Bundesamt für Sicherheit in der Informationstechnik

G 5.117 Verschleiern von Manipulationen unter z/OS

Durch Änderungen an Protokolldateien oder Abschalten von Protokollierungs-Funktionen ist es möglich, Manipulationen am z/OS-System zu verschleiern.

Die meisten Komponenten des z/OS-Systems erzeugen Protokollierungsinformationen über Systemaktivitäten und -ereignisse. Diese werden regelmäßig entladen und in entsprechenden Protokolldateien (z. B. System-Log, SMF-Datensätze) gespeichert, die später ausgewertet werden können.

Protokolldateien sind veränderbar oder manipulierbar, wenn ein entsprechendes Zugriffsrecht auf die Datei besteht. Dieses kann beispielsweise durch Nachlässigkeiten bei der Systemadministration unabsichtlich vergeben worden sein, oder ein Angreifer hat sich - etwa durch entsprechende Manipulationen - dieses Zugriffsrecht verschafft.

Eine weitere Angriffsmöglichkeit auf die Systemprotokollierung besteht darin, die Erzeugung von Protokolldaten durch entsprechende Manipulation der generierenden Komponente zu verhindern. Welche SMF-Datensätze geschrieben werden, ist bei z/OS beispielsweise in einem Konfigurations-Member eingetragen. Durch Änderungen an diesem Member oder durch das Setzen von Exits lässt sich erreichen, dass bestimmte SMF-Sätze nicht mehr geschrieben werden. Die üblichen Sicherheitsmonitore sind nicht in der Lage, unterdrückte Verstöße zu erkennen und zu melden, wenn keine SMF-Sätze oder keine Systemnachrichten geschrieben werden.

Beispiel:

  • In einem Rechenzentrum gelang es einem Anwender, das Schreiben von SMF-Datensätzen abzustellen. Daraufhin nahm er bestimmte Manipulationen vor und schaltete die SMF-Funktion anschließend wieder ein. Die in diesem Zeitraum am z/OS-System vorgenommenen Änderungen ließen sich später nicht mehr nachvollziehen, denn es fehlten die Protokolldaten. Es konnte lediglich im System-Log nachgewiesen werden, dass die Kommandos von einer MVS-Konsole aus eingegeben wurden, die mehreren Personen zur Verfügung stand.

Stand: Stand 2005