você sabe o que não é “sexy” para pesquisadores de segurança? Central.
estes sistemas de alto desempenho tipicamente concebidos para computação em grande escala são o último bastião de testes de segurança e pesquisa porque tipicamente eles são considerados como a plataforma mais segura da Terra. É por isso que estes sistemas estão no centro de quase todas as transações críticas em que as pessoas comuns confiam todos os dias — incluindo transferências bancárias e transações de ATM, reservas de voos e movimentação de milhões de pagamentos em lojas de varejo ao redor do mundo.
mas o que não ajuda o recurso é que os mainframes são notoriamente difíceis de obter acesso, tornando os testes de segurança difíceis, se não impossíveis.Ayoub Elaassal, um auditor de segurança da empresa de consultoria Wavestone, foi um dos poucos sortudos que foram capazes de acessar um mainframe para uma auditoria. Ele estava executando z / OS, um sistema operacional especializado construído pela IBM para suas máquinas da série z.Não demorou muito para encontrar uma vulnerabilidade que, se explorada, lhe poderia ter dado acesso à raiz de um mainframe e seus dados vitais e sensíveis.
“nós poderíamos potencialmente comprometer todo o sistema, e para o que quer que queiramos — como interceptar transações e emitir transferências bancárias”, disse-me ao telefone na semana passada.
Elaassal descobriu que bibliotecas-chave do sistema, ou diretórios — conhecidos como facilidades de programa autorizadas (APFs), poderiam em muitos casos ser atualizados por qualquer um dos usuários do mainframe. Segundo sua estimativa, cerca de metade de todas as auditorias mostram bibliotecas acessíveis atualizáveis, ele disse, e, portanto, colocou os mainframes afetados em risco de ataque.
Elaassal escreveu vários scripts que podem aumentar os privilégios de um usuário para o mais alto nível “root”. Um dos scripts compila uma carga útil e coloca-a em um desses diretórios sensíveis, efetivamente se tornando uma parte confiável do próprio sistema. A carga maliciosa então roda alguns bytes e concede ao usuário privilégios de “root” ou “especial” no mainframe.
“uma vez que você tem esse tipo de vantagem — essa porta traseira — você pode fazer o que quiser”, explicou. “Você pode mudar a memória, revogar usuários, desligar a máquina — você pode fazer qualquer coisa.”
Elaassal foi definido para dar uma palestra na conferência Black Hat em Las Vegas, mas foi negada a entrada para os EUA. Suas ferramentas são de código aberto e estão disponíveis no GitHub.A boa notícia é que não é um ataque completamente silencioso. Como o script muda a permissão de um usuário, isso é algo que uma empresa deve garantir que ele monitora, disse Elaassal.
“com a ferramenta, você só tem raiz”, disse ele. “Se alguém se torna um administrador de repente às 5 da manhã, isso não é normal.”
Elaassal disse que a ameaça é limitada aos que têm acesso ao mainframe, mas observou que qualquer pessoa com acesso remoto poderia realizar o ataque de escalada de privilégios, incluindo pessoal de escritório remoto ou branch. “Você não precisa estar fisicamente no mainframe”, disse ele. “Quando vais ao Banco, todos os agentes do Banco têm acesso ao computador central.”
“se é um banco, você pode fazer transferências bancárias, Lavagem de dinheiro, adicionar zero a uma conta bancária”, disse ele. “Você pode desligar o mainframe e perder o dinheiro do banco — dinheiro real, que pode ser milhões para um grande banco.”
com privilégios de raiz, ele disse, ” Você poderia apagar tudo.”
I asked him why then he would release tools that would escalate a user’s privileges to a damage level. Ele disse que o ónus de garantir permissões de usuário responsáveis e mainframe de segurança aterrissam diretamente com o proprietário, e não algo que a IBM pode facilmente consertar.
“segurança em um mainframe costumava ser um cara com uma arma”, ele brincou. “Agora, esses arquivos de sistemas sensíveis são acessíveis por padrão por centenas de milhares de usuários em um mainframe.”
“as empresas acham difícil e demorado estabelecer regras adequadas de grãos finos para definir exatamente quem tem acesso a quê”, acrescentou. “Normalmente safam-se com ‘ninguém sabe como pirateá-lo de qualquer maneira, por isso, para quê dar-se ao trabalho? Agora já não podem dizer isso.”
“está realmente nas mãos dos clientes controlar o acesso”, disse ele.