Microsoft y la Seguridad. ¿Buenos amigos?

He recogido en esta tabla el estado de Certificación de Seguridad Common Criteria en tecnologías Microsoft.

Aquellos que sepáis lo que supone una certificación Common Criteria, entenderéis mejor la magnitud de lo que recojo en este post. Los que no esteis muy familiarizados, os invito a sumergiros en este interesante mundo, quiza empezando en este portal.

Y si algunos catalogan la seguridad como “un estado de ánimo”, la vista de esta lista, es para estar contento ;-)

¿Quizá sea Microsoft una de las empresas con mayor preocupación y “acción” por la seguridad, de forma objetiva y desapasionada ? Quizá …

Y si no, echar un vistazo a esta lista: 

Productos Microsoft con Certificación Common Criteria
Producto	EAL	fecha	Comentarios
Certificate Server 2003	EAL4+	Apr, 2007
Exchange Server 2003 Enterprise Edition	EAL4+	Nov, 2005	Version/Build 6.5.7226.0 and Hotfix MS05-021
Groove Workspace	EAL2+	Sept, 2003	Groove Enterprise Management Server & Groove Enterprise Relay Server
Internet Security and Acceleration Server 2004	EAL4+	Sept, 2005	Standard Edition - Version 4.0.2161.50
Internet Security and Acceleration Server 2004 Edition & Service Pack 2	EAL4+	Mar, 2007	Version 4.0.3443.594
ISA Server 2000 with Service Pack 1 and Feature Pack 1	EAL2+	Sept, 2003
SQL Server 2005 Database Engine Edition (English) SP1	EAL1	Mar, 2007	Version/Build 9.00.2047.00
Windows 2000 Professional Server & Advanced Server	EAL4+	Oct, 2002
Windows 2003 and Microsoft Windows XP	EAL4+	Apr, 2007
Windows 2003/XP with x64 Hardware Support	EAL4+	Sept, 2006
Windows Mobile 5.0 MSFP	EAL2+	Mar, 2008
Windows Mobile 6	EAL2+	Mar, 2008
Windows Rights Management Services (RMS) 1.0 SP2	EAL4+	Aug, 2007
Windows Server 2003 and Microsoft Windows XP	EAL4+	Nov, 2005
Windows Server 2003 Certificate Server	EAL4+	Nov, 2005
Windows Server 2003 SP2 including R2 Standard, Enterprise & Itanium Editions, Windows XP Professional SP2 & x64 SP2, Windows XP Embedded SP2	EAL4+	Feb, 2008
Productos Microsoft en Evaluación de Certificación Common Criteria
Producto	EAL	Fecha		Comentarios
Internet Security and Acceleration Server 2006	EAL4+	En evaluación
Windows Mobile 6.1	EAL2+	En evaluación
SQL Server 2005 SP2 Database Engine	EAL4+	En evaluación
Exchange Server 2007 SP1 x64	EAL4+	En evaluación
SQL Server 2008 Database Engine	EAL1+	En evaluación
Vista SP1/Windows Server 2008	EAL1+	En evaluación
Vista SP1/Windows Server 2008	EAL4+	En evaluación
OpenXML SDK v1.0	EAL1	En evaluación

Comments

• Anonymous
  January 01, 2003
  The comment has been removed

• Anonymous
  January 01, 2003
  Hola Javier, yo creo que lo mas relevante de Common Criteria es aunar por fin los diferentes ciriterios de seguridad que a lo largo del tiempo han ido existiendo en USA, EUROPA etc. Todo el mundo, especialmente gobiernos, organismos de defensa, parecen coincidir en que certificaciones Common Criteria son lo mas ajustado al tipo de certificación que les genera cierta confianza. No en vano es una norma ISO/IEC 15408, con lo que eso significa de participación y creación por parte de un numeroso grupo de expertos internacional. En efecto un software certificado en Common Criteria (hay diferentes niveles de certificación EAL1 .... EAL8) y perfiles de protección mas o menos extensos, pero en cualquiera de los casos, no aseguras que ese software este libre de vulnerabilidades, sino mas bien, que el software ha sido desarrollado y se comporta tal como dice el fabricante en su declaración de seguridad. Si te gusta la seguridad, y te interesa Common Criteria, te recomiendo algunos de los cursos que algunas empresas dan como por ejemplo la española Epoche & ESPRI

• Anonymous
  August 17, 2008
  Hola, Héctor. Coincido contigo y con mucha gente, en que la seguridad es uno de los vértices del triángulo que forma la tecnología. Sin ella de poco suelen servir las aplicaciones y todo el esfuerzo que se hace por detrás. Desgraciadamente, los sistemas de control y "medición" de la seguridad pueden no estar mínimamente homologados, aunque Common Criteria (que por cierto, no conocía, gracias por la info) tiene una pinta estupenda. La cuestión que quiero comentar es muy sencilla: ¿realmene una metodología de seguridad o, incluso, un sistema de auditoría de seguridad puede certificar un nivel adecuado?. Creo que la historia nos dice que no. Se han encontrado bugs en productos Microsoft ( http://www.kriptopolis.org/la-puntilla-para-vista ), en software libre como Linux y en protocolos como DNS ( http://www.balearsinnovacio.com/blog/?p=700 ). Pero supongo que esto es como CMMI/SPICE/ITIL: el que tengas tus procesos de desarrollo de software bien preparados, aplicados y documentados, no implica que no tengas bugs, sino que la probabilidad de que haya es más baja. El que tengas una "aplicación" certificada Common Criteria no significa que sea 100% segura, sino que la probabilidad de encontrar problemas de seguridad es más baja.

• Anonymous
  August 31, 2008
  ok, Gracias Héctor por el dato. Un saludo.

• Anonymous
  May 05, 2009
  Acabo de postear en relación a la noticia de la publicación de los profile protection (PP) sobre el DNI-e un extenso post donde paso a explicar qué es eso de la ISO 15408 o Common Criteria y su importancia. Se pueden consultar en http://seguridad-de-la-informacion.blogspot.com/2009/04/iso-15408-y-el-dni-e-pp-para-el.html y http://seguridad-de-la-informacion.blogspot.com/2009/05/iso-15408-y-el-dni-e-pp-para-el.html

• Anonymous
  January 13, 2010
  Hola Héctor, he visto en el portar de Common Criteria que Windows Server 2008 ya ha obtenido la certificación CC a nivel EAL4+. Sin embargo, en la web de Microsoft no he visto ninguna información relacionada con el tema, ni he encontrado las guías de configuración segura de dicho producto. Además, hace tiempo leí que dicha certificación estaba prevista para finales de 2010. ¿Podrías confirmar la obtención de la certificación? Muchas gracias.