7 Mar 2021

Prueba de penetración

por | publicado en: Articles | 0

la amenaza que representaba la penetración de computadoras se describió a continuación en un importante informe organizado por el Departamento de Defensa de los Estados Unidos (DoD) a finales de 1967. Esencialmente, los funcionarios del Departamento de Defensa recurrieron a Willis Ware para dirigir un grupo de trabajo de expertos de la NSA, la CIA, el Departamento de Defensa, la academia y la industria para evaluar formalmente la seguridad de los sistemas informáticos de tiempo compartido. Basándose en muchos documentos presentados durante la Conferencia Conjunta de computadoras de la primavera de 1967, el grupo de trabajo confirmó en gran medida la amenaza a la seguridad del sistema que representaba la penetración de computadoras., El informe de Ware fue inicialmente clasificado, pero muchos de los principales expertos en informática del país rápidamente identificaron el estudio como el documento definitivo sobre seguridad informática. Jeffrey R. Yost del Instituto Charles Babbage ha descrito más recientemente el informe Ware como » the por mucho, el estudio más importante y exhaustivo sobre cuestiones técnicas y operativas relacionadas con los sistemas informáticos seguros de su período de tiempo.»En efecto, El Informe de Ware reafirmó la principal amenaza planteada por la penetración de computadoras a los nuevos sistemas informáticos de tiempo compartido en línea.,

para comprender mejor las debilidades del sistema, el gobierno federal y sus contratistas pronto comenzaron a organizar equipos de penetradores, conocidos como tiger teams, para usar la penetración de computadoras para probar la seguridad del sistema. Deborah Russell y G. T. Gangemi, Sr. declararon que durante la década de 1970 «…los ‘tiger teams’ surgieron por primera vez en la escena de las computadoras. Los Tiger teams eran equipos de crackers patrocinados por el gobierno y la industria que intentaban romper las defensas de los sistemas informáticos en un esfuerzo por descubrir, y finalmente parchear, agujeros de seguridad.,»: 29

un destacado erudito en la historia de la seguridad informática, Donald MacKenzie, señala de manera similar que, » RAND había hecho algunos estudios de penetración (experimentos para eludir los controles de seguridad informática) de los primeros sistemas de tiempo compartido en nombre del Gobierno. Jeffrey R. Yost del Instituto Charles Babbage, en su propio trabajo sobre la historia de la seguridad informática, también reconoce que tanto la Corporación RAND como la SDC habían «participado en algunos de los primeros llamados ‘estudios de penetración’ para tratar de infiltrarse en los sistemas de tiempo compartido con el fin de probar su vulnerabilidad.,»En prácticamente todos estos primeros estudios, los equipos tigre irrumpieron con éxito en todos los sistemas informáticos dirigidos, ya que los sistemas de tiempo compartido del país tenían defensas pobres.

de las primeras acciones de tiger team, los esfuerzos en la Corporación RAND demostraron la utilidad de la penetración como una herramienta para evaluar la seguridad del sistema. En ese momento, un analista de RAND señaló que las pruebas habían»…demostró la viabilidad de la penetración del sistema como herramienta para evaluar la eficacia y adecuación de las salvaguardias de seguridad de los datos implementadas.,»Además, varios analistas de RAND insistieron en que los ejercicios de prueba de penetración ofrecían varios beneficios que justificaban su uso continuo. Como señalaron en un artículo, » un penetrador parece desarrollar un estado de ánimo diabólico en su búsqueda de debilidades del sistema operativo e incompletitud, que es difícil de emular.»Por estas y otras razones, muchos analistas de RAND recomendaron el estudio continuo de las técnicas de penetración por su utilidad en la evaluación de la seguridad del sistema.: 9

quizás el principal experto en penetración de computadoras durante estos años de formación fue James P., Anderson, que había trabajado con la NSA, RAND y otras agencias gubernamentales para estudiar la seguridad del sistema. A principios de 1971, la Fuerza Aérea de los Estados Unidos contrató a la compañía privada de Anderson para estudiar la seguridad de su sistema de tiempo compartido en el Pentágono. En su estudio, Anderson describió una serie de factores importantes involucrados en la penetración de computadoras. Anderson describió una secuencia de ataque general en pasos:

  1. encontrar una vulnerabilidad explotable.
  2. Diseñar un ataque a su alrededor.
  3. probar el ataque.
  4. aprovechar una línea en uso.
  5. entrar en el ataque.,
  6. explotar la entrada para la recuperación de información.

con el tiempo, la descripción de Anderson de los pasos generales de penetración de computadoras ayudó a guiar a muchos otros expertos en seguridad, que confiaron en esta técnica para evaluar la seguridad del sistema informático de tiempo compartido.: 9

en los años siguientes, la penetración de computadoras como herramienta para la evaluación de la seguridad se volvió más refinada y sofisticada. A principios de la década de 1980, el periodista William Broad resumió brevemente los esfuerzos en curso de los equipos tigre para evaluar la seguridad del sistema. Como Broad informó, el informe patrocinado por el Departamento de Defensa por Willis Ware había»…,mostró cómo los espías podían penetrar activamente computadoras, robar o copiar archivos electrónicos y subvertir los dispositivos que normalmente custodian información de alto secreto. El estudio desencadenó más de una década de actividad tranquila por parte de grupos de élite de científicos de la computación que trabajan para el Gobierno que trataron de irrumpir en computadoras sensibles. Tuvieron éxito en cada intento.»

mientras que estos diversos estudios pueden haber sugerido que la seguridad informática en los EE.UU., sigue siendo un problema importante, el erudito Edward Hunt ha hecho más recientemente un punto más amplio sobre el estudio extenso de la penetración de la computadora como herramienta de seguridad. Hunt sugiere en un artículo reciente sobre la historia de las pruebas de penetración que el establecimiento de defensa en última instancia «…creó muchas de las herramientas utilizadas en la guerra cibernética moderna», ya que definió e investigó cuidadosamente las muchas formas en que los penetradores de computadoras podrían hackear sistemas específicos.: 5

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *