Salve! Posso darti maggiori informazioni
o rispondere a qualche domanda?
Come possiamo esserti utili?
Seleziona uno dei nostri esperti
Alberto Bedin
Supporto Commerciale
Sono online
Luisa Soranno
Supporto Commerciale
Sono online

In un ambiente fittizio, usando un utente di basso livello come QUSER, privo di accesso alla maschera di sign-on, quindi apparentemente innocuo,  Shahar Mor ci mostrerà come un hacker potrebbe accedere e compromettere il sistema più sicuro al mondo un IBMi (AS400) usando per giunta solamente dei software PC standard in uso ad ogni utente.

 Molti degli utilizzatori di IBMi (AS400) sottovalutano il rischio di accesso degli utenti alla piattaforma AS400 tramite

software PC. 

Per prima cosa, immaginiamo che un hacker desideri avere accesso ad una compagnia fittizia chiamata ABC, per avere accesso e magari modificare alcuni dati sensibili. La situazione della compagnia ABC L’azienda ABC utilizza AS400 con un ERP basato sul green screen e l’IBMiè utilizzato con l'emulatore client access. L’azienda ha stabilito la seguente policy per la sicurezza dell’ERP che è alquanto restittiva e adeguata per la sicurezza,  di un'assicurazione ma vedremo che non bastano:

  • Gli utenti dell’ERP fanno tutti parte del gruppo ERP.
  • Il gruppo ERP ha *ALL le autorità a tutti i file presenti nell’applicazione.
  • Gli utenti che non fanno parte del gruppo ERP hanno un accesso di sola lettura alle tabelle.
  • A tutti gli utenti dell’ERP viene richiesto di cambiare la loro password periodicamente, la policy riguardo le password impedisce l’utilizzo di quelle di default o troppo semplici.
  • Tutti gli utenti dell’ERP sono configurati per non avere opzioni sulle linee di comando (il parametro LMTCPB nel profilo utente è settato su *YES).
  • L’auditing nel sistema è attivo.
  • Tutti i tentativi di accesso falliti sono registrati nel QAUDJRN.
  • Anche gli accessi ai file riguardanti i dati sensibili sono registrati.
  • Gli utenti sono disabilitati dal sistema dopo 90 giorni di inattività.
  • Solo le richieste TCP IP servers sono attive.
  • Telnet, sign on, FTP e database sono aperti per motivi riguardanti l’applicazione stessa.
  • Per l’auto login al sign on server l’azienda usa profili utente QUSER con password QUSER.
  • QUSER è definito con LMTCPB settato su *YES senza programmi iniziali o menu.

La missione dell’hacker Raggiungere i seguenti obiettivi lasciando meno tracce possibili:

  • Loggarsi nel sistema della ABC
  • Rintracciare la lista dei clienti con informazioni sulle loro carte di credito
  • Danneggiare i dati finanziari

Implementazione L’hacker utilizza un profilo utente QUSER. La password di default di QUSER è QUSER e anche se a QUSER non è autorizzato al sign on può comunque essere utilizzato per accedere in altri modi al sistema. L’hacker utilizzerà il ben noto Client Access, che è installato negli uffici della ABC per attivare  l’emulazione 5250. Fase uno: trovare il nome della libreria di produzione La prima cosa da fare per l’hacker è trovare l’esatta allocazione dei dati sensibili nel sistema. Il modo più semplice per scoprirlo è osservare che cosa stanno facendo gli altri utenti. Quindi l’hacker si loggherà aell’iSeries Navigator (parte dell’iSeries Access che consente l’emulazione 5250). All’interno di Navigator, l’hacker sceglie l’opzione per mostrare i job attivi e può quindi osservare all’interno i file aperti dei job interattivi à file aperti. Conclusione: Navigator non è limitato per utenti con funzionalità limitate. Nel nostro scenario immaginiamo quindi l’hacker riesce a scoprire che la libreria principale dell’ERP della ABC si chiama SAMPLE. Fase due: ottenere la lista delle tabelle con dati sensibili L’hacker a questo punto cerca le tabelle collegate ai dati delle carte di credito e il modo più facile di trovarle è una query database. L’hacker ottiene un risultato. Il file indicato è in una libreria interessante, quindi il prossimo passo è ottenere i numeri delle carte di credito. Questo passaggio dimostra che i metadata del database possono essere interrogati anche senza un menu o una command line. Fase tre: l’hacker ottiene la lista dei numeri delle carte di credito Da Navigator è possibile generare la lista delle carte di credito. Visto che QUSER non a parte del gruppo ERP non può alterare i dati ma li può leggere, in questo modo è possibile ottenere la lista delle carte di credito. Il registro degli audit dirà all’amministratore di sistema che qualcuno ha guardato nel file contenente i numeri delle carte di credito, ma si tratterà di QUSER, un utente generico. Fase quattro: Individuare gli utenti che possono essere utilizzati per danneggiare i dati A QUSER non è consentito di fare l’update di dati nella libreria SAMPLE. Quindi l’hacker ha bisogno dell’accesso di un utente diverso. L’approccio più semplice è quello di trovare un profilo utente che QUSER sia autorizzato ad utilizzare. L’hacker proverà quindi a produrre una lista di utenti che il profilo utente QUSER è autorizzato a visualizzare, questo può essere fatto visualizzando il profilo utente per il file e quindi interrogando l'outfile. Ora è possibile inviare comandi e interrogare i risultati dei comandi. Fase cinque: Danneggiare il sistema Visto che QUSER ha autorità sul profilo utente dell’ERP ora è facile, per esempio, ripulire la libreria SAMPLE. In questo articolo non descriviamo nel dettaglio questo ultimo passaggio, perché riteniamo più saggio non includere istruzioni tecniche dettagliate; in ogni caso ABC a questo punto avrà subito un serio danno. La sicurezza dell’infrastruttura è insufficiente L’azienda ABC ha una policy sulla sicurezza che si dovrebbe prendere cura di questi aspetti; diventa però evidente che l’infrastruttura che dovrebbe garantire la sicurezza si è dimostrata non sufficiente. Per esempio: È possibile interrogare il database da remoto. È possibile inviare stringe di comando da eseguire sul server. È possibile vedere importante configurazioni dei dati è trovare rapidamente “la roba importante”. È possibile nascondere praticamente qualsiasi cosa utilizzando un ben noto utente generico. L’azienda ha evidentemente bisogno di rivalutare le misure di sicurezza adottate. Ha evidente bisogno di un tool di sicurezza che monitori e controlli gli accessi remoti al sistema. Penetration test dovrebbero essere svolti regolarmente per verificare le misure di sicurezza dell’AS400 contro attacchi e intrusioni. Questi test di sicurezza dovrebbero essere creati appositamente per verificare le contromisure utilizzate nell’ambiente AS400, in modo da garantire che nessuno, con intenti malevoli, possa raggiungere i seguenti obiettivi:

  • Ottenere l’accesso alla macchina
  • Ottenere l’acceso ai database contenenti dati sensibili
  • Cambiare le informazioni aziendali in particolare i dati finanziari
  • Ottenere il controllo sui computer, identificando la password del responsabile di sistema o creando un profilo utente con le autorità del gestore di sistema.

L’ AS/400 è considerato uno dei sistemi più sicuri del mondo. Tuttavia, le modifiche nell'infrastruttura IT rendono le risorse AS/400 più disponibili agli utenti della rete e la vulnerabilità del dell’AS aumenta di conseguenza. Quindi attenzione! tratto e tradotto da:

Is your AS/400 secure?: How a hacker could get valuable information from your system

http://search400.techtarget.com/tip/Is-your-AS-400-secure-How-a-hacker-could-get-valuable-information-from-your-system ABOUT THE AUTHOR: Shahar Mor is president of Barmor Information Systems, a consulting firm in Israel, which employs over 20 people that work on projects for the AS/400 in the network environment. He also has written a Redbook for IBM on iSeries e-commerce and he is Search400.com site expert for connectivity issues on the iSeries.