次の方法で共有


Microsoft y la Seguridad. ¿Buenos amigos?

He recogido en esta tabla el estado de Certificación de Seguridad Common Criteria en tecnologías Microsoft.

Aquellos que sepáis lo que supone una certificación Common Criteria, entenderéis mejor la magnitud de lo que recojo en este post. Los que no esteis muy familiarizados, os invito a sumergiros en este interesante mundo, quiza empezando en este portal.

Y si algunos catalogan la seguridad como “un estado de ánimo”, la vista de esta lista, es para estar contento ;-)

¿Quizá sea Microsoft una de las empresas con mayor preocupación y “acción” por la seguridad, de forma objetiva y desapasionada ? Quizá …

Y si no, echar un vistazo a esta lista: 

Productos Microsoft con Certificación Common Criteria

Producto

EAL

fecha

Comentarios

Certificate Server 2003

EAL4+

Apr, 2007

Exchange Server 2003 Enterprise Edition

EAL4+

Nov, 2005

Version/Build 6.5.7226.0 and Hotfix MS05-021

Groove Workspace

EAL2+

Sept, 2003

Groove Enterprise Management Server & Groove Enterprise Relay Server

Internet Security and Acceleration Server 2004

EAL4+

Sept, 2005

Standard Edition - Version 4.0.2161.50

Internet Security and Acceleration Server 2004 Edition & Service Pack 2

EAL4+

Mar, 2007

Version 4.0.3443.594

ISA Server 2000 with Service Pack 1 and Feature Pack 1

EAL2+

Sept, 2003

SQL Server 2005 Database Engine Edition (English) SP1

EAL1

Mar, 2007

Version/Build 9.00.2047.00

Windows 2000 Professional Server & Advanced Server

EAL4+

Oct, 2002

Windows 2003 and Microsoft Windows XP

EAL4+

Apr, 2007

Windows 2003/XP with x64 Hardware Support

EAL4+

Sept, 2006

Windows Mobile 5.0 MSFP

EAL2+

Mar, 2008

Windows Mobile 6

EAL2+

Mar, 2008

Windows Rights Management Services (RMS) 1.0 SP2

EAL4+

Aug, 2007

Windows Server 2003 and Microsoft Windows XP

EAL4+

Nov, 2005

Windows Server 2003 Certificate Server

EAL4+

Nov, 2005

Windows Server 2003 SP2 including R2 Standard, Enterprise & Itanium Editions, Windows XP Professional SP2 & x64 SP2, Windows XP Embedded SP2

EAL4+

Feb, 2008

Productos Microsoft en Evaluación de Certificación Common Criteria

Producto

EAL

Fecha

Comentarios

Internet Security and Acceleration Server 2006

EAL4+

En evaluación

Windows Mobile 6.1

EAL2+

En evaluación

SQL Server 2005 SP2 Database Engine

EAL4+

En evaluación

Exchange Server 2007 SP1 x64

EAL4+

En evaluación

SQL Server 2008 Database Engine

EAL1+

En evaluación

Vista SP1/Windows Server 2008

EAL1+

En evaluación

Vista SP1/Windows Server 2008

EAL4+

En evaluación

OpenXML SDK v1.0

EAL1

En evaluación

Comments

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    January 01, 2003
    Hola Javier, yo creo que lo mas relevante de Common Criteria es aunar por fin los diferentes ciriterios de seguridad que a lo largo del tiempo han ido existiendo en USA, EUROPA etc. Todo el mundo, especialmente gobiernos, organismos de defensa, parecen coincidir en que certificaciones Common Criteria son lo mas ajustado al tipo de certificación que les genera cierta confianza. No en vano es una norma ISO/IEC 15408, con lo que eso significa de participación y creación por parte de un numeroso grupo de expertos internacional. En efecto un software certificado en Common Criteria (hay diferentes niveles de certificación EAL1 .... EAL8) y perfiles de protección mas o menos extensos, pero en cualquiera de los casos, no aseguras que ese software este libre de vulnerabilidades, sino mas bien, que el software ha sido desarrollado y se comporta tal como dice el fabricante en su declaración de seguridad. Si te gusta la seguridad, y te interesa Common Criteria, te recomiendo algunos de los cursos que algunas empresas dan como por ejemplo la española Epoche & ESPRI

  • Anonymous
    August 17, 2008
    Hola, Héctor. Coincido contigo y con mucha gente, en que la seguridad es uno de los vértices del triángulo que forma la tecnología. Sin ella de poco suelen servir las aplicaciones y todo el esfuerzo que se hace por detrás. Desgraciadamente, los sistemas de control y "medición" de la seguridad pueden no estar mínimamente homologados, aunque Common Criteria (que por cierto, no conocía, gracias por la info) tiene una pinta estupenda. La cuestión que quiero comentar es muy sencilla: ¿realmene una metodología de seguridad o, incluso, un sistema de auditoría de seguridad puede certificar un nivel adecuado?. Creo que la historia nos dice que no. Se han encontrado bugs en productos Microsoft ( http://www.kriptopolis.org/la-puntilla-para-vista ), en software libre como Linux y en protocolos como DNS ( http://www.balearsinnovacio.com/blog/?p=700 ). Pero supongo que esto es como CMMI/SPICE/ITIL: el que tengas tus procesos de desarrollo de software bien preparados, aplicados y documentados, no implica que no tengas bugs, sino que la probabilidad de que haya es más baja. El que tengas una "aplicación" certificada Common Criteria no significa que sea 100% segura, sino que la probabilidad de encontrar problemas de seguridad es más baja.

  • Anonymous
    August 31, 2008
    ok, Gracias Héctor por el dato. Un saludo.

  • Anonymous
    May 05, 2009
    Acabo de postear en relación a la noticia de la publicación de los profile protection (PP) sobre el DNI-e un extenso post donde paso a explicar qué es eso de la ISO 15408 o Common Criteria y su importancia. Se pueden consultar en http://seguridad-de-la-informacion.blogspot.com/2009/04/iso-15408-y-el-dni-e-pp-para-el.html y http://seguridad-de-la-informacion.blogspot.com/2009/05/iso-15408-y-el-dni-e-pp-para-el.html

  • Anonymous
    January 13, 2010
    Hola Héctor, he visto en el portar de Common Criteria que Windows Server 2008 ya ha obtenido la certificación CC a nivel EAL4+. Sin embargo, en la web de Microsoft no he visto ninguna información relacionada con el tema, ni he encontrado las guías de configuración segura de dicho producto. Además, hace tiempo leí que dicha certificación estaba prevista para finales de 2010. ¿Podrías confirmar la obtención de la certificación? Muchas gracias.