Questa pagina è lasciata intenzionalmente vuota

Transcript

1

2 Questa pagina è lasciata intenzionalmente vuota Pagina 2 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

3 Ministero dello Sviluppo Economico Istituto Superiore delle Comunicazioni e delle Tecnologie dell'informazione Rapporto di Certificazione VBrain EMS v. 1.0 OCSI/CERT/IMQ/12/2016/RC Versione ottobre 2017 Pagina 3 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

4 Questa pagina è lasciata intenzionalmente vuota Pagina 4 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

5 1 Revisioni del documento Versione Autori Modifiche Data 1.0 OCSI Prima emissione 10/10/2017 Pagina 5 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

6 2 Indice 1 Revisioni del documento Indice Elenco degli acronimi Riferimenti Riconoscimento del certificato Riconoscimento di certificati CC in ambito europeo (SOGIS-MRA) Riconoscimento di certificati CC in ambito internazionale (CCRA) Dichiarazione di certificazione Riepilogo della valutazione Introduzione Identificazione sintetica della certificazione Prodotto valutato Architettura dell'odv Caratteristiche di Sicurezza dell ODV Configurazione dell ODV Documentazione Requisiti funzionali e di garanzia Conduzione della valutazione Considerazioni generali sulla validità della certificazione Esito della valutazione Risultato della valutazione Raccomandazioni Appendice A Indicazioni per l uso sicuro del prodotto Appendice B Configurazione valutata Appendice C Attività di Test Configurazione per i Test Test funzionali indipendenti svolti dai Valutatori Analisi delle vulnerabilità e test di intrusione Pagina 6 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

7 3 Elenco degli acronimi AES BMS CC CCRA CEM COTS DB DBMS EAL EMS HMI HTTPS HW IT LGP LVS NIS OCSI ODV OPC OPC-UA PP PSIM RFV RSA Advanced Encryption Standard Building Management System Common Criteria Common Criteria Recognition Arrangement Common Evaluation Methodology Commercial Off-the-Shelf Database DB Management System Evaluation Assurance Level Enterprise Management System Human Machine Interface HyperText Transfer Protocol over Secure Socket Layer Hardware Information Technology Linea Guida Provvisoria Laboratorio per la Valutazione della Sicurezza Nota Informativa dello Schema Organismo di Certificazione della Sicurezza Informatica Oggetto della Valutazione OLE for Process Control OPC Unified Architecture Profilo di Protezione Physical Security Information Management Rapporto Finale di Valutazione Rivest Shamir Adleman (algoritmo) Pagina 7 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

8 SAR SCADA SFR SHA SO SOGIS Security Assurance Requirement Supervisory Control And Data Acquisition Security Functional Requirement Secure Hash Algorithm Sistema Operativo Senior Officials Group Information Systems Security SOGIS-MRA SOGIS Mutual Recognition Arrangement SW TDS TOE Software Traguardo di Sicurezza Target of Evaluation VBrain EMS VBrain Enterprise Management System Pagina 8 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

9 4 Riferimenti [CC1] [CC2] [CC3] [CCRA] [CEM] [CONF] CCMB , Common Criteria for Information Technology Security Evaluation, Part 1 Introduction and general model, Version 3.1, Revision 4, September CCMB , Common Criteria for Information Technology Security Evaluation, Part 2 Security functional components, Version 3.1, Revision 4, September CCMB , Common Criteria for Information Technology Security Evaluation, Part 3 Security assurance components, Version 3.1, Revision 4, September Arrangement on the Recognition of Common Criteria Certificates In the field of Information Technology Security, July CCMB , Common Methodology for Information Technology Security Evaluation Evaluation methodology, Version 3.1, Revision 4, September VBrain EMS Life-Cycle Support, Doc. n. VC_UGI_I00155_01_REL_0005, ver. 1.0, 28th June 2017, Vitrociset. [GUI1] VBrain EMS Guidance Documents, versione 1.1, 1 agosto 2017, Document ID: VC_UGI_I00155_01_REL_0004. [GUI2] [GUI3] VBRAIN EMS CONFIGURATION MANUAL - VBrain Administrators Guide - versione 1.1, 1 agosto 2017, Document ID: VC_UGI_I00155_01_MAN_0003. VBRAIN EMS HOSTS PREPARATION MANUAL - Server and Client Hosts, versione 1.1, 1 agosto 2017, Document ID: VC_UGI_I00155_01_MAN_0005. [GUI4] VBRAIN EMS INSTALLATION/RECOVERY MANUAL, versione 1.1, 1 agosto 2017, Document ID: VC_UGI_I00155_01_MAN_0004. [IEC 62451] OPC Unified Architecture (OPC UA) standard series: IEC TR :2016, IEC TR :2016, IEC :2015, IEC :2015, IEC :2015, IEC :2015, IEC :2015, IEC :2015, IEC :2015, IEC :2015, IEC :2015, IEC :2015. [LGP1] Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell informazione - Descrizione Generale dello Schema Nazionale - Linee Guida Provvisorie - parte 1 LGP1 versione 1.0, Dicembre Pagina 9 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

10 [LGP2] [LGP3] [NIS1] [NIS2] [NIS3] [RFV] [SOGIS] [TDS] Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell informazione - Accreditamento degli LVS e abilitazione degli Assistenti - Linee Guida Provvisorie - parte 2 LGP2 versione 1.0, Dicembre Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell informazione - Procedure di valutazione - Linee Guida Provvisorie - parte 3 LGP3, versione 1.0, Dicembre Organismo di certificazione della sicurezza informatica, Nota Informativa dello Schema N. 1/13 Modifiche alla LGP1, versione 1.0, Novembre Organismo di certificazione della sicurezza informatica, Nota Informativa dello Schema N. 2/13 Modifiche alla LGP2, versione 1.0, Novembre Organismo di certificazione della sicurezza informatica, Nota Informativa dello Schema N. 3/13 Modifiche alla LGP3, versione 1.0, Novembre Rapporto Finale di Valutazione VBRAIN EMS, versione 1.1, 2 agosto 2017, Doc. N.: VCVTR1601Q_02. Mutual Recognition Agreement of Information Technology Security Evaluation Certificates, Version 3, January VBrain EMS Security Target V. 1.1, 1 agosto 2017, Document ID: VC_UGI_I00155_01_REL_0001. Pagina 10 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

11 5 Riconoscimento del certificato 5.1 Riconoscimento di certificati CC in ambito europeo (SOGIS-MRA) L'accordo di mutuo riconoscimento in ambito europeo (SOGIS-MRA, versione 3, [SOGIS]) è entrato in vigore nel mese di aprile 2010 e prevede il riconoscimento reciproco dei certificati rilasciati in base ai Common Criteria (CC) per livelli di valutazione fino a EAL4 incluso per tutti i prodotti IT. Per i soli prodotti relativi a specifici domini tecnici è previsto il riconoscimento anche per livelli di valutazione superiori a EAL4. L'elenco aggiornato delle nazioni firmatarie e dei domini tecnici per i quali si applica il riconoscimento più elevato e altri dettagli sono disponibili sul portale del SOGIS accessibile alla pagina Il logo SOGIS-MRA stampato sul certificato indica che è riconosciuto dai paesi firmatari secondo i termini dell accordo. Il presente certificato è riconosciuto in ambito SOGIS-MRA per tutti i componenti di assurance indicati. 5.2 Riconoscimento di certificati CC in ambito internazionale (CCRA) La versione corrente dell accordo internazionale di mutuo riconoscimento dei certificati rilasciati in base ai CC (Common Criteria Recognition Arrangement, [CCRA]) è stata ratificata l 8 settembre Si applica ai certificati CC conformi ai Profili di Protezione collaborativi" (cpp), previsti fino al livello EAL4, o ai certificati basati su componenti di garanzia fino al livello EAL 2, con l eventuale aggiunta della famiglia Flaw Remediation (ALC_FLR). L'elenco aggiornato delle nazioni firmatarie e dei Profili di Protezione collaborativi" (cpp) e altri dettagli sono disponibili sul portale del CCRA accessibile alla pagina Il logo CCRA stampato sul certificato indica che è riconosciuto dai paesi firmatari secondo i termini dell accordo. Il presente certificato è riconosciuto secondo le regole dell accordo [CCRA] in vigore per tutti i componenti di assurance indicati. Pagina 11 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

12 6 Dichiarazione di certificazione L oggetto della valutazione (ODV) è il prodotto software denominato VBrain EMS v.1.0, sviluppato da VITROCISET S.p.A.. L ODV è un componente software di base per la realizzazione di sistemi SCADA che permette di effettuare comando e controllo di impianti tecnologici e per gestire sistemi di sicurezza. L ODV fornisce in particolare la piattaforma su cui possono integrarsi altri componenti software per la gestione di vari sistemi di controllo operanti in specifici settori tecnologici, quali ad esempio il settore energetico, idrico, monitoraggio e controllo di edifici. La valutazione è stata condotta in accordo ai requisiti stabiliti dallo Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell'informazione ed espressi nelle Linee Guida Provvisorie [LGP1, LGP2, LGP3] e nelle Note Informative dello Schema [NIS1, NIS2, NIS3]. Lo Schema è gestito dall Organismo di Certificazione della Sicurezza Informatica, istituito con il DPCM del 30 ottobre 2003 (G.U. n.98 del 27 aprile 2004). Obiettivo della valutazione è fornire garanzia sull efficacia dell ODV nel rispettare quanto dichiarato nel Traguardo di Sicurezza [TDS], la cui lettura è consigliata ai potenziali acquirenti e/o utilizzatori. Le attività relative al processo di valutazione sono state eseguite in accordo alla Parte 3 dei Common Criteria [CC3] e alla Common Evaluation Methodology [CEM]. L ODV è risultato conforme ai requisiti della Parte 3 dei CC v 3.1 per il livello di garanzia EAL1 con l aggiunta di ASE_SPD.1, ASE_REQ.2, ASE_OBJ.2 ed ALC_FLR.1, in conformità a quanto riportato nel Traguardo di Sicurezza [TDS] e nella configurazione riportata in Appendice B Configurazione valutata di questo Rapporto di Certificazione. La pubblicazione del Rapporto di Certificazione è la conferma che il processo di valutazione è stato condotto in modo conforme a quanto richiesto dai criteri di valutazione Common Criteria ISO/IEC ([CC1], [CC2], [CC3]) e dalle procedure indicate dal Common Criteria Recognition Arrangement [CCRA] e che nessuna vulnerabilità sfruttabile è stata trovata. Tuttavia l Organismo di Certificazione con tale documento non esprime alcun tipo di sostegno o promozione dell ODV. Pagina 12 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

13 7 Riepilogo della valutazione 7.1 Introduzione Questo Rapporto di Certificazione specifica l esito della valutazione di sicurezza del prodotto VBrain EMS v.1.0 secondo i Common Criteria, ed è finalizzato a fornire indicazioni ai potenziali acquirenti e/o utilizzatori per giudicare l idoneità delle caratteristiche di sicurezza dell ODV rispetto ai propri requisiti. Il presente Rapporto di Certificazione deve essere consultato congiuntamente al Traguardo di Sicurezza [TDS], che specifica i requisiti funzionali e di garanzia e l ambiente operativo di utilizzo previsto. 7.2 Identificazione sintetica della certificazione Nome dell ODV Traguardo di Sicurezza Livello di garanzia Fornitore Committente LVS VBrain EMS v.1.0 Security Target di VBrain EMS v.1.0, v.1.1, 1 agosto 2017 EAL1 con l aggiunta di ASE_SPD.1, ASE_REQ.2, ASE_OBJ.2, ALC_FLR.1 Vitrociset S.p.A. Vitrociset S.p.A. IMQ/LPS Versione dei CC 3.1 Rev. 4 Conformità a PP Nessuna conformità dichiarata Data di inizio della valutazione 22 novembre 2016 Data di fine della valutazione 2 agosto 2017 I risultati della certificazione si applicano unicamente alla versione del prodotto indicata nel presente Rapporto di Certificazione e a condizione che siano rispettate le ipotesi sull'ambiente operativo descritte nel Traguardo di Sicurezza [TDS]. 7.3 Prodotto valutato In questo paragrafo vengono sintetizzate le principali caratteristiche funzionali e di sicurezza dell'odv. Per una descrizione dettagliata si rimanda al Traguardo di Sicurezza [TDS]. VBrain EMS è un prodotto software del pacchetto VBrain Suite che permette di realizzare sistemi di monitoraggio e controllo di piccole, medie e grandi infrastrutture, in grado di gestire dati eterogenei interoperando anche con software di terze parti. Il componente VBrain EMS copre le funzionalità dei sistemi SCADA, PSIM, BMS, Energy Pagina 13 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

14 management, realizzando in particolare la piattaforma su cui possono essere integrati altri componenti software per la gestione di specifici ambienti applicativi. Lo schema mostrato in Figura 1 illustra l architettura della VBrain Suite nell ambito del quale opera l ODV. In particolare l ODV è in grado di acquisire ed elaborare dati da sensori, dispositivi, impianti e sistemi di terze parti che espongono un interfaccia OPC Unified Architecture (OPC-UA) ([IEC 62451]) Figura 1 Architettura della VBrain Suite Gli ambienti applicativi nei quali l ODV può operare includono la gestione di abitazioni private, edifici pubblici, uffici privati, ospedali, sistemi tecnologici per la gestione di edifici, impianti industriali per fornitura di energia elettrica, analisi dell elettrosmog, sistemi di automazione idrici, data centre, sistemi informativi per la sicurezza fisica e vari tipi di infrastrutture critiche. L ODV permette ad un operatore attestato in un centro di controllo di gestire il sistema attraverso una interfaccia disponibile in tre configurazioni possibili. In particolare VBrain EMS v1.0 può essere installato nelle seguenti tre differenti configurazioni: 1) Configurazione Desktop Client HMI che impiega nel client una applicazione adhoc adattata agli specifici processi/impianti/siti da monitorare e controllare; 2) Configurazione Web Client HMI che impiega nel client una applicazione web standard e richiede l utilizzo di browser; Pagina 14 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

15 3) Configurazione Completa in cui entrambe le interfacce Desktop Client HMI e Web Client HMI sono disponibili nel terminale client dell operatore. Si forniscono di seguito maggiori dettagli sulla architettura dell ODV Architettura dell'odv Hardware L ODV non include componenti HW. Per l ambiente operativo si forniscono in [TDS], par. 1.6, raccomandazioni sull HW da utilizzare per il lato server ed il lato client dell operatore per le tre configurazioni possibili Desktop Client HMI, Web Client HMI e Completa Software I componenti SW che compongono l ODV individuati in [TDS], par , per le tre configurazioni possibili Desktop Client HMI, Web Client HMI e Completa, sono illustrati nelle Figure 2-4. Figura 2 Configurazione Desktop Client HMI Pagina 15 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

16 Figura 3 Configurazione Web Client HMI Figura 4 Configurazione Completa Pagina 16 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

17 I componenti software illustrati nelle Figure 2-4 sono descritti in [TDS] al par Componenti dell ambiente operativo L ambiente operativo dell ODV include i seguenti COTS certificati (per riferimento a certificazioni si veda [TDS] al par ), necessari per il funzionamento dell ODV: DBMS: Microsoft SQL Server 2012 Database Engine Enterprise Edition x64 (Inglese), Versione (con Service Pack 1), certificato CC EAL4+ ALC_FLR.2, per gestire il configuration DB, il runtime DB e l historian DB. Sistema Operativo: Windows Server 2012 R2 e Windows 10, Windows 8 e Windows Server 2012, Windows 7 e Windows Server 2008 R2, Windows 8.1. Sono inoltre necessari alcuni pre-requisiti software lato server e lato client differenziati in base alla configurazione HMI adottata dal client e che includono la disponibilità di.net Framework V e.net Framework V 3.5, di un Internet browser con supporto HTML5, CSS3 ed SVG, di LabVIEW Run-Time Engine 2015 e di certificati digitali necessari per i processi di autenticazione e scambio dati. Per maggiori dettagli sull ambiente operativo dell ODV si faccia riferimento al [TDS], par. 1.6, con la descrizione dei componenti dell ambiente operativo differenziati in base alla configurazione HMI adottata per l ODV Utenti dell ODV Ad ogni utente dell ODV è assegnato uno o più VBrain Server, un ruolo che definisce le operazioni consentite sul singolo server, uno o più gruppi con associati permessi di accesso alle interfacce. Per l amministrazione ed utilizzo dell ODV sono definiti i seguenti profili di utente con ruoli e permessi differenziati: utenti amministratori: System Administrator e Configuration Adminstrator; utenti operatori: Commander, Acknowledger, Full Reader, Reader. In particolare al System Administrator è riservata la gestione degli utenti in aggiunta alle altre funzioni di configurazione dell ODV assegnate al Configuration Administrator. I permessi consentiti a ciascun utente sono dettagliati in Tabella 21 di [TDS]. Le operazioni consentite a ciascun utente in base al ruolo sono dettagliate in Tabella 17 di [TDS]. Pagina 17 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

18 7.3.2 Caratteristiche di Sicurezza dell ODV Per la descrizione dettagliata dei Requisiti Funzionali di Sicurezza (SFR) si rimanda al par. 6.1 del [TDS]. Gli obiettivi di sicurezza dell ODV, per l'ambiente operativo e le funzioni di sicurezza realizzate dall ODV sono riportati sinteticamente di seguito Obiettivi di sicurezza per l ODV Gli obiettivi di sicurezza per l ODV sono riassunti di seguito: L ODV deve consentire solo agli utenti amministratori autorizzati di configurare l ODV e modificare la configurazione dell ODV (O.CONFIG). L ODV deve proteggere l integrità e la riservatezza dei dati scambiati tra le diverse parti dell ODV (O.SECCOM). L ODV deve permettere solo al System Administrator di modificare ruoli e permessi degli utenti (O.USER), deve identificare gli utenti prima di consentire l accesso a dati e funzioni (O.IDENTIFY), deve consentire agli utenti di accedere a funzioni e dati in base al ruolo e rispettive autorizzazioni assegnati (O.ACCESS), e ai dati acquisiti dal campo (quali misure di sensori, stato di dispositivi ed attuatori, altre notifiche di dispositivi) attraverso il FieldBus, ad allarmi e di eseguire comandi (O.AVAIL) in base al ruolo e rispettive autorizzazioni assegnati. L ODV deve registrare audit record, correlandoli agli utenti ed invia eventi ed allarmi agli operatori (O.AUDIT) attraverso vari canali di comunicazione (quali SMS, messaggi , stampe, ecc.), deve assicurare una gestione efficace delle funzioni e dei dati di sicurezza dell ODV prevenendo utilizzi impropri dell ODV (O.MANAGE). L ODV deve contrastare attacchi a forza bruta o a dizionario (O.ANTI_BRUTE) e attacchi replay (O.REPLAY), deve impedire agli utenti di lanciare un numero di sessioni con i VBrain Server superiore al massimo fissato per ciascun utente (O.SESSION). L ODV deve assicurare la disponibilità dei dati di sicurezza prevenendo l esaurimento della capacità di immagazzinamento dei DB e del loro spazio per il back-up (O.EXHAUST), deve ripristinare configurazioni ed installazioni precedenti in caso di malfunzionamenti e criticità (O.CRASH). Per una formulazione completa degli obiettivi di sicurezza dell ODV si veda il Traguardo di Sicurezza [TDS] al par Obiettivi di sicurezza per l'ambiente operativo Gli obiettivi di sicurezza per l'ambiente operativo dell ODV sono riassunti di seguito: realizzare la condivisione di ruoli tra amministratori dell ODV, del SO e del DBMS; in particolare un amministratore del sistema operativo o del DBMS deve essere anche un amministratore autorizzato dell ODV (OE.SO, OE.DB); assicurare che l accesso fisico al luogo dove è tenuto l ODV lato server sia consentito solo ad amministratori dell ODV autorizzati (OE.PHYSICAL_ACCESS); Pagina 18 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

19 selezionare personale fidato, competente e formato per svolgere la funzione di amministratore autorizzato dell ODV in modo da non compromettere l installazione e la configurazione dell ODV, DBMS e SO (OE.USER); assicurare vari requisiti durante l installazione, in particolare, che l ODV sia installato e gestito in accordo con una configurazione valutata e secondo le procedure preparatorie (OE.TOE_EVALUATED), che VBrain Server e VBrain Supervisor siano installati sullo stesso host (OE.INSTALL); fornire una interfaccia per l identificazione dell amministratore del SO in grado di attivare e disattivare i componenti dell ODV lato server e configurare il VBrain Notifier (OE.IDENTIFY); assicurare continuità di funzionamento dell ODV in caso di mancanza di alimentazione elettrica (OE.CONTINUITY); fornire supporto all operatività dell ODV attraverso alcune funzionalità specifiche del SO quali o funzionalità crittografiche (basate su vari algoritmi quali RSA 2048, SHA 256, AES 128/256) e l HTTPS per la comunicazione sicura tra client e server e la generazione di password casuali per il primo utilizzo da parte degli utenti (OE.CRYPTO); o creazione di audit record (OE.AUDIT); o controllo di accesso a file di configurazione e dati nei DB (OE.RESTRICT); o supporto all attivazione e disattivazione di componenti dell ODV (OE.STATE); o riferimento temporale affidabile(oe.time). Per una formulazione completa degli obiettivi di sicurezza dell ODV si veda il Traguardo di Sicurezza [TDS], par Funzioni di sicurezza Le funzioni di sicurezza dell ODV sono le seguenti: SF_1: Configuration Management questa funzione permette di configurare ed impostare tutti i parametri del sistema e gli utenti autorizzati ad operare su di esso, comprese le politiche di sicurezza per i canali di comunicazione. SF_2: Centralized Access Control questa funzione assegna a ciascun utente uno o più server con cui poter operare e relativi permessi ed il massimo numero di sessioni OPC-UA attivabili simultaneamente per ciascun server. SF_3: Identification and Authentication questa funzione richiede l autenticazione dell utente quando si richiede l apertura del VBrain Client HMI e prima di accedere a determinate funzioni o dati, quale ad esempio la VBrain Alarms List. Pagina 19 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

20 SF_4: Session handling questa funzione gestisce le sessioni attivate simultaneamente da uno stesso utente che non possono superare il numero massimo impostato a priori per l utente. SF_5: Audit questa funzione, interagendo con il SO, permette la creazione di audit record per un insieme predeterminato di eventi e controlla l accesso agli audit record. SF_6: Encryption questa funzione realizza la cifratura dei file di configurazione e dei messaggi per la comunicazione sicura attraverso le funzionalità crittografiche messe a disposizione dal SO. SF_7: Security related data availability and service continuity questa funzione assicura la disponibilità dei dati di sicurezza e la continuità del servizio verificando che i processi di base siano attivi, rispondano ai comandi, non abbiano raggiunto il limite massimo di memoria ed avviando automaticamente nuove istanze di processi se necessario. Si occupa inoltre di effettuare backup automatici. Per maggiori dettagli sulle funzioni di sicurezza dell ODV si veda il Traguardo di Sicurezza [TDS] al par Configurazione dell ODV L ODV valutato è identificato in [TDS] come versione 1.0. Tutti i test (funzionali e di vulnerabilità) sono stati effettuati su questa versione dell ODV. L ODV è stato valutato nella configurazione Completa dal momento che contiene tutti i componenti presenti anche nelle altre due configurazioni Desktop Client HMI e Web Client HMI. Le Figure 5-7 mostrano in particolare i componenti SW dell ODV utilizzati nella configurazione adottata. Figura 5 Componenti SW nella Configurazione Completa Per ulteriori dettagli sulla configurazione valutata far riferimento all Appendice B Configurazione valutata. Pagina 20 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

21 7.4 Documentazione Per un corretto utilizzo dell ODV, oltre alla necessaria competenza e formazione degli utenti, il Committente ha predisposto come documenti di riferimento in aggiunta a [TDS] quattro documenti guida, elencati in Appendice A Indicazioni per l uso sicuro del prodotto, che consistono in un documento guida generale, un manuale di configurazione, un manuale per la preparazione degli host lato server e lato client, un manuale di installazione e per il recupero in caso di guasti. Per l utilizzo sicuro dell ODV si deve fare riferimento a quanto specificato nel Traguardo di Sicurezza [TDS]. Devono inoltre essere seguiti gli ulteriori obblighi o raccomandazioni contenuti nel par. 8.2 di questo rapporto. 7.5 Requisiti funzionali e di garanzia Tutti i Requisiti Funzionali di Sicurezza (SFR) sono stati selezionati dai CC Parte 2 [CC2] e tutti i Requisiti di Garanzia (SAR) dai CC Parte 3 [CC3]. Trattandosi di una valutazione a livello di garanzia EAL1 con l aggiunta di ASE_SPD.1, ASE_REQ.2, ASE_OBJ.2, ALC_FLR.1, nel Traguardo di Sicurezza [TDS] è descritto completamente il problema di sicurezza. Il Traguardo di Sicurezza [TDS], a cui si rimanda per la completa descrizione e le note applicative, specifica per l ODV tutti gli obiettivi di sicurezza, le minacce che questi obiettivi devono contrastare, gli SFR e le funzioni di sicurezza che realizzano gli obiettivi stessi. 7.6 Conduzione della valutazione La valutazione è stata svolta in conformità ai requisiti dello Schema nazionale per la valutazione e certificazione della sicurezza di sistemi e prodotti nel settore della tecnologia dell informazione, come descritto nelle Linee Guida Provvisorie [LGP3] e nelle Note Informative dello Schema [NIS3], ed è stata inoltre condotta secondo i requisiti del Common Criteria Recognition Arrangement (CCRA). Lo scopo della valutazione è quello di fornire garanzie sull efficacia dell ODV nel soddisfare quanto dichiarato nel rispettivo Traguardo di Sicurezza [TDS], di cui si raccomanda la lettura ai potenziali acquirenti e/o utilizzatori. Inizialmente è stato valutato il Traguardo di Sicurezza per garantire che costituisse una solida base per una valutazione nel rispetto dei requisiti espressi dallo standard CC. Quindi è stato valutato l ODV sulla base delle dichiarazioni formulate nel Traguardo di Sicurezza stesso. Entrambe le fasi della valutazione sono state condotte in conformità ai CC Parte 3 [CC3] e alla CEM [CEM]. L Organismo di Certificazione ha supervisionato lo svolgimento della valutazione eseguita dall LVS IMQ/LPS. L'attività di valutazione è terminata in data 2 agosto 2017 con l emissione, da parte dell LVS, del Rapporto Finale di Valutazione [RFV] che è stato approvato dall Organismo di Certificazione il 1 settembre Successivamente, l Organismo di Certificazione ha emesso il presente Rapporto di Certificazione. Pagina 21 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

22 7.7 Considerazioni generali sulla validità della certificazione La valutazione ha riguardato le funzionalità di sicurezza dichiarate nel Traguardo di Sicurezza [TDS], con riferimento all ambiente operativo ivi specificato. La valutazione è stata eseguita sull'odv configurato come descritto in Appendice B Configurazione valutata. I potenziali acquirenti e/o utilizzatori sono invitati a verificare che questa corrisponda ai propri requisiti e a prestare attenzione alle raccomandazioni contenute in questo Rapporto di Certificazione. La certificazione non è una garanzia di assenza di vulnerabilità; rimane una probabilità (tanto minore quanto maggiore è il livello di garanzia) che possano essere scoperte vulnerabilità sfruttabili dopo l emissione del certificato. Questo Rapporto di Certificazione riflette le conclusioni dell Organismo di Certificazione al momento della sua emissione. Gli acquirenti e/o utilizzatori (potenziali e effettivi) sono invitati a verificare regolarmente l eventuale insorgenza di nuove vulnerabilità successivamente all emissione di questo Rapporto di Certificazione e, nel caso le vulnerabilità possano essere sfruttate nell ambiente operativo dell ODV, verificare presso il produttore se siano stati messi a punto aggiornamenti di sicurezza e se tali aggiornamenti siano stati valutati e certificati. Pagina 22 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

23 8 Esito della valutazione 8.1 Risultato della valutazione A seguito dell analisi del Rapporto Finale di Valutazione [RFV] prodotto dall LVS e dei documenti richiesti per la certificazione, e in considerazione delle attività di valutazione svolte, come testimoniato dal gruppo di Certificazione, l OCSI è giunto alla conclusione che l ODV VBrain EMS v.1.0 soddisfa i requisiti della parte 3 dei Common Criteria [CC3] previsti per il livello di garanzia EAL1 con l aggiunta di ASE_SPD.1, ASE_REQ.2, ASE_OBJ.2, ALC_FLR.1, in relazione alle funzionalità di sicurezza riportate nel Traguardo di Sicurezza [TDS] e nella configurazione valutata, riportata in Appendice B Configurazione valutata. La Tabella 1 riassume i verdetti finali di ciascuna attività svolta dall LVS in corrispondenza ai requisiti di garanzia previsti in [CC3], relativamente al livello di garanzia raggiunto. Classi e componenti di garanzia Verdetto Security Target evaluation Classe ASE Positivo Conformance claims ASE_CCL.1 Positivo Extended components definition ASE_ECD.1 Positivo ST introduction ASE_INT.1 Positivo Security objectives ASE_OBJ.2 Positivo Derived security requirements ASE_REQ.2 Positivo Security Problem Definition ASE_SPD.1 Positivo TOE summary specification ASE_TSS.1 Positivo Development Classe ADV Positivo Basic functional specification ADV_FSP.1 Positivo Guidance documents Classe AGD Positivo Operational user guidance AGD_OPE.1 Positivo Preparative procedures AGD_PRE.1 Positivo Life cycle support Classe ALC Positivo Labelling of the TOE ALC_CMC.1 Positivo TOE CM coverage ALC_CMS.1 Positivo Basic Flow Remediation ALC_FLR.1 Positivo Tests Classe ATE Positivo Independent testing - conformance ATE_IND.1 Positivo Vulnerability assessment Classe AVA Positivo Vulnerability survey AVA_VAN.1 Positivo Tabella 1 Verdetti finali per i requisiti di garanzia Pagina 23 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

24 8.2 Raccomandazioni Le conclusioni dell Organismo di Certificazione sono riassunte nel capitolo 6 Dichiarazione di certificazione. Si raccomanda ai potenziali acquirenti e/o utilizzatori del prodotto VBrain EMS v. 1.0 di comprendere correttamente lo scopo specifico della certificazione leggendo questo Rapporto in riferimento al Traguardo di Sicurezza [TDS]. L ODV deve essere utilizzato in accordo all ambiente operativo specificato nel par. 1.6 del Traguardo di Sicurezza [TDS]. Si consiglia ai potenziali acquirenti e/o utilizzatori di verificare la rispondenza ai requisiti identificati e di prestare attenzione alle raccomandazioni contenute in questo Rapporto. Il presente Rapporto di Certificazione è valido esclusivamente per l'odv nella configurazione valutata, descritta in Appendice B Configurazione valutata. Pagina 24 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

25 9 Appendice A Indicazioni per l uso sicuro del prodotto I documenti di guida rilevanti ai fini della valutazione o referenziati all interno dei documenti prodotti e disponibili ai potenziali utilizzatori dell ODV, sono i seguenti: VBrain EMS Security Target V. 1.1, 1 agosto 2017, Document ID: VC_UGI_I00155_01_REL_0001, [TDS]; VBrain EMS Guidance Documents, versione 1.1, 1 agosto 2017, Document ID: VC_UGI_I00155_01_REL_0004, [GUI1]; VBRAIN EMS CONFIGURATION MANUAL - VBrain Administrators Guide - versione 1.1, 1 agosto 2017, Document ID: VC_UGI_I00155_01_MAN_0003, [GUI2]; VBRAIN EMS HOSTS PREPARATION MANUAL - Server and Client Hosts, versione 1.1, 1 agosto 2017, Document ID: VC_UGI_I00155_01_MAN_0005, [GUI3]; VBRAIN EMS INSTALLATION/RECOVERY MANUAL, versione 1.1, 1 agosto 2017, Document ID: VC_UGI_I00155_01_MAN_0004, [GUI4]. Pagina 25 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

26 10 Appendice B Configurazione valutata L ODV è stato valutato nella configurazione Completa descritta sinteticamente al par e dettagliata in [TDS] al par L ODV è identificato nel Traguardo di Sicurezza [TDS] con il numero di versione 1.0. Il nome e il numero di versione identificano univocamente l ODV e l insieme dei suoi componenti, costituenti la configurazione valutata dell ODV, verificata dai Valutatori all atto dell effettuazione dei test e a cui si applicano i risultati della valutazione stessa. In Tabella 2 si elencano i componenti utilizzati nella configurazione valutata: Tipo HW SW COTS Lista Componenti Nessun compente HW è incluso nell ODV VBrain Server v1.0, VBrain Supervisor v1.0 VBrain Configurator v1.0 VBrain Logger v1.0 VBrain Notifier v1.0 VBrain Reporting v1.0 VBrain Reporting HMI v1.0 VBrain Desktop Client HMI v1.0 VBrain Web Socket Server v1.0 VBrain Alarms List v1.0 VBrain Web Client HMI v1.0 VBrain Client HTML5 v1.0 L ODV non prevede alcun COTS Tabella 2 - componenti dell ODV valutati Gli elementi HW e SW presenti nell ambiente operativo dell ODV valutato sono identificati nelle Tabelle 5-7 al par. 1.6 di [TDS]. I componenti delle configurazioni valutate sono ulteriormente dettagliate nella lista di configurazione, fornita dal Committente ai Valutatori nel documento [CONF]. Pagina 26 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

27 11 Appendice C Attività di Test Questa appendice descrive l impegno dei Valutatori e del Fornitore nelle attività di test. Per il livello di garanzia EAL1 con l aggiunta di ASE_SPD.1, ASE_REQ.2, ASE_OBJ.2, ALC_FLR.1 tali attività non prevedono l'esecuzione di test funzionali da parte del Fornitore, ma soltanto test funzionali indipendenti da parte dei Valutatori Configurazione per i Test I test funzionali di sicurezza, le attività di analisi delle vulnerabilità e i test di intrusione sono stati eseguiti presso la sede di Vitrociset S.p.A. e da remoto tramite connessione Internet dalla sede di IMQ/LPS. In concomitanza dell esecuzione delle prove sono state anche verificate le procedure di preparazione e di avvio di esercizio dell ODV, di cui ai requisiti delle famiglie di garanzia AGD_PRE e AGD_OPE. Per la verifica dell allestimento del set up i Valutatori hanno tenuto conto di quanto descritto nel Traguardo di Sicurezza [TDS] e delle Guide fornite dal Committente [GUI1], [GUI2], [GUI3] e [GUI4], secondo la configurazione riportata in Allegato C di [RFV] sulla base del documento [CONF] consegnato dal Committente ai Valutatori e contenente la lista di configurazione. Nella fase di preparazione del piano dei test, i Valutatori hanno esaminato la descrizione dell ODV riportata nel TDS ed hanno verificato che la configurazione proposta dal Committente per i test fosse coerente con quanto specificato nel TDS stesso e nelle specifiche funzionali. Inoltre, prima dell effettuazione delle singole sessioni di test i Valutatori hanno verificato che l ODV, assieme alle diverse componenti del suo ambiente operativo, fosse installato e configurato come dichiarato dal Committente e riportato in Appendice B, a garanzia della ripetibilità e riproducibilità dei test Test funzionali indipendenti svolti dai Valutatori Nella predisposizione del programma dei test indipendenti da effettuare sull'odv, i Valutatori hanno tenuto in conto il Traguardo di Sicurezza [TDS] e le specifiche funzionali. I Valutatori hanno quindi esaminato le funzioni di sicurezza dell'odv, così come rappresentate nel TDS e, sulla base della loro esperienza, hanno predisposto un insieme di test, con l obiettivo di verificare l adeguatezza delle funzioni di sicurezza dell'odv, nel rispetto di quanto previsto dalla CEM. I test di funzionalità pianificati e svolti dall LVS sono stati mirati a verificare i seguenti aspetti principali: 1. CONFIGURAZIONE che le principali funzioni di sicurezza offerte dal VBrain Configurator siano soddisfatte, ed in particolare la corretta implementazione della SF_1 per la gestione della configurazione; Pagina 27 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

28 2. COMUNICAZIONE OPC-UA - l utilizzo di OPC-UA per la comunicazione tra VBrain Server e altri componenti dell ODV per proteggere l integrità e la riservatezza dei dati scambiati; 3. REGISTRAZIONE EVENTI - la corretta registrazione di eventi nel Configuration DB e nei log file e la creazione e cifratura corretta dei file di configurazione; 4. GESTIONE UTENTI - che il System Administrator a differenza del Configuration Administrator possa gestire utenti dell ODV, un utente dell ODV deve riautenticarsi nel caso in cui tenti di accedere alla VBrain Alarm List, un utente dell ODV dopo il primo accesso all ODV debba cambiare necessariamente la password ed impostarla secondo criteri di sicurezza minimi, un utente dell ODV non possa lanciare un numero di sessioni OPC-UA simultanee superiore al limite impostato, la corretta implementazione della SF_3 per l autenticazione ed identificazione degli utenti; 5. ALTRE FUNZIONI DI GESTIONE che le funzioni di gestione definite in [TDS] siano implementate correttamente e sia operativa la funzionalità di gestione degli allarmi. I test di funzionalità effettuati dai Valutatori hanno consentito di verificare che l ODV realizza le funzioni di sicurezza dichiarate, estendendo le verifiche al sistema nel suo complesso, comprensivo di tutti i componenti coinvolti, sia dell ODV, sia dell ambiente operativo. L esito dei test ha mostrato il pieno rispetto di quanto previsto nel TDS e nelle specifiche funzionali. L ODV ha quindi superato con verdetto positivo la fase di test indipendenti Analisi delle vulnerabilità e test di intrusione I test di analisi delle vulnerabilità sono stati condotti sullo stesso test bed utilizzato per i test funzionali, su cui è risultato che la configurazione era rispondente a quanto descritto nel [TDS] e che l ODV fosse stato installato in modo opportuno e si trovasse in uno stato noto, come già precedentemente riscontrato nella attività AGD_PRE.1. Per la predisposizione delle attività di analisi delle vulnerabilità, in considerazione del livello di garanzia richiesto per la valutazione e della natura dell ODV, il team di valutazione ha preso in considerazione le potenziali vulnerabilità note dei server e dei client presenti nell ambiente operativo, oltre che dei protocolli di comunicazione utilizzati per lo scambio dei dati, che potrebbero essere sfruttate per aggirare od interferire con le funzioni di sicurezza dell ODV. In particolare, per lo svolgimento delle attività di test è stato usato un personal computer di IMQ avviato con la distribuzione Kali-Linux (distribuzione orientata al penetration testing con un database aggiornato delle vulnerabilità note). La ricerca delle vulnerabilità si è concentrata sul componente VBrain Web Client HMI in quanto componente dell ODV, che potenzialmente può essere esposto su Internet, attraverso gli strumenti owasp-zap, Sqlmap e sul VBrain Server per il quale è stato utilizzato lo strumento OpenVas aggiornato con il database delle vulnerabilità note al 16 Pagina 28 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0

29 maggio 2017 (le attività di valutazione per la classe ATE ed AVA si sono svolte dal 26/04/2017 al 21/06/2017). I test preliminari condotti con tali strumenti hanno individuato delle vulnerabilità potenziali nel VBrain Server e nel VBrain Web Client HMI. I Valutatori hanno quindi esaminato le vulnerabilità così individuate e determinato un insieme di prove di intrusione appropriato per il livello di valutazione EAL1+, cioè assumendo che l'odv dovesse resistere ad un ipotetico attaccante con potenziale di attacco BASIC, nel rispetto di quanto previsto dalla CEM (cfr. [CEM], appendice B.4). Le prove di intrusione condotte dai Valutatori hanno quindi rilevato l effettiva presenza di vulnerabilità sfruttabili con un potenziale di attacco di tipo BASIC. In particolare i Valutatori hanno verificato che 1. attraverso una vulnerabilità del sistema operativo Windows Server 2012 R2 installato sulla macchina Server e facente parte dell ambiente operativo era possibile causare un riavvio della macchina Server con conseguente riavvio di VBrain Server e di tutti i componenti lato server installati; la vulnerabilità ha richiesto l installazione di una opportuna patch del sistema operativo; 2. attraverso l invio di raffiche di 500 pacchetti di lunghezza incrementale con la suite owasp zap era possibile disabilitare totalmente l applicazione web WebSocket Server, esposta sull'interfaccia Web Client HMI; la vulnerabilità ha richiesto una modifica del Web Client HMI da parte dello sviluppatore nelle modalità di creazione delle sessioni OPC-UA. A seguito dell aggiornamento dell ODV e dell ambiente operativo con le suddette patch i test di vulnerabilità si sono conclusi con esito positivo. In merito alla vulnerabilità riscontrata nel Web Client HMI, si evidenzia che l attività di valutazione dell ODV si è svolta in concomitanza con l attività di sviluppo, come da accordi tra Committente ed LVS, e la versione v1.0 è emessa al termine della valutazione ed include pertanto la relativa modifica al Web Client HMI. Pagina 29 di 29 OCSI/CERT/IMQ/12/2016/RC Vers. 1.0