Entrar
¿Usuario nuevo? Regístrate
imasd
  • Sólo miembros
  • Publicar
  • Archivos
  • Fotos
  • Base de datos
  • Sondeos
  • Miembros
  • Agenda
  • Promocionar
  • Labs de Grupos (Beta)
? ¿Ya estás suscrito? Entrar en Yahoo!

Consejos de Yahoo! Grupos

¿Sabías que...?
Puedes determinar el orden de los mensajes. Pulsa el enlace en la columna correspondiente a la fecha. Tus preferencias serán guardadas y no tendrás que introducirlas de nuevo.

Mensajes

   Mensajes Ayuda
Mensaje nº
Buscar:
Avanzado
Env: una-al-dia (28/01/2006) Varios productos de Microsoft obtienen   Lista de mensajes  
Responder | Reenviar Mensaje #2912 de 3174 |


>>> noticias@... 01/29/06 2:50 >>>

-----BEGIN PGP SIGNED MESSAGE-----

-------------------------------------------------------------------
Hispasec - una-al-día 28/01/2006
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Varios productos de Microsoft obtienen la certificación Common Criteria
-----------------------------------------------------------------------

Microsoft anunció hace algunos días que varias de sus soluciones para
servidor y sistemas operativos han obtenido la certificación Common
Criteria para la evaluación de seguridad, un estándar que en España
será otorgado por el Centro Criptológico Nacional (CCN), dependiente
del Centro Nacional de Inteligencia (CNI). ¿Qué es exactamente
"Common Critera"?

El Common Criteria es un estándar internacionalmente reconocido y
fundamentado en las normas ISO/IEC 15408:2005 e ISO/IEC 18405:2005.8.
Para evaluar la seguridad de un producto y hacerlo merecedor de este
certificado, se deben comprobar numerosos parámetros relacionados con
la seguridad y propuestos previamente por el fabricante. Estos
parámetros han sido consensuados y aceptados por 22 países de todo el
mundo, hasta el punto de que algunos gobiernos (como el de Estados
Unidos de América) exigen esta certificación para poder utilizar sus
sistemas. El visto bueno de la Common Criteria Organtization permite
que el producto sea usado en sistemas críticos de los gobiernos e
instituciones de todo el mundo, ya sea pertenecientes a bancos,
agencias secretas de inteligencia o el mismísimo Pentágono.

En España es el CNI (dependiente del Ministerio de Defensa) el que
emite esta certificación. En concreto su centro criptológico (CCN) es
el que evalúa los productos que pretenden obtener este reconocimiento,
que está siendo aplicado al desarrollo e implantación del inminente
DNI electrónico.

Los productos de Microsoft que han obtenido la certificación con
nivel EAL4 son Windows Server 2003 (cuatro ediciones), Windows XP
(dos versiones), MS Exchange Server SP1, MS ISA Server 2004 y
Certificate Server. Según Héctor Sánchez, director de seguridad
corporativa de Microsoft Ibérica, a su juicio, Comon Criteria
aporta "un criterio de objetividad" al discurso de la seguridad y
"demuestra en especial el compromiso de Microsoft con la seguridad
informática".

El nivel 4 se refiere a EAL4 (Evaluation Assurance Level). EAL no
indica el nivel de seguridad de lo evaluado ni garantiza la robustez
o seguridad del producto, sino que, de forma independiente, contrasta
el nivel de seguridad y funcionalidad real con lo que el fabricante
afirma.

Para otorgar el certificado, Common Criteria exige a los fabricantes
de los productos remitir una documentación exhaustiva sobre la
seguridad de los mismos. Esta es examinada y sometida a procesos de
verificación por parte de laboratorios independientes para evaluar
el nivel de adaptación a la norma. El aspirante a la certificación
puede elegir la profundidad de estudio del sistema para que sea
evaluado.

Microsoft ha aprovechado este trabajo de ingeniería para ponerlo a
disposición de los usuarios, administradores y responsables de
seguridad mediante la publicación de guías y plantillas que ayuden
a configurar y administrar los sistemas según las especificaciones
certificadas en Common Criteria. Las guías profesionales se
encuentran en esta dirección:
http://www.microsoft.com/technet/security/prodtech/windowsserver2003/ccc/default\
.mspx
http://www.microsoft.com/technet/security/prodtech/windowsxp/ccc/default.mspx

Por su parte, Common Criteria otorga hasta siete niveles de seguridad
EAL, aunque los requerimientos de los niveles EAL5 a EAL7 se orientan
a productos con objetivos muy especializados. Por ejemplo, el
certificado EAL3 puede ser equivalente a un grado de seguridad
"moderada a alta" contrastada con el estándar y el EAL2 puede
equipararse a un grado de seguridad "de baja a moderada", según
siempre el criterio de este estándar.

Ya en el año 2000, Microsoft remitió Windows 2000 Professional, Server
y Advanced Server a Common Criteria. Tras dos años sometiendo cientos
de componentes del sistema operativo a análisis y tests, se obtuvo la
calificación EAL4+ Flaw Remediation. El añadido "Flaw Remediation"
significa que se evalúa el procedimiento establecido por el
fabricante en el seguimiento y corrección de fallos y en este caso es
la puntuación más alta.

Miguel Bañón, miembro español del Common Criteria Maintenance Board,
precisó durante el anuncio de Microsoft, que la certificación no es
"un cheque en blanco" que certifique una seguridad de por vida. Pierde
plena vigencia cuando aparece un "parche" o modificación de los
programas, pero aseguró que "el certificado demuestra una alta calidad
de producto y un firme compromiso de la empresa con la seguridad real".
Añadió que "La declaración no es genérica ni universal, pero está
aceptada por las principales instancias de países como Estados Unidos,
Canadá, Australia, Francia, Alemania, Reino Unido o Japón, y por las
grandes empresas y consorcios de todo tipo de productos, como Visa y
otros fabricantes de tarjetas de crédito".


¿Y el resto de sistemas operativos?

Además de otros productos hardware de todo tipo, Microsoft no es el
único sistema operativo que goza de este reconocimiento. Apple sometió
también componentes de sus servidores y clientes Mac OS X 10.3.6 a la
evaluación y superó con éxito, tras exhaustivas comprobaciones, los
tests aplicados, llegando a obtener EAL nivel 3. Además Apple ha
publicado sus "Common Criteria Tools", un conjunto de programas
disponible para todos sus sistemas operativos que permite
configurarlos para aprovechar mejor las normas Common Criteria. Además
permiten la activación de un sistema especial de auditoría de
registros y contienen documentos que ofrecen algunas ideas necesarias
para asegurar los OS X según el criterio.

En enero de 2004 SuSE, que ya en 2002 obtuvo el EAL2, conseguía EAL3.
Fue entonces cuando por primera vez un sistema Linux obtuvo esa
puntuación de la Common Criteria Organtization. La certificación sólo
incluía a la distribución SuSE instalada bajo una determinada línea de
sistemas IBM. Red Hat Enterprise Linux también está certificado bajo
servidores IBM. En el portal oficial de Common Criteria (referenciado
más abajo) se puede consultar la lista completa de los productos que
han sido evaluados, su correspondiente calificación, el documento
aportado por el fabricante con las especificaciones para ser
evaluadas, y el informe final obtenido.

Entre los sistemas operativos que han conseguido la certificación
podemos encontrar también versiones de AIX, B1/EST-X, Blue Coat
ProxySG, Cray UNICOS/mp, HP-UX, Tru64, IBM i5/OS V5R3MO, IBM LPAR,
IBM z/OS, Network Appliance Data ONTAP, Nokia IPSO, PR/SM,
Red Hat Linux, Sun Solaris, Trusted IRIX/CMW y XTS-400/STOP.

La lista detalla se puede encontrar en la dirección:
http://www.commoncriteriaportal.org/public/consumer/index.php?menu=4&orderindex=\
1&showcatagories=256


¿Garantiza Common Criteria la seguridad del producto?

No. No existe certificación alguna que pueda garantizar la seguridad
de una aplicación software. De hecho, como bien apuntaba Miguel Bañón,
el estudio se lleva a cabo sobre una versión muy concreta del
producto, y la simple actualización del mismo hace que pierda
vigencia.

Aunque lógicamente se siguen detectando nuevas vulnerabilidades en
los productos certificados, sin ir más lejos en el caso de Windows
el descubrimiento de la vulnerabilidad en el procesamiento WMF fue
posterior, sí es cierto que Common Criteria supone una importante
inversión de recursos, tecnológicos, financieros y humanos, a
diferentes aspectos de la seguridad. No en vano, la certificación
de Windows XP SP2 se ha conseguido tras tres años de intenso
trabajo, y dos años en el caso de Windows Server 2003.

Por tanto, aun con las limitaciones y condicionantes lógicos que
debemos asumir con cualquier certificación, sí debemos valorar
positivamente que cualquier producto, con independencia de su
licencia, consiga obtener la certificación Common Criteria.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2653/comentar


Más información:

Common Evaluation Methodology
http://www.commoncriteriaportal.org/public/expert/index.php?menu=3

Lista de productos evaluados y calificados.
http://www.commoncriteriaportal.org/public/consumer/index.php?menu=4&orderindex=\
1&showcatagories=256

Varios productos de Windows obtienen la certificación de seguridad
internacional Common Criteria, otorgada por el CNI.
www.europapress.es/europa2003/noticia.aspx?cod=20060113124440&tabID=1&ch=72

Certificación Common Criteria Windows Server 2003 + Certificate Server
http://www.microsoft.com/technet/security/prodtech/windowsserver2003/ccc/default\
.mspx

Certificación Common Criteria Windows XP SP2
http://www.microsoft.com/technet/security/prodtech/windowsxp/ccc/default.mspx

Certificación Common Criteria MS ISA Server 2004
http://www.microsoft.com/isaserver/techinfo/deployment/commoncrit.mspx

Certificación Common Criteria MS Exchange Server 2003
http://www.microsoft.com/technet/prodtechnol/exchange/2003/e2k3cc.mspx

Certificación Common Criteria
http://www.microsoft.com/spain/enterprise/perspectivas/numero_6/seguridad.mspx

Linux obtiene certificación de seguridad
http://www.diarioti.com/gate/n.php?id=4970

Linux gets sensitive government use approval
http://www.cnn.com/2003/TECH/industry/08/05/linux.software.ap/index.html


Sergio de los Santos
ssantos@...


Tal día como hoy:
-----------------

28/01/2005: Denegación de servicio en Cisco IOS por problemas con protocolo BGP
http://www.hispasec.com/unaaldia/2288

28/01/2004: Nuevo intento de estafa sobre los usuarios de la banca electrónica
de Banesto
http://www.hispasec.com/unaaldia/1921

28/01/2003: El servicio KCMS de Solaris permite el acceso a cualquier archivo
http://www.hispasec.com/unaaldia/1556

28/01/2002: Actualización de seguridad para RSYNC
http://www.hispasec.com/unaaldia/1191

28/01/2001: Vulnerabilidades en BIND
http://www.hispasec.com/unaaldia/826

28/01/2000: Diez riesgos sobre la "Infraestructura de Clave Pública"
http://www.hispasec.com/unaaldia/458

28/01/1999: Nuevos agujeros con Javascript
http://www.hispasec.com/unaaldia/93


-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/contacto
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@...?subject=unsubscribe
Altas: mailto:unaaldia-request@...?subject=subscribe
-------------------------------------------------------------------
(c) 2006 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------


-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQEVAwUBQ9vtkXhEfcD7VnHhAQGa0wgApDlsxosWwl9o5Vt1/X6xGjjsQ2ABXCmM
Ghv1CANCHHrzAoGV1wH397SSLGb8JK3uEN9bx9qThKAXuEXN5uQ5Bw07+VeB+k+d
kJqBCbXYMQIA2wPqPMTGUdDH0EajaBMSUAc+nhJ8Yk9/05cDzNcFU/aFDkcgqRFu
AaZKvhFipf413/+6XQHYczL3UNJ4CMwWFLu6SyK1odZ3ktHsu4hkjFyEBXNu5uA+
g5gcN714U9I4sTmWOoLiIAZpQ8BlGdC8Tub9/rCj5/ZpRptA9jAlV813P99Irb0z
MTiiqtryyZeRmz+v3tCcjA7epQ7WdPCSBWOjWG2bJo8qFIPd45G5ag==
=b207
-----END PGP SIGNATURE-----


-----------------------------------------------------
Este correo electrónico y, en su caso, cualquier fichero anexo
al mismo, contiene información de carácter confidencial
exclusivamente dirigida a su destinatario o destinatarios. Queda
prohibida su divulgación, copia o distribución a terceros sin la
previa autorización escrita de Dap. En el caso de haber
recibido este correo electrónico por error, se ruega notifíquese
inmediatamente esta circunstancia mediante reenvío a la dirección
electrónica del remitente.
----------------------------------------------------------
The information in this e-mail and in any attachments is confidential
and solely for the attention and use of the named addressee(s).
You are hereby notified that any dissemination, distribution or copy
of this communication is prohibited without the prior written consent
of Dap. If you have received this communication in error,
please, notify the sender by reply e-mail.
-------------------------------------------------------------
Vie, 2 de Mar, 2007 9:06 am

Mostrar opción del mensaje
vlazaro@...
Enviar mensaje Enviar mensaje

Reenviar Mensaje #2912 de 3174 |
Desplegar mensajes Autor Ordenar por fecha

... Este correo electrónico y, en su caso, cualquier fichero anexo al mismo, contiene información de carácter confidencial exclusivamente dirigida a su... 		Vitalino Lázaro P...
vlazaro@...
Enviar mensaje 		5 de Mar, 2007
7:36 pm
< Tema anterior  |  Tema siguiente >
Mensaje nº
Buscar:
Avanzado
Copyright © 2009 Yahoo! Todos los derechos reservados.
Política de Privacidad Actualizada - Condiciones del servicio - Directrices - Ayuda