Microsoft anunció hace algunos días que varias de sus soluciones para
servidor y sistemas operativos han obtenido la certificación Common
Criteria para la evaluación de seguridad, un estándar que en España
será otorgado por el Centro Criptológico Nacional (CCN), dependiente
del Centro Nacional de Inteligencia (CNI). ¿Qué es exactamente
«Common Critera»?

El Common Criteria es un estándar internacionalmente reconocido y
fundamentado en las normas ISO/IEC 15408:2005 e ISO/IEC 18405:2005.8.
Para evaluar la seguridad de un producto y hacerlo merecedor de este
certificado, se deben comprobar numerosos parámetros relacionados con
la seguridad y propuestos previamente por el fabricante. Estos
parámetros han sido consensuados y aceptados por 22 países de todo el
mundo, hasta el punto de que algunos gobiernos (como el de Estados
Unidos de América) exigen esta certificación para poder utilizar sus
sistemas. El visto bueno de la Common Criteria Organtization permite
que el producto sea usado en sistemas críticos de los gobiernos e
instituciones de todo el mundo, ya sea pertenecientes a bancos,
agencias secretas de inteligencia o el mismísimo Pentágono.

En España es el CNI (dependiente del Ministerio de Defensa) el que
emite esta certificación. En concreto su centro criptológico (CCN) es
el que evalúa los productos que pretenden obtener este reconocimiento,
que está siendo aplicado al desarrollo e implantación del inminente
DNI electrónico.

Los productos de Microsoft que han obtenido la certificación con
nivel EAL4 son Windows Server 2003 (cuatro ediciones), Windows XP
(dos versiones), MS Exchange Server SP1, MS ISA Server 2004 y
Certificate Server. Según Héctor Sánchez, director de seguridad
corporativa de Microsoft Ibérica, a su juicio, Comon Criteria
aporta «un criterio de objetividad» al discurso de la seguridad y
«demuestra en especial el compromiso de Microsoft con la seguridad
informática».

El nivel 4 se refiere a EAL4 (Evaluation Assurance Level). EAL no
indica el nivel de seguridad de lo evaluado ni garantiza la robustez
o seguridad del producto, sino que, de forma independiente, contrasta
el nivel de seguridad y funcionalidad real con lo que el fabricante
afirma.

Para otorgar el certificado, Common Criteria exige a los fabricantes
de los productos remitir una documentación exhaustiva sobre la
seguridad de los mismos. Esta es examinada y sometida a procesos de
verificación por parte de laboratorios independientes para evaluar
el nivel de adaptación a la norma. El aspirante a la certificación
puede elegir la profundidad de estudio del sistema para que sea
evaluado.

Microsoft ha aprovechado este trabajo de ingeniería para ponerlo a
disposición de los usuarios, administradores y responsables de
seguridad mediante la publicación de guías y plantillas que ayuden
a configurar y administrar los sistemas según las especificaciones
certificadas en Common Criteria. Las guías profesionales se
encuentran en esta dirección:
http://www.microsoft.com/technet/security/prodtech/windowsserver2003/ccc/default.mspx
http://www.microsoft.com/technet/security/prodtech/windowsxp/ccc/default.mspx

Por su parte, Common Criteria otorga hasta siete niveles de seguridad
EAL, aunque los requerimientos de los niveles EAL5 a EAL7 se orientan
a productos con objetivos muy especializados. Por ejemplo, el
certificado EAL3 puede ser equivalente a un grado de seguridad
«moderada a alta» contrastada con el estándar y el EAL2 puede
equipararse a un grado de seguridad «de baja a moderada», según
siempre el criterio de este estándar.

Ya en el año 2000, Microsoft remitió Windows 2000 Professional, Server
y Advanced Server a Common Criteria. Tras dos años sometiendo cientos
de componentes del sistema operativo a análisis y tests, se obtuvo la
calificación EAL4+ Flaw Remediation. El añadido «Flaw Remediation»
significa que se evalúa el procedimiento establecido por el
fabricante en el seguimiento y corrección de fallos y en este caso es
la puntuación más alta.

Miguel Bañón, miembro español del Common Criteria Maintenance Board,
precisó durante el anuncio de Microsoft, que la certificación no es
«un cheque en blanco» que certifique una seguridad de por vida. Pierde
plena vigencia cuando aparece un «parche» o modificación de los
programas, pero aseguró que «el certificado demuestra una alta calidad
de producto y un firme compromiso de la empresa con la seguridad real».
Añadió que «La declaración no es genérica ni universal, pero está
aceptada por las principales instancias de países como Estados Unidos,
Canadá, Australia, Francia, Alemania, Reino Unido o Japón, y por las
grandes empresas y consorcios de todo tipo de productos, como Visa y
otros fabricantes de tarjetas de crédito».

¿Y el resto de sistemas operativos?

Además de otros productos hardware de todo tipo, Microsoft no es el
único sistema operativo que goza de este reconocimiento. Apple sometió
también componentes de sus servidores y clientes Mac OS X 10.3.6 a la
evaluación y superó con éxito, tras exhaustivas comprobaciones, los
tests aplicados, llegando a obtener EAL nivel 3. Además Apple ha
publicado sus «Common Criteria Tools», un conjunto de programas
disponible para todos sus sistemas operativos que permite
configurarlos para aprovechar mejor las normas Common Criteria. Además
permiten la activación de un sistema especial de auditoría de
registros y contienen documentos que ofrecen algunas ideas necesarias
para asegurar los OS X según el criterio.

En enero de 2004 SuSE, que ya en 2002 obtuvo el EAL2, conseguía EAL3.
Fue entonces cuando por primera vez un sistema Linux obtuvo esa
puntuación de la Common Criteria Organtization. La certificación sólo
incluía a la distribución SuSE instalada bajo una determinada línea de
sistemas IBM. Red Hat Enterprise Linux también está certificado bajo
servidores IBM. En el portal oficial de Common Criteria (referenciado
más abajo) se puede consultar la lista completa de los productos que
han sido evaluados, su correspondiente calificación, el documento
aportado por el fabricante con las especificaciones para ser
evaluadas, y el informe final obtenido.

Entre los sistemas operativos que han conseguido la certificación
podemos encontrar también versiones de AIX, B1/EST-X, Blue Coat
ProxySG, Cray UNICOS/mp, HP-UX, Tru64, IBM i5/OS V5R3MO, IBM LPAR,
IBM z/OS, Network Appliance Data ONTAP, Nokia IPSO, PR/SM,
Red Hat Linux, Sun Solaris, Trusted IRIX/CMW y XTS-400/STOP.

La lista detalla se puede encontrar en la dirección:
http://www.commoncriteriaportal.org/public/consumer/index.php?menu=4&orderindex=1&showcatagories=256

¿Garantiza Common Criteria la seguridad del producto?

No. No existe certificación alguna que pueda garantizar la seguridad
de una aplicación software. De hecho, como bien apuntaba Miguel Bañón,
el estudio se lleva a cabo sobre una versión muy concreta del
producto, y la simple actualización del mismo hace que pierda
vigencia.

Aunque lógicamente se siguen detectando nuevas vulnerabilidades en
los productos certificados, sin ir más lejos en el caso de Windows
el descubrimiento de la vulnerabilidad en el procesamiento WMF fue
posterior, sí es cierto que Common Criteria supone una importante
inversión de recursos, tecnológicos, financieros y humanos, a
diferentes aspectos de la seguridad. No en vano, la certificación
de Windows XP SP2 se ha conseguido tras tres años de intenso
trabajo, y dos años en el caso de Windows Server 2003.

Por tanto, aun con las limitaciones y condicionantes lógicos que
debemos asumir con cualquier certificación, sí debemos valorar
positivamente que cualquier producto, con independencia de su
licencia, consiga obtener la certificación Common Criteria.

Sergio de los Santos
ssantos@hispasec.com

Más información:

Common Evaluation Methodology
http://www.commoncriteriaportal.org/public/expert/index.php?menu=3

Lista de productos evaluados y calificados.
http://www.commoncriteriaportal.org/public/consumer/index.php?menu=4&orderindex=1&showcatagories=256

Varios productos de Windows obtienen la certificación de seguridad
internacional Common Criteria, otorgada por el CNI.
http://www.europapress.es/europa2003/noticia.aspx?cod=20060113124440&tabID=1&ch=72

Certificación Common Criteria Windows Server 2003 + Certificate Server
http://www.microsoft.com/technet/security/prodtech/windowsserver2003/ccc/default.mspx

Certificación Common Criteria Windows XP SP2
http://www.microsoft.com/technet/security/prodtech/windowsxp/ccc/default.mspx

Certificación Common Criteria MS ISA Server 2004
http://www.microsoft.com/isaserver/techinfo/deployment/commoncrit.mspx

Certificación Common Criteria MS Exchange Server 2003
http://www.microsoft.com/technet/prodtechnol/exchange/2003/e2k3cc.mspx

Certificación Common Criteria
http://www.microsoft.com/spain/enterprise/perspectivas/numero_6/seguridad.mspx

Linux obtiene certificación de seguridad
http://www.diarioti.com/gate/n.php?id=4970

Linux gets sensitive government use approval
http://www.cnn.com/2003/TECH/industry/08/05/linux.software.ap/index.html

Compártelo: