Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

15.09.2000 - 

Supervisor-Calls lassen sich leicht von Hackern ausnutzen

Sicherheitschecks entlarven Schwachstellen von Mainframes

15.09.2000
DELFT (sra) - Ein Großrechner ist keine uneinnehmbare Festung. Mit Hilfe geeigneter Tools, die sogar im Internet zu finden sind, können Hacker Sicherheitslücken der Rechnerboliden ausnutzen. Gezielte Analysen können helfen, die häufigsten Schwachstellen zu identifizieren.

"Hinter Hacker-Angriffen steht immer öfter ein handfestes finanzielles Interesse", warnt Rob van Hoboken, Mainframe-Spezialist bei Consul Risk Management. Das macht Attacken heute gefährlicher als zu den Zeiten, in denen Hacker noch aus Spieltrieb handelten oder auf Sicherheitslücken hinweisen wollten. Als besonders schützenswert gelten finanz- und personenbezogene Daten sowie andere vertrauliche Informationen. Viele davon sind noch immer auf Großrechnern gespeichert.

Der Schutz von Mainframes gestaltet sich jedoch oft schwierig. Viele Großrechnerexperten haben mittlerweile aus dem MVS-Bereich (heute: OS/390) gewechselt und damit eine Betreuungslücke hinterlassen. So werden nur selten Änderungen am Kern der Standardsoftware vorgenommen - selbst wenn es um die Eliminierung von Schwachstellen geht.

Auf der anderen Seite haben es Bösewichte leicht, bekannte Sicherheitslücken auszunutzen, konstatiert der niederländische Mainframe-Experte. Wer einen Großrechner hacken will, muss keine MVS-Kenntnisse mitbringen. Dafür gibt es sogar Programme im Internet. Stattdessen brauchen Eindringlinge gewisse organisatorische Kenntnisse, etwa darüber, wo ein Unternehmen seine Geschäftszahlen speichert.

Das Management wachrüttelnEntsprechend kommen die meisten Angriffe aus dem Unternehmen selbst, die Gartner Group beziffert den Anteil auf 80 Prozent. Deshalb verlangt Rob van Hoboken als Voraussetzung für einen Sicherheitscheck ähnliche Bedingungen, wie sie ein interner Mitarbeiter für einen Hack vorfinden würde: Er fordert die User-ID eines normalen Angestellten, der nichts mit der Technik zu tun hat, inklusive Passwort. Sicherheitschecks dienen seiner Meinung nach dazu, das Management wachzurütteln und für die Risiken zu sensibilisieren.

Den eigentlichen Scan führt er mit dem Produkt "Consul/Audit" durch. Ein Eindringen in das System findet nicht statt, insofern ist hier der Begriff Penetration Test irreführend, den der Hersteller Consul teilweise für seine Sicherheitschecks verwendet. Consul/Audit zeigt eine Übersicht über die gefundenen Schwachstellen des untersuchten Systems, geordnet nach ihrer Wichtigkeit. Van Hoboken bezeichnet alle Schwachstellen mit einer Priorität von über 40 als akute Gefährdungen, die schnellstmöglich zu beseitigen sind. Bei einem mittleren Wert (zwischen 20 und 40) bestehen immerhin Sicherheitsbedenken, aber ein Hacker müsste einiges Wissen haben oder Gehirnschmalz aufbringen, um diese Lücken zu nutzen. Schwachstellen mit einer noch niedrigeren Priorität ( < 20) gelten zwar als weitgehend ungefährlich, sollten aber ebenfalls irgendwann behoben werden.

Ein Testlauf, der zu Demo-Zwecken auf der hauseigenen OS/390-Maschine von Consul Risk Management stattfand, ergab als höchsten Wert eine Sicherheitslücke mit der Priorität 26, also an der unteren Grenze des mittleren Gefahrenbereichs. In der Detailanzeige sieht man, dass es sich dabei um die Möglichkeit handelt, Änderungskommandos unter MVS anzuwenden, die nicht durch das Standardsicherheitssystem RACF (Resource Access Control Facility) geschützt sind. Das sei oft nicht so schlimm, erläutert van Hoboken, weil der Operator diese Änderungen in der Regel bestätigen müsse. Allerdings gebe es in großen Rechenzentren gelegentlich technisch weniger versierte Operatoren, die alle Änderungen durchgehen ließen.

Ein Scan auf einem zweiten Großrechner, auf den Consul das System eines Kunden kopiert hat, der verständlicherweise anonym bleiben möchte, fördert schlimmere Sicherheitslücken zu Tage. Diesmal verwendet der Mainframe-Spezialist Consul/Audit, um Daten aus dem Standardsicherheitssystem RACF zu überprüfen. Mit Priorität 65 (also sehr hoch) bewertet wird beispielsweise die Einstellung, dass alle Benutzer auf eine bestimmte Ressource zugreifen dürfen, obwohl diese laut Sicherheits-Policy vertrauliche Daten enthält. Als relativ bedenklich (43) stuft das Programm auch eine sogenannte Spool-Datei ein, die lesbare Passwörter enthalten könnte. Zwar erfordert es normalerweise tiefere Kenntnisse, um eine solche Datei zu entziffern, im Internet existiert jedoch Freeware dafür. Weniger kritisch (11) scheint ein Passwort, das noch den von IBM voreingestellten Wert hat, da es sich nur von der Operatorkonsole aus ändern lässt, die in einem sicheren Raum steht.

In der Realität führt der Sicherheitsexperte mehrere Scans durch, bei denen er auf immer tiefer liegende Informationen stößt. Beim ersten Scan entdeckt er vielleicht ein leicht zu erratendes Passwort, das er dann weiter ausnutzen kann. In einer deutschen Firma fand van Hoboken eigenen Angaben zufolge sogar 12000 derartiger Passwörter.

Am häufigsten (in 75 Prozent der Fälle) werden Anwendern von Großrechnern Supervisor Calls (SVCs) zum Verhängnis. SVCs vermitteln zwischen Anwendungen und Systemprogrammen, die unter MVS streng getrennt sind. Mit ihrer Hilfe können sich Hacker besonders leicht Zugang zum Betriebssystem verschaffen. Van Hoboken empfiehlt, speziell bei Großrechnern von Fremdherstellern die SVCs sorgfältig zu prüfen. SVCs von IBM enthielten wenige Schwachstellen, aber die anderer Anbieter könnten da oft nicht mithalten.

Weitere 19 Prozent der Sicherheitslücken basieren auf fehlerhaften oder ungenauen Zugriffsregeln. Dieser Wert würde bei nicht angekündigter Systemprüfung wahrscheinlich noch höher liegen, da viele Kunden ihre Einstellungen vor einem Sicherheitscheck überprüfen, um das Ergebnis positiv zu beeinflussen. Die restlichen sechs Prozent der Schwachstellen beruhen auf dem Missbrauch von Programmen für Zwecke, für die sie nicht vorgesehen sind.

RATGEBER1.Festlegen was das Programm nicht tun soll

2.Eine Testroutine für 1. schreiben

3.Prüfverfahren im Team aufsetzen (4-Augen-Prinzip)

4.Sicherheitsgrundsätze verinnerlichen

5.Keine Optionen zulassen, die die Sicherheit ausschalten

6.Eingabe-Parameter immer überprüfen

7.Protokollieren, alarmieren, sicherstellen der Integrität

8.Nach jedem Fix erneuter Sicherheits-Check

9.Misstraue jedem Compiler

10."common Criteria" Zertifizierung erlangen.

Quelle: Consul Risk Management