Computing power comparison: mainframe versus Intel Xeon

[zVlad]

А я использую для этого свой десктоп, или лаптоп, или таблетку. На серваках, тем более что нормально что к ним нет физического доступа, это не нужно. Даже если кто-то через RDC работает с серваком Windows, то наличие на нем браузера с выходом в публик интернет это большая ошибка службы безопасности, или ее нет вообще.

Как наличие браузера связано с наличием выхода во внешний интернет?

Никак не связано.

[zVlad]

На данный момент можно констатировать что те предположения, которые необходимы чтобы вообще использовать этот подход простым юзером в любой не лоховской конторе с мф (а таких я считаю нет), не реалистичны и сделать его реалистичным возможностей у простого пользователя просто нет.

На Black Hat обычно с фуфлом не ходят.

Я по возвращении из отпуска займусь этим плотно. Кстати, спасибо что подкинул интересную тему для исследования и следовательно освежения давно не используемых знаний. Давно я с ассемблером не возился, програмки на REXX там есть. Посмотрим.
Вообще все это замешано на документированных системных функциях. Это не никому не известные дырки, а известные средства как раз таки повышения уровня безопасности работы и в тоже время предоставления контролируемого доступа к системным возможностям, которые могут дать права работы с высокими уровнями доступа. Следовательно, как раз за этими объектами: APF libraries, и SVC особенно бдительно следят, т.е. банально ограничивают к ним доступ так что только определенные пользователи могут их модифицировать. Читать их можно дать всем, но не модифицировать на чем вся эта музыка только и построена. Без этой возможности все что написано и предложено не работает так как заявлено, и вот это как раз не может подвергаться сомнению.
SVC, да они выполняют работу из ядра, но вполне определенную работу и их алгоритм изменению может быть подвержен если удастся подменить код, а вот это как раз очень просто и надежно пресекается в zOS.
Меня удивило что материалы довольно свежие. Ничего нового в них нет и я уверен что кто-то просто решил освежить что-то уже публикованое годах этак 80х, если не 70х. Этим механизмам много лет. И они есть официальные возможности для выполнения програм в контролируемой обстановке. Именно для защиты системы, а не проникновение в нее без санкций на то.

Ты понимаешь к чему я клоню? Ребята предположили что они получили доступ будучи обычным пользователем к тому к чему обычный пользователь доступ получить в принципе не может и рассказали как используя стандартные механизмы можно все перевернуть с ног на голову.

Что особо мне интересно это то можно ли "попав в систему через APF library или SVC" сделать пользователя, который выполнил этот вход, SPECIAL. SPECIAL это полный контроль за всем и вся.

[Flash-04]

Не могу ничего сказать, так как я в этой теме не разбираюсь. Посмотри, обычно презентацию полностью выкладывают, да и с автором обычно можно связаться если есть желание.

[zVlad]

Не могу ничего сказать, так как я в этой теме не разбираюсь. Посмотри, обычно презентацию полностью выкладывают, да и с автором обычно можно связаться если есть желание.

Исходных текстов что автор предоставил более чем достаточно чтобы разобраться самому. К первой ссылке на zdnetесть шесть комментов от мэйнфреймщиков. Говорят тоже что и я сказал. Но ни один не покопался всерьез и не подтвердил возможность/невозможность "сделаться" SPECIAL. Я нашел в программах место где ставятся биты в управляющих блоках. Блоки и биты в них наверняка есть, но достаточно ли их установки чтобы стать SPECIAL я этим не убежден нисколько. Надо еще показать что после установки этих битов действительно возможности SPECIAL доступны.
Вообще SPECIAL это не совсем тоже что и root в юниксподобных системах. SPECIAL позволяет менять security structure во всех ее аспектах и в связи с этим он имеет доступ ко всему (просто поскольку он сам себе может дать права или снять запретительные права установленные другими на подконтрольные им ресурсы), но все эти действия записываются и освободиться от аудита можно только уничтожением этих записей что само по себе вскрывает злоумышленника с головой.
Заявление автора этой сенсации что svc используют эскалацию прав для чего то не выдерживают никакой критики потому что как я уже сказал SPECIAL настолько специфичен что никакой пользовательской svc ни для чего быть нужен не может. А действия в пользовательской svc обязательно аудиторствуются как только будет сказано что мы эскалируем права в ней так сразу зажется красный свет. Людям, делающим работы SPECIAL, дают эти права под строгим контролем только на время изменения, а чтобы это позволялось какой-либо прикладной программе так это нонсен и не является обычной практикой ни разу.
Есть мнение, на мое, а в комментах к этому, что этт реклама аудиторской фирмы.
В любом случае я этим займусь. Не знаю только как проживу больше недели - меня рвет в бой, а надо собираться в путь и завтра утром вылетать. Не мог ты раньше это найти? Когда я от скуки офигевал.

[StrangerR]

А новый интерфейс VMware? Только не говорите что его можно запустить удаленно, с другого континента окно логина открывается около минуты

Если мне попадется тот индус, который придумал этот интерфейс - повешу на ближайшем столбе. Это какой то кошмар. Я пока еще на 5.5 живу но с ужасом думаю о том, что придется бразеры отдельные заводить для этого ужаса-на-крыльях-ночи.

Кстати да, бразер мне был нужен чтобы ходить к провайдеру сервиса через IPSEC. Хотя интернет там и был (там нет критических данных, слава богу).

[Flash-04]

Не мог ты раньше это найти? Когда я от скуки офигевал.

Выходил бы почаще с MF в Гугл, нашёл бы и сам

[Flash-04]

Если мне попадется тот индус, который придумал этот интерфейс - повешу на ближайшем столбе. Это какой то кошмар. Я пока еще на 5.5 живу но с ужасом думаю о том, что придется бразеры отдельные заводить для этого ужаса-на-крыльях-ночи.

Кстати да, бразер мне был нужен чтобы ходить к провайдеру сервиса через IPSEC. Хотя интернет там и был (там нет критических данных, слава богу).

не забудь remote console доставить, а то я некоторое время офигевал, почему консоль запускается, но вот мышь в ней не работает

[zVlad]

Не мог ты раньше это найти? Когда я от скуки офигевал.

*
Выходил бы почаще с MF в Гугл, нашёл бы и сам

Привет. Все шутишь? А я вот сижу у выхода на посадку в Пирсоне. После обеда должен буду окунуться в океан.
Тема не выходит из головы. Вот так ты меня торкнул.
Кроме тех предположений там необходимо еще одно: надо иметь доступ к TSO. Этот доступ определяется наличием TSO сегмента в профайле пользователя. Такой сегмент надо дать, по умолчанию его нет. Дают его программистам. Могут дать и пользователям если для них написали приложение в TSO, что возможно но очень невероятно. 99% пользователей мф либо работают через CICS либо WebSphere. Это значит что те програмки на REXX они в принципе запускать не могут, нет у них для этого среды работы в принципе. Это как если аккаунт не в группе удаленных пользователей Windows, то через RDC не присоединишься.
Это я так дополнительную инфу дал. Интерес сохраняется, я буду запускать те програмки в TSO с пользователем типа програмиста, и расскажу как они выполнялись, что показывали и т.д. попытаюсь после "эскалации" до SPECIAL выполнить что-нибудь что требует этих прав.
Как ты понимаешь в эскалацию эту я не верю, но я это показать собираюсь. Путь к этому понятен и реален, вопросов нет, но будет ли достигаться то что заявленно для меня не очевидно. Тот блок в котором автор ставит биты может быть не тем где права на самом деле проверяются.
Не скучай.

[Dmitry67]

Ну вот собственно мы почти договорились. Уязвимости это не взлом kernel, что почти невероятно. Это неправильное взаимодействия софта вокруг, когда более привилегированный процесс is,tricked into doing something wrong. Тот же классический SQL injection из той же серии

Соответсвенно, потенциально количество уязвимостей грубо пропорционально квадрату разнообразия софта в экосистеме. В МФ оно минимально. Опять имеем неуловимого Джо

[Flash-04]

Привет. Все шутишь? А я вот сижу у выхода на посадку в Пирсоне. После обеда должен буду окунуться в океан.

конечно, иначе жизнь была бы скучна и ужасна океан - это хорошо, я вот на Крсимас слетал, как приехал, столько всего наворотил, что сам теперь офигеваю вот что значит хорошо отдохнуть!

Тема не выходит из головы. Вот так ты меня торкнул.

значит день пропал не зря

Как ты понимаешь в эскалацию эту я не верю, но я это показать собираюсь. Путь к этому понятен и реален, вопросов нет, но будет ли достигаться то что заявленно для меня не очевидно. Тот блок в котором автор ставит биты может быть не тем где права на самом деле проверяются.

ну вот и посмотрим. как показывает практика - идеальных систем нет. Каждый из компонентов может быть хорошо, но когда их сводят вместе бывают косяки. Да и сами идеальные компоненты на деле могут оказаться далеко не идеальными. Примеров тому - вагон и маленькая тележка.

Не скучай.

при моей жизни это исключено

[Flash-04]

Соответсвенно, потенциально количество уязвимостей грубо пропорционально квадрату разнообразия софта в экосистеме. В МФ оно минимально. Опять имеем неуловимого Джо

ну да, здрасьте. если вспомнить теорию автоматов, то становится понятным что полностью протестировать любой "промышленный" софт не представляется возможным, т.к. кол-во состояний в нём выражается астрономическими цифрами. MF тут нисколько не исключение.

[zVlad]

Искупаться не удалось. Сильный ветер, волна и дождь.

[zVlad]

Del

[Dmitry67]

Искупаться не удалось. Сильный ветер, волна и дождь.

А я купался после НГ в Эйлате. Правда, вода была около 20. Купались только наши люди)

[zVlad]

Я искупался таки. Волны большие, недалеко от берега риф их разбивает и докатываются более меннее безопасные волны.

[Flash-04]

Лучше туда где их нет. Правда сейчас везде на Карибах мокрый сезон, волн больше чем в сухой.

[zVlad]

Искупаться не удалось. Сильный ветер, волна и дождь.

А я купался после НГ в Эйлате. Правда, вода была около 20. Купались только наши люди)

Вики пишет ниже 22 не бывает. Местные видимо уже на несколько поколений вперед накупались. Помню в июле ныряешь в Тургояк а вода обжигает. Вики умалчивает про температуру воды, но думаю 20 градусов там не бывает. В лучшем случае 18.

Вот нашел:

На основе наблюдений температуры воды за последние семь лет, самое теплое море в Тургояке в июле было 20 градусов, а самое холодное 14 градусов. Средняя температура воды в июле в Тургояке составляет 17 градусов.

[zVlad]

Владу на поржать:
....
а вот и PoC:
https://github.com/ayoul3/Privesc

та дам!

С учетом того что я фактически открыл самую сокровенную дверь в систему сам себе будучи системным администратором высшего уровня все работает как заявленно.

Я сомневался что срaботает механизм эскалации через управляющий блок. Сомневался, но теоритически сам себе не мог обьяснить почему бы это могло быть невозможно если фактически позволение писать программу в авторизованную библиотеку и ее выполнение с выполнением в ней стандартной, документированной функции, делает пользователя частью ядра. А раз ядра то все сделать можно и защиты от этого нет никакой.

Прием так сделаться ядром известен с годов эдак 70-х и документирован в пользовательской документации. Так что ничего особо нового эта "новая" находка не дает.

Итог: По требованию этого тестa защита была снята. Результат выполнения тестa: права эскалировались успешно. А вот как это сделать без снятия защиты? Никак.

Вопрос: Можно ли считать такую возможность дыркой? Я считают нет, не можно. Хотя осaдочек у меня нехороший остается. Признаюсь я сильно в этом не копался и полностью оценить угрозу не берусь. Полагаю что те кому положенно все это прекрасно знают и опасности тоже не видят. Кроме того я могу сказать что на этот грубый влом в систему на всякий случай можно было бы поставить сильный алерт и скорее всего даже не допустить исполнения эскалации, причем абсолютно без необходимости перелoпачивать горы данных. Однако, коль скоро с самого начала предполагается что злоумышленник может выполнить функцию перевода пользовательской программы в режим ядра, то и с этими алертами и запретами можно было бы тоже "разобраться" прежде чем
алерт сработает.

В общем и целом прекрасный материал для более глубогого, я бы даже сказал философсовского, осмысления. Я еще буду добавлять свои мысли об этом, но прям сейчас хотел бы сказать что создание возможности и описание как этим воспользоваться говорит об уверенности в надежности защиты которая все это может легко остановить и о том что других путей достичь такой вольности больше нет. В других системах убедиться в этом не так и просто.

[zVlad]

Эксперементирую с программой "влома в z/OS", в вариантах "обычного" выполнения

Попытка выполнить ключевую последовательность команд по эскалации прав изменением управляющего блока, без предварительного перевода в режим супервизора, но из авторизованной библиотеки:

Code: Select all

L 5,X'224'           POINTER TO ASCB
L 5,X'6C'(5)         POINTER TO ASXB
L 5,X'C8'(5)         POINTER TO ACEE
NI X'26'(5),X'00'
OI X'26'(5),X'B1'    SPE + OPER + AUDITOR ATTR

... вызвала abend на команде "NI X'26'(5),X'00'" (очистить поле блока в которое следущей командой предполагается записать права) с кодом 0C4-04:

0C4
One of the following exceptions occurred:

4
Protection exception. The key of the storage area that the running program tries to access is different from that of the running program. The key of the running program can be obtained from the PSW key field. ....

Попытка выполнить переход в режим супервизора (SVC 107) не из APF-authorized (неавторизованной) библиотеки (максимум что мог бы сделать простой программист самостоятельно) привела к abend с кодом 047:

047


Explanation: An unauthorized program issued a restricted Supervisor Call (SVC) instruction:

А вот как выглядит диагностика этого в системном протоколе:

Code: Select all

12.35.46 JOB13743  IEA995I SYMPTOM DUMP OUTPUT  713
   713             SYSTEM COMPLETION CODE=047
   713              TIME=12.35.46  SEQ=65509  CPU=0000  ASID=007A
   713              PSW AT TIME OF ERROR  078D0000   80007F8E  ILC 2  INTC 6B
   713                ACTIVE LOAD MODULE           ADDRESS=00007F70  OFFSET=0000001E
   713                NAME=ELFAPF1
   713                DATA AT PSW  00007F88 - 58101000  0A6B5850  02245855

Где в строке: "DATA AT PSW 00007F88 - 58101000 0A6B5850 02245855" 0A - код команды SVC (Supervizor Call), a '6B' или 107 это как раз код той SVC что будучи вызванной из авторизованной программы переводит ее в состояние супервизора.

Последнее показывает как можно легко проверить программу, которую предлагают авторизовать для чего-нибудь безобидного, на попытку перейти в состояние супервизор. T.e. запустим программу из неавторизованной библиотеки и увидим на чем она будет абендится. Если же это действительно нужно (переходить в режим супервизора)то проверяем текст программы на предмет той последовательности команд что я приводил выше для эскалации прав. Возможны конечно другие варианты достичь того же самого, но их немного в них всегда можно разобраться и понять что делается.

[zVlad]

Вот описание полей управляющего блока ACEE (Accessor Environment Element), которые изменяются для эскалации (все это из открытого интернета):

Code: Select all

  38  	  (26)  	 BITSTRING   	   1  	  ACEEFLG1             	 User flags                          
  	  	  1... ....  	  	   ACEESPEC            	 1 - Special attribute               
        	  .1.. ....        	   ACEEADSP               1 - Automatic data security protection                          
  	  	  ..1. ....  	  	   ACEEOPER            	 1 - Operations attribute            
  	  	  ...1 ....  	  	   ACEEAUDT            	 1 - Auditor attribute               
 
........      
  39  	  (27)  	 BITSTRING   	   1  	  ACEEFLG2             	 Default universal access            
  	  	  1... ....  	  	   ACEEALTR            	 1 - Alter authority to resource     
  	  	  .1.. ....  	  	   ACEECNTL            	 1 - Control authority to resource   
  	  	  ..1. ....  	  	   ACEEUPDT            	 1 - Update authority to resource    
  	  	  ...1 ....  	  	   ACEEREAD            	 1 - Read authority to resource      

Выше приведенная команда "OI X'26'(5),X'B1' SPE + OPER + AUDITOR ATTR" как раз устанавливает нужные биты в байте со смещением X'26'

[Flash-04]

То есть хочешь сказать что в принципе тож де самое как в Intel попытаться исполнить привелигированную инструкцию с урезанным пользователем? Если я правильно понял презентацию, упор делался на существование пользователей с избыточными привелегиями, которые им не нужны.

[zVlad]

То есть хочешь сказать что в принципе тож де самое как в Intel попытаться исполнить привелигированную инструкцию с урезанным пользователем? Если я правильно понял презентацию, упор делался на существование пользователей с избыточными привелегиями, которые им не нужны.

Избыточность привилегий состояло в том что у них есть права на модифицирование авторизованных библиотек. С какой, подумай, стати лица ответственные за безопасность стали бы допускать наличие таких привилегий безконтрольно и избыточно? Тем более что проконтролировать круг доступа к этим библиотекам не просто, а очень просто, а чтобы дать такой доступ надо иметь определенный уровень полномочий, котороые как правило даются очень узкому кругу лиц даже в огромных организациях. У нас этим занимаюсь только я и лишь по глупости может этим заниматься team lead.

Я дал многословные обяснения, но я не питаю иллюзий что даже ты до конца понимаешь абсурдность показанных "дыр". Еще раз призываю тебя вдуматься в то что ничего нового это "исследование" не показывает. Все это хорошо известные механизмы и приемы, да, дающие тот результат что был заявлен, но не отвечающие на вопрос как обойти защиту доступа к этим механизмам. Это все равно что дать зашифрованный текст и ключ к нему.

[zVlad]

Удивительная апатия со приветовских любителей поговорить о мэйнфрэйм. Казалось бы есть хорошо проиллюстрированный материал, есть специалист, который мог бы ответить на все неясности. Сама ситуация проста как умывальник.
И никаких мнений, вопросов, ничего. Тишина.
У меня есть только одно объяснение и оно не понравится тем кто настойчиво преследовал меня многие годы пытаясь дескредитировать неприходящую значимость и мощь технологий zSystem, недооценку их возможностей "широкой ИТ общественностью".
В жизни, при личном общении, я в таких ситуациях за словом в карман не полез бы. Но учитывая специфику заочного общения промолчу.
Более того сегодня я намерен дать дополнительную информацию о возможности оперативной реакции на попытки использовать мифическую дыру "открытую" в материале найденном уважаемом Flash-04. Иными словами, а что если секьюрити пирл z/OS окажутся лохами и оставят возможность простым программистам TSO (это касается только контингента программистов TSO) помещать свои программы в авторизованную библиотеку. Я попробую показать как можно было бы и можно ли вообще поставить "сторожа" на такую ситуацию. У меня есть предположения, но я должен убедиться сам в этом. А вообще вчера я ждал от вас, дорогие коллеги, что вы зададите мне этот вопрос, сделаете такое предложения. Но вы молчите, я знаю почему, но тоже промолчу, пока - вдруг у меня не получится ничего.

[Dmitry67]

Удивительная апатия со приветовских любителей поговорить о мэйнфрэйм.

Ну так в общем ситуация ничем не отличается от Intel
Напрямую попытка взломать ядро приводит к exception
Взлом обычно идет в рамках операционной системы в "широком смысле" - множество процессов, пользователей, и запутанность
Мир МФ тут ничем в принципе не отличается от Intel, за исключением спартанского пейзажа и надписи "Слава КПСС" на фасаде.

[Flash-04]

Я дал многословные обяснения, но я не питаю иллюзий что даже ты до конца понимаешь абсурдность показанных "дыр". Еще раз призываю тебя вдуматься в то что ничего нового это "исследование" не показывает. Все это хорошо известные механизмы и приемы, да, дающие тот результат что был заявлен, но не отвечающие на вопрос как обойти защиту доступа к этим механизмам. Это все равно что дать зашифрованный текст и ключ к нему.

Влад, я видел много ситуаций из серии "не может быть", потому и не делаю поспешных выводов