Frag Holger mal der hat einen mehrjährigen Hackercontest auf seiner Pub1 gefahren um die Sicherheit zu Testen.


Naja, es gibt da (Release-Abhängig) ein paar Feinheiten, die es zu beachten gilt, sowie konzeptionelle ähm... Eigenarten. Aber die sollte man nicht zu laut offen diskutieren. Bis auf eins: Bis V4R5 gab es ein paar Methoden, die Passwörter angemeldeter Benutzer aus dem System rauszudumpen...

-h

Am coolsten kann man so eine AS/400 mit 'nem süßen trojanischen Pferdchen übernehmen, wenn der Admin das reinläßt. :D

Am coolsten kann man so eine AS/400 mit 'nem süßen trojanischen Pferdchen übernehmen, wenn der Admin das reinläßt. :D

Unfug! Sowas ist total abwegig ;-)

-h

Ich kann mich noch ein ein testprojekt Holger's erinnern, in seine AS/400 "einzubrechen" bzw. mehr zu können, als zugelassen.
Ich glaube es hat niemand geschafft.

Die Einzige Variante damals war, das System durch Verwendung von zu viel Speicher dazu zu bringen, einfach runterzufahren. Durch Speicherbegrenzung je User kann man das auch noch einschränken.

Ich kann mich noch ein ein testprojekt Holger's erinnern, in seine AS/400 "einzubrechen" bzw. mehr zu können, als zugelassen.
Ich glaube es hat niemand geschafft.
Doch! Ich hatte es geschafft. Mit nem süßen trojanischen Pferdchen. ;)

Hallo *all,
für mich persönlich ist die AS/400 nicht sicherer als jede andere Büchse auch. Es gibt nur halt weniger Leute die sich darum kümmern Schaden zuzufügen.
Aber wenn ich so sehe was man mittlerweile für die AS/400 als Freeware runterladen kann, kann nun keiner sagen das sich da nicht auch ne Hintertür einbauen ließ.
Und windows und Linux in der aktuellen Version ist nun auch nicht so unsicher, wenn ich mir die Exploits so ansehe brauch ich entweder ein PDF-Reader oder muß aktiv mit dem Webbrowser ne Seite ansteuern etc. pp.
Nur für sich sind die Kisten auch stabil , klar früher waren alle Ports offen , ist jetzt in der Regel auch nicht mehr der Fall.
Aber wenn ich so die Software betrachte die wir auf der Kiste haben, einmal die ERP-Anwendung, weiß ich ob die nicht jeden Monat an das Softwarehaus meldet wieviel Gewinn wir gemacht haben damit die Jungs wissen was sie von uns verlangen können.
Oder die Software die unsere AS/400 monitort um den Techniker im Fehlerfall ne Info zu geben, weiß ich was die noch macht?
Oder die Lohnsoftware?!

Ausgehenden Datenverkehr prüft doch keiner.

Just my 2 Pence

GG

Doch! Ich hatte es geschafft. Mit nem süßen trojanischen Pferdchen. ;)

Nicht zu vergessen die Uhrzeit und den Alloholpegel ;-)

Langsam wirds aber OT hier.

-h

Aber wenn ich so sehe was man mittlerweile für die AS/400 als Freeware runterladen kann, kann nun keiner sagen das sich da nicht auch ne Hintertür einbauen ließ.

Japp, irgendwo im RPG was versteckt, feddisch.



Ausgehenden Datenverkehr prüft doch keiner.


Da würde ich mich nicht drauf verlassen ;-)

-h

Naja, es gibt da (Release-Abhängig) ein paar Feinheiten, die es zu beachten gilt, sowie konzeptionelle ähm... Eigenarten. Aber die sollte man nicht zu laut offen diskutieren. Bis auf eins: Bis V4R5 gab es ein paar Methoden, die Passwörter angemeldeter Benutzer aus dem System rauszudumpen...

-h

Aus einer Benutzeranmeldung heraus oder mittels Systemconsole :confused:

Physischer Zugriff unterwandert ja alle Sicherheitsconzepte, zumindest wenn sich einer mit den Kennwort eigenheiten auskennt:)
Gruß AS400.lehrling