[Discussioni] Certificazioni ITSEC

Marco Ermini markoer a firenze.linux.it
Mar 28 Ago 2001 20:26:13 CEST 

Il Sat, 25 Aug 2001 16:19:57 +0200, Leandro Noferini
<lnoferin a cybervalley.org> scrisse:

[...]
> Vero, però l'idea  di De Meo credo si  riferisca ad una certificazione
> di prodotto. 
> 
> D'altra parte negli  USA esiste già una certificazione  del genere che
> riguardava l'uso di sistemi e programmi nella pubblica amministrazione
> e che si riferisce sicuramente ai prodotti e non ai sistemi: di questa
> certificazione non  ricordo il nome  (ovviamente! :-( ) ma  ricordo la
> polemica sul conferimento di questa a Windows NT.

Negli USA esistono delle certificazioni che i Sistemi Operativi devono avere
per poter essere utilizzati nella pubblica amministrazione. Ci sono vari
livelli di certificazione, che vanno dall'A1 (in pratica dei sistemi custom
adottati per informazioni sensibili) ai livelli piu' bassi, come il C2 a cui
Microsoft e' riuscita a certificare una certa versione di Windows nT 3.51, su
un certo Hardware (si veda:
http://support.microsoft.com/support/kb/articles/Q137/0/18.asp). La Microsoft,
su questa certificazione che in pratica le ha permesso (inpunemente) di
vendere poi al governo delle macchine Windows per usare Office 97 (si veda
http://www.wired.com/news/print/0,1294,12121,00.html) ci hanno fatto, come
loro solito, del marketing fuori luogo.

Notare che queste certificazioni riguardano una certa versione dell'OS
(ovvero, Windows NT 3.51 SP 4 *non* e' certificato, ne' tantomeno NT 4 SP4, ma
solo 3.51 Service Pack 3 e Windows NT 4 Service Pack 6a con l'aggiornamento
C2), e solo se installata sull'HW su cui e' stato fatto il test (ovvero un
Compaq Proliant all'epoca). Si capisce come questo tipo di certificazioni, in
un mondo dominato da HW cheap (quello sia di Windows sia di Linux, per
capirci) non significhi molto. Inoltre, tale livello di certificazione (il C2)
e' una ciofeca, ovvero in soldoni dice che quella tale macchina, *sconnessa
dalla rete* (perche' non riguarda la sicurezza in rete, il certificato e'
valido solo su macchine senza schede di rete), ha un logon sicuro, risorse ed
account degli utenti isolate ecc. ecc. ed altre amenita' simili. Esisteva una
utility nei Resource Kit di NT che ti permetteva di eseguire tutte le
modifiche di sistema necessarie a portare a livello C2 una macchina NT:
praticamente, dopo aver disattivato il networking, cancellate tutte le
partizioni che non fossero NTFS (presumibilmente quindi pure quella di boot
;-), cancellato un po' di DLL tra cui il supporto POSIX, cancellati un po' di
account ecc. ecc. avevi una macchina inutilizzabile, ma C2 compliant ;-)

Ah, la documentazione di queste certificazioni e' qui:

http://www.radium.ncsc.mil/tpep/


ciao

-- 
Marco Ermini
http://www.markoer.org - ICQ # 50825709 - AOL AIM enabled
There are two major products that come out of Berkeley: LSD and UNIX.
We don't believe this to be a coincidence.      -- Jeremy S. Anderson

More information about the discussioni mailing list