Сертификация программ от Microsoft

Леший из-за Лукоморья

Спецвыпуск: Хакер, номер #048, стр. 048-092-3

И последний подводный камень. Можно ли провести серьезную проверку на защищенность без доступа к исходным текстам, тем более для операционной системы? Ответ ясен. Однако Microsoft отличилась и тут. Сертификация Windows XP была блестяще проведена без оных, так как уровень доверия (еще один термин из "Общих критериев") к безопасности операционной системы не предполагал анализа исходных текстов программ.

О времени

Очевидно, что чем объемней анализируемый продукт, тем дольше процесс анализа. Первая российская сертификация Windows NT и MS SQL Server длилась 3 года, как и сертификация Windows 2000 за рубежом. А вот Windows XP наши "специалисты" освоили за 10 месяцев.

За время, требуемое на сертификацию, операционная система успевает обновиться одним или двумя Service Pack’ами, а также возможен вариант, когда появление сертификата совпадет с выходом новой версии ОС. Например, вполне вероятно, что завершение затеянной сертификации Windows 2003 по срокам совпадет с выходом Longhorn.

О людях

Все, даже самые серьезные, механизмы защиты не способны противостоять человеческой глупости и некомпетентности. Будешь хранить секретные ключи в корневом разделе диска или выберешь пустой пароль для своей учетной записи, и безопасность самой надежной и сертифицированной системы будет равна нулю :).

А кто проводит сертификацию? Те же люди, которые хотят получать достойную зарплату и квалификация которых должна быть не ниже той, которой обладают разработчики тестируемого ПО. Достаточно интересна дискуссия, развернувшаяся на форуме сайта sec.ru. В ней сотрудник сертификационной лаборатории делится секретами своей кухни, из чего становится ясно, как проводится у нас сертификация и чего стоят полученные сертификаты.

История вопроса

В России Microsoft уже неоднократно проходила по этой дорожке. Первый раз это произошло в далеком 1999 году, когда российское представительство программного гиганта сертифицировало 3 своих продукта: Windows NT Server 4.0, Windows NT Workstation 4.0 и MS SQL Server 6.5. Работа эта велась в интересах Минатома России в рамках соглашений с Министерством Энергетики США по контролю за нераспространением ядерных материалов. Сей процесс длился 3 года и завершился 18 марта 1999 года получением сертификатов Гостехкомиссии России.

Надо сказать, что гораздо раньше Windows NT 3.51 была сертифицирована в Америке по уровню C2, но, учитывая «распространенность» этой версии в России, можно о ней смело забыть.