Bundesamt für Sicherheit in der Informationstechnik

G 5.118 Unbefugtes Erlangen höherer Rechte im RACF

Gelingt es einem Anwender, seine Berechtigungen im z/OS-Sicherheitssystem RACF zu erhöhen, kann er unter Umständen unbefugt auf Dateien zuzugreifen und das System manipulieren.

Trace im Netz

Mit einem sogenannten Trace (Abhören des Netzverkehrs) der TCP/IP- oder TPX-Protokolle kann ein Angreifer je nach Absicherung des Netzes die Kennung und das Passwort eines Anwenders mit Special-Rechten ausspähen. Unter Ausnutzung dieser Kenntnisse können die eigenen Berechtigungen erhöht werden, bis zur Vergabe der Special-Rechte an die eigene Kennung.

APF , SVC

Zwei weitere Möglichkeiten, sich als Benutzer im z/OS-System höhere Berechtigungen zu verschaffen, sind das APF (Authorized Programming Facility) und die SVCs (SuperVisor Calls).

Gelingt es dem Anwender, Programme in APF-autorisierte Dateien einzustellen, oder gelingt es ihm, SVCs zu installieren, so kann er sich über diese mit Special- oder Operations-Rechten ausstatten (Manipulation des eigenen ACEE-Kontrollblocks). Diese stehen zwar nur temporär für die jeweilige Sitzung zur Verfügung, das Programm kann aber jedes Mal neu aufgerufen werden.

Akkumulierte Rechte

Eine weitere Gefahr besteht durch sogenannte akkumulierte Rechte aufgrund eines unzureichenden Berechtigungsmanagements. Typisch ist dabei das folgende Szenario:

Ein Anwender wechselt in ein neues Tätigkeitsfeld. Der Anwender erhält die Rechte, die seine neue Aufgabe fordern, ohne dass die alten Rechte gelöscht werden. Auf diese Weise akkumuliert der Anwender über einen langen Zeitraum Rechte, die erheblich über die eigentlich benötigten Berechtigungen hinaus gehen.

Beispiel:

  • Fachwissen ist im z/OS-Umfeld wenig verbreitet. Als Folge hielten sich fachkundige z/OS-Berater über lange Zeit in einer Firma auf und akkumulierten Rechte. Ein Administrator hat dies nur zufällig bemerkt, als das Berechtigungskonzept der Firma vollständig überarbeitet wurde.

Stand: Stand 2005

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK