7 mar 2021

Penetrationstest (Svenska)

by | posted in: Articles | 0

hotet att datorpenetrationen ställdes var nästa skisserad i en stor rapport som organiserades av United States Department of Defense (DoD) i slutet av 1967. I huvudsak vände DoD-tjänstemän till Willis Ware för att leda en arbetsgrupp av experter från NSA, CIA, DoD, academia och industry för att formellt bedöma säkerheten för tidsdelningsdatorsystem. Genom att förlita sig på många papper som presenterades under den gemensamma Datakonferensen våren 1967 bekräftade arbetsgruppen i stor utsträckning hotet mot systemsäkerheten som datorpenetrationen utgjorde., Ware ’ s rapport var ursprungligen klassificerad, men många av landets ledande dataexperter identifierade snabbt studien som det slutgiltiga dokumentet om datasäkerhet. Jeffrey R. Yost från Charles Babbage Institute har nyligen beskrivit Ware-rapporten som ” … den överlägset viktigaste och grundliga studien om tekniska och operativa frågor om säkra datorsystem under sin tidsperiod.”I själva verket bekräftade Ware-rapporten det stora hotet från datorpenetration till de nya tidsdelningsdatorsystemen online.,

för att bättre förstå systembrister började den federala regeringen och dess entreprenörer snart organisera lag av penetratorer, kända som tiger-lag, för att använda datorpenetration för att testa systemsäkerhet. Deborah Russell och G. T. Gangemi, Sr. uppgav att under 1970-talet ”…”tiger lag” först dök upp på datorn scenen. Tiger lag var regeringen och industrin sponsrade team av kex som försökte bryta ner försvar av datorsystem i ett försök att avslöja, och så småningom patch, säkerhetshål.,”: 29

en ledande forskare om datasäkerhetens historia, Donald MacKenzie, påpekar på samma sätt att ” RAND hade gjort några penetrationsstudier (experiment för att kringgå datasäkerhetskontroller) av tidiga tidsdelningssystem på regeringens vägnar.”Jeffrey R. Yost från Charles Babbage Institute, i sitt eget arbete med datasäkerhetens historia, erkänner också att både RAND Corporation och SDC hade ”engagerat sig i några av de första så kallade ”penetrationsstudierna” för att försöka infiltrera tidsdelningssystem för att testa deras sårbarhet.,”I nästan alla dessa tidiga studier bröt tiger-lagen framgångsrikt in i alla riktade datorsystem,eftersom landets tidsdelningssystem hade dåliga försvar.

tidiga tiger team åtgärder, ansträngningar på RAND Corporation visade nyttan av penetration som ett verktyg för att bedöma systemets säkerhet. Vid den tiden noterade en RAND-analytiker att testerna hade”…demonstrerade systemets praktiska genomslag som ett verktyg för att utvärdera effektiviteten och lämpligheten hos genomförda datasäkerhetsgarantier.,”Dessutom insisterade ett antal RANDANALYTIKER på att penetrationstestövningarna alla erbjöd flera fördelar som motiverade dess fortsatta användning. Som de noterade i ett papper, ”en penetrator verkar utveckla en djävulsk sinnesstämning i sitt sökande efter operativsystems svagheter och ofullständighet, vilket är svårt att efterlikna.”Av dessa skäl och andra rekommenderade många analytiker på RAND den fortsatta studien av penetrationstekniker för deras användbarhet vid bedömning av systemsäkerhet.: 9

kanske den ledande datorpenetrationsexperten under dessa formativa år var James P., Anderson, som hade arbetat med NSA, RAND och andra myndigheter för att studera systemsäkerhet. I början av 1971 anlitade det amerikanska flygvapnet Andersons privata företag för att studera säkerheten för sitt tidsdelningssystem vid Pentagon. I sin studie beskrev Anderson ett antal viktiga faktorer som är involverade i datorpenetration. Anderson beskrev en allmän attacksekvens i steg:

  1. hitta en exploaterbar sårbarhet.
  2. utforma en attack runt den.
  3. testa attacken.
  4. ta en linje i bruk.
  5. ange attacken.,
  6. utnyttja posten för informationsåterställning.

med tiden hjälpte Andersons beskrivning av allmänna datapenetrationssteg till att vägleda många andra säkerhetsexperter, som förlitade sig på denna teknik för att bedöma tidsdelning av datasystemsäkerhet.: 9

under de följande åren blev datorpenetrationen som ett verktyg för säkerhetsbedömning mer förfinad och sofistikerad. I början av 1980-talet sammanfattade journalisten William Broad kortfattat de pågående ansträngningarna från tiger-lag för att bedöma systemsäkerhet. Som bred rapporterade hade den DoD-sponsrade rapporten från Willis Ware”…,visade hur spioner aktivt kan tränga in i datorer, stjäla eller kopiera elektroniska filer och undergräva de enheter som normalt skyddar topphemlig information. Studien berörde mer än ett decennium av tyst aktivitet av elitgrupper av dataforskare som arbetar för regeringen som försökte bryta sig in i känsliga datorer. De lyckades i varje försök.”

medan dessa olika studier kan ha föreslagit att datasäkerhet i USA, forskare Edward Hunt har nyligen gjort en bredare punkt om den omfattande studien av datorpenetration som ett säkerhetsverktyg. Hunt föreslår i ett nytt dokument om penetrationsprovningens historia att försvarsanläggningen slutligen”…skapade många av de verktyg som används i dagens cyberwarfare, ” som det noggrant definierat och forskat på många sätt som dator penetratörer kunde hacka i riktade system.:5

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *