W dniu 2018-01-16 o 16:29, Carmen Vitullo pisze:
I may be called ignorant and a mainframe bigot, but I read to this point
Ayoub Elaasal, security auditor for Wavestone, though it might be fun to try.
Sadly, he was able to find an exposure in z/OS rather fast, the ability of
almost any user to edit the APF (authorized program facilities) and give
yourself root access. At this point, you can do almost anything.
? on a lab system somewhere ?
and hit my self in the head, so edit APF, hum how, parmlib, every place I've
worked parmlib was secure and the SETPROG command is secure, then further on
root access? hum, sounds like Unix system services not z/os services
sorry - snow day today - slow news day
Actually I found such issue. Not once. Being some RACF/security
consultant (read: cleaner and part time teacher) I found such "jewels"
like whole PRODHLQ.** with UACC(ALTER). And some product libraries on
APF list. UACC(READ) for RACF db, vast majority of users defined with
UID(0), OPERATIONS for everyone, etc.
Of course it's not technology issue.
It's like a safe in a bank. When you routinely left it open (of the key
is under doormat) then the safe is insecure. That's the mainframe
(poorly managed).
From the other hand one can have a tent. He cares much about its
security, he bought very spohisticated padlock and motion sensors. But
it's still only a tent. It is well-managed Windows system. ;-)
--
Radoslaw Skorupka
Lodz, Poland
======================================================================
--
Treść tej wiadomości może zawierać informacje prawnie chronione Banku
przeznaczone wyłącznie do użytku służbowego adresata. Odbiorcą może być jedynie
jej adresat z wyłączeniem dostępu osób trzecich. Jeżeli nie jesteś adresatem
niniejszej wiadomości lub pracownikiem upoważnionym do jej przekazania
adresatowi, informujemy, że jej rozpowszechnianie, kopiowanie, rozprowadzanie
lub inne działanie o podobnym charakterze jest prawnie zabronione i może być
karalne. Jeżeli otrzymałeś tę wiadomość omyłkowo, prosimy niezwłocznie
zawiadomić nadawcę wysyłając odpowiedź oraz trwale usunąć tę wiadomość
włączając w to wszelkie jej kopie wydrukowane lub zapisane na dysku.
This e-mail may contain legally privileged information of the Bank and is
intended solely for business use of the addressee. This e-mail may only be
received by the addressee and may not be disclosed to any third parties. If you
are not the intended addressee of this e-mail or the employee authorized to
forward it to the addressee, be advised that any dissemination, copying,
distribution or any other similar activity is legally prohibited and may be
punishable. If you received this e-mail by mistake please advise the sender
immediately by using the reply facility in your e-mail software and delete
permanently this e-mail including any copies of it either printed or saved to
hard drive.
mBank S.A. z siedzibą w Warszawie, ul. Senatorska 18, 00-950 Warszawa,
www.mBank.pl, e-mail: kont...@mbank.plsąd Rejonowy dla m. st. Warszawy XII
Wydział Gospodarczy Krajowego Rejestru Sądowego, nr rejestru przedsiębiorców
KRS 0000025237, NIP: 526-021-50-88. Według stanu na dzień 01.01.2016 r. kapitał
zakładowy mBanku S.A. (w całości wpłacony) wynosi 168.955.696 złotych.
----------------------------------------------------------------------
For IBM-MAIN subscribe / signoff / archive access instructions,
send email to lists...@listserv.ua.edu with the message: INFO IBM-MAIN
