Varios productos de Microsoft obtienen la certificación Common Criteria

Microsoft anunció hace algunos días que varias de sus soluciones para servidor y sistemas operativos han obtenido la certificación Common Criteria.

Common Criteria

Microsoft anunció hace algunos días que varias de sus soluciones para servidor y sistemas operativos han obtenido la certificación Common Criteria para la evaluación de seguridad, un estándar que en España será otorgado por el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). ¿Qué es exactamente “Common Critera”?

El Common Criteria es un estándar internacionalmente reconocido y fundamentado en las normas ISO/IEC 15408:2005 e ISO/IEC 18405:2005.8. Para evaluar la seguridad de un producto y hacerlo merecedor de este certificado, se deben comprobar numerosos parámetros relacionados con la seguridad y propuestos previamente por el fabricante. Estos parámetros han sido consensuados y aceptados por 22 países de todo el mundo, hasta el punto de que algunos gobiernos (como el de Estados Unidos de América) exigen esta certificación para poder utilizar sus sistemas. El visto bueno de la Common Criteria Organtization permite que el producto sea usado en sistemas críticos de los gobiernos e instituciones de todo el mundo, ya sea pertenecientes a bancos, agencias secretas de inteligencia o el mismísimo Pentágono.

En España es el CNI (dependiente del Ministerio de Defensa) el que emite esta certificación. En concreto su centro criptológico (CCN) es el que evalúa los productos que pretenden obtener este reconocimiento, que está siendo aplicado al desarrollo e implantación del inminente DNI electrónico.

Los productos de Microsoft que han obtenido la certificación con nivel EAL4 son Windows Server 2003 (cuatro ediciones), Windows XP (dos versiones), MS Exchange Server SP1, MS ISA Server 2004 y Certificate Server. Según Héctor Sánchez, director de seguridad corporativa de Microsoft Ibérica, a su juicio, Comon Criteria aporta “un criterio de objetividad” al discurso de la seguridad y “demuestra en especial el compromiso de Microsoft con la seguridad informática”.

El nivel 4 se refiere a EAL4 (Evaluation Assurance Level). EAL no indica el nivel de seguridad de lo evaluado ni garantiza la robustez o seguridad del producto, sino que, de forma independiente, contrasta el nivel de seguridad y funcionalidad real con lo que el fabricante afirma.

Para otorgar el certificado, Common Criteria exige a los fabricantes de los productos remitir una documentación exhaustiva sobre la seguridad de los mismos. Esta es examinada y sometida a procesos de verificación por parte de laboratorios independientes para evaluar el nivel de adaptación a la norma. El aspirante a la certificación puede elegir la profundidad de estudio del sistema para que sea evaluado.

Microsoft ha aprovechado este trabajo de ingeniería para ponerlo a disposición de los usuarios, administradores y responsables de seguridad mediante la publicación de guías y plantillas que ayuden a configurar y administrar los sistemas según las especificaciones certificadas en Common Criteria. Las guías profesionales se encuentran en esta dirección:

http://www.microsoft.com/technet/security/prodtech/windowsserver2003/ccc/default.mspx

http://www.microsoft.com/technet/security/prodtech/windowsxp/ccc/default.mspx

Por su parte, Common Criteria otorga hasta siete niveles de seguridad EAL, aunque los requerimientos de los niveles EAL5 a EAL7 se orientan a productos con objetivos muy especializados. Por ejemplo, el certificado EAL3 puede ser equivalente a un grado de seguridad “moderada a alta” contrastada con el estándar y el EAL2 puede equipararse a un grado de seguridad “de baja a moderada”, según siempre el criterio de este estándar.

Ya en el año 2000, Microsoft remitió Windows 2000 Professional, Server y Advanced Server a Common Criteria. Tras dos años sometiendo cientos de componentes del sistema operativo a análisis y tests, se obtuvo la calificación EAL4+ Flaw Remediation. El añadido “Flaw Remediation” significa que se evalúa el procedimiento establecido por el fabricante en el seguimiento y corrección de fallos y en este caso es la puntuación más alta.

Miguel Bañón, miembro español del Common Criteria Maintenance Board, precisó durante el anuncio de Microsoft, que la certificación no es “un cheque en blanco” que certifique una seguridad de por vida. Pierde plena vigencia cuando aparece un “parche” o modificación de los programas, pero aseguró que “el certificado demuestra una alta calidad de producto y un firme compromiso de la empresa con la seguridad real”. Añadió que “La declaración no es genérica ni universal, pero está aceptada por las principales instancias de países como Estados Unidos, Canadá, Australia, Francia, Alemania, Reino Unido o Japón, y por las grandes empresas y consorcios de todo tipo de productos, como Visa y otros fabricantes de tarjetas de crédito”.

Además de otros productos hardware de todo tipo, Microsoft no es el único sistema operativo que goza de este reconocimiento. Apple sometió también componentes de sus servidores y clientes Mac OS X 10.3.6 a la evaluación y superó con éxito, tras exhaustivas comprobaciones, los tests aplicados, llegando a obtener EAL nivel 3. Además Apple ha publicado sus “Common Criteria Tools”, un conjunto de programas disponible para todos sus sistemas operativos que permite configurarlos para aprovechar mejor las normas Common Criteria. Además permiten la activación de un sistema especial de auditoría de registros y contienen documentos que ofrecen algunas ideas necesarias para asegurar los OS X según el criterio. En enero de 2004 SuSE, que ya en 2002 obtuvo el EAL2, conseguía EAL3. Fue entonces cuando por primera vez un sistema Linux obtuvo esa puntuación de la Common Criteria Organtization. La certificación sólo incluía a la distribución SuSE instalada bajo una determinada línea de sistemas IBM. Red Hat Enterprise Linux también está certificado bajo servidores IBM. En el portal oficial de Common Criteria (referenciado más abajo) se puede consultar la lista completa de los productos que han sido evaluados, su correspondiente calificación, el documento aportado por el fabricante con las especificaciones para ser evaluadas, y el informe final obtenido. Entre los sistemas operativos que han conseguido la certificación podemos encontrar también versiones de AIX, B1/EST-X, Blue Coat ProxySG, Cray UNICOS/mp, HP-UX, Tru64, IBM i5/OS V5R3MO, IBM LPAR, IBM z/OS, Network Appliance Data ONTAP, Nokia IPSO, PR/SM, Red Hat Linux, Sun Solaris, Trusted IRIX/CMW y XTS-400/STOP. La lista detalla se puede encontrar en la dirección: http://www.commoncriteriaportal.org/public/consumer/index.php?menu=4&orderindex=1&showcatagories=256

¿Y el resto de sistemas operativos?

¿Garantiza Common Criteria la seguridad del producto?

No. No existe certificación alguna que pueda garantizar la seguridad de una aplicación software. De hecho, como bien apuntaba Miguel Bañón, el estudio se lleva a cabo sobre una versión muy concreta del producto, y la simple actualización del mismo hace que pierda vigencia.

Aunque lógicamente se siguen detectando nuevas vulnerabilidades en los productos certificados, sin ir más lejos en el caso de Windows el descubrimiento de la vulnerabilidad en el procesamiento WMF fue posterior, sí es cierto que Common Criteria supone una importante inversión de recursos, tecnológicos, financieros y humanos, a diferentes aspectos de la seguridad. No en vano, la certificación de Windows XP SP2 se ha conseguido tras tres años de intenso trabajo, y dos años en el caso de Windows Server 2003.

Por tanto, aun con las limitaciones y condicionantes lógicos que debemos asumir con cualquier certificación, sí debemos valorar positivamente que cualquier producto, con independencia de su licencia, consiga obtener la certificación Common Criteria.