Il documento governativo americano "Trusted Computer Service Evaluation
Criteria" - anche detto Orange Book , fornisce una classificazione
di sicurezza dei sistemi operativi tramite lettere e numeri e specifica
i requisiti per ciascuna classe di sicurezza. E' da osservare subito che
tali classi si applicano strettamente solo a computer isolati, non connessi
in rete, ma danno una prima idea della vulnerabilita' del materiale.
MS-DOS, Windows 3.1, 95 e 98 vengono posti in classe D, a sicurezza
minima. Windows 95/98 in un Dominio NT, se configurato bene, e' sicuramente
di sicurezza piu' elevata. Sistemi con accesso a password, come Unix o
Windows NT sono posti in classe C1, o in classe superiore C2 se particolarmente
curati. Le classi superiori sono per sistemi operativi non comunemente
usati nelle realta' aziendali piccole e medie.
La diatriba corrente se sia meglio usare Windows NT o Unix per scopi
di sicurezza necessita un commento: Windows NT e' molto piu' curato inizialmente,
ma necessita' di aggiornamento all'ultimo Service Pack, presenta numerosi
inconvenienti a livello interno, ed alcuni applicativi basati su di esso
introducono buchi clamorosi se non propriamente configurati; Unix e' potenzialmente
piu' lasso per la sicurezza, ma molto piu' stabile e robusto, e un buon
amministratore puo' renderlo molto impenetrabile, compatibilmente con gli
applicativi installati.
Purtroppo non ci si rende conto che anche Windows 95/98 sono potenziali
bersagli d'attacco dall'esterno e possono comportarsi come veicoli per
compromettere macchine con sistemi operativi migliori.