vet du vad som inte är ”sexigt” för säkerhetsforskare? Stordator.
dessa högpresterande system som vanligtvis är utformade för storskalig databehandling är den sista bastionen för säkerhetstestning och forskning eftersom de vanligtvis anses vara den säkraste plattformen på jorden. Det är därför dessa system är kärnan i nästan varje kritisk transaktion som vanliga människor litar på varje dag-inklusive banköverföringar och ATM-transaktioner, bokning av flyg och hantering av miljontals betalningar i butiker runt om i världen.
men det som inte hjälper överklagandet är att stordatorer är notoriskt svåra att få tillgång till, vilket gör säkerhetstestning svårt, om inte omöjligt.
Ayoub Elaassal, säkerhetsrevisor på konsultföretaget Wavestone, var en av de lyckliga få som kunde komma åt en stordator för en revision. Det körde z / OS, ett specialiserat operativsystem byggt av IBM för sina z-seriemaskiner.
det tog inte honom för lång tid att hitta en sårbarhet som, om den utnyttjades, kunde ha gett honom root-åtkomst till en stordator och dess viktiga, känsliga data.
”vi kan potentiellt äventyra hela systemet, och vad vi vill-som att fånga upp transaktioner och utfärda banköverföringar”, sa han till mig i telefon förra veckan.
Elaassal fann att viktiga systembibliotek eller kataloger-kända som auktoriserade programfaciliteter (APF), i många fall kunde uppdateras av någon av mainframes användare. Enligt hans uppskattning visar så många som hälften av alla revisioner tillgängliga uppdateringsbara bibliotek, sa han och satte därför drabbade stordatorer i riskzonen för attack.
Elaassal skrev flera skript som kan eskalera en användares privilegier till den högsta ”root” – nivån. Ett av skripten sammanställer en nyttolast och placerar den i en av dessa känsliga kataloger och blir effektivt en betrodd del av själva systemet. Den skadliga nyttolasten vänder sedan några byte och ger användaren ”root” eller ”special” privilegier på stordatorn.
” när du har den typen av hävstång-den bakdörren-kan du göra vad du vill, ” förklarade han. ”Du kan ändra minne, du återkallar användare, stänger av maskinen-du kan göra vad som helst.”
Elaassal skulle hålla ett föredrag vid Black Hat-konferensen i Las Vegas, men nekades inträde till USA. Hans verktyg är öppen källkod och finns tillgängliga på GitHub.
den goda nyheten är att det inte är en helt tyst attack. Eftersom skriptet ändrar användarens tillstånd är det något som ett företag bör se till att det övervakar, säger Elaassal.
”med verktyget får du bara rot”, sa han. ”Om någon plötsligt blir en administratör klockan 5 är det inte normalt.”
IBM z-serien stordator. (Bild: filfoto)
Elaassal sa att hotet är begränsat till dem som har tillgång till stordatorn, men noterade att alla med fjärråtkomst kunde utföra privilegieupptrappningsattacken, inklusive fjärr-eller filialpersonal. ”Du behöver inte vara fysiskt på stordatorn,” sa han. ”När du går till banken har varje bankagent tillgång till stordatorn.”
”om det är en bank kan du göra banköverföringar, penningtvätt, lägga till noll på ett bankkonto,” sa han. ”Du kan stänga av stordatorn och förlora bankpengarna-riktiga pengar, vilket kan vara miljoner för en stor bank.”
med root-privilegier sa han, ”Du kan radera allt.”
jag frågade honom Varför då skulle han släppa verktyg som skulle eskalera en användares privilegier till en skadlig nivå. Han sa att ansvaret för att säkerställa ansvariga användarbehörigheter och mainframe-säkerhet landar helt med ägaren, och inte något som IBM enkelt kan fixa.
”säkerhet på en stordator brukade vara en kille med en pistol”, skämtade han. ”Nu är dessa känsliga systemfiler tillgängliga som standard av hundratusentals användare på en stordator.”
” företag tycker att det är svårt och tidskrävande att ställa in rätt finkorniga regler för att definiera exakt vem som får tillgång till vad, ” tillade han. ”De brukar komma undan med” ingen vet hur man hackar det ändå, så varför bry sig? Nu kan de inte säga det längre.”
”det är verkligen i händerna på kunderna att kontrollera åtkomst,” sade han.