Common Critéria
COMMON CRITÉRIA
Ada Andersen, Cleitom Ribeiro, Hebert Douglas Pereira,
Leonardo Fernandes, Michele Rosa do Prado
Especialização em Segurança da Informação – Julho de 2007
Uniminas – União Educacional Minas Gerais – Uberlândia, MG – Brasil
[email protected] [email protected] [email protected]
[email protected] [email protected]
Summary. In this article we present one brief introduction the security
properties after that we define the method of evaluation of security of products
Common Critéria its use and application in products.
Resumo. Neste artigo apresentamos uma breve introdução de segurança e
em seguida definimos o método de avaliação de segurança de produtos Common
Critéria e sua utilização e aplicação em produtos.
1. Introdução
Neste artigo apresentamos uma breve introdução às propriedades de segurança e
em seguida definimos, Common Critéria, um método de avaliação de segurança de
produtos o qual é feito através de exigências de segurança as quais são colhidas de
usuários e vendedores de produtos.
De inicio apresentamos o conceito e como é feito a avaliação e aplicação da
Common Critéria a partir da norma ISO/IEC 15408, e quais são suas vantagens. Em
seguida passamos a descrever exemplos de utilização deste método, finalizamos o
trabalho com nossa conclusão sobre o tema e as referências utilizadas e consultadas.
2. Propriedades de segurança de produtos
Qualquer que seja um Produto Computacional, para que possa ser considerado
seguro, ele deve possuir algumas propriedades básicas descritas a seguir e quanto maior
as satisfações destas propriedades, mais seguros podem ser considerados esses produtos.
Ada / Cleitom / Hebert / Leonardo / Michele
Página: 1
Common Critéria
2.1 Autenticidade
A propriedade Autenticidade é necessária para que se possa garantir que um
usuário qualquer é realmente quem ele diz que é, e que as ações a ele atribuídas tenham
sido realmente feitas por ele. Essa propriedade é fundamental não só para os Produtos
Computacionais, mas em qualquer área de conhecimento humano, pois todo o ato
praticado por uma pessoa necessita de um mecanismo que identifique sua autoria para
fins legais, como por exemplo, uma assinatura, ou um crime cometido.
Com a autenticidade é possível a prevenção de vários tipos de ataques como, por
exemplo, a personificação e o replay, que serão discutidos no próximo capítulo, e
principalmente que o verdadeiro autor de um ato negue-o por simples arrependimento
ou má fé.
O não repúdio durante a troca de mensagens eletrônicas impede que o indivíduo
negue que as tenha enviado ou que o receptor não as tenha recebido.
A autenticidade pode ser garantida através de alguns mecanismos como a
autenticação, o controle de acesso e a assinatura digital.
1.2 Confidencialidade
A propriedade de confidencialidade em uma comunicação pode ser garantida se
apenas os usuários já autorizados tenham acesso às informações devidas. A
confidencialidade é uma propriedade essencial na implementação de políticas de
segurança e pode tornar-se uma missão muito difícil de atingir, especialmente em
Produtos Distribuídos, onde ocorrem várias trocas de mensagens através de uma Rede
de Computadores. A confidencialidade pode ser obtida através de mecanismos de
criptografia, que também serão vistos mais adiante.
1.3 Integridade
A integridade é uma propriedade que garante que um documento qualquer
autêntico não foi alterado acidentalmente ou intencionalmente ou também que um
documento verdadeiro ou parte dele esteja sendo reutilizado por usuários não
autorizados sem que se possa perceber que esse fato ocorreu.
O código Hash convencional não previne modificações maliciosas de uma
mensagem, tendo em vista que ele é domínio público, portanto se um hacker alterar uma
mensagem ele poderá recalculá-la e o ataque poderá passar sem ser percebido.
Ada / Cleitom / Hebert / Leonardo / Michele
Página: 2
Common Critéria
A integridade dos dados pode ser garantida através do uso de mecanismos como
assinatura digital, secure hashes e messages digest.
1.4 Disponibilidade
A propriedade de disponibilidade para os Produtos Computacionais está
associada à continuidade de que seus serviços estejam sempre acessíveis aos usuários
autorizados.
Um Produto pode ser vítima de acidentes ou alvo de vários tipos de ataques,
interrompendo a disponibilidade dos seus serviços. Os ataques do tipo impedimento de
serviço têm por objetivo justamente diminuir a disponibilidade do serviço atacado,
como, por exemplo, enviando uma quantidade de e-mails para um servidor SMTP maior
do que ele seja capaz de processar, impedindo a distribuição dos e-mails legítimos. Para
esse tipo de ataque as técnicas convencionais de segurança, tais como gateways,
firewalls ou proxies, não são eficientes porque geralmente as mensagens para estes tipos
de ataques são legítimas e usam os canais de comunicação destinados ao serviço
atacado.
Para se garantir uma Alta Disponibilidade de um serviço é necessário que haja
um plano de contingência para torná-lo principalmente tolerante a falhas, onde devem
ser consideradas algumas técnicas como uma política de backups, de logs para auditoria,
de redundância de serviços ou até mesmo redundância do próprio site. A maioria dos
Produtos Distribuídos, pela sua própria concepção, é mais adequada para oferecer alta
disponibilidade de seus serviços.
2. ISO/IEC 15408
A ISO/IEC 15408, uma norma de produtos em TI, mas também faz a avaliação
de requisitos de segurança de produtos tratando definições de componentes de
segurança e mostra como avaliar sistemas frente aos requisitos de segurança. A norma
conhecida como Common Critéria é formada por um conjunto de três níveis:
•
Primeiro - discute definições e metodologia
•
Segundo - lista requisitos de segurança.
•
Terceiro – lista metodologias de avaliação.
A norma avalia produtos do tipo de gerenciamento de configuração, entrega e
instalação do software, desenvolvimento e documentação.
Ada / Cleitom / Hebert / Leonardo / Michele
Página: 3
Common Critéria
Está norma foi fundamental para as organizações de todo o mundo, pois todas
organizações passaram a investir em segurança mas não tinham um caminho certo a
seguir, sendo assim essa norma passou a ser uma referencia em segurança da
informação por praticamente todas as mídias especializadas.
3. Common Critéria
3.1 Como surgiu
Pouco tempo antes do seu surgimento, vários países tais como EUA, Canadá,
França, Inglaterra e Alemanha estavam desenvolvendo alguns padrões para tornar seus
produtos mais seguros. Nos EUA, por exemplo, o padrão se chamava TCSEC. Já nos
países europeus foi decidido unificar seus critérios, criando assim o Information
Technology Security Evaluation Critéria (ITSEC).
Para que houvesse um padrão que eliminasse as diferenças de critérios,
facilitando assim sua unificação, no ano de 1990 foi criado o Common Critéria (CC),
que agrupou os padrões europeu e norte americano.
3.2 Definição
Common Critéria são padrões internacionais de desenvolvimento de produtos
com segurança, estes critérios não fornecem uma lista de exigências como na maioria
das normas e sim descreve uma lista de critérios de segurança designada pelos
vendedores em que os produtos devem conter, ou seja, os vendedores do produto
descrevem quais são as vulnerabilidades e em que deve se preocupar em manter a
segurança no produto e quais as necessidades de seus clientes em ter determinada
segurança, assim eles apresentam critérios os quais são analisados em laboratórios
conduzidos em rigorosas avaliações para garantir que o processo seja o mais correto
analisando a necessidade de tal critério.
•
Target Of Evaluation (TOE) - Avaliação - a avaliação desses critérios fornecidos
por vendedores do produto é feita na prática verificando as características da
segurança do produto e considerando as exigências particulares de cada cliente
•
Protection Profile (PP) - Análise do perfil do produto - um produto original é
criado para um usuário ou por uma comunidade de usuários, com objetivo de
identificar exigências de segurança relevantes a esses usuários para finalidades
Ada / Cleitom / Hebert / Leonardo / Michele
Página: 4
Common Critéria
particulares. No produto é definida uma classe de dispositivos de segurança (por
exemplo, cartões, assinaturas digitais etc.). Esse produto pode ser executado por
clientes que procuram tipos particulares os quais encontram com exigências de
segurança.
•
Security Functional Requirements (SFRs) - Exigências funcionais de segurança neste ponto são especificadas as funções individuais de segurança que podem ser
fornecidas por um produtos. As common Critérias apresentam uma lista padrão de
tais funções. Por exemplo, uma exigência funcional de segurança pode indicar como
um usuário age em operações no produto. A lista de exigências pode variar de uma
avaliação ao seguinte, mesmo se dois produtos forem do mesmo tipo. Embora as
common Critérias não prescrevam nenhuma exigência a ser incluída no produto,
identifica as dependências onde as operações corretas de uma função (tal como a
habilidade de limitar o acesso de acordo com usuários) é dependente de outra (tal
como a habilidade de identificar usuários individuais).
•
Security Target (ST) - Requisitos da segurança - o que identifica as propriedades
de segurança do produto em avaliação. Cada produto é avaliado de encontro às
exigências funcionais de segurança estabelecido em seus requisitos de segurança.
Isto permite que os vendedores e usuários comparem a avaliação com a
potencialidade do seu produto. Isto significa que um firewall não necessita das
mesmas exigências funcionais que um produto de gerência de banco de dados e que
o firewall pode de fato ser avaliado em listas de exigências completamente
diferentes. Os requisitos de segurança são publicados geralmente de modo que os
clientes possam identificar as características específicas de segurança que foram
certificadas pela avaliação.
O processo da avaliação tenta também estabelecer o nível da confiança que pode ser
colocada nas características de segurança do produto com os processos de garantia e
qualidade.
•
Security Assurance Requirements (SAR) - Exigências de garantia da segurança
durante o desenvolvimento e a avaliação do produto são descritas as exigências de
garantia da segurança para assegurar a funcionalidade da segurança. Por exemplo,
uma avaliação pode requerer que todo o código fonte esteja mantido em um produto
Ada / Cleitom / Hebert / Leonardo / Michele
Página: 5
Common Critéria
de gerência de mudanças, ou que testes funcionais sejam executados. As common
Critérias fornecem um catálogo dessas garantias, e as exigências podem variar de
uma avaliação ao seguinte. As exigências para alvos ou tipos particulares de
produtos são documentadas nos requisitos de segurança e nas exigências funcionais
de segurança respectivamente.
•
Evaluation Assurance Level (EAL) - Nível de garantia de funcionamento - a
avaliação numérica atribuída ao produto para examinar as exigências de garantia
cumpridas durante a avaliação. Cada nível corresponde a um pacote de exigências
da garantia que cubra o desenvolvimento completo de um produto, com um nível
dado. As common Critérias alistam sete níveis, com o Nível 1 que é o mais básico (e
conseqüentemente mais barato executar e avaliar) e Nível 7 que é os mais estrito (e
os mais caros). Normalmente, uns autores de avaliação de segurança ou dos perfis
de segurança não selecionam exigências da garantia individualmente, mas escolhem
um destes pacotes, possivelmente aumentando exigências em algumas áreas com
exigências de um nível mais elevado. Níveis mais elevados de garantia de segurança
não implicam necessariamente a melhor segurança, eles significam que a garantia
reivindicada da segurança esteve validada mais extensivamente.
4. Conclusão
Com o uso da Common Critéria o produto sai de acordo com o perfil da maioria
dos usuários satisfazendo os em requisitos de segurança, os quais foram avaliados por
pessoas altamente capacitadas em segurança.
Percebemos que com o uso do Common Critéria temos um tangenciamento na
construção de um produto em termos de segurança da infomação, sendo portanto
indicado como uma boa prática.
5. Bibliografias
•
Corsec Security Inc. SurfControl E-mail Filter for SMTP Version 5.0, Service Pack
2. Security Target. Surf Control Plc. 2005. Disponível em:
http://www.commonCritériaportal.org/public/files/epfiles/SurfControl ST v1.04.pdf.
Acessado em: 18/06/2007.
•
Kleiton da Silva Gomes e Newton Santos. Segurança no Desenvolvimento de
Aplicações Web. Universidade da Amazônia - UNAMA. 2006. Disponível em:
Ada / Cleitom / Hebert / Leonardo / Michele
Página: 6
Common Critéria
http://www.cci.unama.br/margalho/portaltcc/tcc2006/pdf/tcc007.pdf. Acessado em:
18/06/2007.
•
Northrop Grumman, California Microwave Systems. California Microwave Mail
List Agent (MLA) and the Profiling User Agent (PUA) Security Target. 2003.
Disponível em: www.commonCritériaportal.org/public/files/CPList/ST_VID4013ST.pdf. Acessado em: 22/06/2007.
•
Novo esquema de avaliação de segurança por critérios comuns e a avaliação do
Windows 2000 disponível em:
www.technetbrasil.com.br/Downloads/ArtigosTecnicos/windows/avalseg.doc
Ada / Cleitom / Hebert / Leonardo / Michele
Página: 7