tudod, mi nem “Szexi” a biztonsági kutatók számára? Nagygépek.
ezek a nagy teljesítményű rendszerek, amelyeket általában nagyméretű számítástechnikára terveztek, a biztonsági tesztelés és kutatás utolsó bástyája, mivel általában a föld legbiztonságosabb platformjának tekintik őket. Ez az oka annak, hogy ezek a rendszerek szinte minden olyan kritikus tranzakció középpontjában állnak, amelyre a hétköznapi emberek nap mint nap támaszkodnak-beleértve a banki átutalásokat és az ATM-tranzakciókat, a repülőjegyek foglalását és a fizetések millióinak kezelését a kiskereskedelmi üzletekben szerte a világon.
de ami nem segít a fellebbezésben, az az, hogy a nagygépekhez közismerten nehéz hozzáférni, ami megnehezíti, ha nem is lehetetlenné teszi a biztonsági tesztelést.
Ayoub Elaasszal, a wavestone tanácsadó cég biztonsági könyvvizsgálója azon szerencsések egyike volt, akik hozzáférhettek egy nagyszámítógéphez ellenőrzés céljából. A z/OS-t futtatta, egy speciális operációs rendszert, amelyet az IBM épített z sorozatú gépeihez.
nem tartott túl sokáig, hogy megtalálja a biztonsági rést, amely kihasználása esetén root hozzáférést biztosíthatott volna egy mainframe-hez és annak létfontosságú, érzékeny adataihoz.
“potenciálisan veszélyeztethetjük az egész rendszert, és bármit, amit akarunk-például a tranzakciók lehallgatását és az átutalások kibocsátását” – mondta a múlt héten telefonon.
Elaasson megállapította, hogy a kulcsrendszerkönyvtárak vagy könyvtárak-az úgynevezett engedélyezett programeszközök (APFs) – sok esetben frissíthetők a mainframe bármely felhasználója által. Becslése szerint az összes ellenőrzés fele hozzáférhető, frissíthető könyvtárakat mutat, ezért az érintett nagyszámítógépeket támadás veszélyének teszi ki.
az Elaasszal több olyan szkriptet írt, amelyek a felhasználó jogosultságait a legmagasabb “gyökér” szintre emelhetik. Az egyik szkript lefordít egy hasznos terhet, és elhelyezi az egyik ilyen érzékeny könyvtárba, így gyakorlatilag a rendszer megbízható részévé válik. A rosszindulatú hasznos teher ezután megfordít néhány bájtot, és “root” vagy “special” jogosultságokat biztosít a Felhasználónak a mainframe-en.
“ha egyszer megvan ez a tőkeáttétel-az a hátsó ajtó-bármit megtehet, amit csak akar” – magyarázta. “Megváltoztathatja a memóriát, visszavonhatja a felhasználókat, leállíthatja a gépet-bármit megtehet.”
Elaassal előadást tartott a Las Vegas-i Black Hat konferencián, de nem engedték be az Egyesült Államokba. Eszközei nyílt forráskódúak és elérhetők a Githubon.
a jó hír az, hogy ez nem egy teljesen csendes támadás. Mivel a szkript megváltoztatja a Felhasználó engedélyét, ezt a vállalatnak biztosítania kell, hogy figyelemmel kísérje-mondta Elaasszal.
“az eszközzel csak gyökeret kap” – mondta. “Ha valaki hirtelen 5 órakor adminisztrátor lesz, az nem normális.”
IBM z sorozatú mainframe. (Kép: fájl fotó)
Elaassa elmondta, hogy a fenyegetés azokra korlátozódik, akik hozzáférnek a mainframe-hez, de megjegyezte, hogy bárki, aki távoli hozzáféréssel rendelkezik, végrehajthatja a privilege eszkalációs támadást, beleértve a távoli vagy fiókhivatal munkatársait is. “Nem kell fizikailag a mainframe-nél lennie” – mondta. “Amikor a bankba megy, minden banki ügynök hozzáfér a mainframe-hez.”
” ha ez egy bank, akkor átutalásokat, pénzmosást, nullát adhat a bankszámlához ” – mondta. “Leállíthatod a nagyszámítógépet, és elveszítheted a banki pénzt-valódi pénzt, ami milliókat jelenthet egy nagy banknak.”
root jogosultságokkal azt mondta: “mindent törölhet.”
megkérdeztem tőle, hogy miért bocsát ki olyan eszközöket, amelyek károsító szintre emelik a felhasználó jogosultságait. Azt mondta, hogy a felelős felhasználói engedélyek és a mainframe biztonság biztosításának felelőssége egyenesen a tulajdonosra hárul, és nem valami, amit az IBM könnyen meg tud javítani.
“biztonsági egy mainframe szokott lenni egy srác egy fegyvert,” viccelődött. “Most ezek az érzékeny rendszerfájlok alapértelmezés szerint több százezer felhasználó számára elérhetők egy mainframe-en.”
“a vállalatok nehéznek és időigényesnek találják a megfelelő finomszemcsés szabályok felállítását, hogy pontosan meghatározzák, ki kap hozzáférést mihez”-tette hozzá. “Általában megússzák” senki sem tudja, hogyan kell feltörni, akkor miért zavarja? Most már nem mondhatják ezt.”
“valóban az ügyfelek kezében van a hozzáférés ellenőrzése” – mondta.