0
IBM z-Series mainframe. (Afbeelding: foto bestand)
Weet je wat niet “sexy” voor de onderzoekers van de veiligheid? Mainframes.
Deze high-performance systemen meestal ontworpen voor grootschalige computing zijn het laatste bastion van veiligheid testen en onderzoek, omdat doorgaans beschouwd als de meest veilige platform op Aarde. Dat is de reden waarom deze systemen zijn in het hart van bijna elke kritische transactie die gewone mensen vertrouwen op elke dag-met inbegrip van de bank wire transfers en ATM-transacties, het boeken van vluchten, en de behandeling van miljoenen betalingen in winkels over de hele wereld.
Maar wat helpt niet bij het beroep dat mainframes zijn notoir moeilijk om toegang te krijgen tot, het maken van testen van de beveiliging is het moeilijk, zo niet onmogelijk.
Ayoub Elaassal, een security auditor bij adviesbureau Wavestone, was één van de lucky few die in staat waren om toegang te krijgen tot een mainframe voor een controle. Hij draaide z/OS, een gespecialiseerde besturingssysteem gebouwd door IBM voor de z-Serie machines.
Het duurde hem te lang om te zoeken naar een kwetsbaarheid die, als ze benut kon hem gegeven hebt root toegang naar een mainframe en de belangrijke, gevoelige gegevens.
“We konden het ons mogelijk gevaar opleveren voor het systeem als geheel, en naar wat we willen-zoals het onderscheppen van de transacties en de afgifte van overschrijvingen,” vertelde hij me over de telefoon vorige week.
Elaassal gevonden die sleutel systeem bibliotheken, of mappen, ook wel bekend als toegestaan programma voorzieningen (APFs), kan in veel gevallen worden bijgewerkt door een van de mainframe gebruikers. Door zijn schatting, zo veel als de helft van alle audits toon toegankelijk bijgewerkt, bibliotheken, zei hij, en daarom zet beïnvloed mainframes op het gevaar van een aanval.
Elaassal schreef verschillende scripts die kunnen escaleren van de rechten van een gebruiker om de hoogste “root” – niveau. Een van de scripts stelt een laadvermogen en plaatsen het in een van deze gevoelige mappen, effectief steeds een vertrouwd onderdeel van het systeem zelf. De kwaadaardige lading dan klapt aantal bytes en verleent de gebruiker “root” of “speciale” privileges op het mainframe.
“Zodra je dat soort hefboom — dat backdoor — je kunt doen wat je wilt,” legde hij uit. “Kunt u het geheugen, kunt u intrekken gebruikers, het afsluiten van de machine — u kunt alles doen.”
Elaassal werd ingesteld om een voordracht te geven op de Black Hat-conferentie in Las Vegas, maar werd de toegang geweigerd tot de US. Zijn tools zijn open-source en beschikbaar op GitHub.
Het goede nieuws is dat het niet volledig stil vallen. Omdat het script verandert een toestemming van de gebruiker, dat is iets dat een bedrijf moet zorgen voor het monitoren, zei Elaassal.
“Met de tool, krijg je alleen maar wortel,” zei hij. “Als iemand een admin alle van een plotselinge om 5 uur, dat is niet normaal.”
Elaassal zei dat de dreiging is beperkt tot degenen die toegang hebben tot de mainframe, maar merkte op dat iedereen met toegang op afstand kunnen uitvoeren van de rechten escalatie aanvallen, met inbegrip van de afstandsbediening of branch office-personeel. “Je hoeft niet fysiek op de mainframe,” zei hij. “Als je naar de bank, elke vertegenwoordiger van de bank heeft toegang tot de mainframe.”
“Als het een bank kunt u doen wire transfers, het witwassen van geld, het toevoegen van nul naar een bankrekening”, zei hij. “Je kunt het afsluiten van de mainframe en verliest de bank geld — echt geld, dat kan worden miljoenen voor een grote bank.”
Met root rechten, zei hij, “je kunt alles wissen.”
Ik vroeg hem waarom hij zou vrijkomen van de tools die zou escaleren van de rechten van een gebruiker tot een schadelijk niveau. Hij zei dat de bewijslast van het waarborgen van verantwoordelijke gebruiker machtigingen en mainframe beveiliging landen vierkant met de eigenaar, en niet iets dat kan IBM gemakkelijk op te lossen.
“Veiligheid op een mainframe gebruikt om een man met een pistool,” grapte hij. “Nu, deze gevoelige systemen bestanden zijn toegankelijk standaard door honderdduizenden gebruikers op een mainframe.”
“Bedrijven vinden het moeilijk en tijdrovend om de juiste fijnkorrelig regels om precies aan te geven wie toegang krijgt tot welke,” voegde hij eraan toe. “Ze meestal wegkomen met ‘niemand weet hoe hack het toch, dus waarom al die moeite?’ Nu kunnen ze niet zeggen dat dat niet meer.”
“Het is echt in de handen van de klanten om toegang te controleren,” zei hij.
Neem Contact met mij goed
Zack Whittaker kan worden bereikt stevig Signaal en WhatsApp op 646-755-8849, en zijn PGP vingerafdruk voor e-mail is: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Zwarte Hoed 2017
Dump de slang olie en beveiliging van de onderzoekers van respect
Gij zult veilig zijn: RSA zegt dat je niet kunt dwingen in de particuliere sector te breken encryptie
iCloud lek gestoken iPhone, Mac wachtwoorden in gevaar zijn
Nieuwe details op Drosophila, een bijna niet op te sporen Mac backdoor
0