Bundesamt für Sicherheit in der Informationstechnik

G 3.72 Fehlerhafte Konfiguration des z/OS-Sicherheitssystems RACF

Im z/OS-Betriebssystem ist für den Zugangs- und Zugriffsschutz auf Ressourcen ein spezielles Sicherheitssystem zuständig. Hierfür kommt häufig RACF (Resource Access Control Facility) zum Einsatz. Die Konfiguration von RACF im Auslieferungszustand entspricht in der Regel nicht den Sicherheitsanforderungen im jeweiligen Einsatzszenario.

Im Folgenden werden die am häufigsten vorzufindenden Problemfelder in Bezug auf die RACF-Konfiguration beschrieben.

Gültigkeitsregeln für Passwörter

Mit dem Kommando SETROPTS können in RACF systemweit gültige Sicherheitseinstellungen des z/OS-Systems, insbesondere für Passwörter, definiert werden. Zu den Parametern gehören die minimale Passwortlänge, die Anzahl der erlaubten Anmeldeversuche, die maximale Gültigkeitsdauer, die Passwort-Historie, Auditeinstellungen und die Klassenaktivierungen.

Missbrauch von Standard-Passwörter

Im Auslieferungszustand von z/OS sind für die Kennung IBMUSER und das RACF-Kommando RVARY Standard-Passwörter voreingestellt. Noch während des Betriebs sind oft die Systemmonitore mit sicherheitskritischen Funktionen über Standard-Passwörter zugänglich.

Die Kennung IBMUSER dient als erste Kennung zum Aufbau eines neuen Systems und besitzt Special- und Operations-Berechtigung. Da die Kennung IBMUSER keinem eindeutigen Anwender zugeordnet ist, lässt sich kaum herausfinden, wer diese Kennung benutzt bzw. benutzt hat.

Mit dem RACF-Kommando RVARY kann die RACF-Datenbank aktiviert und deaktiviert, d. h. auch gewechselt werden.

Die Standard-Passwörter sind in der Produktdokumentation aufgeführt und damit allgemein bekannt.

Warning-Modus

RACF-Ressourcen können im Warning-Modus geschützt werden. Dies bedeutet, dass alle Zugriffe auf die Ressource gewährt werden, auch wenn die RACF-Definitionen einen Zugriff auf die Ressource eigentlich verbieten würden. Durch den Warning-Modus werden unter Umständen sehr viel mehr Nachrichten in das Syslog geschrieben und darüber hinaus mehr SMF-Sätze (System Management Facility) erzeugt. Dies kann zu einer starken Erhöhung des Plattenspeicherplatzbedarfs führen.

Eine irrtümliche Freigabe von Ressourcen über den Warning-Modus kann zu einem Verlust der Vertraulichkeit von Daten führen.

Schutz von z/OS-System-Kommandos

Die z/OS-System-Kommandos werden über spezielle Klassen im RACF geschützt. Durch unzureichende Definitionen dieser Klassen ist es möglich, dass Anwender System-Befehle absetzen können, die unter Umständen den stabilen Systembetrieb beeinträchtigen. Beispiele hierfür sind das Starten oder Stoppen von StartedTasks oder das Online-Setzen von Plattensystemen.

Global Access Checking Table

Sind Dateien in der Global Access Checking Table (GAC) eingetragen, so erfolgt beim Zugriff keine Prüfung über die RACF-Datenbank. Der Anwender bekommt direkten Zugriff gemäß den in der GAC definierten Regeln. Werden in der GAC irrtümlich Dateien eingetragen, so sind diese nicht mehr über die RACF-Profile geschützt. Diese Dateien können z. B. von allen Anwendern ausgelesen werden, falls sie in der GAC mit READ eingetragen sind.

RACF-Datenbank

Die RACF-Datenbank enthält in verschlüsselter Form alle Passwörter der Benutzer und muss, wie jede andere Datei des z/OS-Betriebssystems, über entsprechende Definitionen geschützt werden. Ist der Zugriffsschutz auf die Datenbank so definiert, dass jeder Benutzer die Datei lesen (und damit auch kopieren) kann (z. B. über die Definition Universal Access (UACC) = READ), ist ein Brute-Force-Angriff auf die Passwörter möglich.

Beispiele:

  • Über das Kommando RVARY kann die RACF-Datenbank gewechselt werden. Ein Systemprogrammierer fand heraus, dass das Passwort des Kommandos RVARY noch mit dem ausgelieferten Standardpasswort übereinstimmte. Daraufhin konnte er eine andere speziell vorbereitete RACF-Datenbank in das System bringen und aktivieren und hatte Zugriff auf Daten, die er vorher nicht einsehen konnte.
  • Nach dem Aufbau einer neuen RACF-Datenbank vergaß ein Bediener, die Kennung IBMUSER zu sperren. Ein Sachbearbeiter entdeckte diese Nachlässigkeit und es gelang ihm, unerlaubt Daten aus dem System zu kopieren.
  • Die Sicherungskopie einer RACF-Datenbank war aufgrund eines Administrationsfehlers lediglich über die Definition UACC(READ) geschützt. Ein Angreifer nutzte dies aus, um die Datenbank auf seinen PC zu kopieren. Auf dem PC führte er mit frei verfügbaren Programmen einen Brute-Force-Angriff auf die Passwörter der RACF-Datenbank aus und war in mehreren Fällen erfolgreich. Der Angreifer nutzte die ihm bekannten Kennungen und Passwörter von anderen Anwendern aus, um Produktionsdaten zu verändern. Der Verdacht fiel zunächst auf den Besitzer der Kennung, die für den Zugriff in den Protokolldateien registriert wurde, und nicht auf den Verursacher des Schadens.

Stand: Stand 2005