zagrożenie, jakie stwarzała penetracja komputera, zostało następnie opisane w głównym raporcie zorganizowanym przez Departament Obrony Stanów Zjednoczonych (DoD) pod koniec 1967 roku. Zasadniczo urzędnicy DoD zwrócili się do Willisa Ware ' a, aby poprowadził grupę zadaniową złożoną z ekspertów z NSA, CIA, DoD, Akademii i przemysłu, aby formalnie ocenić bezpieczeństwo systemów komputerowych dzielących czas. Opierając się na wielu artykułach przedstawionych podczas wspólnej konferencji komputerowej wiosną 1967 roku, grupa zadaniowa w dużej mierze potwierdziła zagrożenie dla bezpieczeństwa systemu, jakie stwarzała penetracja komputera., Raport Ware był początkowo tajny, ale wielu czołowych ekspertów komputerowych w kraju szybko zidentyfikowało badanie jako ostateczny dokument dotyczący bezpieczeństwa komputera. Jeffrey R. Yost z Charles Babbage Institute opisał niedawno raport Ware jako ” … zdecydowanie najważniejsze i dogłębne badanie na temat zagadnień technicznych i operacyjnych dotyczących bezpiecznych systemów obliczeniowych w swoim okresie czasu.”W efekcie raport Ware potwierdził główne zagrożenie, jakie stanowi penetracja komputera do nowych systemów komputerowych dzielących czas online.,
aby lepiej zrozumieć słabości systemu, rząd federalny i jego wykonawcy wkrótce zaczęli organizować zespoły penetratorów, znane jako zespoły tiger, aby używać penetracji komputera do testowania bezpieczeństwa systemu. Deborah Russell i G. T. Gangemi, SR. stwierdzili, że w latach 70…”tiger teams” po raz pierwszy pojawił się na scenie komputerowej. Zespoły Tigera były sponsorowane przez rząd i branżę zespołami krakersów, którzy próbowali przełamać obronę systemów komputerowych w celu odkrycia, a ostatecznie załatania luk w zabezpieczeniach.,”: 29
czołowy uczony w historii bezpieczeństwa komputerowego, Donald MacKenzie, podobnie zwraca uwagę, że ” RAND przeprowadził badania penetracyjne (eksperymenty w obchodzeniu kontroli bezpieczeństwa komputera) wczesnych systemów podziału czasu w imieniu rządu.”Jeffrey R. Yost z Charles Babbage Institute, w swojej pracy na temat historii bezpieczeństwa komputerowego, przyznaje również, że zarówno RAND Corporation, jak i SDC” zaangażowali się w jedne z pierwszych tak zwanych „badań penetracyjnych”, aby spróbować zinfiltrować systemy podziału czasu w celu przetestowania ich podatności.,”Praktycznie we wszystkich tych wczesnych badaniach zespoły Tigera z powodzeniem włamały się do wszystkich docelowych systemów komputerowych, ponieważ systemy podziału czasu w kraju miały słabą obronę.
z wczesnych działań zespołu tiger, wysiłki w RAND Corporation wykazały przydatność penetracji jako narzędzia oceny bezpieczeństwa systemu. W tym czasie jeden z analityków RAND zauważył, że testy miały”…wykazano praktyczność penetracji systemu jako narzędzia oceny skuteczności i adekwatności wdrożonych zabezpieczeń bezpieczeństwa danych.,”Ponadto wielu analityków RAND podkreślało, że wszystkie ćwiczenia testu penetracyjnego oferują szereg korzyści, które uzasadniały jego dalsze stosowanie. Jak zauważyli w jednym z artykułów, „penetrator wydaje się rozwijać diaboliczne ramy umysłu w poszukiwaniu słabości i niekompletności systemu operacyjnego, co jest trudne do naśladowania.”Z tych i innych powodów wielu analityków RAND zaleciło kontynuowanie badań nad technikami penetracji ze względu na ich przydatność w ocenie bezpieczeństwa systemu.: 9
być może czołowym ekspertem od penetracji komputerów w tych latach był James P., Anderson, który pracował z NSA, RAND i innych agencji rządowych do badania bezpieczeństwa systemu. Na początku 1971 roku Siły Powietrzne USA zleciły prywatnej firmie Andersona badanie bezpieczeństwa systemu podziału czasu w Pentagonie. W swoich badaniach Anderson przedstawił szereg głównych czynników związanych z penetracją komputera. Anderson opisał ogólną sekwencję ataku w krokach:
- Znajdź podatność na wykorzystanie.
- Zaprojektuj atak wokół niego.
- Przetestuj atak.
- wejdź do ataku.,
z biegiem czasu opis ogólnych kroków penetracji komputera przez Andersona pomógł wielu innym ekspertom ds. bezpieczeństwa, którzy polegali na tej technice do oceny bezpieczeństwa systemu komputerowego dzielącego czas.: 9
w kolejnych latach penetracja komputera jako narzędzia oceny bezpieczeństwa stała się bardziej wyrafinowana i wyrafinowana. Na początku lat 80. dziennikarz William Broad krótko podsumował trwające wysiłki zespołów tiger w celu oceny bezpieczeństwa systemu. Jak donosił Broad, sponsorowany przez dod raport Willisa Ware „…,pokazał, jak szpiedzy mogą aktywnie penetrować Komputery, kraść lub kopiować pliki elektroniczne i podważać urządzenia, które zwykle strzegą ściśle tajnych informacji. Badanie zapoczątkowało ponad dekadę cichej aktywności elitarnych grup informatyków pracujących dla rządu, którzy próbowali włamać się do wrażliwych komputerów. Udało im się w każdej próbie.”
chociaż te różne badania mogły sugerować, że bezpieczeństwo komputera w USA., pozostał głównym problemem, uczony Edward Hunt niedawno poczynił szerszy punkt na temat szeroko zakrojonych badań penetracji komputera jako narzędzia bezpieczeństwa. Hunt sugeruje w niedawnym artykule na temat historii testów penetracyjnych, że defense establishment ostatecznie”…stworzył wiele narzędzi używanych we współczesnej cyberwojnie”, ponieważ dokładnie zdefiniował i zbadał wiele sposobów, w jakie komputerowi penetratorzy mogą włamać się do docelowych systemów.: 5
Dodaj komentarz