L’Evaluation Assurance Level (brevemente EAL) è uno stringente standard di valutazione della sicurezza adottato dal governo degli Stati Uniti e dalla National Security Agency. Questa particolare certificazione largamente utilizzata in ambito militare prevede un attenta analisi progettistica, funzionale e tecnica che mira a classificare la adeguatezza di strumenti tecnologici in ambiti particolarmente critici. Brevemente: più un prodotto si avvicina ad EAL7 più è teoricamente sicuro e maggiori sono le garanzie che fornisce.
Fino ad oggi nessun sistema operativo era stato in grado di superare la classificazione EAL4 ovvero sistemi che offro protezione da minacce di sicurezza “fortuite e casuali”. Per intenderci sono classificati EAL4 solamente i sistemi operativi commerciali che offrono un buono standard di sicurezza come AIX, HP-UX o Solaris ed alcune versioni commerciali di Linux, e altri sistemi operativi con sicurezza multilivello come Trusted Solaris e Vmware ESX.
Il sistema operativo mutilivello Integrity-178B, prodotto dalla californiana Green Hills Software e certificato EAL6+ promette quindi di essere il più sicuro e più hardenizzato prodotto presente ad oggi sul mercato. Integrity-178B non sarà altro che una versione commerciale del famoso INTEGRITY, usato ancora oggi su aerei militari e civili, tra questi caccia da guerra quali F-16, F-22 ed F-35 e gli aerei di linea come l’Airbus 380 ed il Boing 787.
Secondo quanto dichiarato dalla casa produttrice, questo porting del famoso sistema operativo mission critical garantirà il più alto grado di sicurezza possibile grazie alla completa separazione delle applicazioni in locazioni di memoria distinte. Integrity-178B potrà addirittura virtualizzare al suo interno, secondo quanto dichiarato dal portavoce della Green Hills Software, altri sistemi operativi ospiti tra i più popolari presenti oggi sul mercato.
Rimangono ancora sconosciuti dettagli su licenza e costi ma personalmente penso che i costi per avere un sistema la cui sicurezza è certificata a livello militare rimarranno abbastanza proibitivi.
A margine devo riportare l’infinita serie di polemiche riguardo la certificazione Common Criteria EAL, che come sottolineato dalla stessa National Information Assurance Partnership che ne ha codificato lo standard, non misura il livello di sicurezza ma l’applicabilità delle soluzioni in contesti estremamente rischiosi o critici, ad esempio telecomunicazioni, aereonautica o difesa. [Via darkreading.com]
