7 mar 2021

Penetrasjon tester

by | posted in: Articles | 0

Den trusselen som datamaskinen penetrasjon utgjøres var neste skissert i en stor rapport i regi av United States Department of Defense (DoD) i slutten av 1967. I hovedsak, DoD tjenestemenn slått til Willis Ware til å lede en arbeidsgruppe av eksperter fra NSA, CIA, DoD, akademia og industri til å formelt vurdere sikkerheten av time-sharing datasystemer. Ved å basere seg på mange artikler presentert i løpet av Våren 1967 Felles Datamaskin Konferanse, the task force i stor grad bekreftet trussel mot systemet sikkerhet at datamaskinen penetrasjon stilt., Ware rapporten ble først klassifisert, men mange av landets ledende eksperter på datamaskiner raskt identifisert studier som den definitive dokument på datamaskinen sikkerhet. Jeffrey R. Yost av Charles Babbage Institutt har nylig beskrevet Ware rapporten som «…den desidert viktigste og grundig utredning om tekniske og operasjonelle problemer angående secure computing systems for sin tid.»I praksis Ware rapporten bekreftet nok en gang den store trusselen som utgjøres av datamaskinen penetrasjon til den nye online time-sharing datasystemer.,

for Å forstå bedre system svakheter, den føderale regjeringen og dets leverandører snart begynte å organisere grupper av penetrators, kjent som tiger team, til å bruke datamaskinen penetrasjon til å teste systemet sikkerhet. Deborah Russell og G. T. Gangemi, Sr uttalt at i løpet av 1970-tallet «…’tiger team» første dukket opp på datamaskinen scene. Tiger lagene ble regjeringen og industrien-sponset lag med kjeks som forsøkte å bryte ned forsvaret i datasystemer i et forsøk på å avdekke, og til slutt patch, sikkerhetshull.,»:29

En ledende forsker på historien om datasikkerhet, Donald MacKenzie, på samme måte påpeker at «RAND hadde gjort noen penetrasjon studier (forsøk på å omgå datamaskinens sikkerhet kontroller) av tidlig time-sharing systemer på vegne av regjeringen.»Jeffrey R. Yost av Charles Babbage Institute, i sitt eget arbeid på historien om datasikkerhet, også erkjenner at både RAND Corporation og SDC hadde «engasjert i noen av de første såkalte ‘penetrasjon studier» for å prøve å infiltrere time-sharing systemer for å teste sin sårbarhet.,»I nesten alle disse tidlige studiene, tiger team vellykket brøt seg inn i alle målrettede datasystemer, som landets time-sharing systemer hadde dårlig forsvar.

For tidlig tiger team handlinger, innsats ved RAND Corporation vist nytten av penetrasjon som et verktøy for å vurdere sikkerhet i systemet. På den tiden, en RAND analytiker bemerket at testene hadde «…vist den praktiske system-penetrasjon som et verktøy for å evaluere effektiviteten og hensiktsmessigheten av implementert data sikkerhetstiltak.,»I tillegg har en rekke av RAND analytikere og insisterte på at penetrasjon tester øvelser som alle tilbys flere fordeler som begrunnet fortsatt bruk. Som de bemerket i en avis, «En penetrator ser ut til å utvikle en djevelsk rammen av tankene i sin søken etter operativsystemet svakheter og ufullstendigheter, noe som er vanskelig å etterligne.»For disse og andre grunner, mange analytikere hos RAND anbefalt det videre studiet av penetrasjon teknikker for sin rolle i vurderingen av system security.:9

Kanskje den ledende datamaskinen penetrasjon ekspert i løpet av disse formative år var James P., Anderson, som hadde jobbet med NSA, RAND, og andre offentlige etater for å studere systemet sikkerhet. I begynnelsen av 1971, US Air Force avtalte Andersons private selskap til å studere sikkerheten av sine time-sharing system på Pentagon. I sin studie, Anderson skissert en rekke viktige faktorer som er involvert i datamaskinen penetrasjon. Anderson beskrevet en generell angrep sekvens i fremgangsmåte:

  1. Finn en brukbar sårbarhet.
  2. Design et angrep rundt det.
  3. Test angrepet.
  4. Ta en linje i bruk.
  5. skriv Inn angrepet.,
  6. Utnytte oppføringen for informasjon recovery.

Over tid, Anderson ‘ s beskrivelse av generelle datamaskinen penetrasjon trinn hjalp guide mange andre sikkerhetseksperter, som lettelse opp på denne teknikken for å vurdere time-sharing datamaskinen system security.:9

I de følgende årene, datamaskin penetrasjon som et verktøy for security assessment ble mer raffinert og sofistikert. Tidlig på 1980-tallet, journalisten William Bred kort oppsummert det pågående arbeidet med tiger team for å vurdere sikkerhet i systemet. Som Brede rapportert, DoD-sponset rapport av Willis Ware hadde «…,viste hvordan spioner kan aktivt trenge datamaskiner, stjele eller kopiere elektroniske filer og undergraver de enhetene som normalt vakt topp-hemmelig informasjon. Studien rørt av mer enn et tiår med rolig aktivitet av elite grupper av datamaskinen forskere som jobber for Regjeringen som forsøkte å bryte seg inn i sensitiv datamaskiner. De klarte i hvert forsøk.»

Selv om disse ulike studier kan ha antydet at datasikkerhet i USA, vært et stort problem, forsker Edward Jakten har mer nylig laget en bredere punktet om den omfattende studie av datamaskinen penetrasjon som security tool. Jakten antyder i en fersk artikkel om historien til penetration testing som forsvaret etablissement som til syvende og sist «…opprettet mange av de verktøy som brukes i moderne dag cyberwarfare,» som det nøye definert og forsket på mange måter at datamaskinen penetrators kunne hacke seg inn målrettede systemer.:5

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *