Los sistemas operativos más “seguros” según Common Criteria EAL
Hoy voy a hablar de Common Criteria EAL, con el fin de analizar qué sistema operativo se adecúa mejor a los estándares que establece esta norma. Lo hago a raíz de la reciente inclusión en el "top 10" de Microsoft Windows Server 2003 y Microsoft Windows XP, recientemente certificados.
Common Criteria (CC) es un estándar internacional relativo a seguridad informática. Concretamente, está fundamentado en las normas ISO/IEC 15408:2005 e ISO/IEC 18405:2005.8. El propósito de esta norma es permitir la especificación de los requisitos de seguridad a todos los niveles: usuarios, desarrolladores y evaluadores, siendo éstos últimos los que verifican si los requisitos que un usuario o desarrollador proclama se cumplen de un modo efectivo para un producto determinado. Podéis descargar CC en su última versión para curiosear por la documentación (advertencia: es muy espesa)
Es importante notar aquí que CC utiliza una graduación de requisitos llamada Evaluation Assurance Levels, normalmente conocidas como EALs, las cuales están numeradas del 1 al 7, siendo creciente el número de controles y requisitos a cumplir. Los niveles altos de EAL NO IMPLICAN necesariamente que el producto sea más seguro (por eso el título tiene la palabra "seguros" entrecomillada), sino que los niveles de seguridad que un desarrollador o usuario proclama tener en su producto han sido analizados de un modo más exhaustivo.
¿Y cuáles son los sistemas operativos más seguros, si atendemos a su graduación EAL? Para ello nos vamos al portal de Common Criteria, y buscamos, para usuarios, la lista de sistemas operativos evaluados. Y es aquí donde pueden surgir las sorpresas. Este es el listado de los 10 productos testados que mejores resultados han dado en el cumplimiento de EAL, en el apartado de sistemas operativos,ordenados de mayor a menor puntuación (nótese que la lista es simbólica, ya que dos productos con el mismo EAL tienen el mismo grado de cumplimiento, luego los puestos 1, 2 y 3 son permutables, entre sí, así como los 4 a 10)
Puesto 1: Processor Resource/ System Manager (PR/SM) on IBM zSeries 800 and 900
Grado de cumplimiento: EAL5
Fecha: Junio de 2003
Informe de certificación
Puesto 2: Processor Resource/ System Manager (PR/SM) forthe IBM eServer zSeries 900
Grado de cumplimiento: EAL5
Fecha: Febrero de 2003
Informe de certificación
Puesto 3: PR/SM on IBM zSeries 990
Grado de cumplimiento: EAL5
Fecha: Mayo de 2004
Informe de certificación no disponible
Puesto 4: XTS-400 / STOP 6.0.E
Grado de cumplimiento: EAL4+
Fecha: Marzo de 2004
Informe de certificación
Puesto 5: Windows 2000 Professional, Server, and Advanced Server with SP3 and Q326886
Grado de cumplimiento: EAL4+
Fecha: Octubre de 2002
Informe de certificación
Puesto 6: Microsoft Windows Server 2003 and Microsoft Windows XP
Grado de cumplimiento: EAL4+
Fecha: Noviembre de 2005
Informe de certificación
Puesto 7: Microsoft Internet Security and Acceleration Server 2004 - Standard Edition - Version 4.0.2161.50
Grado de cumplimiento: EAL4+
Fecha: Septiembre de 2005
Informe de certificación
Puesto 8: IBM i5/OS V5R3MO running on IBM eServer models 520, 550, and 570 with Software Feature Code 1930
Grado de cumplimiento: EAL4+
Fecha: Agosto de 2005
Informe de certificación
Puesto 9: SuSE Linux Enterprise Server Version 9 with certification-sles-ibm-eal4 package
Grado de cumplimiento: EAL4+
Fecha: Marzo de 2005
Informe de certificación
Puesto 10: AIX 5L for POWER Versi- on 5.2, Program Number 5765-E62
Grado de cumplimiento: EAL4+
Fecha: Noviembre de 2002
Informe de certificación
Otros sistemas que también están certificados como EAL4+
- Solaris 9 Release 08/03
- IBM LPAR for POWER 4 for the IBM pSeries Firmware Releases3R031021 (p630), 3K031021
- IBM AIX 5L for POWER V5.2 with Recommended Maintenance Package 5200-01, Program Number 5765-E62
El sistema operativo con peor valoración
Hewlett Packard Tru64 UNIX V5.1A
Grado de cumplimiento: EAL1
Fecha: Febrero de 2004
Informe de certificación
No deja de tener su interés esta clasificación. Un saludo :)
Trackbacks & Pingbacks
Comentarios
Escribir un comentario
Las rupturas de línea y párrafo son automáticas. El e-mail nunca será mostrado ni cedido a terceros. Se permite el siguiente código HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
Vaya, me he quedado sorprendido, yo que pensaba que el Unix era el SO mas seguro. Muchas gracias por este tipo de información…
ejem. Unix FUE un sistema operativo de los años 60 hasta los 80.
Excepto Windows y sus variantes todos los que aparecen aquí están basados en Unix o en su kernel.
Por cierto, me río yo de la seguridad de Windows 2003 y windows 2000. Por defecto es una mierda