Red Hat bereikt Evaluation Assurance Level 2

Versie 3 van Red Hat Enterprise Linux voldoet sinds enkele dagen aan de eisen voor Evaluation Assurance Level 2 (EAL2) van de internationaal erkende Common Criteria-certificering, zo is te lezen bij C|Net. Veel overheden zijn geïnteresseerd in gecertificeerde software omdat daaruit een bepaalde mate van veiligheid blijkt. Voor softwarebedrijven kan een certificering positief uitwerken omdat de kans groter is dat de software voor kritische beveiligingstoepassingen gebruikt zal gaan worden waardoor hun omzet toe kan nemen. Red Hat is een laatkomer voor de EAL2-certificering. SuSE Linux, eigendom van Novell, bereikte deze status vorig jaar augustus al en sinds half januari is SuSE zelfs al EAL3-gecertificeerd. Windows 2000 is sinds eind oktober 2002 EAL4-gecertificeerd. Dit is de hoogste certificering die een commercieel product gehaald heeft, de EAL-schaal loopt door tot 7. Red Hat zal in versie 4 van Red Hat Enterprise Linux delen van het Security Enhanced Linux-project verwerken waardoor de veiligheid van het systeem verder zal verbeteren.

Reacties (34)

shredder 29 april 2004 23:19

Windows 2000 EAL4-gecertificeerd???

Mijn Zwitserse gatenkaas lekt nog minder...

Nee ff serieus: kan iemand me vertellen hoe geloofwaardig dit is en/of deze certificering serieus genomen moet worden? Of liever gezegd, waar dit vanaf hangt? (aantal pleisters per week?)

begintmeta @shredder • 30 april 2004 12:37

Ik heb een interessante link hierover gevonden.

By now, you may have heard that Microsoft has received a Common Criteria certification for Windows 2000 (with service pack 3) at Evaluation Assurance Level (EAL) 4. Since a bunch of people know that I work on operating system security and on security assurance, I've received lots of notes asking "What does this mean?" On this page I will try to answer the question. For the impatient the answer is:

"Security experts have been saying for years that the security of the Windows family of products is hopelessly inadequate. Now there is a rigorous government certification confirming this."

Om de vluchtige lezer niet te laten denken dat het een flame-link is nog een citaat:

It also needs to be acknowledged that commercial UNIX-based systems like Linux aren't any better...

Verwijderd @begintmeta • 2 mei 2004 22:45

sinds wanneer is linux commercieel...?
er zijn idd commerciele distributies, maar linux zelf is niet commercieel...

Wouter Tinus @shredder • 30 april 2004 01:19

EAL moet zeker serieus genomen worden, het is zelfs bijna onmisbaar voor leveranciers die contracten bij overheden willen krijgen (denk o.a. aan het Amerikaanse leger), maar voor bedrijfskritische systemen in het algemeen speelt het ook een rol. Als het niet de moeite waard was in de vorm van extra klanten dan zou men niet bereid zijn om een half miljoen dollar per niveau uit te geven aan die audits. De verschillende commerciële Linux-leveranciers zien er dus zeker brood en om mee te kunnen dingen op de met jongens op level 4 (o.a. Windows 2000, AIX, Solaris, HP-UX en Tru64 UNIX).

Het gaat bij deze certificering eigenlijk niet echt over de hoeveelheid fouten die gevonden wordt (ieder pakket moet immers goed beheerd worden om het veilig te krijgen en houden), maar naar de aanwezigheid van allerlei beveilings-, privacy- en beheersfeatures. Ook ontzettend belangrijk is de hoeveelheid documentatie en verschillende vormen van ondersteuning die de leverancier kan bieden. Moeten zoeken op Google naar antwoorden levert een OS echt dikke minpunten op

.

De verschillende levels zeggen ook weinig over de functionaliteit, maar meer over de mate waarin er getest is. EAL1 betekent functioneel getest, EAL2 is structureel getest, EAL3 is methodisch getest en gecontroleerd en EAL4 is methodisch ontworpen, getest en gereviewd. Om hoger dan level 4 te komen moeten er deels formele (wiskundig bewezen) ontwerpen op tafel komen en dat heeft volgens mij tot nu toe geen enkel OS gedaan.

Voor meer info:
http://niap.nist.gov/cc-scheme/index.html algemeen en
http://www.niap.nist.gov/cc-scheme/cc_users_guide.pdf specifiek

Olaf van der Spek @Wouter Tinus • 30 april 2004 10:18

overheden willen krijgen (denk o.a. aan het Amerikaanse leger),

Er is nogal een groot verschil tussen "de overheid" en "het Amerikaanse leger".

stappel_ @shredder • 29 april 2004 23:33

volgens mij was windows gecertificeerd in een standalone omgeving. dus zonder netwerk verbindingen.

arnob @stappel_ • 30 april 2004 03:40

Ik heb al meer van dat soort verhalen gehoord maar voor zover ik voorheen kon nalezen is het meer een kwestie van drivers van derden die niet (zo maar) gebruikt mogen worden.
Alleen gecertificeerde (en gesigneerde) drivers. Dat is ook wel logisch, een 'super veilig' systeem met drivers die in een kwartiertje door een vaag bedrijfje of persoon gemaakt zijn kunnen rare dingen doen.
Waarschijnlijk alleen de meegeleverde drivers, alle anderen zijn nu eenmaal niet in de testen meegenomen.

EnsconcE @arnob • 30 april 2004 13:25

er zijn ook niet meegeleverde drivers die windows gecertificeerd zijn(whql).

ik vind het raar dat windows een eal4 krijgt voor intern, want waar het eigenlijk om draait is de externe beveiliging. vooral tegenwoordig

thegve @stappel_ • 30 april 2004 00:59

In dat geval kan het wel kloppen dat windows een niveautje hoger gehaald heeft, aanvallen "van binnenuit" is een relatief zwak punt in linux...

Verwijderd @stappel_ • 30 april 2004 09:57

Dat was NT4 tijd volgens mij

Verwijderd @stappel_ • 30 april 2004 10:43

Het EAL level 4 certificaat van Windows 2000 is wel degelijk met netwerkmogelijkheden. Ikke2 verwart EAL met de C2 certification van Windows NT destijds.

frogger3d @stappel_ • 30 april 2004 00:35

+2 informatief??

sweetdude @shredder • 29 april 2004 23:44

ze vergeten er wel even voor het gemak bij te vermelden dat dit dus windows 2000 MET SP3 is geweest. Dus al +/- 125MB aan geplette bugs. Ja, ik kan dat best geloven.

Windows 2000 en XP eigenlijk ook zijn vrij stabiel mits je er niet teveel gekke dingen naast elkaar draait. Maar dat geld voor ieder OS. Pak linux niet speciaal gecompileerd en gewoon out of the box in een omgeving waar er veel op gekloot wordt en dat krijg je ook instabiel.

Vergeet niet dat als er weer een leak in windows is dit breed in de media vermeld wordt. Over alle bugs in linux hoor je (bijna) niets. Simpelste voorbeeld is bijvoorbeeld Firefox versus IE:
Kijk dan eens goed naar de buglist van Firefox!
Heeft iemand ooit iets gehoord van een Leak in firefox terwijl deze er heus wel zijn geweest?

begrijp me niet verkeerd ik gebruik ook Firefox maar wat ik bedoel is dat er veel meer aandacht aan bugs van microsoft wordt gegeven dan aan andere systemen. Daardoor krijgt het sneller de naam slecht ondanks dat het dat niet altijd is. Als het echt zo slecht was gebruikte het niemand!

_Thanatos_ @sweetdude • 30 april 2004 04:06

125MB aan bugs? hoe kom je daar nou bij? Hoe groot is een bug dan?

Ff nadenken voordat je dat zegt he... het zijn gewoon bestanden die in een SP zitten. 125MB aan bestanden waarin minstens 1 byte anders is.

gridfox @_Thanatos_ • 30 april 2004 07:25

Ja, bestanden om bugs te herstellen. Je had even over 'geplette' gelezen . . . . . . Beviel de Koninginnenach?

GeniusDex @sweetdude • 30 april 2004 09:52

Als jij een gebroken been krijgt kraait er in verhouding ook bijna niemand naar als je 't vergelijkt met balkenende. Spullen van MS (Windows/IE/etc) zijn gewoon veel populairder en daardoor meer in het nieuws. Als 't nou 50/50 verdeeld zou zijn zou er ook veel meer nieuws over linux/firefox komen......

Verwijderd 30 april 2004 00:23

Mensen, let even goed op. Het feit dat Win2k een hogere certificering heeft dan Linux betekent niet dat Win2k veiliger bevonden is.

Het aanvragen van een certificering kost veel tijd een nog veel meer geld. Linux bedrijven hebben nog maar sinds kort het geld om zo'n aanvraag te kunnen doen, en 'liggen dus achter' op Microsoft. Verder moeten ze steeds heel lang sparen voordat ze hun spaarpotje kunnen legen voor de volgende certificeringsronde.

Certificering is leuk, maar als je al je geld erin moet stoppen kan je dat niet zo vaak doen. Geld stoppen in betere security en software is een stuk nuttiger. Bovendien, mensen met kennis van zaken hoeven niet naar het certificeringslevel achter op de doos te kijken om erachter te komen hoe veilig een OS is.

Verwijderd @Verwijderd • 30 april 2004 10:41

Red Hat heeft genoeg geld om een EAL certificatie te doorlopen. En IBM heeft de certificatie van Suse betaald om aan te tonen dat Suse op IBM hardware veilig was. Ze hebben dit nodig, vooral om bij de overheid serieus genomen te worden. Het feit is dus dat Linux niet hoger haalt dat level 3.

EAL1 betekent functioneel getest, EAL2 is structureel getest, EAL3 is methodisch getest en gecontroleerd en EAL4 is methodisch ontworpen, getest en gereviewd.

Je kan je ook afvragen of het ooit hoger haalt dan level 3 want hoe ga je een Open Source systeem ooit "methodisch ontwerpen"?

iKiddo @Verwijderd • 1 mei 2004 00:44

Red Hat heeft genoeg geld om een EAL certificatie te doorlopen.

Nee, Oracle had genoeg geld beschikbaar om de eerste twee EAL certificaties voor Red Hat te betalen.

En IBM heeft de certificatie van Suse betaald om aan te tonen dat Suse op IBM hardware veilig was. Ze hebben dit nodig, vooral om bij de overheid serieus genomen te worden. Het feit is dus dat Linux niet hoger haalt dat level 3.

Volgens mij probeer jij hier aan te geven dat er wel degelijk genoeg geld (over tijd heb je het niet eens) is om Linux te certificeren. Jouw conclusie, dat Linux dus wel niet hoger zou kunnen halen, klopt van geen kant. Linux zit nog steeds met het probleem dat er later geld beschikbaar kwam bij bedrijven voor certificering van Linux dan bij Microsoft voor haar eigen producten.
Het feit is niet dat Linux niet hoger haalt dan niveau 3, maar dat het niet hoger heeft dan niveau 3.

Je kan je ook afvragen of het ooit hoger haalt dan level 3 want hoe ga je een Open Source systeem ooit "methodisch ontwerpen"?

Sjonge jonge. Je kan een open source systeem net zo goed methodisch ontwerpen als elk willekeurig ander systeem. Wat doet je denken dat dit niet zou kunnen?
Als ik met 3 collega's een of ander nieuw project opzetten, dan maakt het toch niet uit hoe we uiteindelijk beslissen om onze software te licentiëren voor hoe we het ontwerpen?
Dat niet bij elk project aan het begin genoeg aan de ontwerpfase wordt besteedt is onafhankelijk van de licentie.

dasiro 30 april 2004 00:39

iedereen spreekt hier enkel maar van commerciële OS'en, terwijl de enigsten die tot de hogere EAL-statussen zijn doorgedrongen niet-commerciële, dus bedrijfseigen, OS'en zijn. deze kán je gewoon niet vinden en imho zijn er genoeg bedrijven/overheidsdiensten die voor zoiets wel een bundeltje geld gereserveerd hebben.

Verwijderd 30 april 2004 12:04

ik geloof er persoonlijk ook helemaal niks van die EAL laat maar eens even wat spyware los of een WORM dat is windows 2000 daar veel vatbaarder op dan linux en trouwens linux is zo'n breed begrip er zal vast wel een versie zijn die veel hoger kan scoren dan win2K maar ik vraag mij dan ook weer af hoe serieus moet ik die EAL nemen

El Cid 29 april 2004 23:55

Zou zoiets ook mogelijk zijn voor Debian? Of een van de BSD's? Die staan toch bekend als heel robuust.
Met name OpenBSD moet dat certificaat toch met gemak kunnen bemachtigen.

FendtVario @El Cid • 30 april 2004 00:05

Het zal wel niet alleen gaan om de robustheid van een systeem, maar ook de manier waarop policies ingesteld kunnen worden, gecontroleerd en afgedwongen. Kan me ook voorstellen dat er gelet wordt op de mogelijkheden om events (logfiles) op een machine te analyseren en de snelheid waarmee fouten worden opgelost.

* 786562 FendtVario

AntiChris @FendtVario • 30 april 2004 00:13

En het heeft te maken met hoeveel geld je uit te geven hebt... EAL-certificering kost werkelijk klauwen met geld en Debian en de BSD's hebben niet echt grote bedrijven achter zich staan die het er voor over hebben om dit voor ze te betalen.

Dat is wel jammer aan dit systeem, want hele goede systemen kunnen op deze manier door suits "over het hoofd gezien worden" bij hun softwarekeuze.

iKiddo @AntiChris • 1 mei 2004 00:29

Debian's Linux had 286 flaws reported, with 57% being high severity; it fixed 96.2% of those total flaws, and averaged 57 days of risk, but only 32 days of distribution risk.

Ter vergelijking: de Windows stack (incl. SQL server etc.) had 128 flaws en repareerde 100% in een gemiddelde van 25 dagen!

Dat rapport is al een tijdje terug onder handen genomen, het kwam erop neer dat Microsoft zulke resultaten kon behalen door pas officieel te erkennen dat een bug bestaat vlak voor de patch released wordt, maar nadat de bug ontdekt is.

Verder klopt de suggestie niet dat Debian een minder veilige distributie is. Distributies hebben over het algemeen heel weinig distributie specifieke code. Het overgrote deel van de bugs ligt dus niet aan de distributie, maar aan de ontwikkelaars van de betreffende software. Hierdoor krijg je bij een vaste ratio bugs per software pakket (of regels code - komt op hetzelfde neer) automatisch meer bugs bij distributies die meer software beschikbaar stellen aan hun gebruikers.

En volgens Forrester is het ook de distributie die er lang over doet om de fouten te repareren (en in Debian's geval soms zelfs helemaal niet te repareren) - bron: http://www.cbronline.com/todaysnews/08de2e3972ad87b080256e6900385794

In de link die jij aanhaalt staat precies het tegenovergestelde van wat jij beweert:

[...] the average days of risk for the Red Hat platform was 57, with 47 days of distribution risk.

Debian's Linux [...] averaged 57 days of risk, but only 32 days of distribution risk.

En wat bedoel je met "en in Debian's geval soms zelfs helemaal niet te repareren", want er staat heel duidelijk dat zowel Red Hat als Debian niet patches voor 100% van de bugs, die gemeld werden in de periode tussen 1 juni 2002 en 31 mei 2003, konden leveren aan hun gebruikers.
Als de patch dus op 1 juni 2003 uitkwam geldt het bij dit onderzoek als een niet opgeloste bug!

Verwijderd @AntiChris • 30 april 2004 10:54

Nou, nou, zo goed is Linux ook weer niet. Over heel 2003 was Debian bijvoorbeeld de distributie met de meeste veiligheidslekken - bron: http://www.theinquirer.net/?article=13420

En volgens Forrester is het ook de distributie die er lang over doet om de fouten te repareren (en in Debian's geval soms zelfs helemaal niet te repareren) - bron: http://www.cbronline.com/todaysnews/08de2e3972ad87b080256e6900385794

Debian's Linux had 286 flaws reported, with 57% being high severity; it fixed 96.2% of those total flaws, and averaged 57 days of risk, but only 32 days of distribution risk.

Ter vergelijking: de Windows stack (incl. SQL server etc.) had 128 flaws en repareerde 100% in een gemiddelde van 25 dagen!

Daarnaast kan je je afvragen of het Open Source model uberhaupt wel veilig is. Verreweg de meest web site die "defaced" worden draaien op Linux. En de manier waarop hackers dat doen is de code te bestuderen naar "onbekende" security leaks - bron: http://www.zone-h.org/en/stats

Linux heeft nog een lange weg te gaan...

papmetklonten 29 april 2004 23:30

het is het meest gebruikte OS in de wereld, dus vind je het gek dat ze dingen blijven vinden?

crazyx @papmetklonten • 29 april 2004 23:46

Als je zo'n certificaat krijgt, dan zou het eigenlijk moeten zeggen dat het een veilig product is, en dat je niet elke week om 3u snachts moet opstaan (als je een beetje een belangrijke server hebt) omdat er een belangrijk lek gevonden is, voor mij maakt het echt niet uit of het veel gebruikt is of niet.

LaMoS @_Thanatos_ • 30 april 2004 04:39

Kijk, deze post wordt gewoon een open deur intrappen (ook welis leuk

)

Primo: Linux is een van de meest gebruikte OS's (mss de grootste, kzen ni zeker) op servers verbonden met het internet. Ja, Linux heeft z'n ongediertje en veel, maar voor veruit het grootste deel zo onschadelijk als maar zijn kan. Van het schadelijk deeltje is het aandeel van remote exploids enzo gruwelijk klein. Die open source projectjes spuwen er om de week wel een nieuwe versie uit voor welke opmaakfout er in de GIU van hun kindje zat. Bij MS is het nu gewoon bij elke volle maan minstens een half dozijn highy critical patches onze weg opstuurd. En dan zijn er nog hopen bugs die nooit eruit zullen worden gehaald, omdat anders de rest als een kaartenhuis opeen zal vallen. http://security.tombom.co.uk/shatter.html (Hoe admin rechten te krijgen als user

)

Secundo: Jahaaa, hoge uptimes bij Linux, hoe zou dat toch komen, welke wondere techniek maakt dit mogelijk?
PatchenZonderTeRebooten™, alleen maar als je een nieuwe kernel installeerd.

_Thanatos_ @_Thanatos_ • 30 april 2004 20:42

Dat je niet reboot, betekent in theorie niet dat je uptime bewaard blijft... kijk maar: als je een patch over je webserver installeert, dan herstart je die service/daemon gewoon ff (je kan immers nooit een file patchen die geopend/gestart is). uptime telt dus door, maar omdat het een webserver is, is ie dus wel een paar seconden down geweest. dus die uptime-telling is dan dus vals.

Dus de uptime van linuxen is in feite lager dan je in stats ziet. van windows klopt het gewoon en is het dus lager.