Microsoft y la Seguridad. ¿Buenos amigos?


He recogido en esta tabla el estado de Certificación de Seguridad Common Criteria en tecnologías Microsoft.


Aquellos que sepáis lo que supone una certificación Common Criteria, entenderéis mejor la magnitud de lo que recojo en este post. Los que no esteis muy familiarizados, os invito a sumergiros en este interesante mundo, quiza empezando en este portal.


Y si algunos catalogan la seguridad como “un estado de ánimo”, la vista de esta lista, es para estar contento 😉


¿Quizá sea Microsoft una de las empresas con mayor preocupación y “acción” por la seguridad, de forma objetiva y desapasionada ? Quizá …


Y si no, echar un vistazo a esta lista: 


















































































































































Productos Microsoft con Certificación Common Criteria


 


Producto


EAL


fecha


Comentarios


Certificate Server 2003


EAL4+


Apr, 2007


 


Exchange Server 2003 Enterprise Edition


EAL4+


Nov, 2005


 Version/Build 6.5.7226.0 and Hotfix MS05-021


Groove Workspace


EAL2+


Sept, 2003


Groove Enterprise Management Server & Groove Enterprise Relay Server


Internet Security and Acceleration Server 2004


EAL4+


Sept, 2005


Standard Edition – Version 4.0.2161.50


Internet Security and Acceleration Server 2004 Enterprise Edition & Service Pack 2


EAL4+


Mar, 2007


 Version 4.0.3443.594


ISA Server 2000 with Service Pack 1 and Feature Pack 1


EAL2+


Sept, 2003


 


SQL Server 2005 Database Engine Enterprise Edition (English) SP1


EAL1


Mar, 2007


 Version/Build 9.00.2047.00


Windows 2000 Professional Server & Advanced Server


EAL4+


Oct, 2002


 


Windows 2003 and Microsoft Windows XP


EAL4+


Apr, 2007


 


Windows 2003/XP with x64 Hardware Support


EAL4+


Sept, 2006


 


Windows Mobile 5.0 MSFP


EAL2+


Mar, 2008


 


Windows Mobile 6


EAL2+


Mar, 2008


 


Windows Rights Management Services (RMS) 1.0 SP2


EAL4+


Aug, 2007


 


Windows Server 2003 and Microsoft Windows XP


EAL4+


Nov, 2005


 


Windows Server 2003 Certificate Server


EAL4+


Nov, 2005


 


Windows Server 2003 SP2 including R2 Standard, Enterprise & Itanium Editions, Windows XP Professional SP2 & x64 SP2, Windows XP Embedded SP2


EAL4+


Feb, 2008


 


 


 


 


 


Productos Microsoft en Evaluación de Certificación Common Criteria


Producto


EAL


Fecha


Comentarios


Internet Security and Acceleration Server 2006


EAL4+


En evaluación


 


Windows Mobile 6.1


EAL2+


En evaluación


 


SQL Server 2005 SP2 Database Engine


EAL4+


En evaluación


 


Exchange Server 2007 SP1 x64


EAL4+


En evaluación


 


SQL Server 2008 Database Engine


EAL1+


En evaluación


 


Vista SP1/Windows Server 2008


EAL1+


En evaluación


 


Vista SP1/Windows Server 2008


EAL4+


En evaluación


 


OpenXML SDK v1.0


EAL1


En evaluación


 

Comments (6)

  1. Anónimo dice:

    Si es que estos muchachos de la NSA (National Security Agency) Americana, no saben de seguridad. ¡¡¡¡

  2. Hola Javier,

    yo creo que lo mas relevante de Common Criteria es aunar por fin los diferentes ciriterios de seguridad que a lo largo del tiempo han ido existiendo en USA, EUROPA etc.

    Todo el mundo, especialmente gobiernos, organismos de defensa, parecen coincidir en que certificaciones Common Criteria son lo mas ajustado al tipo de certificación que les genera cierta confianza. No en vano es una norma ISO/IEC 15408, con lo que eso significa de participación y creación por parte de un numeroso grupo de expertos internacional.

    En efecto un software certificado en Common Criteria (hay diferentes niveles de certificación EAL1 …. EAL8) y perfiles de protección mas o menos extensos, pero en cualquiera de los casos, no aseguras que ese software este libre de vulnerabilidades, sino mas bien, que el software ha sido desarrollado y se comporta tal como dice el fabricante en su declaración de seguridad.

    Si te gusta la seguridad, y te interesa Common Criteria, te recomiendo algunos de los cursos que algunas empresas dan como por ejemplo la española Epoche & ESPRI

  3. Javier Jofre dice:

    Hola, Héctor. Coincido contigo y con mucha gente, en que la seguridad es uno de los vértices del triángulo que forma la tecnología. Sin ella de poco suelen servir las aplicaciones y todo el esfuerzo que se hace por detrás. Desgraciadamente, los sistemas de control y "medición" de la seguridad pueden no estar mínimamente homologados, aunque Common Criteria (que por cierto, no conocía, gracias por la info) tiene una pinta estupenda.

    La cuestión que quiero comentar es muy sencilla: ¿realmene una metodología de seguridad o, incluso, un sistema de auditoría de seguridad puede certificar un nivel adecuado?. Creo que la historia nos dice que no. Se han encontrado bugs en productos Microsoft ( http://www.kriptopolis.org/la-puntilla-para-vista ), en software libre como Linux y en protocolos como DNS ( http://www.balearsinnovacio.com/blog/?p=700 ). Pero supongo que esto es como CMMI/SPICE/ITIL: el que tengas tus procesos de desarrollo de software bien preparados, aplicados y documentados, no implica que no tengas bugs, sino que la probabilidad de que haya es más baja. El que tengas una "aplicación" certificada Common Criteria no significa que sea 100% segura, sino que la probabilidad de encontrar problemas de seguridad es más baja.

  4. Javier Jofre dice:

    ok, Gracias Héctor por el dato. Un saludo.

  5. Javier Cao dice:

    Acabo de postear en relación a la noticia de la publicación de los profile protection (PP) sobre el DNI-e un extenso post donde paso a explicar qué es eso de la ISO 15408 o Common Criteria y su importancia. Se pueden consultar en http://seguridad-de-la-informacion.blogspot.com/2009/04/iso-15408-y-el-dni-e-pp-para-el.html y http://seguridad-de-la-informacion.blogspot.com/2009/05/iso-15408-y-el-dni-e-pp-para-el.html

  6. Rebeca dice:

    Hola Héctor,

    he visto en el portar de Common Criteria que Windows Server 2008 ya ha obtenido la certificación CC a nivel EAL4+. Sin embargo, en la web de Microsoft no he visto ninguna información relacionada con el tema, ni he encontrado las guías de configuración segura de dicho producto. Además, hace tiempo leí que dicha certificación estaba prevista para finales de 2010.

    ¿Podrías confirmar la obtención de la certificación?

    Muchas gracias.

Skip to main content