È proprio a partire dagli anni novanta, inoltre, che centri di ricerca e aziende iniziano a sviluppare soluzioni per automatizzare la verifica delle politiche di sicurezza e delle vulnerabilità nei sistemi informatici: tiger appartiene a questa famiglia di applicazioni.
Tiger
Introduzione
Lo sviluppo di tiger è iniziato nel 1993 al Texas A&M University Supercomputer Center [8], transitato attraverso almeno tre fork (di cui uno specifico di Debian) determinati da uno stallo della versione originaria e successivamente confluito in un unica linea di sviluppo (supportata dai repository del progetto GNU [9]). L'applicazione è distribuita come free software con licenza GNU General Public License versione 2 ed è indirizzata specificamente a sistemi unix-like. Al momento della stesura di questo articolo, è presente la versione 3.2.2-6 (del 9 settembre 2008) nei repository Debian per il ramo stabile (versioni più recenti sono disponibili per altri rami). È utile far presente che il manutentore del pacchetto Debian di tiger (Javier Fernández-Sanguino Peña) è anche che tra coloro che curano il ramo principale di sviluppo del programma (upstream maintainer) [10] oltre che essere, dal 2002, anche curatore del Securing Debian Manual [11].
Finalità
In linea di principio, tiger è stato concepito come uno strumento per l'audit di sicurezza. In particolare, esegue ciò che in gergo tecnico è definito un internal audit (definito anche white box [12]) cioè un controllo dall'interno dello stesso sistema sottoposto a verifica e del quale si presuppone di conoscere la teorica corretta configurazione; in tal senso, si distingue da altri strumenti di audit che eseguono il controllo dall'esterno del sistema controllato. È implicito che la validità dell'esito di un internal audit può essere pregiudicato in caso di già avvenuta compromissione del sistema (potenziale perdita di controllo a causa di un attacco portato a termine con successo).
tiger, in particolare, esegue il proprio compito segnalando le configurazioni del sistema operativo che possono essere fattori di rischio per un accesso indesiderato al sistema e per un suo uso con finalità diverse da quelle previste dal proprietario facendo riferimento, a tal fine, alle vulnerabilità documentate dalle autorità di certificazione sulla sicurezza informatica o segnalate dagli istituti di ricerca specializzati. Nel caso specifico, il dettaglio di tali fonti è riportato nella documentazione a corredo del pacchetto (nel file /usr/share/doc/tiger/README.sources.gz). Nel percorso /usr/share/doc/tiger/, inoltre, è disponibile un'estesa documentazione che fornisce approfondimenti sui singoli aspetti dell'utilizzo e della configurazione dell'applicazione ed alla quale, necessariamente, si è fatto riferimento anche in fase di redazione del presente articolo.
Per quanti volessero approfondire ulteriormente l'argomento, inoltre, è possibile far riferimento alla UNIX Security Checklist realizzata per conto del Department of Defence (DOD) statunitense e reperibile all'indirizzo internet http://web.nvd.nist.gov/view/ncp/repository/checklistDetail?id=282.