tiedätkö, mitkä eivät ole” seksikkäitä ” tietoturvatutkijoille? Pääkehykset.
nämä suurteholaskentaan tyypillisesti suunnitellut korkean suorituskyvyn järjestelmät ovat tietoturvatestauksen ja-tutkimuksen viimeinen linnake, koska tyypillisesti niitä pidetään maailman turvallisimpana alustana. Siksi nämä järjestelmät ovat ytimessä lähes kaikissa kriittisissä liiketoimissa, joihin tavalliset ihmiset luottavat päivittäin – mukaan lukien pankkisiirroissa ja pankkiautomaateissa, Varaamalla lentoja ja käsittelemällä miljoonia maksuja vähittäiskaupoissa ympäri maailmaa.
vetovoimaa ei kuitenkaan helpota se, että pääkehyksiin on tunnetusti vaikea päästä käsiksi, mikä tekee tietoturvatestauksesta vaikeaa, ellei mahdotonta.
Ayoub Elaassal, konsulttiyhtiö Wavestonen tietoturvatarkastaja, oli yksi harvoista onnekkaista, jotka pääsivät käsiksi keskustietokoneeseen tilintarkastusta varten. Se käytti z / OS-käyttöjärjestelmää, jota IBM rakensi Z-sarjan koneilleen.
häneltä ei kestänyt kauaa löytää haavoittuvuutta, joka olisi hyväksikäytettynä voinut antaa hänelle pääkäyttäjän pääsyn keskustietokoneeseen ja sen elintärkeisiin, arkaluontoisiin tietoihin.
”voisimme mahdollisesti vaarantaa koko järjestelmän, ja mihin tahansa haluamme-kuten sieppaamiseen liiketoimia ja liikkeeseen tilisiirtoja”, hän kertoi puhelimessa viime viikolla.
Elaassal havaitsi, että key system libraries, or directories — known as authorized program facilities (APFS), voisi monissa tapauksissa päivittää kuka tahansa keskustietokoneen käyttäjä. Hänen arvionsa mukaan jopa puolet kaikista tarkastuksista näyttää saatavilla päivitettäviä kirjastoja, hän sanoi, ja siksi laittaa vaikuttavat pääkehykset hyökkäysvaarassa.
Elaassal kirjoitti useita skriptejä, jotka voivat laajentaa käyttäjän oikeudet korkeimmalle ”root” – tasolle. Yksi skripteistä kokoaa hyötykuorman ja sijoittaa sen johonkin näistä arkaluonteisista hakemistoista, jolloin siitä tulee itse järjestelmän luotettu osa. Haitallinen hyötykuorma kääntää sitten joitakin tavuja ja antaa käyttäjälle” root ”- tai” special ” – oikeudet keskustietokoneessa.
”kun on tuollainen vipuvoima-tuo takaportti-voi tehdä mitä haluaa”, hän selitti. ”Voit muuttaa muistia, kumota käyttäjät, sammuttaa koneen – voit tehdä mitä tahansa.”
Elaassalin oli määrä pitää puhe Black Hat-konferenssissa Las Vegasissa, mutta häneltä evättiin pääsy Yhdysvaltoihin. Hänen työkalunsa ovat avoimen lähdekoodin ja saatavilla GitHubissa.
hyvä uutinen on, ettei kyseessä ole täysin hiljainen hyökkäys. Koska skripti muuttaa käyttäjän lupaa, se on jotain, että yrityksen pitäisi varmistaa se valvoo, sanoi Elaassal.
”työkalulla saa vain juurta”, hän sanoi. ”Jos joku tulee admin yhtäkkiä klo 5 am, se ei ole normaalia.”
IBM z – sarjan keskusyksikkö. (Kuva: Arkistokuva)
elaassal sanoi, että uhka rajoittuu niihin, joilla on pääsy keskustietokoneelle, mutta huomautti, että kuka tahansa etäyhteyden omaava voi suorittaa privilege escalation-hyökkäyksen, mukaan lukien kauko-tai haaratoimiston henkilökunta. ”Sinun ei tarvitse olla fyysisesti keskusyksikössä”, hän sanoi. ”Kun menet pankkiin, jokaisella pankkiagentilla on pääsy keskustietokoneeseen.”
”jos se on pankki, voi tehdä tilisiirtoja, rahanpesua, lisätä nollan pankkitilille”, hän sanoi. ”Voit sulkea keskustietokoneen ja menettää pankkirahat — oikeaa rahaa, joka voi olla miljoonia isolle pankille.”
juurioikeuksilla hän sanoi, että ”kaiken voisi pyyhkiä pois.”
kysyin häneltä, miksi hän sitten julkaisisi työkaluja, jotka kasvattaisivat käyttäjän oikeudet vahingolliselle tasolle. Hän sanoi, että vastuullisen käyttöoikeuksien ja suurtietokoneiden turvallisuuden varmistaminen kuuluu suoraan omistajalle, eikä IBM: n helposti korjattavaksi.
”keskustietokoneen turvamies oli ennen kaveri aseen kanssa”, hän vitsaili. ”Nyt, nämä arkaluonteiset järjestelmätiedostot ovat oletusarvoisesti saatavilla sadoille tuhansille käyttäjille keskustietokoneella.”
”yritysten on vaikea ja aikaa vievää laatia kunnollisia hienorakeisuussääntöjä, joiden avulla voidaan määritellä tarkasti, kuka saa pääsyn mihinkin”, hän lisäsi. ”He yleensä selviävät ’kukaan ei osaa hakkeroida sitä kuitenkaan, joten miksi vaivautua? Nyt he eivät voi enää sanoa niin.”
”on todella asiakkaiden käsissä valvoa pääsyä”, hän sanoi.