Penetrációs teszt

posted in: Articles | 0

a számítógépes penetráció jelentette veszélyt az Egyesült Államok Védelmi Minisztériuma (DoD) által 1967 végén szervezett fő jelentés vázolta fel. Lényegében a Védelmi Minisztérium tisztviselői Willis Ware-hez fordultak, hogy az NSA, a CIA, a DoD, az academia és az ipar szakértőinek munkacsoportját vezessék, hogy hivatalosan értékeljék az időmegosztó számítógépes rendszerek biztonságát. Az 1967 tavaszi közös számítógépes konferencia során bemutatott számos dokumentumra támaszkodva a munkacsoport nagyrészt megerősítette a számítógépes behatolás által okozott rendszerbiztonság veszélyét., Ware jelentését eredetileg besorolták, de az ország számos vezető számítógépes szakértője gyorsan azonosította a tanulmányt a számítógépes biztonságról szóló végleges dokumentumként. Jeffrey R. Yost, a Charles Babbage Intézet munkatársa a közelmúltban úgy írta le a Ware-jelentést, hogy “…messze a legfontosabb és alapos tanulmány az időszak biztonságos számítástechnikai rendszereivel kapcsolatos műszaki és működési kérdésekről.”Valójában a Ware jelentés megerősítette, hogy a számítógép behatolása az új online időmegosztó számítógépes rendszerekbe komoly veszélyt jelent.,

a rendszer gyengeségeinek jobb megértése érdekében a szövetségi kormány és alvállalkozói hamarosan megkezdték a penetrátorok, úgynevezett tiger csapatok csoportjainak szervezését, hogy számítógépes behatolást használjanak a rendszer biztonságának tesztelésére. Deborah Russell és G. T. Gangemi, Sr. kijelentette, hogy az 1970-es években “…a “tigris csapatok” először megjelentek a számítógépes helyszínen. A tigriscsapatok a kormány és az ipar által támogatott crackerek csapatai voltak, akik megpróbálták lebontani a számítógépes rendszerek védelmét annak érdekében, hogy feltárják, végül pedig javítsák a biztonsági lyukakat.,”: 29

a számítógépes biztonság történetének vezető tudósa, Donald MacKenzie hasonlóképpen rámutat arra, hogy ” RAND a kormány nevében végzett néhány penetrációs tanulmányt (kísérleteket a számítógépes biztonsági ellenőrzések megkerülésére) a korai időmegosztó rendszerekről.”Jeffrey R. Yost, a Charles Babbage Intézet, a saját munka a történelem, a számítógép biztonságát, azt is elismeri, hogy mind a RAND Corporation a SDC volt “részt az első néhány úgynevezett ‘penetrációs vizsgálatok, hogy megpróbál beépülni a time-sharing rendszer annak érdekében, hogy teszteljék a biztonsági rés.,”Gyakorlatilag mindezen korai tanulmányokban a tigris csapatok sikeresen betörtek az összes célzott számítógépes rendszerbe, mivel az ország időmegosztó rendszerei rossz védelmet nyújtottak.

a korai tigris csapat fellépései, a RAND Corporation erőfeszítései bizonyították a penetráció hasznosságát a rendszerbiztonság értékelésének eszközeként. Abban az időben egy RAND elemző megjegyezte, hogy a tesztek”…bizonyította a rendszer-penetráció gyakorlatiasságát, mint a végrehajtott adatbiztonsági biztosítékok hatékonyságának és megfelelőségének értékelésére szolgáló eszközt.,”Ezenkívül számos RAND elemző ragaszkodott ahhoz, hogy a penetrációs teszt gyakorlatok mindegyike számos előnnyel jár, amelyek indokolták annak folyamatos használatát. Mint egy tanulmányban megjegyezték, ” úgy tűnik, hogy egy penetrátor ördögi gondolkodásmódot alakít ki az operációs rendszer gyengeségeinek és hiányosságainak keresésében, amelyet nehéz emulálni.”Ezen okok miatt és mások miatt a RAND számos elemzője javasolta a penetrációs technikák folyamatos tanulmányozását a rendszerbiztonság értékelésében való hasznosságuk érdekében.:9

talán a vezető számítógépes penetrációs szakértő ezekben a formatív években James P., Anderson, aki dolgozott az NSA, RAND, és más kormányzati szervek, hogy tanulmányozza a rendszer biztonságát. 1971 elején az amerikai légierő megbízta Anderson magánvállalatát, hogy tanulmányozza a Pentagonban az időmegosztási rendszerének biztonságát. Tanulmányában Anderson számos fontos tényezőt vázolt fel a számítógép behatolásában. Anderson egy általános támadási szekvenciát írt le lépésekben:

  1. exploitable sebezhetőség keresése.
  2. tervezzen egy támadást körülötte.
  3. tesztelje a támadást.
  4. ragadja meg a használatban lévő sort.
  5. írja be a támadást.,
  6. használja ki a bejegyzést az információ helyreállításához.

idővel Anderson általános számítógépes behatolási lépésekről szóló leírása segített sok más biztonsági szakértőnek, akik erre a technikára támaszkodtak az időmegosztó számítógépes rendszer biztonságának értékelésére.:9

a következő években a számítógépes penetráció a biztonsági értékelés eszközeként kifinomultabbá és kifinomultabbá vált. Az 1980-as évek elején William Broad újságíró röviden összefoglalta a tigris csapatok folyamatos erőfeszítéseit a rendszerbiztonság értékelésére. Mint széles számolt be, a DoD által szponzorált jelentés Willis Ware volt “…,megmutatta, hogy a kémek hogyan tudnak aktívan behatolni a számítógépekbe, ellopni vagy másolni az elektronikus fájlokat, és felforgatni azokat az eszközöket, amelyek általában szigorúan titkos információkat őriznek. A tanulmány több mint egy évtizedes csendes tevékenységet folytatott a kormánynak dolgozó számítógépes tudósok elit csoportjai, akik megpróbálták betörni az érzékeny számítógépekbe. Minden kísérletben sikerrel jártak.”

míg ezek a különböző tanulmányok azt sugallták, hogy a számítógép biztonsága az USA-ban., továbbra is jelentős probléma, a tudós Edward Hunt nemrég tett egy szélesebb pont a kiterjedt tanulmány a számítógépes penetráció, mint egy biztonsági eszköz. Hunt egy nemrégiben megjelent, a penetrációs tesztelés történetéről szóló tanulmányban azt javasolja, hogy a védelmi létesítmény végül “…a mai kiberháborúban használt eszközök közül sokat ” készített, mivel gondosan meghatározta és kutatta, hogy a számítógépes penetrátorok hogyan tudnak behatolni a célzott rendszerekbe.:5

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük