Enligt rykten på internet skulle en angripare kunna bryta sig in i ett företag och med hjälp av en bärbar dator som innehåller ett manipulerat stordatorsystem koppla upp sig direkt mot företagets interna stordator. På bakvägar skulle då angriparen kunna bryta sig in utan att behöva autentisera sig som användare eller ens veta vilka program som finns att angripa.

Konsulten Stuart Henderson, som annars är mest känd för sina revisionshandböcker för stordatorer, har varnat för risken att angripare skulle kunna utge sig för att vara en annan stordator. Vi kan slå fast att det finns en viss sanning bakom ryktena. Det går att köra stordatorsystem på bärbara datorer och det går att komma över fungerande program.

Under en övergångstid var de flesta stordatorsystem anslutna till både äldre sna-nätverk och nya tcp/ip-nätverk. Angripare kunde utnyttja de bryggor mellan nätverken som satts upp, och inte minst dra fördel av att säkerhetsåtgärderna släpade efter.

Programmen var gratis

Det har också i viss omfattning funnits en något farlig tradition att betrakta andra stordatorer som pålitliga system, precis som alla datorer på internet en gång i tiden skickade vidare all e-post utan några som helst kontroller.

Stordatorn uppstod i slutet på 1960-talet som System 360, ett namn som skulle symbolisera att det var en allround-dator. Därifrån gick utvecklingen vidare över 370- till 390-arkitekturen och så till dagens stordatorer, däribland Z/OS.

Till att börja med var programmen fria och intäkterna kom från försäljningen av hårdvara. Den var svår att kopiera och det fanns också flera patent som skyddade konstruktionen.

Med tiden blev även programmen licenspliktiga, först enskilda programprodukter och därefter operativsystemen i sin helhet. För en stordator är licenskopplingen särskilt tydlig eftersom programmen enbart får köras på den hårdvara som den köpts för.

Stordatorers säkerhet har under alla år varit relativt hög, mycket tack vare att till exempel banker och försäkringsbolag återfinns bland kunderna.

Hackning handlade på den här tiden snarare om stöld av datortid än om informationsstöld. När olika avdelningar betalade för sin datortid var den vanligaste hackningen inte att använda andras lösenord utan att använda fel kostnadsställe för körningarna.

”Det gick även att stjäla

datasessioner genom att springa ut i datorrummet och koppla om

koaxialkablar.

Interna angrepp utfördes ofta av driftpersonal eller administratörer. Det gick även att stjäla datasessioner genom att springa ut i datorrummet och koppla om koaxialkablar. För en bildskärmssession fanns ingen kontroll över vem som ägde den, bara vilken styrenhet och port trafiken skulle ut på.

Angrepp via tcp/ip

För att förbinda en stordator med de bildskärmar där användare satt och arbetade användes normalt ett protokoll som hette sna.

I dag måste en angripare antingen komma åt de tcp/ip-tjänster som är öppna eller som tillhandahålls av en brygga mellan protokollet sna och tcp/ip dit användaren kopplar sig. I det senare fallet spelar det ingen roll om sna-trafiken tunnlas över tcp/ip.

Slutligen måste angriparen koppla upp sig mot en annan stordator som har en koppling med den första stordatorn.

Säkerheten i ett stordatorsystem kan påverkas av administratörens kunskap och metodik. Det går till viss del att påverka ­säkerhetssystemen med ”exitar”, små sys­tem­anrop som körs före och efter ett programanrop, och avgöra till exempel om anropet får utföras. Vissa kontroller är dock ovillkorliga och vid revision ska innehållet i de ”exitar” som används alltid granskas.

Hackning mot stordatorer var till en början utvecklingsinriktad. När stordatorn blev allmän på amerikanska universitet och högskolor var fortfarande all källkod fri. De lärosäten som hade datautbildning lät sina institutioner arbeta med programmen och lägga på egna förbättringar som sedan spreds vidare.

I dag är det uteslutande äldre entusiaster som hackar stordatorer och de ligger bakom emulatorn Hercules, spridningen av de gamla operativsystemen MVS 3.8 och VM/370, som inte var licenspliktiga, samt distributionen av C-kompilatorer och tilläggsprodukter till de systemen. Det är även en grupp så kallade entusiaster som föresatt sig att ta fram nya operativsystem för stordatorer som ska vara fritt tillgängliga på internet.

Stordatorn kommunicerar med protokoll


Från början kommunicerade stordatorer med varandra via magnetband och användare loggade på via sna-anslutna bildskärmsterminaler.

Efter en tid utvecklades tn3270 för vanliga stordatorer och motsvarigheten tn5250 för AS/400. Med de protokollen kunde användare koppla upp sig direkt mot stordatorn eller en kommunikationsserver som kunde överbrygga sna-trafiken till tcp/ip.
I dag har stordatorerna i form av Z/OS fullt stöd för tcp/ip och kan användas för vilka webbtjänster, xml-anrop eller Enterprise Java Beans som helst. Vidare finns möjligheter att koppla ihop transaktionssystem, databaser och meddelandeköer mellanZ/OS, AS/400 och Microsoft System.

På gränsen till hacking

Hercules är först och främst en emulator som tillåter stordatorprogram att köras på enklast möjliga hårdvara. Frågan är om vi ens ska kalla skapandet av Hercules för hackning. Man fick visserligen testa sig fram och pröva hur hårdvaran skulle fungera i vissa lägen, men det var svårt att hitta fungerande kopior av de gamla operativsystemen.

De personer som i början av 2008 bestämde sig för att framställa en egen arkitektur kallad 380 kan däremot sägas ha hackat stordatorn.

Avsikten med 380 var att tillåta egenutvecklade operativsystem att bli delvis kompatibla med de moderna 390-­operativsystemen. För att skapa en hybridarkitektur som skulle stödja det egna operativsystemet MVS/380 gjorde man modifieringar i Hercules minneshantering och i/o-hantering.

Ett mål för de här personerna är att få en egen version av gamla MVS med stöd för moderna bekvämligheter som tcp/ip. Ett annat mål verkar vara en plattform där man kan ta fram mindre program som sedan kan köra på ett riktigt system. Frågan man då kan ställa sig är vilka säkerhetsmässiga konsekvenser det kommer att få, om några alls.

Hercules har inte orsakat några större problem under de år programmet funnits. Större företag måste förstås hålla i minnet att deras systemprogrammerare kan ta en extra kopia av operativsystemet för att ha som ett eget testsystem eller att visa för kolleger. Det är ett säkerhetsmässigt problem som kan lösas genom regler och instruktioner.

Möjligheten att köra moderna operativsystem kan ge ett visst ökat hackarhot. De angripare som verkligen vill har nu möjlighet att öva på riktiga system och det går att sprida de här systemen illegalt mellan olika angripare.


Antalet stordatorer minskar inte i antal men äldre utrustning byts ut. Det som slängs är ofta styrenheter och kommunikationsutrustning som saknar möjlighet att anpassa sig till nya säkerhetskrav.

Certifikat och kryptering skyddar

Om man vill angripa en stordator ska man enligt Stuart Henderson leta efter stordatorer som kör sna över tcp/ip med hjälp av Enterprise Extender. Man måste dock tänka på skillnaden mellan att hitta ett system som man kan angripa och att kunna angripa det system man önskar komma åt.

Det finns uppskattningsvis fler än 10 000 stordatorsystem i dag och av dem kan några hundra tänkas tillåta sna-trafik över internet utan kontroll av vilka som får ansluta sig. Det är inte troligt att vi hittar banker eller försäkringsbolag bland dem.

Enligt IBM är praxis att ipsec används i kombination med certifikat för att bestämma vilka externa system som får koppla upp sig. Trafiken är alltså både krypterad och skyddad mot obehörig uppkoppling. Det är vidare vanligt att trafik går över någon form av privat nätverk om den går över internet.

Situationen är lite annorlunda om man kommer in på ett internt nätverk. Som angripare väljer man då antingen att gå på användarna eller servrar som har en egen koppling mot stordatorsystem. Det finns flera produkter, däribland Microsofts Host Integration Server, som förbinder stordatorer och persondatorer.

En aktuell brist är den som är listad i CVE (Common vulnerabilities and exposures) som cve-2008-3466 och tillåter en användare att via fabricerade sna rpc-meddelanden få kontroll över servern och därmed indirekt den trafik som passerar till stordatorn. Kan angriparen få kontroll över en klientdator som har en uppkopplad stordatorsession är angreppet ännu enklare.

De angreppsformer som ofta fungerar mot system är exempelvis så kallade buffer overflow-attacker. I en stordatormiljö skulle en användare normalt bara kunna påverka sin egen körning. Stordatorn hade redan från början mycket starka kontroller av vem som ägde processorn, om processorn befann sig i problem state eller supervisor state och vem som ägde minnesblock.

Naturligtvis är ingen dator omöjlig att angripa. Går det inte att bryta sig in direkt får man leta igenom några skrivbords­lådor i jakt på lösenord. Det är däremot tveksamt om det finns ett behov av en penetrationsplattform. Som testare av systemet behöver man vissa behörigheter för att kunna undersöka systemet. Som angripare behöver man samma behörigheter för att kunna bryta sig in. Det är snarare i nästa skede, när angriparen ska testa de modifieringar av systemet som behövs för att genomföra brottet, som det krävs arbetsverktyg.

En av de attacker Stuart Henderson varnar för går till på följande sätt:

1. Angriparen startar en session med den riktiga stordatorn och utger sig för att erbjuda ett program.

2. En användare ansluter sig till terminalservern och hänvisas nu till det falska programmet hos angriparen.

3. Angriparen tar emot trafiken och kan besvara den själv eller börja agera som en mellanhand.

Hacking på en annan nivå

När det sker attacker mot stordatorer utförs de ofta av en insider med någon form av behörighet i de system som utnyttjas. Eftersom stordatorn är så mycket känsligare blir resultatet av brottet normalt inte ett dataintrång utan någon form av missbruk av förtroende eller ekonomisk brottslighet.

Till hackning kan man också räkna in verktyg och liknande som administratörer och it-avdelning har lagt in. Sådant kan finnas även i en stordatormiljö. Till skillnad mot i pc-miljön görs interna revisioner i stordatormiljön, inriktade på att finna ändringar i systemen och kontrollera administratörens arbetssätt och verktyg.

När angrepp utförs mot en persondatormiljö sprids kunskapen därför att så många användare drabbas. It-avdelningen är också i högre grad beroende av de anställdas medverkan om säkerheten ska kunna höjas och måste därför informera om åtgärder.

I stordatorn är det enklare att förklara problem som tekniskt fel, oavsett vad som hänt. Om ytterligare information ska lämnas blir ofta en fråga för personalavdelning och jurister. I ett vanligt företag med en persondatormiljö är det vanligare att it-avdelningen talar mer informellt med den eller de skyldiga, vilket leder till att informationen lättare sprids.

Stordatorsäkerhet i en vanlig pc

Vi kan inte översätta säkerhetstänkandet från stordatorn till andra system. Det går att få en stordatorliknande säkerhet i en persondatormiljö. Om man förbjuder användarna att installera egna program och bannlyser lokala administratörer, usb-minnen och bärbara datorer får man god säkerhet. Problemet är att få användare accepterar sådana höga säkerhetsnivåer.

Samtidigt kommer säkerheten i stordatorn i framtiden att vara oförändrat hög, inte minst när alla sna-kopplingar helt fasats ut.

De stordatorsystem som fortfarande finns, antingen man tänker på Z/OS eller mellansystem som AS/400, är så speciella att vanliga angripare saknas i egentlig mening. Systemen är komplicerade, svåra att förstå och helt enkelt ointressanta för de ungdomar som i dag vill bli hackare – det går ju inte att spela spel på en stordator.

Illustration & grafik: Jonas Englund


» Så går du vidare

Fakta

» Systems network architecture (sna). Ett nätverksprotokoll som användes av IBM:s stordatorer, terminaler och skrivare. I dag används det enbart internt i stor­datorer och tunnlat över tcp/ip. Trots det lever många sna-uttryck kvar, exempelvis skärmformaten 3270 och 5250.

» Enterprise Extender. När de gamla styrenheterna av typ 3745 slutade säljas ersattes de av Enterprise Extender, med vars hjälp sna-trafiken kunde tunnlas över tcp/ip.

» Z/OS. Stordatorn var länge känd som MVS (multiple virtual storage) och Z/OS var IBM:s så kallade operativsystemsprodukt där program normalt lanserades.

» Z/VM. Den andra grenen av stordatorer var känd som VM (virtual machine) och användes både för att köra personlig databehandling under namnet VM/CMS och för att köra gästoperativsystem, i dag ofta ­Linuxfarmar.

» Iseries. AS/400, eller OS/400 som ­systemet också kallas ibland, körs på en plattform som säljs under produktnamnet Iseries.

» Exitar. Stordatorsystem är uppbyggda med flera valbara anrop som kan användas för att anpassa systemet. En säkerhets­relaterad exit kan utföra en behörighetskontroll och avgöra om en användare ska få köra ett program.



Varför hör vi så lite om att stordatorer hackas?
– Historiskt sett beror det på att stordatorer varit låsta miljöer som använt fasta linjer för datakommunikation. Det är först på senare år som stordatorer kommit att öppna sig mot internet, i takt med att internetbanker och liknande program krävt det. Kunskaper om stordatorteknik är inte heller så vanligt bland de personer som traditionellt sett sysslar med hackning.

– Stordatorerna har också säkerhetsfunktioner som försvårar attacker som ofta lyckas mot andra system. En vanlig brist som buffer overflow kan inte förekomma i en stordator – kommunikationsbuffrar har en bestämd storlek och ignorerar extra tecken. Det går inte heller för en process att få tillstånd att utföra något utanför de rättigheter som processen har. Eftersom en stordator bygger på att flera användare måste dela på samma operativsystem i en fysisk dator har de här säkerhetsfunktionerna funnits redan från starten.

Finns det något mörkertal kring dataintrång i stordatorer?
– Inte som jag känner till. I de fall där brott begås är det normalt frågan om brustet förtroende eller insiderbrott.

Om du fick hacka ett stordatorsystem, hur skulle du själv gå tillväga?
– Även om jag visste det skulle jag inte berätta det. Men stordatorn har alla säkerhetsfunktioner som behövs för att den ska vara säker. Det som krävs är att man utnyttjar de funktionerna.

Vilka råd vill du ge den som vill sätta upp ett program på säkrast möjliga sätt?
– Enklast är att sätta upp programmet på samma sätt som i en vanlig distribuerad miljö. IBM har fullt stöd för virtualisering, och internt i en stordator kan man skapa samma topologi med brandväggar, dmz och ett Z/OS som annars.

– Genom att köra hela miljön inne i stordatorn tar man också bort risken att nät­trafiken avlyssnas internt.

Har du några råd att ge om hur man sätter upp Unixsystem så säkert som möjligt?

– Använd virtualisering med Z/VM i botten. Då kan man köra rena Linuxservrar med det eller de program som man vill ha.