home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / n_z / nia046.hac < prev    next >
Encoding:
Text File  |  2003-06-11  |  11.1 KB  |  235 lines
  1.  ┌──────────────────┐ ╔═══════════════════════════════╗ ┌──────────────────┐
  2.  │   Founded By:    │ ║  Network Information Access   ║ │ Mother Earth BBS │
  3.  │ Guardian Of Time │─║            19AUG90            ║─│    Text Files    │
  4.  │   Judge Dredd    │ ║          Judge Dredd          ║ │  (713)-ITS-DOWN  │
  5.  └────────┬─────────┘ ║            File 46            ║ └─────────┬────────┘
  6.           │           ╚═══════════════════════════════╝           │
  7.           │      ╔═════════════════════════════════════════╗      │
  8.           └──────╢ Security Exposures and Controls for MVS ╟──────┘
  9.                  ╚═════════════════════════════════════════╝
  10.  
  11.   MVS has many areas of concern to the data security officer.  If these are
  12. not adequately addressed, the installation exposes itself to the threats of
  13. computer viruses, theft and fraud.  This article describes some of the major
  14. security exposures (hmm, what shall we use these for?) in MVS and suggests a
  15. remedy for each.
  16.   The Implementation of most of the suggested control mechanisms requires the
  17. purchase of some type of optional security software package.  This will be
  18. generically referred to as "security software".
  19.  
  20.  
  21. AUTHORIZED LIBRARIES
  22.  
  23.   Authorized libraries are by far the greatest area of exposure in the MVS
  24. enviornment.  According to IBM's statement on integrity, MVS guarantees
  25. integrity for all processing done by unauthorized programs running in the
  26. system.  That is, and unauthorized program cannont preform a task that would
  27. compromise the integrity of the system or of data outside the program's realm.
  28.   So what is an 'authorized' program?  It is one that can execute privileged
  29. instructions and bypass normal security checks and controls.  IBM never
  30. guaranteed integrity for authorized programs (except for those that it wrote
  31. as part of the operating system).  Indeed, by the very nature of these programs
  32. it is impossible for them to do so.  The installation is responsible to ensure
  33. that authorized programs function as desired and that they are secured from
  34. unauthorized access.
  35.   For a program to be authorized it must meet 2 criteria.  It must be linkedited
  36. with AC=1 and it must reside in an authorized library.  The first condition
  37. is easy to satisfy.  Anyone who knows how to linkedit a program can get past
  38. this condition, therefore, in which all the controls are needed.  That is, the
  39. installation must ensure that authorized libraries are not subject to abuse.
  40.   Authorized libraries are installation-defined and are specified in the
  41. following members of SYS1.PARMLIB:
  42.  
  43.                       IEAAPFxx
  44.                       LNKLSTxx
  45.                       LPALSTxx
  46.  
  47.   Three steps can be taken to control the use of authorized libraries.
  48.    1 - ensure that there are security profiles protecting all existing
  49.        authorized libraries and allow update access to only a handful
  50.        of induviduals.  Further, make sure that security profiles are
  51.        added and deleted as meccessary.
  52.    2 - Implement formal procedures for adding or deleting authorized libraries
  53.        and for adding, deleting, or modifying programs in an autthorized
  54.        library.
  55.    3 - Conduct periodic reviews to ensure that everything is in place.
  56.  
  57.  
  58. TAPE BYPASS LABEL PCOCESSING (BLP) PROCEDURES
  59.  
  60.   MVS JCL allows the option of bypassing the tape label when processing a tape
  61. data set.  By bypassing the tape label, security checking is not done; thus,
  62. and unauthorized user can read or even destroy tape data.
  63.   There are 2 ways to restrict the use of the tape BLP option.  One is to
  64. specify JES2 parameters such that BLP processing is allowed only via specified
  65. initiationrs and control the use of these special initiators.  The second way
  66. is to use the tape management system to disallow this option.
  67.  
  68.  
  69. SYSTEM PARAMETER LIBRARIES
  70.  
  71.   SYS1.PARMLIB and SYS1.PROCLIB contain system parameters that are used during
  72. system startup.  The parameters in these systems determine options that will
  73. be in effect for the system.  If an unauthorized person updates data in them,
  74. the system may start improperly or meay even fail to start.
  75.   Ensure that security profiles exist to protect these libraries.  Specifically
  76. keep to a minimum the number of people who can update them.  Also, establish
  77. change control procedures for all updates to these libraries.
  78.  
  79.  
  80. SYSTEM DATA SETS
  81.  
  82.   Data sets beginning with SYS1 are system data sets.  Together they constitute
  83. the operating system.
  84.   Restrict access, especially UPDATE access, to all system data sets.
  85. Generally, only the systems programmers need to update the system data sets.
  86.  
  87.  
  88. STARTED TASKS
  89.  
  90.   Started tasks are initiated from an operator console.  Started tasks, if not
  91. properly controlled, can bypass security software to access and even destroy
  92. important data.
  93.   Use the security software to protect all started tasks.  Identify all started
  94. tasks and assign to each one appropriate access using the security system.
  95. Make sure that for each entry a started task exists in PROCLIB.  Lastly,
  96. institute procedures for adding and removing started tasks.
  97.  
  98.  
  99. PROGRAM PROPERTIES TABLE
  100.  
  101.   IBM provides the Program Properties Table (PPT) to sepcify programs needing
  102. sprecial powers.  This table should be protected against unauthorized access.
  103. An unwarranted program in this table can bypass normal security software
  104. processing and checking.  Obsolete or unnecesssary programs in the PPT may
  105. result in unauthorized programs gaining special powers.
  106.   Examine all entries in the PPT and make sure each entry is justified.
  107.  
  108.  
  109. IEHINTT And IMASPZAP PROGRAMS
  110.  
  111.   IEHINTT is the tape initialization program that can destroy tape labels and
  112. therefore data on tape.  IMASPZAP can modify contents of a program.  Both these
  113. utilities have potential use to cause damage by bypassing security controls.
  114. An installation may have other programs whoese use should be restricted also.
  115.   Use the program protection feature of the security software to restrict
  116. access to these programs.
  117.  
  118.  
  119. MVS CATALOGS
  120.  
  121.   If an MVS catalog is destroyed, it can result in widespread disruption of
  122. service.  The MVS master catalog is the most critical because all data set
  123. searches are funnelled through it.  The master catalog, if properly protected,
  124. can also enforce data set naming standards for the first-level qualifier.
  125.   For user catalogs, use security software to ensure that only the systems
  126. programmers are permitted to delete user catalogs.  For a master catalog, ensure
  127. that only the systems programming staff is permitted to write into, modify or
  128. delete a master catalog.
  129.  
  130.  
  131. SYSTEM EXITS
  132.  
  133.   System exits, such as SMF or JES exits, are provided by IBM to modify the
  134. operating system using standardized interfaces.  The intended use is to tailor
  135. the operating system environment to suit an installation.  The use of system
  136. exits to tailor the MVS enviornment should not be discouraged; however, since
  137. they alter the operating system, their use and implementation must me
  138. monitored.  Otherwaire, there is room for a time bomb or virus to creep in.
  139.   Guarantee that proper controls and procedures exist for installing system
  140. exits.  Ensure that source code for system exits is always availalbe and
  141. examine the source code to ensure there are no time bombs.  Use the System
  142. Modification Program (SMP) to install all exits.  This will guarantee system
  143. software integrity.
  144.  
  145.  
  146. SMF DATA SETS
  147.  
  148.   Security software packages produce SMF records for logging violations and so
  149. on.  Other system events and activities also generate SMF records; therefore
  150. many different SMF record types are produced.  However, the system allows
  151. an installation to specify which SMF record types are to be collected and
  152. which are to be disgarded.  This leaves open the pssibility that important
  153. SMF records may have been suppressed, allowing security violations to go
  154. unnoticed.
  155.   Ensure that the member SMFPRMxx in SYS1.PARMLIB collects records produced
  156. by the security software and other records required by an installation.
  157.  
  158.  
  159. SYSTEM LOG
  160.  
  161.   The System Log (SYSLOG) data set contains a log of many of the system
  162. activities.  Among other things, security software violations and other
  163. messages that are sent to SYSLOG.  The information contained in SYSLOG is
  164. useful in tracking down certain events after they have occurred.  For this
  165. reason, it is essential to have available the SYSLOG for at least the last
  166. few days.
  167.   Collect the SYSLOG and archive at least daily.  Assuming a daily collection
  168. cycle, a Generation Data Group (GDG) with 10 generations will allow the viewing
  169. of the last 10 days' log.  Make sure the GDG is protected by the security
  170. software to allow read access but not modify or delete access.
  171.  
  172.  
  173. TSO TERMINAL TIMEOUT
  174.  
  175.   If a TSO terminal is left unattended, anyone can manipulate the TSO user's
  176. powers to access the system.  A terminal may remain signed on by unattended
  177. for a long time, leaving the possibility of abuse.
  178.   Use the mechanism MVS provides to automatically logoff a terminal session
  179. that has been inactive for x minutes, where x is installation-specified (member
  180. SMFPRMxx in PARMLIB).
  181.  
  182.  
  183. VOLUME PROTECTION
  184.  
  185.   Some volumes contain sensitive information.  It maybe desireable to allow
  186. only select individuals to look at the VTOCs of these volumes in order to
  187. prevent misuse of the information.  Use the security software's volume
  188. protection controls to prevent unauthorized users from viewing the contents
  189. of these volumes.
  190.  
  191.  
  192. TSO ACCOUNT AUTHORITY
  193.  
  194.   This authority allows a person to view and update records in SYS1.UADS
  195. which contains profile records and information for all TSO users.  With a
  196. security software package, this information can be stored in the security
  197. database.  However, there may still be a need to store some important
  198. information in SYS1.UADS for backup purposes.
  199.   Assign the ACCOUNT authority judiciously.  Minimize the number of people
  200. who have the TSO ACCOUNT attribute.
  201.  
  202.  
  203. TSO OPERATIONS AUTHORITY
  204.  
  205.   The attribute allows a person to enter some of MVS commands such as the
  206. display of initiators.  Minimize the number of people who have the TSO
  207. OPERATIONS attribute.
  208.  
  209.  
  210. SECURITY SOFTWARE
  211.  
  212.   At IPL time the system may have been tailored such that is asks the operator
  213. if the cecurity software is to be active.  This allows the operator to remove
  214. the security software from the system.
  215.   Make sure the security software is always active in the system by tailoring
  216. the system so that at IPL time the security software is automatically started
  217. and there is no terminating option.
  218.  
  219. ---
  220.  
  221. Well thats it. Ugg. Its been a long day. Some comments and such...
  222. Nilrem  "I'm just burned out.  Mabye in Austin the board will be better."
  223. Guardian Of Time "In December, we'll be back, better than before, and I
  224.                   am going to use some of Dr. Ripco's techniques on the
  225.                   new board..."
  226. The People At Phrack - any word on the file that was sent in?
  227. The People At CUD/TD - its gotten better with time, now you put relevant
  228.                        stuff in.                
  229. Chester - "when i go over there he lets me rape his system!" hahaha...
  230.  
  231. well, take it easy people.
  232. -JUDGE DREDD/NIA
  233.  
  234. [OTHER WORLD BBS]
  235.