Certificación COMMOM CRITERIA: El paso de gigante en la seguridad de la plataforma Microsoft

"Creo que Windows es mas seguro que Linux…" ni hablar: "Linux es mas seguro que Windows pero menos que Solaris etc..". ¿Cuantas veces hemos participado o asistido a conversaciones de este estilo? Y realmente es una conversación que nunca o casi nunca lleva a conclusiones porque suele estar enormemente cargada de subjetividad. Pero no podría ser de otra manera. Siempre suele transcurrir en torno a la experiencia personal y profesional de cada uno, así como a los conocimientos adquiridos sobre cualquiera de ellas.

Se hizo necesaria la existencia de un organismo de estandarización independiente que arroje cierta objetividad sobre este tipo de disquisiciones en torno a la seguridad de los productos. Este organismo, no sin enormes dificultades en su constitución, existe y se llama Common Criteria (ISO-IEC 15408). Desde el 29 de Octubre de 2.002 podemos responder objetivamente a la pregunta ¿Cuanto de segura es la plataforma Windows 2000? Pues es EAL4+ de segura (la máxima certificación Common Criteria de seguridad para un sistema operativo comercial) en el mas amplio espectro de evaluación remitido hasta la fecha a Common Criteria. Por descontado que cada profesional de IT opinará de una u otra manera según su propia experiencia pero no cabe duda que resultará muy útil introducir en este tipo de observaciones el único factor objetivo internacionalmente reconocido en materia de seguridad en productos IT, y ese se llama Common Criteria.

Un poco de historia

Common Criteria es el resultado final de importantes esfuerzos en el desarrollo de criterios de evaluación unificados para la seguridad de los productos IT y ampliamente aceptado por la comunidad internacional.

A principios de los años 80, se desarrollaron en Estados Unidos los criterios de seguridad recogidos bajo el nombre de TCSEC (Trusted Computer System Evaluation Criteria) y editados en el famoso "libro naranja". En las décadas posteriores, varios países tomaron como base el TCSEC americano y evolucionaron las especificaciones para hacerlas mas flexibles y adaptables a la constante evolución de los sistemas de IT.

De ahí la comisión europea, en el año 1.991 publicó el ITSEC (Information Technology Security Evaluation Criteria), desarrollado conjuntamente por Francia, Alemania, Holanda y el Reino Unido. En Canada, igualmente se desarrollaron en 1.993 los criterios CTCPEC (Canadian Trusted Computer Product Evaluation) uniendo los criterios americanos y europeos. En ese mismo año el Gobierno americano publico los Federal Criteria como una aproximación a unificar los criterios europeos y americanos.

Tal escenario comienza a aclararse con la decisión de estandarizar internacionalmente estos criterios para uso general, y en esa labor ISO comienza a trabajar a principios de los años 90 dando como resultado la certificación Common Criteria (o ISO-IEC 15408)

Es el resultado de una laboriosa e intensa negociación entre países para obtener un acuerdo de reconocimiento mutuo de las certificaciones de seguridad de productos IT realizadas entre un grupo de 14 países entre los que figura España como firmante del acuerdo a través del Ministerio de Administraciones Publicas (http://www.map.es/csi/pg3432.htm)

¿Cuales son los beneficios de Common Criteria?

Estos 14 países signatarios de los acuerdos de Common Criteria, llegaron a este arreglo porque permitiría establecer un único criterio con el que evaluar la seguridad de los productos de IT, contribuyendo a aumentar la confianza de los usuarios en los mismos. Esto es beneficioso porque habilita a los usuarios la posibilidad de tomar decisiones con información y criterio, por encima de otras consideraciones:

- Los usuarios pueden comparar sus requerimientos específicos frente a los estandares de Common Criteria para determinar el nivel de seguridad que necesitan.

- Los usuarios pueden determinar mas fácilmente cuando un producto cumple una serie de requisitos. Igualmente, Common Criteria exige a los fabricantes de los productos certificados publicar una documentación exhaustiva sobre la seguridad de los productos evaluados.

- Los usuarios pueden tener plena confianza en las evaluaciones de Common Criteria por no ser realizadas por el vendedor, sino por laboratorios independientes. La evaluación de Common Criteria es cada vez mas utilizada como condición necesaria para concurrir a concursos públicos. Por ejemplo, el Departamento de Defensa Americano ha anunciado planes para utilizar exclusivamente productos certificados por Common Criteria.

- Debido a que Common Criteria es un estandar Internacional, proporciona un conjunto común de estándares que los usuarios con operaciones internacionales pueden utilizar para escoger productos que se ajusten localmente a las necesidades de seguridad.

En definitiva, proporcionando un conjunto de estandares en seguridad como los recogidos por Common Criteria, se crea un lenguaje común entre los fabricantes y los usuarios, que ambos pueden entender. Los fabricantes utilizarán este lenguaje para contar a sus clientes potenciales las características de sus productos evaluadas en Common Criteria, e igualmente habilita a los usuarios a identificar y comunicar adecuadamente sus necesidades de seguridad.

En definitiva, se proporcionan unos medios y mecanismos objetivos que nos permitirán tomar decisiones en base algo más sólido que las meras percepciones.

¿Que es exactamente la certificación que Microsoft ha obtenido?

Microsoft remitió en el año 2000 Microsoft Windows 2000 Proffesional, Server y Advanced server a certificación de Common Criteria. Tras dos años de someter cientos de componentes a exhaustivos análisis y tests, según los estrictos requerimientos de Common Criteria, el nivel obtenido se denomina "EAL4+ Flaw Remediation". Y que significa esto ?

A grandes rasgos, y simplificando mucho pues no es objeto de este artículo una exhaustiva revisión de Common Criteria, en una de las fases del proceso se especifica un Target of Evaluation (TOE), es decir, se define que es lo que se va a examinar concretamente y por otro lado a que tipo de examen se le va a someter. Pues bien, el TOE al que se somete la plataforma Windows 2000 es el mas amplio que hasta la fecha se ha sometido un sistema operativo y por otro lado, el nivel al que se somete a examen es el EAL4, que es el nivel máximo para un sistema operativo comercial.

Para conocer mejor el alcance de lo que significa este resultado, debemos conocer que existen hasta 7 niveles,EA7, aunque los requerimientos de los niveles EAL5-7 se orientan a productos construidos exclusivamente con técnicas y objetivos especializados por lo que no es generalmente aplicable a ningún producto distribuido comercialmente. EAL4 es por tanto el nivel mas elevado para un producto no construido específicamente para cumplir los niveles EAL5-7. El "añadido" "+ Flaw Remediation" significa que además se ha obtenido EAL4 también en la categoría Flaw Remediation, donde se evalua el procedmiento establecido por el fabricante en el seguimiento y correción de defectos, en este caso, el funcionamiento del Microsft Security Response Team.

En consecuencia, el nivel "EAL4+ Flaw Remediation" obtenido por la plataforma Windows 2000 es la mas elevada obtenida por ningún sistema operativo comercial.

Existe gran cantidad de información de detalle sobre el alcance y detalle de los componentes evaluados, y en la siguiente URL se puede encontrar ese nivel de detalle: 

A grandes rasgos, el objeto de evaluación ha estado compuesto por los requisitos derivados del Controlled Access Protection Profile (CAPP) que incluye control de accesos, identificación y autenticación, auditoria, separación de dominios de seguridad, gestión de la seguridad … etc..
Además se incluyeron las evaluaciones correspondientes a los apartados:

- Sensitive Data Protection: evaluaciones del sistema de encriptación de ficheros en disco ó EFS
- Multi-Master Directory Services: Directorio Activo
- Virual Private Network: Generacion de Redes privadas virtuales con el IPSEc, L2TP y PPTP de Windows 2000
- Single Sign On:Aunque no está descrito en un Protection Profile específico, la capacidad de establecer SSO esta compuesta por componentes evaluados.
- Flaw Remediation: Microsoft Security Response Center
- Software Signature creation Device: Certificaciones del NIST: FIPS 140-1 del CSP; FIPS 186-2 para implementaciones de los algoritmos de firma de RSA y DSA
- Network Management: Windows Management Instrumentation, Active Directory Group Policy, Network Management tools.
- Desktop management: Group Policy
- Etc..

Los sistemas operativos MS Windows XP y MS Windows .Net Server 2003 están en la "pipeline" para comenzar idéntico proceso que el seguido por Windows 2000. No olvidemos que el proceso es exhaustivo y requiere tiempo.

¿Y siendo usuario de la plataforma MS Windows 2000 como puedo beneficiarme ya de esta exitosa evaluación ?

Ya hemos apuntado que uno de los beneficios de la Certificación Common Criteria es que proporciona a los usuarios guías que simplifican el despliegue y la operación de Windows 2000 en un entorno de red seguro. Con este objetivo, Microsoft ha trabajado para asegurarse que el esfuerzo hecho para Common Criteria sea presentado para proporcionar una utilidad inmediata para los usuarios. De esta forma hemos generado estas guías con sus correspondientes plantillas y checklists para faciltar la puesta en marcha de las configuraciones certificadas.

· Windows 2000 Common Criteria Evaluated Configuration User's Guide: 
· Windows 2000 Common Criteria Evaluated Configuration Administrator's Guide: 
· Windows 2000 Common Criteria Security Configuration Guide: 

Conclusiones
En Microsoft estamos decididos a dar pasos firmes en pro del derecho de los usuarios de sistemas de Información a operar de forma segura a través de i*net.

Actualmente Common Criteria representa uno de los principales organismos que nos permiten conocer las necesidades de seguridad de los usuarios y responder en consecuencia.

Es decir, establecer un lenguaje común de entendimiento en el que seamos capaces de identificar objetivamente las necesidades de seguridad que como usuarios requerimos así como identificar los productos que reúnen tales características, por encima de percepciones e ideas preconcebidas. Tomar las decisiones oportunas con la propiedad que otorga la información y el conocimiento siempre será la mejor opción.