Redmond (USA) – Dopo tre anni di test e la spesa di diversi milioni di dollari, Microsoft ha finalmente ottenuto per il suo Windows 2000 la certificazione Common Criteria: questo è uno standard riconosciuto in 15 paesi di tutto il mondo, fra cui l’Italia, che valuta il livello di sicurezza dei prodotti di infrastruttura tecnologica.
Microsoft ha spiegato che un team di esaminatori indipendenti ha valutato i componenti chiave di Windows 2000, come la metodologia di sviluppo, l’architettura, la documentazione ed altri aspetti funzionali e di sicurezza, all’interno di scenari definiti dalla procedura CCITSE (Common Criteria for Information Technology Security Evaluation), un insieme di specifiche e requisiti stabiliti da un organismo di standardizzazione e riconosciuti da organizzazioni pubbliche e private, fra cui il Dipartimento americano della Difesa.
“Per coloro che hanno dubbi circa il nostro livello di investimento e i nostri sforzi, questa è la testimonianza del nostro impegno nella sicurezza”, ha affermato Craig Mundie, vice president e chief technical officer di Microsoft. In un comunicato del big di Redmond si legge poi che “l’aver ottenuto la certificazione CC rappresenta un’importante dimostrazione della volontà di Microsoft di fornire ai clienti una piattaforma sicura per il Trustworthy Computing”.
Windows 2000, testato dallo Science Applications International Corp. ( SAIC ), ha ottenuto il massimo livello di certificazione assegnabile da un laboratorio commerciale: Evaluation Assurance Level (EAL) 4 . Secondo quanto riportato dal sito Common Criteria, EAL 4 garantisce che il prodotto sia stato “metodicamente progettato, testato ed esaminato”.
Come ammette la stessa SAIC, il fatto che Windows 2000 sia risultato sicuro sotto un profilo funzionale e di progetto non significa affatto che non contenga bug: le specifiche Common Criteria non prevedono il setacciamento del codice alla ricerca di errori di programmazione, ma valutano la sicurezza ad un livello più astratto.
Microsoft sostiene che il processo di valutazione della piattaforma Windows 2000 ha superato per completezza e complessità i test condotti su qualunque altro sistema operativo, essendo stato effettuato su molteplici scenari di implementazione reali relativi a servizi di directory multi-master, reti VPN (Virtual Private Network) L2TP/IPSEC, sistemi single sign-on, etc.
Microsoft ha fatto sapere di aver già avviato il processo di valutazione Common Criteria anche per Windows XP Professional e Windows.NET Server 2003.