Windows 2000 ontvangt veiligheidscertificaat

Door het toenemende gebruik van internet en de uitwisseling van data op allerlei manieren is beveiliging de afgelopen jaren steeds meer in de belangstelling komen te staan. Nadat Microsoft door verschillende bugs negatief in het nieuws kwam heeft Bill Gates zijn medewerkers begin dit jaar een memo gestuurd waarin hij een nieuwe strategie aankondigde genaamd Trustworthy Computing: de nadruk zou binnen het bedrijf het meest op security komen te liggen. Onderdeel van deze strategie is het aanbieden van het Windows 2000 besturingssysteem voor Common Criteria (CC) certificering. Deze internationaal erkende ISO certificeringsmethode geeft richtlijnen op het gebied van IT-beveiliging. Het besturings-systeem voldoet aan de eisen voor Assurance Level 4, het hoogste niveau dat tot nu toe behaald is met een commercieel besturingssysteem, aldus TheRegister waar het onderwerp ook werd besproken. De schaalverdeling verloopt van Level 1 tot Level 7. Na Windows 2000 is Microsoft van plan om Windows XP en .NET ook voor te dragen voor certificering:

Robust third party auditing such as the Common Criteria is one important investment all customers should look for when making technology purchases. It is our goal to provide a high level of third party auditing that compares favorably to the auditing performed by other platform developers. To that end, Microsoft is committed to building on the CC certification achieved by Windows 2000. Microsoft will seek CC certification for the Windows XP and Windows .NET Server 2003 operating systems. In addition, the company is considering new security partnership programs with government and academic institutions. Partner organizations would then be allowed to conduct security analyses of Microsoft's products by licensing of large amounts of technical information about those products.

Reacties (59)

Bor Coördinator Frontpage Admins / FP Powermod 31 oktober 2002 15:19

Wat is er precies ingestuurd? Dit geintje heeft Microsoft ook al eens uitgehaald bij NT4. Daar hebben ze ook een certificering op gehaald. Wat er alleen niet bij verteld werd is dat er een speciale versie NT oa. zonder netwerkmogelijkheden getest is. Ik weet dat de Level 4 cirterea heel erg hoog zijn. Ik kan me niet voorstellen dat de hele broncode en alle ontwerpen (+ het ontwerpproces) grondig is bekeken. Ik vrees dus dat het weer een wassen neus is. Helemaal omdat de certificering achteraf behaald is, zonder met de certificeringseisen rekening te houden bij het ontwerp en de ontwikkeling van Win2k (dat was volgens mij niet een van de doelstellingen namelijk).

EAL4 is applicable in those circumstances where developers or users require a moderate to high level of independently assured security in conventional commodity TOEs and are prepared to incur additional security specific engineering costs.

EAL4 provides assurance by an analysis of the security functions, using a functional and complete interface specification, guidance documentation, the high-level and low-level design of the TOE, and a subset of the implementation, to understand the security behaviour. Assurance is additionally gained through an informal model of the TOE security policy.

This EAL represents a meaningful increase from EAL3 by requiring more design description, a subset of the implementation, and improved mechanisms and/or procedures that provide confidence that the TOE will not be tampered with during development or delivery.

Zo lang niet duidelijk is wat er precies gecontrolleerd is heeft het certificaat van Microsoft geen waarde voor mij.

Jan de Olde @Bor • 31 oktober 2002 16:12

Wat is er precies ingestuurd?

Uit de FAQ op de Microsoft site:

Q: Which configurations have been evaluated under the Windows 2000 Common Criteria certification?

Windows 2000 Professional with Service Pack 3 and Hotfix Q326886
Windows 2000 Server with Service Pack 3 and Hotfix Q326886
Windows 2000 Advanced Server with Service Pack 3 and Hotfix Q326886

Skyclad @Jan de Olde • 31 oktober 2002 17:22

De eerder genoemde test met NT4 waar dat een security certification kreeg was NT4 op een machine zonder drives, poorten, applicaties of netwerkkaart. Dus zo erg veel vertrouwen heb ik hier niet in. Tuurlijk, een gewone ruit kan het certificaat 'kogelvrij' krijgen wanneer je het verbergt in een atoomschuilkelder, maar daarmee heb je nog niet de ruit getest.

Verwijderd @Skyclad • 31 oktober 2002 17:32

De certificering waarover jullie het hier hebben is de C2 security certificate. Deze certificering heeft zelf een aantal eisen die vreemd zij, zoals het hier aangehaalde "geen netwerk".

Ken je certificering voordat je zegt dat MS weer eens "creatief" bezig is.

Verwijderd @Skyclad • 31 oktober 2002 19:44

Inderdaad, heb het nagezocht en het verhaal over de c2 certificering die geen netwerk zou eisen is compleet uit de lucht gegrepen.

arnob @Skyclad • 1 november 2002 22:54

dat was een leuk verhaal met die 'geen netwerk' etc..
geen third party drivers
Is ook heel logisch. Hoe kan je iets garanderen als je niet weet (en zeker niet kan bewijzen) dat het geen trojan of iets dergelijks is
Zal nog steeds gelden. Nu zijn met w2k wel veel meer standaard (MS) drivers meegeleverd

Verwijderd @Skyclad • 31 oktober 2002 19:42

Absoluut onzin, ik ken die certificering en daar werd in die tijd helemaal niets over wel of geen netwerk in vermeld! Onzin verhaal dus.

Verwijderd @Bor • 31 oktober 2002 15:38

Voordat je termen als 'wassen neus' in de mond neemt, moet je eerst met feiten komen, voordat je ouwe koeien uit de sloot haalt... Erg jammer dat er weer direct over MS heen wordt gevallen, ipv dat men blij is dat MS er nou eindelijk eens serious mee bezig is (security).
De hoeveelheid bugs is niet veel groter of kleiner dan bij andere os'en hoor, dat lijkt allemaal zo door de berichtgeving... jammer allemaal... probeer een beetje objectief te blijven...

kodak @Verwijderd • 31 oktober 2002 16:19

En waar haal jij het feit vandaan dat MS niet veel meer feiten heeft dan andere oses? Om eerlijk te zijn heb ik nog nooit ergens onafhankelijke en serieuze onderzoeks resultaten gezien.
Feit blijft wel dat MS tot nu toe liever niet heeft gehad dat bugs publiek bekend werden gemaakt, ze ze zelf ook liever doodzwijgen en er heel erg veel langer over doen om erop in te gaan of het zelfs te fixen.
Jammergenoeg lijkt de certificering daar geen eisen aan te stellen, dus als ik dat ga meewegen dan voldoen ze volgens de certificering wel aan de zwaarste veiligheids eisen, maar kan de certificering ook nog zwaarder en dan valt MS er niet meer onder en de meeste andere OSes wel.

atomik @Bor • 31 oktober 2002 16:08

zonder met de certificeringseisen rekening te houden bij het ontwerp en de ontwikkeling van Win2k (dat was volgens mij niet een van de doelstellingen namelijk)

Wie zegt dat nu weer, dat het pas achteraf voor certificering is voorgedragen wil toch niet zeggen dat er bij het ontwerp geen rekening mee wordt gehouden?

Zo lang niet duidelijk is wat er precies gecontrolleerd is heeft het certificaat van Microsoft geen waarde voor mij.

Dat weet je dus met certificeringen voor andere produkten van bijv. Sun ook niet. Eigenlijk moet je dus stellen dat deze hele CC certificering voor jou geen waarde heeft, los van het geteste produkt.

Bor Coördinator Frontpage Admins / FP Powermod @atomik • 31 oktober 2002 17:13

Dat weet je dus met certificeringen voor andere produkten van bijv. Sun ook niet. Eigenlijk moet je dus stellen dat deze hele CC certificering voor jou geen waarde heeft, los van het geteste produkt.

Dat is niet wat ik bedoel. In het verleden is al vaker gebleken dat Microsoft (in tegenstelling tot bv SUN) erg creatief met de certificering is omgegaan door slechts een heel beperkt deel te laten evalueren en vervolgens te roepen dat hun hele product gecertificeerd is. Wat ik vreemd vind is dat ik bij Common Criterea zelf geen informatie over het certificeren van Microsoft vind.

edit: troll? check google en je zult zien dat dit absoluut waar is.

Verwijderd 31 oktober 2002 15:46

Andere OSen met een EAL 4 certificaat:

- Sun Solaris (TM) 8 Operating Environment
- Sun Trusted Solaris Version 8 4/01
- B1/EST-X Version 2.0.1 with AIX, Version 4.3.1

Om maar wat vergelijkings materiaal te noemen..
Er staat trouwens ook een leuk interview met kevin mitnick op die site.

Verwijderd @Verwijderd • 31 oktober 2002 16:25

Op welke level staat Linux?

Verwijderd @Verwijderd • 31 oktober 2002 17:22

Wat bedoel je met "Linux" Dat is net zo'n duidelijk als: "Op welk level staat windows"? Dit is een verzamel naam allerlie verschillen versie en distro's. Je hebt meerdere linux distributies. Dus je kunt niet een level toekennen aan "linux". Wel aan verschillende distributies B.V. Gentoo 1.4, RedHat8 of Suse7.

Marten @Verwijderd • 1 november 2002 22:40

Prima, maar noem dan es EEN linux met EEN level?

Aaargh! @Verwijderd • 31 oktober 2002 17:13

Ik denk niet dat linux ooit getest is.

Bor Coördinator Frontpage Admins / FP Powermod @Verwijderd • 31 oktober 2002 17:19

Linux is net zoals meerdere OS'sen nooit aangeboden voor Common Criterea testing en heeft dus geen enkel level. Vergeet niet dat een Common Criterea evaluatie erg veel geld kost (mede omdat het zoveel tijd kost).

Verwijderd 31 oktober 2002 18:46

Schnee von Gestern; Inleveren dat certificaat !

Artikel

awenmaek 1 november 2002 11:38

Verdere voorwaarden van die certificatie zijn te vinden op

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/sec urity/issues/W2kCCUG/default.asp

verder uitleg van een paar "rare" regels op http://www.theregister.co.uk/content/4/27877.html

Blijkbaar zijn er nog een hele hoop restricties (minder dan de C2 van NT, maar toch...)

vanDee898 31 oktober 2002 15:40

Zou 4 niet het hoogst zijn voor gewone commerciele/private toepassingen? Dat 7 dan is voor geleide wapensystemen, kerncentrales e.d.
Lijkt me niet onlogisch.

Nee hoor, maar een commercieel OS heeft nooit hoger gehaald dan 4

het hoogste niveau dat tot nu toe behaald is met een commercieel besturingssysteem

FireWire 31 oktober 2002 17:49

heel leuk voor microsoft hoor dat certificaat maar ik weet uit ervaring dat windows 2000 niet echt secure is omdat bijna geen een sysop het goed instelt wat dachten jullie van:

- IIS
- Slechte wachtwoorden

Ik vind dat ze voor zo'n certificaat eigenlijk 100 verschillende bakken moeten testen en niet eentje die ze van microsoft zelf hebben gekregen....

Oftewel dus gewoon 100 win2k bakken zoeken op internet en dan remote securety gaan testen...

Mart! @FireWire • 31 oktober 2002 18:02

Ahum? Dus het feit dat een sysop zijn zaakjes niet goed voor elkaar heeft, daar zou MS voor moeten boeten? Lijkt me niet helemaal eerlijk.

Als een gebruiker van een ander OS (ik noem geen namen) een eenvoudig wachtwoord zet op de administrator/root user dan is dat OS ook zo lek als een mandje. Ik ben het dus niet eens met je beargumentering.

In essentie is het (aldus deze certificering) een veilig OS, dat windows administrators er over het algemeen een zooitje van maken (ik heb het vaak gezien) is een probleem van betreffende organisatie en niet van MS.

Bor Coördinator Frontpage Admins / FP Powermod 31 oktober 2002 15:23

Overigens is Level 4 niet het hoogst haalbare niveau volgens mij. Op de Common Criterea site gaan ze helemaal tot Level 7.

Linkje: http://www.commoncriteria.org/docs/EALs.html

EAL7 - formally verified design and tested

EAL7 is applicable to the development of security TOEs for application in extremely high risk situations and/or where the high value of the assets justifies the higher costs. Practical application of EAL7 is currently limited to TOEs with tightly focused security functionality that is amenable to extensive formal analysis.

edit: na deze post is de originele newspost aangepast. hiervoor werd gemeld dat level 4 het aller hoogste niveau was.

Maurits van Baerle @Bor • 31 oktober 2002 15:34

Zou 4 niet het hoogst zijn voor gewone commerciele/private toepassingen? Dat 7 dan is voor geleide wapensystemen, kerncentrales e.d.
Lijkt me niet onlogisch.

Verwijderd @Maurits van Baerle • 31 oktober 2002 18:53

je zou idd denken dat dat soortsystemen heel veilig zijn:
http://wwwzenger.informatik.tu-muenchen.de/persons/huckle/bugse.html

tel het aantal NASA computerfailures maar eens

Auteur

zomertje @Bor • 31 oktober 2002 15:35

Je hebt gelijk, de nieuwsposting is aangevuld met wat extra informatie.

Verwijderd 31 oktober 2002 15:42

Waarom staat er geen bronvermelding bij het artikel van the register? Of kijk ik er overheen? Als je nl kijkt naar de lijst die zij aangeven via een link staat windows 2000 er helemaal niet bij, laat staan met niveau 4. Ik moet er bij zeggen dat de disclaimer van die lui erbij zeggen dat ze er zelf niet van uitgaan dat de lijst compleet is, alhoewel het me raar lijkt als ze windows 2000 er niet bij gezet zouden hebben.

Broodje aap?

Jan de Olde @Verwijderd • 31 oktober 2002 16:06

Hier staat het artikel op de site van Microsoft zelf..

Microsoft Windows 2000 Awarded Common Criteria Certification

mjtdevries @Jan de Olde • 1 november 2002 12:46

Interessante link. Eén ding blijkt hieruit heel duidelijk, en dat is dat we hier niet met een certificering á la de C2 certificering van NT4 te maken hebben, maar met een serieuze certificering gebaseerd op praktijk situaties.

Op zich ook weer niet zo vreemd dat win2000 dat klaarspeelt. Bedenk eens even hoeveel van de vulnerabilities die je kent ook echt in het OS zelf zitten?
In verreweg de meeste gevallen zijn het vulnerabilities in applicaties die op het OS draaien. (outlook bv)