Penetration test

posted in: Articles | 0

truslen om, at computer penetration udgjorde, blev næste skitseret i en større rapport arrangeret af det amerikanske forsvarsministerium (DoD) i slutningen af 1967. I det væsentlige henvendte DoD-embedsmænd sig til .illis .are for at lede en taskforce af eksperter fra NSA, CIA, DoD, Akademia og industri for formelt at vurdere sikkerheden ved tidsdelingscomputersystemer. Ved at stole på mange papirer, der blev præsenteret i løbet af foråret 1967 fælles Computerkonference, bekræftede taskforcen stort set truslen mod systemsikkerhed, som computerindtrængning udgjorde., Reportare ‘ s rapport blev oprindeligt klassificeret, men mange af landets førende computereksperter identificerede hurtigt undersøgelsen som det endelige dokument om computersikkerhed. Jeffrey R. Yost fra Charles Babbage Institute har for nylig beskrevet reportare-rapporten som ” …langt den vigtigste og grundige undersøgelse af tekniske og operationelle spørgsmål vedrørende sikre computersystemer i dens tidsperiode.”Faktisk bekræftede reportare-rapporten den største trussel, som computerindtrængning udgør for de nye online tidsdelingscomputersystemer.,

for bedre at forstå systemsvagheder begyndte den føderale regering og dens entreprenører snart at organisere hold af penetratorer, kendt som tiger-hold, for at bruge computerindtrængning til at teste systemsikkerhed. Deborah Russell og G. T. Gangemi, Sr. erklærede, at i løbet af 1970 ‘ erne “…’tiger teams’ dukkede først op på computerscenen. Tiger hold var regering og industri-sponsoreret hold af kiks, der forsøgte at nedbryde forsvaret af edb-systemer i et forsøg på at afdække, og til sidst patch, sikkerhedshuller.,”: 29

en førende lærd om computersikkerhedens historie, Donald Macken .ie, påpeger ligeledes, at “RAND havde foretaget nogle penetrationsundersøgelser (eksperimenter med at omgå computersikkerhedskontrol) af tidlige tidsdelingssystemer på vegne af regeringen.”Jeffrey R. Yost af Charles Babbage Institut, i hans eget arbejde på historien om edb-sikkerhed, også anerkender, at både RAND Corporation og SDC var “engageret i nogle af de første såkaldte “anal undersøgelser” for at forsøge at infiltrere time-sharing systemer for at teste deres sårbarhed.,”I stort set alle disse tidlige undersøgelser brød tiger-hold med succes ind i alle målrettede computersystemer, da landets tidsdelingssystemer havde dårlige forsvar.

af tidlige tiger-holdhandlinger viste indsatsen hos RAND Corporation nytten af penetration som et værktøj til vurdering af systemsikkerhed. På det tidspunkt bemærkede en RAND-analytiker, at testene havde “…demonstreret det praktiske ved systemindtrængning som et værktøj til evaluering af effektiviteten og tilstrækkeligheden af implementerede datasikkerhedsforanstaltninger.,”Derudover insisterede et antal af RAND-analytikerne på, at penetrationstestøvelserne alle tilbød flere fordele, der berettigede dens fortsatte brug. Som de bemærkede i et papir, “en penetrator ser ud til at udvikle en diabolisk sindstilstand i sin søgning efter svagheder i operativsystemet og ufuldstændighed, hvilket er vanskeligt at efterligne.”Af disse grunde og andre anbefalede mange analytikere hos RAND den fortsatte undersøgelse af penetrationsteknikker for deres anvendelighed i vurderingen af systemsikkerhed.: 9

måske var den førende computer penetrationsekspert i disse formative år James P., Anderson, der havde arbejdet med NSA, RAND og andre offentlige myndigheder for at studere systemsikkerhed. I begyndelsen af 1971 kontraherede US Air Force Andersons private firma for at studere sikkerheden i sit tidsdelingssystem ved Pentagon. I sin undersøgelse skitserede Anderson en række vigtige faktorer involveret i computerindtrængning. Anderson beskrev en generel angrebssekvens i trin:

  1. Find en udnyttelig sårbarhed.
  2. Design et angreb omkring det.
  3. Test angrebet.
  4. gribe en linje i brug.
  5. indtast angrebet.,
  6. Udnyt posten til informationsgendannelse.over tid hjalp Andersons beskrivelse af generelle computerindtrængningstrin med at guide mange andre sikkerhedseksperter, der stolede på denne teknik til at vurdere tidsdeling af computersystemsikkerhed.: 9

    i de følgende år blev computerindtrængning som et værktøj til sikkerhedsvurdering mere raffineret og sofistikeret. I begyndelsen af 1980 ‘ erne opsummerede journalisten .illiam Broad kort tigerholdets igangværende indsats for at vurdere systemsikkerheden. Som Broad rapporterede, havde DoD-sponsoreret rapport fra .illis .are “…,viste, hvordan spioner aktivt kunne trænge ind i computere, stjæle eller kopiere elektroniske filer og undergrave de enheder, der normalt beskytter tophemmelige oplysninger. Undersøgelsen berørte mere end et årti med stille aktivitet af elitegrupper af computerforskere, der arbejdede for regeringen, der forsøgte at bryde ind i følsomme computere. De lykkedes i ethvert forsøg.”

    mens disse forskellige undersøgelser kan have antydet, at computersikkerhed i USA, forblev et stort problem, den lærde Ed .ard Hunt har for nylig gjort et bredere punkt om den omfattende undersøgelse af computer penetration som et sikkerhedsværktøj. Hunt foreslår i en nylig artikel om historien om penetration test, at forsvaret etablering I sidste ende “…skabt mange af de værktøjer, der anvendes i moderne cyberararfare, ” som det omhyggeligt defineret og forsket de mange måder, computer penetrators kunne hacke sig ind målrettede systemer.: 5

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *