Penetratietest

de bedreiging die computerpenetratie vormde werd vervolgens beschreven in een belangrijk rapport dat eind 1967 door het Amerikaanse Ministerie van Defensie (DoD) werd georganiseerd. In wezen, DoD ambtenaren wendde zich tot Willis Ware om een task force van deskundigen van NSA leiden, CIA, DoD, de academische wereld, en de industrie om de veiligheid van time-sharing computersystemen formeel te beoordelen. Door zich te baseren op vele documenten die tijdens de gezamenlijke Computerconferentie van het voorjaar van 1967 werden gepresenteerd, bevestigde de task force grotendeels de bedreiging voor de systeemveiligheid die computerpenetratie vormde., Ware ‘ s rapport werd aanvankelijk geclassificeerd, maar veel van de toonaangevende computerexperts van het land identificeerden de studie snel als het definitieve document over computerbeveiliging. Jeffrey R. Yost van het Charles Babbage Institute heeft onlangs het Ware-rapport beschreven als ” … veruit de belangrijkste en grondige studie over technische en operationele kwesties met betrekking tot veilige computersystemen van zijn periode.”In feite bevestigde Het Ware-rapport de grote bedreiging die computerpenetratie vormt voor de nieuwe online time-sharing-computersystemen.,om de zwakke punten van het systeem beter te begrijpen, begonnen de federale overheid en haar contractanten al snel teams van penetrators te organiseren, bekend als tiger teams, om computerpenetratie te gebruiken om de systeembeveiliging te testen. Deborah Russell en G. T. Gangemi, Sr. verklaarden dat tijdens de jaren 1970″…’tiger teams’ verschenen voor het eerst op de computer scene. Tiger teams waren door de overheid en de industrie gesponsorde teams van crackers die probeerden om de verdediging van computersystemen af te breken in een poging om gaten in de beveiliging te ontdekken en uiteindelijk te dichten.,”: 29

een vooraanstaande geleerde over de geschiedenis van computerbeveiliging, Donald MacKenzie, wijst er eveneens op dat ” RAND een aantal penetratiestudies (experimenten in het omzeilen van computerbeveiligingscontroles) van vroege time-sharing systemen had gedaan namens de overheid.”Jeffrey R. Yost van het Charles Babbage Institute, in zijn eigen werk over de geschiedenis van computerbeveiliging, erkent ook dat zowel de RAND Corporation als de SDC “betrokken waren bij een aantal van de eerste zogenaamde ‘penetratiestudies’ om te proberen time-sharing systemen te infiltreren om hun kwetsbaarheid te testen.,”In vrijwel al deze vroege studies, tiger teams met succes brak in alle Gerichte computersystemen, als het land time-sharing systemen hadden slechte verdediging.van de eerste acties van het tiger team hebben de inspanningen van de RAND Corporation aangetoond dat penetratie nuttig is als instrument voor het beoordelen van de systeemveiligheid. Op het moment, een rand analist merkte op dat de tests had “…de praktische toepassing van systeempenetratie als instrument voor de evaluatie van de doeltreffendheid en de adequaatheid van de ingevoerde waarborgen voor gegevensbeveiliging is aangetoond.,”Bovendien, een aantal van de rand analisten drong erop aan dat de penetratie test oefeningen allemaal bood verschillende voordelen die het voortgezette gebruik gerechtvaardigd. Zoals ze opgemerkt in een paper, “een penetrator lijkt te ontwikkelen een duivelse gemoedstoestand in zijn zoektocht naar het besturingssysteem zwakheden en onvolledigheid, die moeilijk te emuleren.”Om deze en andere redenen hebben veel analisten van RAND aanbevolen om de penetratietechnieken verder te bestuderen op basis van hun nut bij het beoordelen van systeembeveiliging.: 9

misschien was James P. De belangrijkste expert op het gebied van computerpenetratie in deze vormende jaren, Anderson, die had gewerkt met de NSA, RAND, en andere overheidsinstanties om de beveiliging van het systeem te bestuderen. Begin 1971 contracteerde de Amerikaanse luchtmacht Anderson ‘ s privé bedrijf om de veiligheid van zijn time-sharing systeem bij het Pentagon te bestuderen. In zijn studie schetste Anderson een aantal belangrijke factoren die betrokken zijn bij computerpenetratie. Anderson beschreef een algemene aanvalsreeks in stappen:

1. zoek een exploiteerbare kwetsbaarheid.
2. ontwerp er een aanval omheen.
3. Test de aanval.
4. een gebruikte regel in beslag nemen.
5. Voer de aanval in.,
6. gebruik de vermelding voor informatieherstel.in de loop van de tijd heeft Anderson ‘ s beschrijving van algemene stappen op het gebied van computerpenetratie vele andere beveiligingsexperts geholpen, die op deze techniek vertrouwden om de beveiliging van computersystemen met time-sharing te beoordelen.: 9

   in de volgende jaren werd de penetratie van computers als instrument voor veiligheidsbeoordeling verfijnder en verfijnder. In de vroege jaren 1980, de journalist William Broad kort samengevat de lopende inspanningen van tiger teams om de beveiliging van het systeem te beoordelen. Zoals breed gemeld, de DoD-gesponsorde rapport door Willis Ware had”…,toonde hoe spionnen actief computers konden binnendringen, elektronische bestanden konden stelen of kopiëren en de apparaten konden ondermijnen die normaal gesproken topgeheime informatie bewaken. De studie raakte meer dan een decennium van stille activiteit door elitegroepen van computerwetenschappers die werken voor de overheid die probeerden in te breken in gevoelige computers. Ze slaagden in elke poging.”

   hoewel deze verschillende studies kunnen hebben gesuggereerd dat computerbeveiliging in de VS, bleef een groot probleem, de geleerde Edward Hunt heeft meer recent een breder punt gemaakt over de uitgebreide studie van computer penetratie als een beveiligingshulpmiddel. Hunt suggereert in een recente paper over de geschiedenis van penetratie testen dat de defense establishment uiteindelijk “…creëerde veel van de tools die worden gebruikt in de moderne dag cyberwarfare, ” als het zorgvuldig gedefinieerd en onderzocht de vele manieren waarop computer penetrators kunnen hacken in gerichte systemen.: 5