Hoy voy a hablar de Common Criteria EAL, con el fin de analizar qué sistema operativo se adecúa mejor a los estándares que establece esta norma. Lo hago a raíz de la reciente inclusión en el «top 10» de Microsoft Windows Server 2003 y Microsoft Windows XP, recientemente certificados.
Common Criteria (CC) es un estándar internacional relativo a seguridad informática. Concretamente, está fundamentado en las normas ISO/IEC 15408:2005 e ISO/IEC 18405:2005.8. El propósito de esta norma es permitir la especificación de los requisitos de seguridad a todos los niveles: usuarios, desarrolladores y evaluadores, siendo éstos últimos los que verifican si los requisitos que un usuario o desarrollador proclama se cumplen de un modo efectivo para un producto determinado. Podéis descargar CC en su última versión para curiosear por la documentación (advertencia: es muy espesa)
Es importante notar aquí que CC utiliza una graduación de requisitos llamada Evaluation Assurance Levels, normalmente conocidas como EALs, las cuales están numeradas del 1 al 7, siendo creciente el número de controles y requisitos a cumplir. Los niveles altos de EAL NO IMPLICAN necesariamente que el producto sea más seguro (por eso el título tiene la palabra «seguros» entrecomillada), sino que los niveles de seguridad que un desarrollador o usuario proclama tener en su producto han sido analizados de un modo más exhaustivo.
¿Y cuáles son los sistemas operativos más seguros, si atendemos a su graduación EAL? Para ello nos vamos al portal de Common Criteria, y buscamos, para usuarios, la lista de sistemas operativos evaluados. Y es aquí donde pueden surgir las sorpresas. Este es el listado de los 10 productos testados que mejores resultados han dado en el cumplimiento de EAL, en el apartado de sistemas operativos,ordenados de mayor a menor puntuación (nótese que la lista es simbólica, ya que dos productos con el mismo EAL tienen el mismo grado de cumplimiento, luego los puestos 1, 2 y 3 son permutables, entre sí, así como los 4 a 10)
Puesto 1: Processor Resource/ System Manager (PR/SM) on IBM zSeries 800 and 900
Grado de cumplimiento: EAL5
Fecha: Junio de 2003
Informe de certificación
Puesto 2: Processor Resource/ System Manager (PR/SM) forthe IBM eServer zSeries 900
Grado de cumplimiento: EAL5
Fecha: Febrero de 2003
Informe de certificación
Puesto 3: PR/SM on IBM zSeries 990
Grado de cumplimiento: EAL5
Fecha: Mayo de 2004
Informe de certificación no disponible
Puesto 4: XTS-400 / STOP 6.0.E
Grado de cumplimiento: EAL4+
Fecha: Marzo de 2004
Informe de certificación
Puesto 5: Windows 2000 Professional, Server, and Advanced Server with SP3 and Q326886
Grado de cumplimiento: EAL4+
Fecha: Octubre de 2002
Informe de certificación
Puesto 6: Microsoft Windows Server 2003 and Microsoft Windows XP
Grado de cumplimiento: EAL4+
Fecha: Noviembre de 2005
Informe de certificación
Puesto 7: Microsoft Internet Security and Acceleration Server 2004 – Standard Edition – Version 4.0.2161.50
Grado de cumplimiento: EAL4+
Fecha: Septiembre de 2005
Informe de certificación
Puesto 8: IBM i5/OS V5R3MO running on IBM eServer models 520, 550, and 570 with Software Feature Code 1930
Grado de cumplimiento: EAL4+
Fecha: Agosto de 2005
Informe de certificación
Puesto 9: SuSE Linux Enterprise Server Version 9 with certification-sles-ibm-eal4 package
Grado de cumplimiento: EAL4+
Fecha: Marzo de 2005
Informe de certificación
Puesto 10: AIX 5L for POWER Versi- on 5.2, Program Number 5765-E62
Grado de cumplimiento: EAL4+
Fecha: Noviembre de 2002
Informe de certificación
Otros sistemas que también están certificados como EAL4+
- Solaris 9 Release 08/03
- IBM LPAR for POWER 4 for the IBM pSeries Firmware Releases3R031021 (p630), 3K031021
- IBM AIX 5L for POWER V5.2 with Recommended Maintenance Package 5200-01, Program Number 5765-E62
El sistema operativo con peor valoración
Hewlett Packard Tru64 UNIX V5.1A
Grado de cumplimiento: EAL1
Fecha: Febrero de 2004
Informe de certificación
No deja de tener su interés esta clasificación. Un saludo :)
Vaya, me he quedado sorprendido, yo que pensaba que el Unix era el SO mas seguro. Muchas gracias por este tipo de información…
ejem. Unix FUE un sistema operativo de los años 60 hasta los 80.
Excepto Windows y sus variantes todos los que aparecen aquí están basados en Unix o en su kernel.
Por cierto, me río yo de la seguridad de Windows 2003 y windows 2000. Por defecto es una mierda
Leeido todo el informe
creo que lo que te dician de que windows es inestable mal sistema operaivo etc. era pura mierda encontra de microsoft.
a pesar de que windows todavia se llena de mala propaganda no es la primera vez que me dicen que todos los sistemas basados en unix no eran tan seguro como pensaban, solo fue una propaganda creada para hacer mas grandes las ventas de linux y solaris, bueno ahora haber que dicen los usuarios de estos sitemas que lo unico que les encuentro favorable es que son gratis.
pero de suguros por ser construidos a base de unix es falso. espero que ahora me digan que porque las empresas de antivirus sabotean los computadores de sus clientes para que se hagan luego de otra subscripcion. podrian averiguar de esto que si es confines de lucro.
Es un absurdo lo que acaba de opinar el amante de windows solo para que sepas windows solamente en el vista tenia 60 millones de lineas de codigo (en pura mierda) creado por el magnate de la microsoft bill gates, con el unico objetivo de obtener mas y mas dinero a costa de tener monopolizado el mercado.Windows solo es pura pacotilla su tecnologia ya es copia de otras como a sus inicioas y sino investiguen como surgio a partir de una estafa eso es microsoft una estafa , linux por su parte tiene una licencia gpl y es modificado por miles de personas en el mundo, un software que es para todos y que hoy por hoy sobrepasa con creces cual quier comparacion con windows, la unica ventaja que tiene windows es que tiene por ahora el mercado….
CORDIAL SALUDO.
COMO PUEDO OBTENER LA VERSION MAS RECIENTE DE COMMON CRITERIA, DONDE SE ESPECIFIQUE LOS ASPECTOS PARA CADA NIVEL EN LA VERSION DE ESPAÑOL
Que onda con el fan de microsoft??
Yo he trabajado con win.. server 2003 y la verdad esque no dura ni un mes sin caerse, en cambio, convencí a la jefa de probar con openSolaris (ajam ya no hay que pagar como tu dices) y todo anda de maravilla, lleva 6 meses y no ha dado problemas. Pero si, desde siempre los SO de IBM han resultado ser sumamente eficientes… Aunque si creo q microsoft soltó algo de dinero para aparecer ahí creo que esta bien hecha la lista
Al amante de Windows le diría que pruebe Linux, OpenSolaris y BSD y confirme por sus propios medios si es un mito o no que no dan tantos problemas de seguridad, aún desactualizados y /o con la configuración por defecto. Y de paso que pregunte en un foro algo de estilo «qué antivirus me recomiendan?» a ver lo que le responden…xD
Por cierto yo no odio a Windows, aunque no lo tengo en mi máquina -que originariamente vino con Linux y yo regresé al pingüino después de que casi me obligaran a usar XP – pero sí lo usa mi hermano en su laptop -que vino con Windows, así que está bien que lo siga usando-.