7 Mrz 2021

Penetrationstest

von | Veröffentlicht in: Articles | 0

Die Bedrohung der Computerpenetration wurde als nächstes in einem großen Bericht des Verteidigungsministeriums der Vereinigten Staaten (DoD) Ende 1967 beschrieben. Im Wesentlichen wandten sich DoD-Beamte an Willis Ware, um eine Task Force von Experten aus NSA, CIA, DoD, Wissenschaft und Industrie zu leiten, um die Sicherheit von Time-Sharing-Computersystemen formell zu bewerten. Die Task Force stützte sich dabei auf zahlreiche Beiträge, die auf der Gemeinsamen Computerkonferenz im Frühjahr 1967 vorgelegt wurden, und bestätigte weitgehend die Bedrohung der Systemsicherheit durch Computerdurchdringung., Wares Bericht wurde zunächst klassifiziert, aber viele der führenden Computerexperten des Landes identifizierten die Studie schnell als endgültiges Dokument zur Computersicherheit. Jeffrey R. Yost vom Charles Babbage Institute hat den Ware-Bericht in jüngerer Zeit als „…bei weitem die wichtigste und gründlichste Studie zu technischen und betrieblichen Fragen in Bezug auf sichere Computersysteme seines Zeitraums “ bezeichnet.“In der Tat bekräftigte der Ware-Bericht die große Bedrohung, die durch das Eindringen von Computern in die neuen Online-Zeitaustauschcomputersysteme besteht.,

Um Systemschwächen besser zu verstehen, begannen die Bundesregierung und ihre Auftragnehmer bald, Teams von Penetratoren, sogenannte Tiger-Teams, zu organisieren, um die Computerpenetration zu nutzen, um die Systemsicherheit zu testen. Deborah Russell und G. T. Gangemi, Sr. erklärte, dass während der 1970er Jahre „…“tiger Teams“ tauchten erstmals in der Computerszene auf. Tiger-Teams waren von der Regierung und der Industrie gesponserte Teams von Crackern, die versuchten, die Verteidigung von Computersystemen zu brechen, um Sicherheitslücken aufzudecken und schließlich zu flicken.,“: 29

Ein führender Gelehrter in der Geschichte der Computersicherheit, Donald MacKenzie, weist ebenfalls darauf hin, dass RAND im Auftrag der Regierung einige Penetrationsstudien (Experimente zur Umgehung von Computersicherheitskontrollen) von frühen Time-Sharing-Systemen durchgeführt hatte.“Jeffrey R. Yost vom Charles Babbage Institute räumt in seiner eigenen Arbeit zur Geschichte der Computersicherheit auch ein, dass sowohl die RAND Corporation als auch die DEZA „einige der ersten sogenannten Penetrationsstudien durchgeführt“ hatten, um zu versuchen, Time-Sharing-Systeme zu infiltrieren, um ihre Anfälligkeit zu testen.,“In praktisch allen diesen frühen Studien brachen Tiger-Teams erfolgreich in alle gezielten Computersysteme ein, da die Zeitaustauschsysteme des Landes eine schlechte Abwehr hatten.

Die Bemühungen der RAND Corporation im Rahmen der frühen Tiger-Teamaktionen haben gezeigt, dass Penetration als Instrument zur Bewertung der Systemsicherheit nützlich ist. Zu der Zeit, ein RAND Analyst stellte fest, dass die Tests hatten „…demonstrierte die Praktikabilität der Systemdurchdringung als Instrument zur Bewertung der Wirksamkeit und Angemessenheit der implementierten Datensicherheitsgarantien.,“Darüber hinaus bestanden einige RAND-Analysten darauf, dass der Penetrationstest alle mehrere Vorteile bot, die seine weitere Verwendung rechtfertigten. Wie sie in einem Artikel feststellten, “ scheint ein Penetrator bei seiner Suche nach Schwächen und Unvollständigkeit des Betriebssystems eine teuflische Einstellung zu entwickeln, die schwer zu emulieren ist.“Aus diesen und anderen Gründen empfahlen viele Analysten von RAND das weitere Studium der Penetrationstechniken für ihre Nützlichkeit bei der Bewertung der Systemsicherheit.:9

Vielleicht war James P. der führende Experte für Computerpenetration in diesen prägenden Jahren., Anderson, der mit der NSA, RAND und anderen Regierungsbehörden zusammengearbeitet hatte, um die Systemsicherheit zu untersuchen. Anfang 1971 beauftragte die US-Luftwaffe Andersons private Firma, die Sicherheit ihres Time-Sharing-Systems im Pentagon zu untersuchen. In seiner Studie skizzierte Anderson eine Reihe wichtiger Faktoren, die an der Computerpenetration beteiligt sind. Anderson beschrieb eine allgemeine Angriffssequenz in Schritten:

  1. Finde eine ausnutzbare Schwachstelle.
  2. Entwerfen Sie einen Angriff um ihn herum.
  3. Testen Sie den Angriff.
  4. Ergreifen Sie eine verwendete Zeile.
  5. Geben Sie den Angriff.,
  6. Nutzen Sie den Eintrag für die Wiederherstellung von Informationen.

Im Laufe der Zeit half Andersons Beschreibung allgemeiner Computerpenetrationsschritte vielen anderen Sicherheitsexperten, die sich auf diese Technik stützten, um die Sicherheit von Computern mit zeitweiliger Freigabe zu bewerten.:9

In den folgenden Jahren wurde die Computerpenetration als Werkzeug zur Sicherheitsbewertung verfeinert und ausgefeilter. In den frühen 1980er Jahren fasste der Journalist William Broad kurz die laufenden Bemühungen der Tiger-Teams zur Bewertung der Systemsicherheit zusammen. Wie breit berichtet, hatte der DoD-gesponserte Bericht von Willis Ware“…,zeigte, wie Spione aktiv in Computer eindringen, elektronische Dateien stehlen oder kopieren und die Geräte untergraben können, die normalerweise streng geheime Informationen schützen. Die Studie berührte mehr als ein Jahrzehnt stiller Aktivitäten von elitären Gruppen von Informatikern, die für die Regierung arbeiteten und versuchten, in sensible Computer einzudringen. Es gelang ihnen bei jedem Versuch.“

Während diese verschiedenen Studien haben vorgeschlagen, dass die Computersicherheit in den USA, blieb ein großes Problem, der Gelehrte Edward Hunt hat in jüngerer Zeit einen breiteren Punkt über die umfangreiche Studie der Computerpenetration als Sicherheits-Tool gemacht. Hunt schlägt in einem kürzlich erschienenen Papier über die Geschichte der Penetrationstests vor, dass die Verteidigungseinrichtung letztendlich „…erstellt viele der Werkzeuge in der modernen Cyberwarfare verwendet, “ wie es sorgfältig definiert und erforscht die vielen Möglichkeiten, die Computer-Penetratoren in gezielte Systeme hacken könnte.:5

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.