L'ultima crypto-gram (di Bruce Schneier) mi porta a scrivere di sicurezza. Intanto sta per uscire il nuovo libro di Schneier, che non ha ancora titolo:
The book walks the reader, step by step, through security: what works, what doesn't, and why. It gives general principles that the reader can use to understand and evaluate security. It illustrates those principles with anecdotes from all over: crime, war, history, sports, natural science, myth, literature, and movies. And it gives the reader a simple process that he can use to understand the difference between good security and bad security.
Non so se avete visto in rete che Windows 2000 è stato certificato CAPP/EAL4 secondo i Common Criteria. Per molti di noi questo sembra cinese (gli anni da quando mi occupavo di sicurezza sono passati inesorabili), ma il buon bruce produce un link a qualcuno che ci spiega cosa vuol dire:
Nulla.
Il common criteria sono un modo per valutare secondo la sicurezza determinati prodotti. Siccome sicurezza in assoluto non ha significato (viene in mente il maratoneta: "è sicuro?") si divide la cosa in due parti: si definisce il livello di sicurezza e si definisce il grado di confidenza con cui questo livello è raggiunto.
Bene CAPP/EAL4 significa: non è molto sicuro (CAPP) e non so neanche tanto bene se questo è vero (EAL4).
In the case of CAPP, an EAL4 evaluation tells you everything you need to know. It tells you that Microsoft spent millions of dollars producing documentation that shows that Windows 2000 meets an inadequate set of requirements, and that you can have reasonably strong confidence that this is the case.
2:15:37 PM 
|
