IBM en SuSE zijn sinds afgelopen jaar bezig om beveiligingscertificaten binnen te halen voor SuSE's Enterprise Server-software op IBM's Big Blue-servers. Zo kregen zij afgelopen jaar het eerste beveiligingscertificaat dat ooit voor Linux is uitgegeven. Met deze certificaten proberen ze overheden over te halen om Linux ook voor kritische beveiligingstoepassingen te gaan gebruiken. De heren van InfoWorld weten te melden dat de twee bedrijven gisteren bekend hebben gemaakt dat ze nu ook beschikken over het Controlled Access Protection Profile Evaluation Assurance Level 3, of kortweg CAPP/EAL3+. Met dit certificaat kunnen SuSE en IBM ook systemen leveren aan bijvoorbeeld het Amerikaanse Ministerie van Defensie.
IBM en SuSE ontvangen hogere beveiligingscertificering
Lees meer
Mythen over veiligheid van Windows en Linux ontkracht
Nieuws van 23 oktober 2004
Red Hat bereikt Evaluation Assurance Level 2
Nieuws van 29 april 2004
IBM vernieuwt small business servers
Nieuws van 12 maart 2004
IBM neemt softwarefabrikant Trigo Technologies over
Nieuws van 10 maart 2004
Pools bedrijf waarschuwt voor onveiligheid in Linux
Nieuws van 22 februari 2004
Novell's overname SuSE rond: bescherming tegen SCO
Nieuws van 13 januari 2004
Novell update Ximian Desktop met ondersteuning voor SuSE
Nieuws van 8 januari 2004
Novell zet nieuwe stap in Linux-wereld
Nieuws van 17 december 2003
Fout in Linux-kernel maakte Debian-hack mogelijk
Nieuws van 2 december 2003
SuSE komt met update Linux Enterprise Server
Nieuws van 25 november 2003
SCO wil Novell's overname van SuSE blokkeren
Nieuws van 19 november 2003
Novell CEO benadrukt dat Netware niet zal verdwijnen
Nieuws van 13 november 2003
IBM ontwikkelt PowerPC 970 blades
Nieuws van 13 november 2003
IBM introduceert 4-way tot 16-way x455 Itanium II-server
Nieuws van 12 november 2003
Novell neemt SuSE Linux over
Nieuws van 4 november 2003
Reacties (27)
:strip_icc():strip_exif()/u/92026/crop56195d0097a4d_cropped.jpeg?f=community){kind=small}
Zijn er dan geen anderen die deze ecrtificaten hebben? MS ofzo of iets heel anders?
Dit zijn certificaten die aan een OS gegevens worden, dus ook aan windows.
Dacht dat Windows 2000 server level4 had.
kijk hier maar eens http://www.tweakers.net/nieuws/28201/?highlight=suse
Dacht dat Windows 2000 server level4 had.
kijk hier maar eens http://www.tweakers.net/nieuws/28201/?highlight=suse
/u/3875/gnu_linux_freebsd_openbsd_small_v2.png?f=community){kind=small}
Jawel, andere unices zoals AS/400 en HPUX en volgens mij ook producten van Microsoft hebben deze certificaten!
Maar dit is de eerste keer dat een Linux distributie dit bereikt en is daarom wel bijzonder!
Dit zorgt voor een bredere acceptatie van Linux
Maar dit is de eerste keer dat een Linux distributie dit bereikt en is daarom wel bijzonder!
Dit zorgt voor een bredere acceptatie van Linux
Gaat hier over Linux..
Lijkt me niet dat MS daar een certificate voor heeft
Lijkt me niet dat MS daar een certificate voor heeft
quote:
Met deze certificaten proberen ze overheden over te halen om Linux OOK voor kritische beveiligingstoepassingen te gaan gebruiken.
Welke OS doet dat nu dan? Ofwel IBM en SUSE zullen niet de enige zijn toch?
Met deze certificaten proberen ze overheden over te halen om Linux OOK voor kritische beveiligingstoepassingen te gaan gebruiken.
Welke OS doet dat nu dan? Ofwel IBM en SUSE zullen niet de enige zijn toch?
:strip_icc():strip_exif()/u/53754/crop5f96dc1010e28_cropped.jpeg?f=community){kind=small}
lach niet maar ik geloof zelfs ergens gelezen te hebben dat winNT en opvolgers zelfs CAPP/EAL6+ hebben.
Mocht dit zo zijn dan heeft Linux nog een lange weg te gaan.
Mocht dit zo zijn dan heeft Linux nog een lange weg te gaan.
SuSE is al sinds jaar en dag bezig de beveiliging zo goed mogelijk te krijgen, zonder daar performance of varianten op in te leveren.
Dat dit eraan zat te komen is alom bekend, maar pusht ook de distributors van grote pakketten om meer aandacht hieraan te besteden!
// Nu de CAPP/EAL3+ approval erdoor is, lijkt de weg vrij voor 'publieke' acceptatie van dergelijke distro's en systemen door de US government.
Tuurlijk gebruiken die al jaren linux en varianten, maar nu het 'publiekelijk' interessant wordt dit te verkondigen (reclame SuSE/IBM) wordt de markt ineens een stuk groter. //
Dat dit eraan zat te komen is alom bekend, maar pusht ook de distributors van grote pakketten om meer aandacht hieraan te besteden!
// Nu de CAPP/EAL3+ approval erdoor is, lijkt de weg vrij voor 'publieke' acceptatie van dergelijke distro's en systemen door de US government.
Tuurlijk gebruiken die al jaren linux en varianten, maar nu het 'publiekelijk' interessant wordt dit te verkondigen (reclame SuSE/IBM) wordt de markt ineens een stuk groter. //
/u/30402/icon2.png?f=community){kind=small}
Wat ik niet begrijp is dat Linux pas nu zo'n hoge certificering heeft gekregen, terwijl NT 4.0 en daarna Windows 2000 het al jaaaaren hebben....
En (sterker nog) dat op o.a. het NOS forum men altijd zegt dat Linux (juist) veel veiliger is....
(Een deel van de verklaring is waarschijnlijk dat distro's eerder het geld er niet voor hebben (over) gehad om de certificering aan te vragen - en MS wel )
En (sterker nog) dat op o.a. het NOS forum men altijd zegt dat Linux (juist) veel veiliger is....
(Een deel van de verklaring is waarschijnlijk dat distro's eerder het geld er niet voor hebben (over) gehad om de certificering aan te vragen - en MS wel
)
Psies, die certificering kost 400.000 tot 500.000 dollar en dat is meestal niet beschikbaar bij open source projecten.
NT 4 had volgens mij bepaalde niveau's alleen als er geen netwerkkaart in zat hoor. Dat kun je wel certificering noemen maar persoonlijk hecht ik toch wel waarde aan het idee dat m'n server het netwerk ook in mag.
Waarom moet een goed bericht voor de diverse Linux distributeurs nu meteen weer ontaarden in een negatieve reactie aan de kant van Microsoft?
Misschien ontbrak er nog wel het een en ander aan die distro waardoor de certificering er nog niet was?
Ik weet niet precies wat die certificering behelst, maar het zal wel een stuk meer inhouden dan alleen technisch je zaakjes voor elkaar hebben, als het Amerikaanse DoD dit level vereist...
@Kheldar:
En IBM kan dat ook niet ophoesten denk je???
@YaPP:
Pinockio impliceert dat een bedrijf met een minder veilig OS, zoals Microsoft, toch een hogere graad van certificering kan halen, enkel en alleen omdat men meer geld heeft. Als dit zo is, wat ik ten zeerste betwijfel, dan is dus die hele certificering geen f*ck waard, wat ik helemaal betwijfel, anders hect het DoD er heus geen waarde aan.
Misschien ontbrak er nog wel het een en ander aan die distro waardoor de certificering er nog niet was?
Ik weet niet precies wat die certificering behelst, maar het zal wel een stuk meer inhouden dan alleen technisch je zaakjes voor elkaar hebben, als het Amerikaanse DoD dit level vereist...
@Kheldar:
En IBM kan dat ook niet ophoesten denk je???
@YaPP:
Pinockio impliceert dat een bedrijf met een minder veilig OS, zoals Microsoft, toch een hogere graad van certificering kan halen, enkel en alleen omdat men meer geld heeft. Als dit zo is, wat ik ten zeerste betwijfel, dan is dus die hele certificering geen f*ck waard, wat ik helemaal betwijfel, anders hect het DoD er heus geen waarde aan.
Nee, maar als je mijn post goed leest zul je zien dat ik dat ook niet beweer. Ik vraag me iets af en da's heel iets anders. Trouwens iets lager nome je zelf het punt van documentatie al...Heb je feiten?
Hmmf, als een veronderstelling al moet worden afgebrand, waar blijven we dan in deze wereld..Wil je dus aub niet uit je nek kletsen!
Dus jij merkt ook wel dat dit geen reële reactie van je was?* YaPP doet nu een vuurvrij vest aan
IBM kan dat _juist_ ophoesten, daarom hebben zij nu wel die certificering en andere linux distro's niet.En IBM kan dat ook niet ophoesten denk je???
Zo schijnt Red Hat financiele hulp van Oracle te krijgen om hun servereditie op Level 2+ te krijgen ( http://www.tweakers.net/nieuws/28201 ).
:strip_icc():strip_exif()/u/68401/crop621367cd595e0_cropped.jpg?f=community){kind=small}
off topic, maar toch:
Wil je dus aub niet uit je nek kletsen!
* 786562 YaPP
..Ik vind dit anders niet negatief.Waarom moet een goed bericht voor de diverse Linux distributeurs nu meteen weer ontaarden in een negatieve reactie aan de kant van Microsoft?
Heb je feiten?Misschien ontbrak er nog wel het een en ander aan die distro waardoor de certificering er nog niet was?
...dus?Ik weet niet precies wat die certificering behelst, maar het zal wel een stuk meer inhouden dan
Wil je dus aub niet uit je nek kletsen!
* 786562 YaPP
:strip_icc():strip_exif()/u/69284/crop57e50be3c39f4_cropped.jpeg?f=community){kind=small}
@pinockio
Waarom is je neus dan zo lang?Als je goed leest zie je dat ik helemaal niets impliceer. Ik verwijs alleen naar de mening van anderen, en naar feiten.
Je hebt helemaal gelijk. Het zegt vrij weinig en is tamelijk onwerkbaar. De problematiek is goed uitgelegd door security guru Bruce Schneier in zijn Newsletter.
Het laat vooral zien hoe moeilijk het is om iets zinvols te zeggen over software beveiliging.
Het laat vooral zien hoe moeilijk het is om iets zinvols te zeggen over software beveiliging.
Op slashdot werd gister een sterke opmerking geplaatst hierover.Wat ik niet begrijp is dat Linux pas nu zo'n hoge certificering heeft gekregen, terwijl NT 4.0 en daarna Windows 2000 het al jaaaaren hebben.... [...] Een deel van de verklaring is waarschijnlijk dat distro's eerder het geld er niet voor hebben (over) gehad om de certificering aan te vragen - en MS wel.
"Over het algemeen zegt een een EAL4 niet veel, het geeft eerder aan hoeveel geld Microsoft heeft besteed _aan documentatie_ om aan te tonen dat hun systeem EAL4 waardig is".
Het heeft dus inderdaad iets met geld te maken. Zie hier ook een link naar de verschillende EAL niveau's
:strip_icc():strip_exif()/u/48567/viribox_60x60.jpg?f=community){kind=small}
Wat een BS dat zo'n certifcering 4 tot 5 ton moet kosten, dacht dat het om veiligheid ging, niet om het kunnen betalen van een certifikaat
Meestal zijn security certificaten in de stijl van - spendeer dit bedrag aan investeringen & manuern om het te proberen kraken - budget op en nie gekraakt: ge krijgt het certificaat. De bedrijven die zo'n certificaten uitgeven halen er dan gewoon hun geld uit doordat er meerdere klanten hetzelfde certificaat moeten halen, en ze dus minder investeringen daarvoor moeten doen. De afschrijving en de manuren zijn hun voornamelijke kosten - waarbij de afschrijving dan over verschillende klanten kan gespreid worden...
Dit soort zaken worden volgens mij in het algemeen iets systematischer aangepakt. Er wordt gekeken welke features aanwezig zijn en hoe deze geimplementeerd zijn. Als dit voldoet aan de gestelde eisen krijgt men het certificaat.
Omdat hier alsnog vrijveel mensen er vrij veel kennis van zaken een tijdje mee bezig zijn, kost zo een certificaat de nodige duiten.
Omdat hier alsnog vrijveel mensen er vrij veel kennis van zaken een tijdje mee bezig zijn, kost zo een certificaat de nodige duiten.
:strip_exif()/u/29037/sousuke02a.gif?f=community){kind=small}
er moeten toch echt mensen aan zo'n systeem zitten om te kijken of het daadwerkelijk veilig is. die mensen werken ook niet voor niets (en zitten veelal met veel mensen aan zo'n systeem te werken)
Zo'n certificaat zegt helemaal niets. Bij Windows NT (en alle andere Windows versie trouwens ook, maar van Win NT ben ik zeker dat ze een EAL hebben) kan bijvoorbeeld IEDER proces de eigenschappen van venster van een ANDER proces aanpassen d.m.v. een volledig gedocumenteerd event (message)te sturen naar dat proces. Dit wordt bijvoorbeeld gebruikt om buffer overflows te creeren vanaf de host zelf (of remote bij Terminal Server) zodat de gebruiker kan werken als LocalSystem (wat hoger is als Beheerder).
Dit is geen bug, maar de ontwerpfout in de hele Windows serie. Alleen daarom al had NT een EAL2 of hoger certificaat kunnen halen. Zo'n fout had een controleur nooit mogen missen !
Uiteraard heeft X dat probleem niet, maar dat komt vanwege zijn multi-user origine.
Dit is geen bug, maar de ontwerpfout in de hele Windows serie. Alleen daarom al had NT een EAL2 of hoger certificaat kunnen halen. Zo'n fout had een controleur nooit mogen missen !
Uiteraard heeft X dat probleem niet, maar dat komt vanwege zijn multi-user origine.
Om dit nog toe te lichten, is dit zeer interessant:Bij Windows NT (en alle andere Windows versie trouwens ook, maar van Win NT ben ik zeker dat ze een EAL hebben) kan bijvoorbeeld IEDER proces de eigenschappen van venster van een ANDER proces aanpassen d.m.v. een volledig gedocumenteerd event (message)te sturen naar dat proces.
http://security.tombom.co.uk/shatter.html
Heel kort samengevat:
Het komt er inderdaad op neer dat ieder programma in Windows een venster heeft waar je events naar kan sturen. Je kan via het message-systeem van Windows binaire code in een tekstvak van je virusscanner laten plaatsen, en vervolgens een ander message sturen waardoor je virusscanner die code uitvoerd...!
Dit probleem is ontstaan door de ontwerpkeuzen die Microsoft gemaakt heeft, en kan volgens de auteur van het artikel alleen worden opgelost door de compatibiliteit met alle Windows applicaties te breken.
Onder X kan een applicatie alleen notificatie-berichten sturen... en geen controle berichten om tekst te plakken, en helemaal niet een applicatie de opdracht geven om 'naar een locatie het geheugen te springen, en code daar uit te voeren'.Uiteraard heeft X dat probleem niet, maar dat komt vanwege zijn multi-user origine.
:strip_exif()/u/47900/baph.gif?f=community){kind=small}
EAL3 heeft jammer genoeg niet zo veel te betekenen.
Als 1 van de onderdelen die gebruikt werden om de EAL te krijgen, een bug heeft mag je deze niet zomaar updaten. Want dan ben je, je EAL weer kwijt ...
Dus een systeem met EAL3 is niet echt werkbaar
Als 1 van de onderdelen die gebruikt werden om de EAL te krijgen, een bug heeft mag je deze niet zomaar updaten. Want dan ben je, je EAL weer kwijt ...
Dus een systeem met EAL3 is niet echt werkbaar
In hetzelfde artikel staat ook dat Red Hat niet ver van een EAL2 af is.
Wat te denken van 'publiekelijke' acceptatie van een hoge beveiligingsstandaard?
Als nu inderdaad de US Gov. een setje van die distro's laat draaien, wordt voor SuSE / IBM de markt opeens aanzienlijk groter, daar de grote bedrijven dan gaan inzien dat het pakket kennelijk aan een hoop eisen voldoet. Positieve reclame dus voor Linux in 't bedrijfsleven, waardoor het marktaandeel van MS welleens een stuk sneller kan gaan inkrimpen...
Als nu inderdaad de US Gov. een setje van die distro's laat draaien, wordt voor SuSE / IBM de markt opeens aanzienlijk groter, daar de grote bedrijven dan gaan inzien dat het pakket kennelijk aan een hoop eisen voldoet. Positieve reclame dus voor Linux in 't bedrijfsleven, waardoor het marktaandeel van MS welleens een stuk sneller kan gaan inkrimpen...
Op dit item kan niet meer gereageerd worden.