La minaccia rappresentata dalla penetrazione del computer fu successivamente delineata in un importante rapporto organizzato dal Dipartimento della Difesa degli Stati Uniti (DoD) alla fine del 1967. In sostanza, i funzionari del DoD si sono rivolti a Willis Ware per guidare una task force di esperti di NSA, CIA, DoD, mondo accademico e industria per valutare formalmente la sicurezza dei sistemi informatici di condivisione del tempo. Basandosi su molti documenti presentati durante la Joint Computer Conference della primavera del 1967, la task force confermò in gran parte la minaccia alla sicurezza del sistema rappresentata dalla penetrazione del computer., Il rapporto di Ware è stato inizialmente classificato, ma molti dei principali esperti informatici del paese hanno rapidamente identificato lo studio come il documento definitivo sulla sicurezza informatica. Jeffrey R. Yost del Charles Babbage Institute ha più recentemente descritto il rapporto Ware come ” by di gran lunga lo studio più importante e approfondito su questioni tecniche e operative riguardanti i sistemi di calcolo sicuri del suo periodo di tempo.”In effetti, il rapporto Ware ha riaffermato la principale minaccia rappresentata dalla penetrazione del computer ai nuovi sistemi informatici di condivisione del tempo online.,
Per comprendere meglio le debolezze del sistema, il governo federale e i suoi appaltatori iniziarono presto a organizzare squadre di penetratori, note come tiger teams, per utilizzare la penetrazione del computer per testare la sicurezza del sistema. Deborah Russell e G. T. Gangemi, Sr. hanno dichiarato che durante gli anni 1970 “…”tiger teams” è emerso per la prima volta sulla scena del computer. Le squadre Tiger erano squadre di cracker sponsorizzate dal governo e dall’industria che tentavano di abbattere le difese dei sistemi informatici nel tentativo di scoprire, e alla fine rattoppare, falle di sicurezza.,”: 29
Un importante studioso sulla storia della sicurezza informatica, Donald MacKenzie, allo stesso modo sottolinea che, ” RAND aveva fatto alcuni studi di penetrazione (esperimenti per aggirare i controlli di sicurezza informatica) dei primi sistemi di time-sharing per conto del governo. Jeffrey R. Yost del Charles Babbage Institute, nel suo lavoro sulla storia della sicurezza informatica, riconosce anche che sia la RAND Corporation che la DSC si erano “impegnati in alcuni dei primi cosiddetti” studi di penetrazione ” per cercare di infiltrarsi nei sistemi di condivisione del tempo al fine di testare la loro vulnerabilità.,”In quasi tutti questi primi studi, i team tiger hanno fatto irruzione con successo in tutti i sistemi informatici mirati, poiché i sistemi di condivisione del tempo del paese avevano scarse difese.
Delle prime azioni del team tiger, gli sforzi della RAND Corporation hanno dimostrato l’utilità della penetrazione come strumento per valutare la sicurezza del sistema. A quel tempo, un analista RAND ha osservato che i test avevano “…ha dimostrato la praticità della penetrazione del sistema come strumento per valutare l’efficacia e l’adeguatezza delle misure di sicurezza dei dati implementate.,”Inoltre, un certo numero di analisti RAND ha insistito sul fatto che gli esercizi di test di penetrazione tutti offerto diversi vantaggi che giustificavano il suo uso continuato. Come hanno notato in un documento, ” Un penetratore sembra sviluppare uno stato d’animo diabolico nella sua ricerca di debolezze del sistema operativo e incompletezza, che è difficile da emulare.”Per questi motivi e altri, molti analisti di RAND hanno raccomandato il continuo studio delle tecniche di penetrazione per la loro utilità nella valutazione della sicurezza del sistema.:9
Forse il principale esperto di penetrazione informatica durante questi anni formativi è stato James P., Anderson, che aveva lavorato con la NSA, RAND, e altre agenzie governative per studiare la sicurezza del sistema. All’inizio del 1971, la U. S. Air Force incaricò la compagnia privata di Anderson di studiare la sicurezza del suo sistema di time-sharing al Pentagono. Nel suo studio, Anderson ha delineato una serie di fattori importanti coinvolti nella penetrazione del computer. Anderson ha descritto una sequenza di attacchi generale nei passaggi:
- Trova una vulnerabilità sfruttabile.
- Progetta un attacco attorno ad esso.
- Prova l’attacco.
- Cogliere una linea in uso.
- Inserire l’attacco.,
- Sfruttare la voce per il recupero delle informazioni.
Nel corso del tempo, la descrizione di Anderson dei passaggi generali di penetrazione del computer ha aiutato a guidare molti altri esperti di sicurezza, che si sono affidati a questa tecnica per valutare la sicurezza del sistema informatico in time-sharing.:9
Negli anni successivi, la penetrazione del computer come strumento per la valutazione della sicurezza è diventata più raffinata e sofisticata. Nei primi anni 1980, il giornalista William Broad ha brevemente riassunto gli sforzi in corso delle squadre tiger per valutare la sicurezza del sistema. Come Broad ha riferito, il rapporto DOD-sponsorizzato da Willis Ware aveva”…,ha mostrato come spie potrebbero penetrare attivamente i computer, rubare o copiare file elettronici e sovvertire i dispositivi che normalmente custodiscono informazioni top-secret. Lo studio ha toccato fuori più di un decennio di attività tranquilla da parte di gruppi d’elite di scienziati informatici che lavorano per il governo che ha cercato di rompere in computer sensibili. Sono riusciti in ogni tentativo.”
Mentre questi vari studi potrebbero aver suggerito che la sicurezza informatica negli Stati Uniti., rimasto un grosso problema, lo studioso Edward Hunt ha più recentemente fatto un punto più ampio circa l’ampio studio della penetrazione del computer come strumento di sicurezza. Hunt suggerisce in un recente documento sulla storia dei test di penetrazione che l’establishment della difesa in ultima analisi”…creato molti degli strumenti utilizzati nella guerra informatica moderna, ” come accuratamente definito e ricercato i molti modi che penetratori informatici potrebbero incidere in sistemi mirati.:5
Lascia un commento