Penetration test: differenze tra le versioni

Verso la metà degli anni ‘60, nascono nuovi problemi per la sicurezza dei dati:, lacausati dalla crescente popolarità dei sistemi informatici [[time-sharing]], i quali rendonorendevano le risorse accessibili attraversotramite le linee di comunicazione. Come spiegano gli studiosi Deborah Russell e G.T. Gangemi "Il 1960 ha segnatosegnò il vero inizio dell'era della sicurezza informatica."<ref>Russell and Gangemi, Sr. (1991), p. 27</ref> Nel giugno del 1965, per esempio, molti dei maggiori esperti di sicurezza informatica del paese tennero una delle prime importanti conferenze sui sistemi di sicurezza, il [[System Development Corporation]] (SDC). Durante la conferenza, qualcuno fece notare che un dipendente della SDC era stato in grado di minaresuperare facilmente diverse misure di sicurezza del [[AN/FSQ-32]] della SDC, un solid state computer utilizzato in ambito militare. Nella speranza che gli studi sui sistemi di sicurezza tornassero utili, i partecipanti alla conferenza hanno richiestorichiesero formalmente per la prima volta di utilizzare la computer penetration come strumento per studiare i sistemi di sicurezza.<ref>Hunt (2012), pp. 7-8</ref>

La minaccia della computer penetration fu sottolineata in un importante rapporto organizzato dal [[Dipartimento della Difesa degli Stati Uniti d'America|Dipartimento della Difesa statunitense]] (DoD) alla fine del 1967. In sostanza, i funzionari del Dipartimento della Difesa si rivolsero a Willis Ware per condurre una task force di esperti proveniente da NSA, [[CIA]], DoD, mondo accademico e industria per valutare formalmente la sicurezza dei sistemi informatici time-sharing. Facendo affidamento su molti documenti presentati nel corso dello Spring 1967 Joint Computer Conference, la task force confermò largamente che la computer penetration era una minaccia alla sicurezza del sistema informatico. Il rapporto di Ware è statoera inizialmente classificato, ma molti dei maggiori esperti informatici del paese identificarono lo studio come documento definitivodecisivo sulla sicurezza informatica.<ref name="Hunt 8"/> Jeffrey R. Yost del [[Charles Babbage Institute]] ha più recentemente descritto il rapporto di Ware come "... di gran lunga lo studio più importante e approfondito su questioni tecniche e operative in materia di sicurezza dei sistemi informatici del suo tempo".<ref>Yost (2007), p. 602</ref> In effetti, il rapporto Ware ha ribadito la grave minaccia rappresentata dalla computer penetration per i nuovi sistemi time-sharing online.

Per capire meglio le debolezze del sistema, il governo federale e dei suoi finanziatori ben presto cominciarono a organizzare squadre di penetratori, conosciute come [[tiger team]]s, per usare la computer penetration come test della sicurezza dei sistemi. Deborah Russell e G.T. Gangemi, hanno dichiarato che nel corso del 1970 nacquero i primi tiger teams: squadre di crackers finanziati dal governo e dalle industrie per tentare di abbattere le difese dei sistemi informatici nel tentativo di scoprire, ed eventualmente correggere, buchi di sicurezza ".<ref>Russell and Gangemi, Sr. (1991), p. 29</ref>

Donald MacKenzie, uno studioso della storia della sicurezza informatica, sottolinea che "RAND aveva fatto alcuni studi di penetrazione (esperimenti per eludere i controlli di sicurezza informatica) dei primi sistemi time-sharing per conto del governo".<ref>MacKenzie (2001), p. 156</ref> Jeffrey R. Yost del Charles Babbage Institute, nel suo lavoro sulla storia della sicurezza informatica, riconosce anche che sia la RAND Corporation che la SDC avevano "svolto alcuni dei primi studi di penetrazione provando a infiltrarsi nei sistemi time-sharing al fine di testare la loro vulnerabilità ".<ref>Yost (2007), pp. 601-602</ref> In quasi tutti questi primi studi, i tiger team sono riusciti a infiltrarsi in tutti i sistemi informatici presi come obiettivo, visto che le difese dei sistemi time-sharing del paese erano deboli.