Privacy (DPS) Windows 98 mini-Howto

Augusto Scatolini (webmaster@comunecampagnano.it).

V1.0, Gennaio 2006


Dalla lettura del D.Lgs 196/2003 (Testo Unico sulla Privacy) e dell'Allegato B in particolare una domanda sorge spontanea : "I Personal Computer con il sistema Operativo Windows 98 sono diventati fuorilegge?" 

Sinteticamente i problemi di questo sistema operativo derivano da due disposizioni di legge che sembrerebbero non soddisfatte da win98:

L'obiettivo di questo documento Ŕ quello di analizzare analiticamente questa materia per verificare se esistono delle possibilitÓ di mantenere in vita questi sistemi operativi senza incorrere nelle sanzioni di carattere penale, amministrativo e civilistico previste dalla legge.


1. Aggiornamento del Sistema Operativo Win98

Questo problema pu˛ essere risolto semplicemente in due modi consecutivi:

2. Autenticazione (architettura informatica)

Per districarsi in questa materia si deve analizzare l'architettura informatica del proprio ufficio e quella complessiva del proprio Ente o Azienda. La prima questione riguarda la presenza o meno di una rete lan interna e nel caso in cui esista se Ŕ di tipo p2p o con Dominio. La seconda questione riguarda la presenza o meno di dati personali e/o sensibili sulla macchina con windows 98. Dalla combinazione di queste variabili derivano le seguenti possibilitÓ:

  1. PC con Win98 stand-alone (non collegato ad alcuna rete lan) senza dati personali e/o sensibili
  2. PC con Win98 stand-alone (non collegato ad alcuna rete lan) con dati personali e/o sensibili
  3. PC con Win98 in rete p2p (senza Dominio) senza dati personali e/o sensibili
  4. PC con Win98 in rete p2p (senza Dominio) con dati personali e/o sensibili
  5. PC con Win98 collegato ad una rete con Dominio, senza dati personali e/o sensibili
  6. PC con Win98 collegato ad una rete con Dominio, con dati personali e/o sensibili

2.1 Un Personal Computer autonomo, (non collegato in rete), che non contenga dati personali e/o sensibili Ŕ una possibilitÓ alquanto remota ma possibile. In questo caso, non dovendo proteggere alcun dato oggetto della legge sulla tutela della Privacy, questo PC rappresenta una fattispecie al di fuori della sfera di applicazione del D.Lgs 196/03 e pu˛ essere utilizzato fino all'ultimo e definitivo CRASH.

2.2 Un Personal Computer autonomo, (non collegato in rete), che contenga dati personali e/o sensibili deve essere, ovviamente, protetto da utenti non autorizzati. Ci sono diverse possibilitÓ:

2.2.1 Una possibilitÓ Ŕ quella di configurare il sistema in modo che il PC parta con una versione del Sistema Operativo molto ridotta nel caso di un accesso non autorizzato (utente non configurato) o premendo Annulla/Esc (il cosiddetto non utente) in fase di Login. Questa modifica si pu˛ fare con l'applicazione POLEDIT presente nel CD di installazione di Windows nella cartella \TOOLS\RESKIT\NETADMIN\POLEDIT.
Congiuntamente bisogna modificare il file MSDOS.SYS per evitare l'accesso in modalitÓ MSDOS e disabilitare il boot da floppy e da CD operando sul BIOS e settando (ovviamente) una password. Un Tutorial sull'uso di PolEdit Ŕ disponibile qui. . I tre file necessari per configurare PolEdit sono poledit.exe , admin.adm.e maximum.pol

2.2.2  Un'altra possibilitÓ per proteggere l'accesso alla macchina Ŕ usare il programma Boot Sentry. Da provare e verificare.

2.2.3 Un'altra possibilitÓ per proteggere l'accesso alla macchina Ŕ usare il programma Windows Configurator. Da provare e verificare.

2.2.4 Un'altro programma (ottimo, efficente e freeware) che molto semplicemente chiede una password all'avvio di Windows Ŕ Winsecure-ITv5.31. Provato e verificato.

2.2.5 Un'ultima possibilitÓ Ŕ quella di mettere una password sul BIOS in modo tale che l'unico utente autorizzato sia quello che la conosce.

Attenzione. La protezione 2.2.5 relativa alla password sul BIOS non Ŕ molto robusta in quanto Ŕ bypassabile per via hardware con cacciavite e pinzette o per via software tramitele master password o bios310 . Inoltre i file di configurazione degli utenti con estensione ".pwl" possono essere cancellati o crackati con  pwl-view , con PWL e con Windows Secret Explorer.

Attenuanti. In caso di denuncia penale, davanti al giudice, ci si pu˛ sempre appellare a due concetti di carattere generale come "la sicurezza al 100% non esiste" e che "si Ŕ fatto il possibile per proteggere i dati" compatibilmente con le risorse a disposizione.

2.3 Un Personal Computer con Win98 in una rete p2p (senza Dominio) senza dati personali e/o sensibili deve essere comunque protetto da accessi non autorizzati, non per proteggere i dati presenti sul PC (che non ci sono) ma per proteggere l'accesso ai dati presenti sugli altri PC della rete. Infatti questi ultimi sono facilmente accessibili, in una rete senza un server protetto, da una macchina con win98 nativo (senza protezioni). Quindi, anche in questo caso, si possono applicare le soluzioni di cui al punto 2.2.1, 2.2.2, 2.2.3, 2.2.4 e 2.2.5

2.4 Un Personal Computer con Win98 in una rete p2p (senza Dominio) con dati personali e/o sensibili deve essere, ovviamente, protetto da accessi non autorizzati. Quindi, anche in questo caso, si possono applicare le soluzioni di cui al punto 2.2.1, 2.2.2, 2.2.3, 2.2.4 e 2.2.5

2.5. Un Personal Computer con Win98 collegato ad una rete con Dominio NT, 2000 o 2003, senza dati personali e/o sensibili sul proprio disco rigido Ŕ sostanzialmente un terminale stupido e quindi come nel caso di cui al punto 2.1 Ŕ al di fuori della sfera di applicazione del D.Lgs 196/03 e pu˛ essere utilizzato fino all'ultimo e definitivo CRASH.

2.6 Un Personal Computer con Win98 collegato ad una rete con Dominio NT, 2000 o 2003, con dati personali e/o sensibili sul proprio disco rigido al pari di quanto al punto 2.2 deve essere protetto e quindi si possono applicare le soluzioni di cui al punto 2.2.1, 2.2.2, 2.2.3, 2.2.4 e 2.2.5

3. Considerazioni finali

La prima considerazione Ŕ sul D.Lgs 196/03 che sostanzialmente obbliga gli utilizzatori di mezzi informatici a tenere per legge dei comportamenti (di sicurezza) che dovrebbero essere parte fondante di una formazione naturale informatica. Il problema nasce proprio dal fatto che il Personal Computer (microcomputer) viene considerato come un elettrodomestico al pari di un frullatore e che quindi viene utilizzato indiscriminatamente da tutti. E' come dare una Ferrari ad un non patentato.

La seconda considerazione ricade inevitabilmente sul monopolio di Microsoft. Se al posto di Windows, come Sistema Operativo, si utilizzasse una qualunque distribuzione Linux con licenza GNU-GPL, probabilmente, il D.Lgs 196/03 non avrebbe motivo di esistere, non ci sarebbero problemi di aggiornamento del Software e l'obsolescenza dell'hardware avrebbe un peso molto inferiore.

FINE

questo documento Ŕ rilasciato con licenza CopyLeft - (tutti i rovesci sono riservati) - ovvero fatene quello che vi pare!

altre guide e mini-howto