SuSE Linux bereikt Evaluation Assurance Level 2

Op C|Net is te lezen dat SuSE Linux in combinatie met IBM xSeries-hardware voldoet aan Evaluation Assurance Level 2 (EAL2) van de internationaal vastgelegde Common Criteria. Om dit certificaat in ontvangst te kunnen nemen moet de software niet alleen aan een groot aantal beveiligingseisen voldoen, maar moeten de leveranciers ook voldoende documentatie en ondersteuning leveren. Met name overheden letten op het CC-niveau van de software die ze aanschaffen, en het certificaat zal SuSE en IBM dus helpen om contracten bij leger- en regeringstakken af te sluiten voor servers met SuSE.

Hoewel het behalen van het certificaat natuurlijk ook een leuke opsteker is voor Linux in het algemeen, zullen andere distributies eerst een uitgebreide audit moeten laten uitvoeren voor ze hem zelf ook mogen voeren. Hiervoor moet tussen de 400.000 en 500.000 dollar worden opgehoest. Red Hat, de meest gebruikte distributie, krijgt hulp van Oracle om later dit jaar hetzelfde niveau te bereiken. SuSE en IBM zijn overigens niet van plan om het bij EAL2 te laten zitten. Nog voor het eind van dit jaar hopen de partners voor de EAL3-test te slagen, en ook EAL4 zou in een later stadium bereikt moeten worden. Systemen als Windows 2000, Solaris, AIX en HP-UX zitten al op dat niveau. De schaal loopt overigens op tot EAL7:

The security of Linux is "pretty comparable to the security in commercial operating systems," said Neel Mehta a research engineer at Internet Security Systems whose job is to pore through code looking for potential weaknesses. "I think software is becoming more secure, and Linux has followed the same trend. You don't see the simple vulnerabilities or simple coding errors to the same extent you would three or four years ago."

Reacties (36)

ErrieR 5 augustus 2003 10:10

The security of Linux is "pretty comparable to the security in commercial operating systems," said Neel Mehta a research engineer at Internet Security Systems

In het commentaar wordt steeds over "Linux" in het algemeen gesproken, terwijl dit toch echt een certificering voor _Suse_ Linux in het bijzonder is.
Wat hebben ze nou eigenlijk gecertificeerd?

menke @ErrieR • 5 augustus 2003 10:35

Inderdaad een certificering voor Suse door Common Criteria (betaald door IBM en Suse).
De reactie is echter van Internet Security Systems (http://www.iss.net/) waarin de markt als geheel bekeken wordt.

Danster 5 augustus 2003 14:01

Even vanuit een ander licht bekeken. Wordt het misschien wat duidelijker.

WASHINGTON (AP) -- Linux software has been approved for use on the most sensitive computers in corporations and the federal government, including those inside banks and the Pentagon, an important step for software widely considered the top rival to Microsoft Corp.

The Common Criteria organization, an international technology standards body, certified Linux for the first time on "mission critical" computers, including those in America's top-secret spy agencies and those used to deliver ammunition, food and fuel to soldiers. The certification is akin to the technology industry's seal of approval.

Supporters said it could increasingly help persuade skeptical governments and corporations to consider Linux, created and developed collectively by an international community of programmers, as an alternative to Microsoft's flagship Windows software.

Linux was certified as providing only "low to moderate" security, compared with the same group's certification as "moderate to high" last year of the security of Microsoft's Windows 2000 software. Supporters said Linux software, whose popular mascot is a penguin, was under testing for better-security ratings.

The approval, being announced Tuesday, involves only one version of Linux, from SuSE Linux AG, a vendor based in Nuremberg, Germany, when the software is installed on a particular line of IBM's server computers. IBM, which paid roughly $500,000 for the testing, and SuSE were announcing the certification jointly.

"It gives us a much more solid footing," said Nicholas Donofrio, a senior vice president at IBM. "It opens up new horizons and new venues that we'd been precluded from. Everyone has had this view of Linux as interesting but done by hackers on a part-time basis, a bathtub of code."

The quality of Linux software has improved dramatically over recent years, when it was generally deemed powerful but overly complex for most computer users.

Some experts predicted that, while the new Linux certification could improve sales to government research labs and corporate behind-the-scene computers, the software probably won't displace Windows computers on the desks of government bureaucrats.

"Standard office computing is dominated by Microsoft. Somehow I suspect this won't change," said Przemek Klosowski, a scientist at the U.S. National Institute of Standards and Technology and organizer of the Linux users group in Washington. "Common Criteria is irrelevant in the area of office environments; it's more appropriate in the areas of DOD contracts and so on."

Verwijderd @Danster • 6 augustus 2003 16:11

Mooi stukkie !
mag ik hier misschien een bronvermelding van?

menke 5 augustus 2003 09:52

Meer info over Evaluation Assurance Levels op http://commoncriteria.org/docs/EALs.html

Edit:
Lijst met gecertificeerde OS's:
http://commoncriteria.org/ccc/epl/productType/eplinfo.jsp?id=4

ferdinand 5 augustus 2003 09:38

SuSE en IBM zijn overigens niet van plan om het bij EAL2 te laten zitten. Nog voor het eind van dit jaar hopen de partners voor de EAL3-test te slagen, en ook EAL4 zou in een later stadium bereikt moeten worden. Systemen als Windows 2000, Solaris, AIX en HP-UX hebben dat niveau al bereikt.

Dat snap ik nou niet. Linux staat altijd bekend als het meest veilige OS en dan blijkt dat Windows al jaren veel veiliger is?

Verwijderd @ferdinand • 5 augustus 2003 09:42

Veiligheid, robuustheid, what's in a name.
Het zijn levels van minimale beveiligingseisen.

Over het stuk daarna zegt het niets.

Ik ken ook zat bedrijven die bijvoorbeeld ISO-gecertificeerd zijn,
maar ondertussen zo'n beetje alle regels
aan hun laarsje lappen.

ReLexEd @Verwijderd • 5 augustus 2003 13:13

Psies....Een ISO-certificering is tegenwoordig ook vrij weinig meer waard....
Als je voor je ISO9002 beschrijft dat je bedrijf betonnen reddingsvesten maakt, en dat daar merk a beton voor wordt gebruikt, en dat daar op een bepaalde manier mee wordt omgesprongen, dan ben je er al bijna....

T'is dus maar net waar je waarde aan hecht...
Just another labeltje....

Auteur

Wouter Tinus @ferdinand • 5 augustus 2003 09:43

Linux zou best veiliger kunnen zijn, het is alleen nooit officiëel gecertificeerd voor dat niveau. Zoals je kunt lezen zijn het zeer dure tests, die een open source project niet snel uit zou kunnen voeren zonder hulp van grote bedrijven (zoals Oracle en IBM). Bovendien gaat het ook om support en documentatie, iets waar Linux-distributies 'vroeger' nogal tekort schoten.

Jiriki @ferdinand • 5 augustus 2003 09:46

Dat Linux niet eerder is getest wil niet zeggen dat het niet veilig is.

Het kost een half miljoen om te testen en wie moet dat ophoesten? Als IBM niet bijgesprongen was denk ik niet dat Suse dat "over had".

Vergelijk het met auto's: een opel astra heeft vier sterren in de botsproef, de nieuwe rolls royce is nog niet getest, dus nul sterren. Welke denk jij dat je beter in kan zitten bij een ongeluk? :-)

Verwijderd @Jiriki • 5 augustus 2003 20:04

Die vergelijking gaat maar gedeeltelijk op omdat in dit geval beide OS'en getest zijn. Resultaat:

Windows haalt Common Criteria level 4
Linux haalt Common Criteria level 2

Geloof me dat IBM voor level 4 ging, Windows is immers ook zonder tussenstap level 4 gecertificeerd...

bstard @ferdinand • 5 augustus 2003 09:45

Uh.. de audit voor EAL level2 is nu gedaan. Binnenkort komt 3, en later zijn Suse en IBM van plan level 4 binnen te halen. Even de tekst lezen kan geen kwaad. Dat M$ al tijdje terug dit EAL heeft zegt op zich niets over de security van linux ten opzichte van windows.

Verwijderd @ferdinand • 5 augustus 2003 10:43

Ze stellen niet alleen eisen aan de veiligheid. Anders zou een systeem wat bijna niets kan, en dus ook mega secure is, zo level 6 kunnen halen of zo.

Ze stellen ook eisen aan wat je allemaal mee kan op security gebied. Een belangrijke eis vanaf een bepaald level (weet niet meer welk) is het gebruik van ACL's. Kun je niet zo gedetaileerd je permissies instellen, dan ben je niet goed genoeg voor dat niveau.
En aangezien er (nog) niet zo'n mechanisme is in linux halen ze waarschijnlijk nu niet hoger.

Apache @Verwijderd • 5 augustus 2003 14:07

ACL zit al in enkele distro's dmv een kernel patch en zal standaard geinclude worden in 2.6-reeks.

Samba 3 maakt hier al volledig gebruik van.

GoodspeeD @ferdinand • 5 augustus 2003 09:39

Idd een beetje vaag dit. Of heb ik iets gemist?

Verwijderd @GoodspeeD • 5 augustus 2003 09:42

Let op; alleen voor SuSE; blijkbaar speelt de ondersteuning een grote rol en die is natuurlijk volledig afhankelijk van het bedrijf dat die ondersteuning levert. Zolang de Linux community geen telefonische helpdesk heeft zal dergelijke certificatie voor Linux in het algemeen ook wel niet lukken

sampoo @GoodspeeD • 5 augustus 2003 09:43

De test kost centen. Of Suse wel of niet de test zal halen die Windows 2000 heeft gehaald of niet heeft gehaald is nog niet bekend.

Verwijderd @ferdinand • 5 augustus 2003 09:43

Linux staat altijd bekend als het meest veilige OS en dan blijkt dat Windows al jaren veel veiliger is?

In welk vreemd wereldje is dat? Tot een paar jaar geleden hadden de meeste linux distributies nog een hele shitzooi aan 'onveilige' services standaard aanstaan.. Als ik denk aan meest 'veilige OS' (out of the box dan) denk ik toch eerder aan OpenBSD...

bstard @Verwijderd • 5 augustus 2003 09:48

Right. Alleen jammer dat OpenBSD zo secure is gemaakt dat POSIX compliance ver is te zoeken en heel veel OSS software gepatch moet worden alvoor het draait. Athans, dat was de reden dat ik oBsd paar jaar terug van me thuisserver afgehaald heb en terug naar Linux. Security is leuk, maar moet wel werkbaar blijven.

Verwijderd @bstard • 5 augustus 2003 11:02

uhm het ging over beste security niet over beste POSIX-compliance

smoking2000 @ferdinand • 5 augustus 2003 09:42

Linux is veiliger, maar nog nooit met een test aangetoont, nu wel

offtopic:
Lekker veel Linux nieuws vandaag

Tijger @smoking2000 • 5 augustus 2003 11:29

Pssst, Windows 2000 heeft al meer dan een jaar een hogere certificatie...houdt dat in dat Win2K veiliger is als SuSE Linux?

deviltje @Tijger • 5 augustus 2003 12:37

Dat houdt het dus niet in... het houdt alleen in dat windows 2000 die test al gedaan heeft... microsoft heeft nou eenmaal geld zat om zulk soort test te laten doen....

Suse heeft hier waarschijnlijk meer moeite mee..
ze hopen nu binnen een jaar de volgende al te hebben...

Verwijderd @Tijger • 5 augustus 2003 15:09

de certificatie van windows is op voorbehoud dat windows niet aan een netwerk hangt

mxcreep @Ruuddie • 6 augustus 2003 09:19

Mensen als jij moeten eens ophouden met alle bugs in de losse packages als linux bugs te zien, bij MS spul kijken we toch ook niet naar bugs van ellerlei client software...

Ruuddie @Ruuddie • 6 augustus 2003 21:30

Uhm, een kale Windows 2000 is zo stabiel als een rots. 't Is dus mooi wel de software die 'm instabiel maakt

En ik heb 't niet eens alleen over stabiliteit, maar ook over veiligheidbugs.

Mensen als jij moeten eens leren wat Windows is

hwschuur 5 augustus 2003 09:42

Systemen als Windows 2000, Solaris, AIX en HP-UX hebben dat niveau al bereikt.

Ik mis alleen 1 OS in dit rijtje: Mac OS X

Verder vraag ik me af aan welke eisen OSsen in vredesnaam bij EAL7 moeten voldoen. UltraStealthSecurity ofzow

miw @hwschuur • 5 augustus 2003 09:59

Om voor CC EAL7 moet je een correctheidsbewijs overleggen van je software. Deat bewijs toont dan aan dat je software aan de gestelde veiligheidsclaims voldoet. Alleen al het formuleren van die claims in een wiskundig formalisme is uitermate lastig. Voor een smart card is dan de bewijsvoering nog net te doen, maar voor een volwassen kernel kun je dat dus wel vergeten omdat de complexiteit van de berekening exponentieel toeneemt met de grootte van het programma.

Verwijderd @hwschuur • 5 augustus 2003 09:46

Ik mis nog wel meer OSjes.
Vraag me af welke OSjes EAL7 hebben; z/OS, AS/400?
'T is jammer dat er geld moet worden neergeteld om je te laten certificeren, de BSD systemen zouden toch wel hoog moeten kunnen scoren ware het niet voor support. Zou ook wel eens een Linux versie met Posix certificaat willen zien; die zijn ook zo duur.

bstard @hwschuur • 5 augustus 2003 09:56

Evaluation Assurance Levels : http://commoncriteria.org/docs/EALs.html

Best wel vaag eigelijk

Ulx 5 augustus 2003 13:53

En blijft die certificering behouden als je third party en/of open source apps gaat installeren?

Verwijderd @Ulx • 5 augustus 2003 15:07

suse is heel compleet

in tegenstelling tot windows kun je heel veel met je installatie

met windows kun je eigenlijk niets nuttigs doen. zelfs niet internetten omdat je dan 19 veiligheidslekken hebt waarmee de certificering van windows wordt verpulverd

windows is dan ook gecertificeerd zonder netwerkaansluiting

Ulx @Verwijderd • 5 augustus 2003 15:12

Ja leuk en lief hoor, maar da's geen antwoord.

Blijft die certificering iets waard zodra je ander spul gaat draaien?

Verwijderd 5 augustus 2003 09:38

Het ziet er naar uit dat er nu eindelijk een grote doorbraak gaat komen van Linux, door dit soort resultaten is het voor bijvoorbeeld overheden ook aantrekkelijker om over te stappen.

pietje63 5 augustus 2003 13:38

Die kosten lijken misschien hoog, maar ik denk dat als SuSe hiermee twee grote opdrachten voor regeringen binnen kan halen ze het geld al dubbel en dwars terug verdient hebben.

Ik hoop wel dat het dan straks bij RedHat en SuSe blijft die het doen, anders wordt het net zoals het bij de linux distributies al is, iedereen wil er graag een hebben, betaald er veel geld voor en uiteindelijk moet je de vraag met zijn allen delen....

Op dit item kan niet meer gereageerd worden.

SuSE Linux bereikt Evaluation Assurance Level 2

Lees meer

Reacties (36)

Sorteer op:

Weergave: