Los sistemas de certificación fallan

Algunas veces nos preguntan sobre los fallos de las agencias de calificación y sobre si la calificación sigue siendo un buen acercamiento para la evaluación de la seguridad. Hemos publicado sobre ello hace ya algún tiempo, pero creemos que es interesante comentar el artículo titulado "How Certification Systems Fail: Lessons from the Ware Report - Cómo Fallan los Sistemas de Certificación: Lecciones del Informe Ware" (pdf en inglés), en el que Steven H. MurdochMike Bond y Ross Anderson nos dan una visión fantástica de las razones que hacen fallar los sistemas de certificación. Este artículo está basado en el informe, "Security Controls for Computer Systems - Controles de Seguridad para los Sistemas de Computación" (pdf en inglés) (conocido comúnmente como el informe Ware Report, por el presidente del equipo de trabajo que lo realizó - Willis H. Ware), que resume los hechos identificados en dicho informe de 1970 (!!!!) y que explican los fallos en los sistemas de certificación. Básicamente, existen tres razones principales:

  1. Conflicto de intereses - Los laboratorios de pruebas son seleccionados y pagados por el proveedor del producto creando una presión para rebajar los estándares de evaluación.
  2. La certificación se realiza solo en una parte del sistema - Como cumplir con los estándares es oneroso, existen presiones económicas que conducen a que la certificación se realize de lo que es más conveniente, no sobre aquellos componentes que requieran de una mayor garantía.
  3. Certificación del Diseño - Normalmente no existen certificaciones de la instalación ni recertificaciones y, sin ellas, "es difícil decir que el sistema realmente funciona cumpliendo con las propiedades de seguridad en el mundo real".

Por lo tanto, estamos de acuerdo con los autores del artículo en que "no deberíamos esperar que la certificación sea una bala de plata" y que debería ser utilizada junto con otros sistemas, en este caso, la calificación. Puedes seguirnos en twitter.com/leet_security.