Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

02.08.1985 - 

Serviceunternehmen moniert System38-Sicherheitslücken:

Stromausfall Kann zum Hasard-Spiel werden

KNOXVILLE (cw) - Eine Lücke in den Sicherheitseinrichtungen des IBM-Systems /38 glaubt das amerikanische Service-Unternehmen Dataman Inc. aus Knoxville gefunden zu haben: Beim Restart nach einem Stromausfall räumte das System einem Benutzer eine viel zu hohe Autorität ein.

Kurz nachdem ein User das Kommando "Transfer Control" eingegeben hatte, mit dem der System-Overhead vermindert werden kann, kam es bei der Dataman Inc. zu einem Stromausfall. Als der Schaden wieder behoben war, bemerkte ein Techniker, daß ein Benutzerterminal plötzlich als Command-Entry-Bildschirm fungierte. Der User verfügte somit über eine Autorität, die ihm nicht zustand, und hatte die Möglichkeit, die Sicherheitseinrichtungen des Systems zu umgehen. Der Zugriff auf die Source-Module jedes beliebigen Benutzers war also kein Problem mehr.

Dataman-Präsident Glen McCown ist der Ansicht, daß hier ein Zufall Fehler im CPF-Betriebssystem ans Tageslicht brachte. Das Management des Serviceunternehmens verlangt deshalb von IBM eine Verbesserung des Betriebssystems, die den Anwender gegen solche Eventualitäten absichert. Besonders hart kritisiert McCown, daß Big Blue in den System/38-Manuals nicht darauf hinweist, wie leicht die Sicherheitseinrichtungen bei Stromausfall außer Kraft gesetzt werden.

IBM-Servicetechniker rieten dem Dataman-Boß, das Problem durch Vermeidung der Kommandos " TRANSFERransfer " und " CONTROLontrol " zu lösen - ein Gedanke, der McCown völlig absurd erscheint: IBM hatte die Anwendung dieser Kommandos zuvor befürwortet. Beide sind im Programmiererhandbuch und im Manual für die Kommandosprache aufgeführt".

Relativiert werden die Bedenken von Dataman allerdings durch die Reaktionen diverser IBM-Benutzergruppen. So geht ein Sprecher der Northeastern System Thirty-Eight Users Inc. (NESTU) davon aus, daß einige Ergänzungen im Code ausreichen müßten, um den " normalen " Benutzer innerhalb seiner Schranken zu halten. Der für das System /38 zuständige Hot-Line-Coordinator der Common OEM User Group glaubt sogar, daß Dataman lediglich auf eine Lücke im eigenen Sicherheitssystem gestoßen ist. Dieser Ansicht schließt sich auch Gary Keith, Vizepräsident des auf die Systeme /34, /36 und /38 spezialisierten Softwarhauses Magnatron Inc-, an: Um die Sicherheitseinrichtungen zu verletzen, müsse ein Benutzer die Zeitdauer der Stromunterbrechung sowie die Frequenz exakt kalkulieren - ein Zufall, der mehr als unwahrscheinlich sei.