セキュリティ研究者にとって「セクシー」ではないものを知っていますか? メインフレーム。
大規模計算用に設計されたこれらの高性能システムは、通常、地球上で最も安全なプラットフォームであると考えられているため、セキュリティテストと研究の最後の砦です。 だからこそ、これらのシステムは、銀行電信送金やATM取引、フライトの予約、世界中の小売店での何百万もの支払いを含む、普通の人々が毎日依存しているほ
しかし、魅力を助けていないのは、メインフレームにアクセスするのが悪名高いことであり、不可能ではないにしてもセキュリティテストを困難にしているということです。
コンサルティング会社Wavestoneのセキュリティ監査人Ayoub Elaassalは、監査のためにメインフレームにアクセスできた幸運な数少ない人の一人でした。 Z/OSは、IBMがzシリーズマシン用に構築した特殊なオペレーティングシステムであった。
悪用された場合、メインフレームとその重要で機密性の高いデータへのルートアクセスを彼に与えた可能性のある脆弱性を見つけるのに時間がかかりすぎませんでした。
「我々はシステム全体を危険にさらす可能性があり、取引の傍受や電信送金の発行など、我々が望むものには何でも妥協する可能性がある」と彼は先週、電話で私に語った。
Elaassalは、認証プログラム機能(APFs)として知られている主要なシステムライブラリ、またはディレクトリが、多くの場合、メインフレームのユーザーのいずれかによって更新される可能性があることを発見しました。 彼の推定では、すべての監査の半分がアクセス可能な更新可能なライブラリを示しているため、影響を受けるメインフレームを攻撃の危険にさらしていると彼は言った。
Elaassalは、ユーザーの特権を最高の”ルート”レベルに昇格させることができるいくつかのスクリプトを書いています。 スクリプトの一つは、ペイロードをコンパイルし、これらの機密ディレクトリの一つに配置し、効果的にシステム自体の信頼できる部分になります。 悪意のあるペイロードは、いくつかのバイトを反転し、メインフレーム上のユーザー”root”または”special”権限を付与します。
“そのようなレバレッジを持っていれば、あなたは好きなことをすることができます”と彼は説明しました。 “メモリを変更したり、ユーザーを取り消したり、マシンをシャットダウンしたりすることができます。”
Elaassalはラスベガスで開催されたBlack Hat conferenceで講演を予定していたが、米国への入国を拒否された。 彼のツールはオープンソースであり、GitHubで利用可能です。
良いニュースは、それが完全に沈黙した攻撃ではないということです。 スクリプトはユーザーの許可を変更するので、それは会社が監視するようにする必要があるものです、とElaassal氏は述べています。
「ツールを使えば、あなたはただルートを得るだけだ」と彼は言った。 “誰かが午前5時に突然管理者になった場合、それは正常ではありません。”
IBM zシリーズのメインフレーム。 (画像:ファイル写真)
Elaassal氏によると、この脅威はメインフレームへのアクセス権を持つ人に限定されていますが、リモートアクセス権を持つ人は誰でも、リモートまたは支店のス “あなたはメインフレームに物理的にいる必要はありません”と彼は言いました。 “銀行に行くと、すべての銀行代理店がメインフレームにアクセスできます。「
「銀行なら、電信送金、マネーロンダリング、銀行口座にゼロを追加することができます」と彼は言った。 “あなたはメインフレームをシャットダウンし、銀行のお金を失うことができます-大きな銀行のために何百万人もすることができ”
root権限で、彼は言った、”あなたはすべてを消去することができます。”
私は彼に、なぜ彼がユーザーの特権を有害なレベルにエスカレートさせるツールをリリースするのか尋ねました。 彼は、責任あるユーザーの権限とメインフレームのセキュリティを確保する責任は、IBMが簡単に修正できるものではなく、所有者と真正面から着地すると述
“メインフレームのセキュリティは、かつては銃を持った男だった”と彼は冗談を言った。 “今、これらの機密システムファイルは、メインフレーム上のユーザーの数十万人のデフォルトでアクセス可能です。「
「企業は、誰が何にアクセスできるかを正確に定義するために適切な細粒ルールを設定するのは難しく、時間がかかると感じています」と彼は付け加え “彼らは通常、”誰もとにかくそれをハックする方法を知っているので、なぜ気にしないで逃げる?”今、彼らはもうそれを言うことはできません。「
「アクセスを制御するのは本当に顧客の手に委ねられている」と彼は言った。