Bundesamt für Sicherheit in der Informationstechnik

G 5.116 Manipulation der z/OS-Systemsteuerung

z/OS-Systeme lassen sich über vielfältige Schnittstellen beeinflussen, zum Beispiel über die Hardware Management Console, die MVS-Master-Konsole, den Enhanced MVS Console Service, Automationsverfahren, entfernte MVS-Konsole und Fernwartungszugänge. Einige Sicherheitsprobleme, die mit der Verwendung dieser Schnittstellen verbunden sein können, werden nachfolgend aufgezeigt.

HMC (Hardware Management Console)

Der unbefugte Zugriff auf die HMC kann zu erheblichen Sicherheitsproblemen führen. Denn von der HMC aus kann das Systemverhalten während des Betriebs beeinflusst werden. Es können einzelne LPARs (Logical Partitions) bis hin zu einem ganzen Rechner-Verbund neu initialisiert werden. Darüber hinaus lassen sich über die HMC auch neue Input/Output Control Datasets einspielen, die beim nächsten Initial Program Load (IPL) aktiv werden. Dadurch besteht zum Beispiel die Gefahr, dass einer LPAR eigentlich nicht zugehörige Platten zugewiesen werden.

MVS-Master-Konsole

z/OS-Betriebssysteme werden unter anderem über MVS-Konsolen gesteuert. Die Standard-Konsolen sind mit dem System fest verbunden und benötigen weder Kennung noch Passwort. Das bedeutet, dass Personen, die physischen Zugriff auf eine hoch autorisierte MVS-Konsole haben (z. B. auf die Master-Konsole), jedes beliebige MVS-Kommando eingeben können. In der Folge können unbefugt Batch-Jobs oder Started Tasks gestoppt oder gestartet werden. Ferner lassen sich Platten an jedem System Online setzen, falls sie dort generiert sind. Unter Umständen lassen sich auch über MVS-Kommandos Kanalpfade nachgenerieren, und danach Platten anhängen, die gar nicht zu dieser LPAR gehören.

Enhanced MVS Console Service

Über die normalen MVS-Konsolen hinaus stellt das z/OS-Betriebssystem den EMCS (Enhanced MVS Console Service) zur Verfügung. Dieser wird von verschiedenen Anwendungen, wie zum Beispiel TSO, CICS oder NetView, auch als Funktion angeboten. Über EMCS können dynamisch Konsolen im Rahmen eines Script-Ablaufs angelegt werden, die nahezu alle Kommandos unterstützen, die auch bei den normalen Konsolen benutzt werden können. Wird EMCS nicht oder unzureichend über RACF-Profile geschützt, kann u. U. von jedem Terminal aus das z/OS-Betriebssystem manipuliert werden.

Gefahren bei Automation

Automationsverfahren können so programmiert sein, dass sie durch Nachrichten ausgelöst werden. Wenn die Automationsverfahren nicht speziell geschützt werden, besteht die Gefahr, dass durch das Erzeugen einer gefälschten Nachricht Automationsfunktionen unbefugt gestartet werden.

Entfernte MVS-Konsole

z/OS-Systeme können an unterschiedlichen Standorten von einer zentralen Konsole aus gesteuert werden. Hierfür wird häufig ein Software-Tool eingesetzt, das es z. B. erlaubt, die LPARs der z/OS-Systeme auch über große Entfernungen zu steuern. Das Software-Tool emuliert eine MVS-Konsole auf einem gewöhnlichen PC. Wenn der physische oder der logische Zugang zu solchen Steuerkonsolen unzureichend geschützt ist, besteht die Gefahr, dass von dort aus unbefugt Manipulationen an entfernten z/OS-Systemen vorgenommen werden.

Fernwartungszugänge

Eine weitere Gefährdung des z/OS-Systems kann durch unsachgemäße Konfiguration der RSF-Konsole (Remote Support Facility) bestehen. Ein externer Angreifer kann unter Umständen Fehler in der Konfiguration ausnutzen und sich in diese Konsole einwählen (siehe auch G 5.10 Missbrauch von Fernwartungszugängen Missbrauch von Fernwartungszugängen).

Beispiel:

  • RACF wurde in einem Rechenzentrum so eingerichtet, dass RACF-Kommandos auch von einer MVS-Master-Konsole aus eingegeben werden konnten. Ein nicht autorisierter Mitarbeiter hatte Zutritt zu dem Raum, in dem diese Konsolen standen. Als Folge konnte er das Special-Privileg seiner eigenen User-ID zuweisen. Dies blieb über einen längeren Zeitraum unbemerkt.

Stand: Stand 2005