wiesz co nie jest” seksowne ” dla badaczy bezpieczeństwa? Mainframe.
te wysokowydajne systemy zwykle zaprojektowane do obliczeń na dużą skalę są ostatnim bastionem testów i badań bezpieczeństwa, ponieważ zazwyczaj są uważane za najbezpieczniejszą platformę na Ziemi. Właśnie dlatego te systemy są sercem prawie każdej ważnej transakcji, na której polegają zwykli ludzie każdego dnia-w tym przelewów bankowych i transakcji bankomatowych, rezerwacji lotów i obsługi milionów płatności w punktach sprzedaży detalicznej na całym świecie.
ale to, co nie pomaga w apelacji, to fakt, że mainframe są notorycznie trudne do uzyskania dostępu, co utrudnia testowanie zabezpieczeń, jeśli nie niemożliwe.
Ayoub Elaassal, audytor bezpieczeństwa w firmie konsultingowej wavestone, był jednym z niewielu szczęśliwców, którzy mieli dostęp do komputera mainframe w celu przeprowadzenia audytu. Działał na nim z / OS, specjalistyczny system operacyjny stworzony przez IBM dla maszyn z serii Z.
nie zajęło mu zbyt długo znalezienie luki, która, jeśli zostanie wykorzystana, mogłaby dać mu dostęp do głównego komputera i jego ważnych, wrażliwych danych.
„możemy potencjalnie skompromitować cały system i cokolwiek chcemy-jak przechwytywanie transakcji i wydawanie przelewów bankowych” – powiedział mi przez telefon w zeszłym tygodniu.
Elaassal odkrył, że kluczowe biblioteki systemowe lub katalogi-znane jako autoryzowane urządzenia programowe (APFS), mogą w wielu przypadkach być aktualizowane przez dowolnego użytkownika komputera mainframe. Według jego szacunków, aż połowa wszystkich audytów pokazuje dostępne biblioteki, które można aktualizować, i dlatego naraża dotknięte mainframe na ryzyko ataku.
Elaassal napisał kilka skryptów, które mogą zwiększyć uprawnienia użytkownika do najwyższego poziomu „root”. Jeden ze skryptów kompiluje ładunek i umieszcza go w jednym z tych delikatnych katalogów, skutecznie stając się zaufaną częścią samego systemu. Złośliwy ładunek następnie odwraca niektóre bajty i przyznaje użytkownikowi uprawnienia „root” lub „special” na komputerze mainframe.
„jak już będziesz miał taką przewagę-ten backdoor-możesz robić co chcesz” – tłumaczył. „Możesz zmienić pamięć, odwołać użytkowników, wyłączyć maszynę – możesz zrobić wszystko.”
Elaassal miał wygłosić wykład na konferencji Black Hat w Las Vegas, ale odmówiono mu wjazdu do USA. Jego narzędzia są open-source i są dostępne na Githubie.
dobra wiadomość jest taka, że nie jest to całkowicie cichy atak. Ponieważ skrypt zmienia uprawnienia użytkownika, to jest coś, co firma powinna zapewnić, że monitoruje, powiedział Elaassal.
„za pomocą narzędzia po prostu się rootuje” „Jeśli ktoś nagle zostaje adminem o 5 rano, to nie jest normalne.”
IBM Z Series mainframe. (Zdjęcie: file photo)
Elaassal powiedział, że zagrożenie jest ograniczone do tych, którzy mają dostęp do mainframe, ale zauważył, że każdy, kto ma zdalny dostęp, może przeprowadzić atak eskalacji uprawnień, w tym personel zdalny lub oddziału. „Nie musisz być fizycznie w mainframe,” powiedział. „Kiedy idziesz do banku, każdy agent banku ma dostęp do mainframe.”
„jeśli to bank, możesz robić przelewy, pranie pieniędzy, dodawać zero do konta bankowego” „Można wyłączyć mainframe i stracić pieniądze z banku-prawdziwe pieniądze, które mogą być milionami dla dużego banku.”
z uprawnieniami roota powiedział: „możesz wszystko skasować.”
zapytałem go, dlaczego wtedy miałby wydawać narzędzia, które zwiększałyby uprawnienia użytkownika do szkodliwego poziomu. Powiedział, że ciężar zapewnienia odpowiedzialnych uprawnień użytkowników i bezpieczeństwa mainframe ląduje prosto z właścicielem, a nie coś, co IBM może łatwo naprawić.
„Ochrona na mainframe’ IE była kiedyś facetem z bronią ” – żartował. „Teraz te wrażliwe pliki systemowe są domyślnie dostępne dla setek tysięcy użytkowników na komputerze mainframe.”
” firmom trudno i czasochłonnie jest ustanowić odpowiednie zasady drobnoziarniste, aby dokładnie określić, kto ma dostęp do czego ” -dodał. „Zwykle uchodzi im to na sucho” nikt nie wie, jak to zhakować, więc po co się trudzić? Teraz nie mogą już tak mówić.