¿Sabes lo que no es «sexy» para los investigadores de seguridad? Mainframe.
Estos sistemas de alto rendimiento diseñados típicamente para computación a gran escala son el último bastión de las pruebas de seguridad y la investigación porque generalmente se consideran la plataforma más segura del mundo. Es por eso que estos sistemas están en el corazón de casi todas las transacciones críticas en las que la gente común confía todos los días, incluidas las transferencias bancarias y las transacciones en cajeros automáticos, la reserva de vuelos y el manejo de millones de pagos en puntos de venta minoristas de todo el mundo.
Pero lo que no ayuda al atractivo es que los mainframes son notoriamente difíciles de acceder, lo que hace que las pruebas de seguridad sean difíciles, si no imposibles.
Ayoub Elaassal, auditor de seguridad de la consultora Wavestone, fue uno de los pocos afortunados que pudo acceder a un mainframe para una auditoría. Ejecutaba z / OS, un sistema operativo especializado construido por IBM para sus máquinas de la serie z.
No le llevó demasiado tiempo encontrar una vulnerabilidad que, si se explotaba, podría haberle dado acceso de root a un mainframe y a sus datos vitales y confidenciales.
«Podríamos comprometer potencialmente todo el sistema y lo que queramos, como interceptar transacciones y emitir transferencias electrónicas», me dijo por teléfono la semana pasada.
Elaassal encontró que las bibliotecas de sistema clave, o directorios, conocidos como instalaciones de programa autorizadas (APFs), podían en muchos casos ser actualizados por cualquiera de los usuarios del mainframe. Según su estimación, hasta la mitad de todas las auditorías muestran bibliotecas accesibles actualizables, dijo, y por lo tanto ponen a los mainframes afectados en riesgo de ataque.
Elaassal escribió varios scripts que pueden escalar los privilegios de un usuario al nivel «root» más alto. Uno de los scripts compila una carga útil y la coloca en uno de estos directorios confidenciales, convirtiéndose efectivamente en una parte confiable del sistema en sí. La carga útil maliciosa luego voltea algunos bytes y otorga al usuario privilegios «root» o «especiales» en el mainframe.
«Una vez que tienes ese tipo de ventaja, esa puerta trasera, puedes hacer lo que quieras», explicó. «Puedes cambiar la memoria, revocar usuarios, apagar la máquina can puedes hacer cualquier cosa.»
Elaassal iba a dar una charla en la conferencia Black Hat en Las Vegas, pero se le negó la entrada a los Estados Unidos. Sus herramientas son de código abierto y están disponibles en GitHub.
La buena noticia es que no es un ataque completamente silencioso. Debido a que el script cambia el permiso de un usuario, es algo que una empresa debe asegurarse de monitorear, dijo Elaassal.
«Con la herramienta, solo obtienes root», dijo. «Si alguien se convierte en administrador de repente a las 5 de la mañana, eso no es normal.»
Elaassal dijo que la amenaza se limita a aquellos con acceso al mainframe, pero señaló que cualquier persona con acceso remoto podría llevar a cabo el ataque de escalada de privilegios, incluido el personal remoto o de la sucursal. «No es necesario estar físicamente en el mainframe», dijo. «Cuando vas al banco, todos los agentes del banco tienen acceso al ordenador central.»
«Si es un banco, puede hacer transferencias bancarias, lavado de dinero, agregar cero a una cuenta bancaria», dijo. «Se puede cerrar la computadora central y perder el dinero del banco, dinero real, que puede ser millones para un banco grande.»
Con privilegios de root, dijo ,» se podía borrar todo.»
Le pregunté por qué entonces liberaría herramientas que escalarían los privilegios de un usuario a un nivel dañino. Dijo que la responsabilidad de garantizar los permisos de usuario responsables y la seguridad del mainframe recae directamente en el propietario, y no es algo que IBM pueda arreglar fácilmente.
«La seguridad en una computadora central solía ser un tipo con un arma», bromeó. «Ahora, estos archivos de sistemas confidenciales son accesibles de forma predeterminada por cientos de miles de usuarios en un mainframe.»
«A las empresas les resulta difícil y requiere mucho tiempo establecer reglas de grano fino adecuadas para definir exactamente quién tiene acceso a qué», agregó. «Suelen salirse con la ‘nadie sabe cómo hackear todos modos, así que ¿por qué molestarse? Ahora ya no pueden decir eso.»
» Está realmente en manos de los clientes controlar el acceso», dijo.