al grado di sicurezza del canale di comunicazione attraversato;
• inversamente proporzionale al tempo di trattamento da parte del componente.

Prova Certa

Sul piano legale la firma digitale apposta in modo automatico da un sistema non è da considerarsi allo stesso livello della firma digitale apposta da una persona fisica, in quanto il sistema non può essere considerato un dispositivo sicuro certificato ITSEC a livello E4 Security High.

Il meccanismo di firma digitale automatica di S3Log è un meccanismo di log ad alta sicurezza, in grado di garantire la non modificabilità dei dati raccolti entro i limiti dei livelli di sicurezza definiti dalle policy del servizio, implementati nei componenti e nei canali di comunicazione, e verificati con appositi controlli di auditing.

Per dare ai log sicuri raccolti un pieno valore sul piano probatorio, questi devono essere firmati digitalmente da un operatore a intervalli prestabiliti (almeno una volta al giorno), utilizzando certificati di firma emessi da un certificatore pubblico accreditato con dispositivi di firma sicuri (SmartCard).

La gestione del servizio deve quindi prevedere un meccanismo di backup-firmato periodico, effettuato sotto il controllo di un operatore che acquisisce il file di log da certificare su una propria postazione e vi appone una firma digitale con certificato accreditato.

La firma accreditata può essere apposta con componenti software di firma rilasciati dagli enti certificatori, da terze parti, o con i componenti client Simple Signing System (S3) di firma digitale.

Simple Signing System è un prodotto software di
Clizio Merli Consulente