Bundesamt für Sicherheit in der Informationstechnik

G 5.122 Missbrauch von RACF-Attributen unter z/OS

Im z/OS-Sicherheitssystem RACF sind die Attribute SPECIAL, OPERATIONS und AUDITOR mit besonders hohen Berechtigungen ausgestattet.

Attribut SPECIAL

Die Kennung mit dem Attribut SPECIAL ist für die Administration des Sicherheitssystems RACF erforderlich. Der Besitzer dieses Attributs verfügt über die Möglichkeit, im RACF Einstellungen zu ändern. Er gibt beispielsweise den Benutzern den Zugriff auf Systemressourcen und Dateien frei. Der Inhaber der Berechtigung kann sich selbst auf sämtliche Ressourcen und Dateien des Systems Rechte vergeben. Er kann auch die im Weiteren aufgeführten Attribute an alle Benutzerkennungen vergeben.

Eine mögliche Schwachstelle besteht beim Einsatz von Systemmonitoren, die über hoch autorisierte Programmteile ihre eigene Kennung mit dem Attribut SPECIAL versehen können. Anwender mit Zugang zu den Systemmonitoren können dies - bei entsprechenden RACF-Rechten - ausnutzen, um ihre eigene Kennung mit höheren Zugriffsrechten zu versehen.

Attribut OPERATIONS

Die Kennung mit dem Attribut OPERATIONS wird hauptsächlich für das Space-Management im z/OS-System angefordert. Es beinhaltet die Rechte zum Kopieren, Lesen, Löschen oder Neuanlagen von Dateien, ohne dass ein explizites Recht für die Datei und die Benutzerkennung vergeben wurde. Dies ermöglicht es prinzipiell einem Anwender, das Attribut OPERATIONS für unbefugte Datenzugriffe zu missbrauchen.

Attribut AUDITOR

Auditoren sollen sicherheitsrelevante Ereignisse erkennen, nachvollziehen und überprüfen können. Änderungen an RACF-Definitionen sind mit dieser Berechtigung nur für audit-relevante Definitionen möglich (im Gegensatz zu SPECIAL), d. h. höhere Autorisierungen lassen sich damit nicht erreichen. Allerdings birgt das Attribut AUDITOR die Gefahr, dass umfassende Informationen, z. B. sämtliche RACF-Einstellungen, über das System ausgespäht werden können.

Beispiele:

  • Ein Systemprogrammierer verfügte nicht über das Attribut SPECIAL. Er schrieb ein spezielles Programm und stellte es in eine APF -autorisierte Datei. Den Zugriff auf die APF-Dateien benötigte er für seine reguläre Arbeit. Über das selbst geschriebene Programm gelang es dem Systemprogrammierer, sich das Attribut SPECIAL zuzuweisen und unbefugt Änderungen an RACF-Einstellungen durchzuführen.
  • Als in einem Unternehmen bekannt wurde, dass ein Konkurrent Kunden abwarb, wurden umgehend Nachforschungen angestellt. Wie sich herausstellte, verfügte die Benutzerkennung eines Anwenders über das Attribut OPERATIONS. Mit Hilfe dieses Attributs gelang es ihm, die Kundenadressen regelmäßig unerlaubt zu kopieren und weiterzugeben.

Stand: Stand 2005