Windows 10 e o Windows Server 2019 são realmente seguros ?

Common Criteria

Sim, disse o Bill Gates ! (Não sei se ele realmente disse isso), mesmo que tenha dito, para o mundo te tecnologia a palavra direto do “vendor” não gera muito entusiasmo, e por isso é possível contar com sistemas de avaliação feita por organizações independentes.

Um laboratório independente faz os testes e gera relatórios de segurança e pode certificar um produto de tecnologia, assim o consumidor confiará mais pois trata-se da palavra de uma organização independente que testou e avaliou e não apenas a palavra do fabricante.

A certificação é uma analise técnica do produto que garante que ele vai de encontro com as necessidades atuais de segurança e dá uma nota.

Sistemas de Avaliação

Para saber, existem alguns sistemas de avaliação como por exemplo:

Trusted Computer System Evaluation Criteria(TCSEC) (Orange Book) – Desenvolvido pelo Departamento de Defesa dos Estados Unidos. Avalia a confidencialidade e vale para produtos não conectados à Internet

Information Technology – Security Evaluation Criteria (ITSEC) – Uma evolução do TCSEC, pois avalia dispositivos que estão conectados a rede Avalia não somente a confidencialidade, mas também a integridade e pode avaliar o nível de garantia do produto (Level Of Assurance).

Common Criteria

The Common Criteria information security evaluation framework ou apenas “Common Criteria” CC é um conjunto de diretrizes internacionalmente reconhecido e adotado como padrão internacional (ISO / IEC 15408) para a certificação de segurança de produtos de tecnologia da informação.

A uma certificação Common Criteria é importante, e nesse artigo vamos entender a diferença entre Perfis de proteção e Níveis de garantia de avaliação.

Profile Protection é uma validação baseada numa classe de dispositivos que identifica os requerimentos de segurança, como Sistemas Operacionais, Firewalls, etc,

TOE é o Target of Evaluation, define um produto ou sistemas que será avaliado, e em nosso artigo o TOE será o Windows Server 2019
Podemos consultar nos documentos o que foi definido como TOE (Security Audit,Cryptographic Support,User Data Protection e mais, consulte o documento através do link no fim desse artigo)

Security Target é um documento criado pelo vendor (Em nosso exemplo a Microsoft ) que define as funcionalidades especificas do produto e suas funcionalidades de segurança que ele diz possuir e o CC vai testar esses pontos e o resultado será uma classificação de avaliação chamada EAL (Evaluation Assurance Level) .

  • EAL1: Functionally Tested
  • EAL2: Structurally Tested
  • EAL3: Methodically Tested and Checked
  • EAL4: Methodically Designed, Tested and Reviewed
  • EAL5: Semiformally Designed and Tested
  • EAL6: Semiformally Verified Design and Tested
  • EAL7: Formally Verified Design and Tested

Cada EAL corresponde a um pacote de requerimentos quer são testados. Do mais simples o EAL1 ao mais completo teste o EAL7

Para responder a questão feita no inicio desse artigo, se o Windows 10 e o Windows Server 2019 são realmente seguros ?

Podemos consultar os relatórios :

Microsoft Windows 10 1909 and Microsoft Windows Server 1909 

Visite o site oficial https://www.commoncriteriaportal.org/products/ e tenha acesso a todos os resultados de avaliação de produtos do CC.

Anúncio

About Daniel Donda 550 Articles
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Be the first to comment

Leave a Reply

Your email address will not be published.


*