Hallo alle,
da seit 3 Tagen gewisse, allgemein gültige CPU-Sicherheitslücken diskutiert und bekannt geworden sind, sollte man sich schon mal auf eine PTF- und Firmware-Update-Orgie einstellen:

https://www.ibm.com/blogs/psirt/potential-impact-processors-power-family/

-h

Aha, gibts Mobilgeräte mit Power-CPU;-)?

Aha, gibts Mobilgeräte mit Power-CPU;-)?

Ich habe diverse POWER-Kisten mit Rollen ;-)

Im Ernst: dieser allgemeine Design-Fehler (oder sagen wir mal: besondere Denkweise) kann so ziemlich alle CPUs betreffen, in dem man geschickt mit Timings experimentiert. Und die Möglichkeit des Ausspähens von Daten unter IBM i mittels Java- oder C-Routinen will ich nicht ausschliessen...

-h

Also es würde mich echt wundern, wenn du ab Sicherheitsstufe 40 irgendwas drehen kannst.
Als externer schließe ich das eigentlich komplett aus, und selbst als interner Qsecofr wäre es vermutlich schwierig. Da das Designkonzept doch des OS/400 schon anders ist als z.B. Windows.

Aber interessieren würde es mich schon ob es geht.

GG 4529

Aber interessieren würde es mich schon ob es geht.


Wenn die IBM Firmware-Updates für Power-Server sowie PTFs für AIX, i und z rausbringt, muss zumindest eine theoretische Möglichkeit bestehen.

-h

Vermutlich ist es gut das es so gut wie keine (mir bekannte) ausführliche technische Dokumentation zur AS/400 gibt.
Dürfte nicht einfach sein das OS/400 so zu manipulieren das es beim IPL Schadsoftware lädt. Wobei denn immer noch die Frage ist wie Du die Informationen unbemerkt nach außen bringen willst. Ich denke bei großen Firmen fällt es auf wen auf einmal die AS/400 Daten zur irgendeiner unbekannten IP-Adresse transferiert.
Aber villeicht kommt zu den Thema in den nächsten Wochen ja noch was.

GG 4528

... Security by Obfuscation hat noch nie was getaugt.
Das Hauptbedrohungspotential ist ohnehin eher destruktiv, abschießen von Rechnern und Netzwerken, verwürfeln von Daten und da ist die AS/400 locker mit dabei. Das ganze Marketing - von wegen immun gegen Bedrohungen - macht dabei die größten Scheunentore auf: Unachtsamkeit und völlig unzureichender Installations- und Administrationsstand sind weit verbreitet. Bei zahlreichen Installationen (ich will das nicht quantifizieren) braucht es kein ausgefeiltes Knowhow des Angreifers und kein ausnutzen von Bugs in den Prozessoren.

D*B

Hier muss man natürlich 2 Dinge unterscheiden:
a) OS-Ebene
b) Maschinenebene
Der beschriebene CPU-Fehler betrifft den Hardwarecode der CPU, also den sog. Assembler-Level.
Tiefer als auf MI-Ebene kann man regulär jedoch gar nicht kommen, ich habe da noch nie irgendeine Doku entdecken können die nichts als MI bereitstelt.
Und nun ist es so, dass es immer noch so ist, dass der MI-Code eines Objektes unter Schreibschutz steht.
Hinzukommt auch noch, dass es wohl zwischen den verschiedenen CPU's wohl durchaus Unterschiede geben soll, die das MI-Interface jedoch ausgleicht.
Anders sieht es bei Intel u.s.w. aus, da hier die Architektur immer noch kompatibel ist. Ich kann immer noch 16/32-Bit-Assemblercode schreiben, wenn ich will. Und dies ist ja nötig um die beschriebenen Fehler auszunutzen.

Bei der üblichen Sicherheitseinstellung des OS/400 (Standard eben nichts) habe ich eher schon die Möglichkeit den Datenklau/-Manipulation o.ä. zu betreiben. Das war aber schon immer so.

Letztes Jahr hatte ein Kunde von mir sein IFS (/Home) verschlüsselt bekommen, da er die simpelsten Schutzregeln nicht einhielt.

Tja und sonst?
Seit Erfindung des Computervirus (ca. 1985) bin ich persönlich tatsächlich noch nie betroffen gewesen;-).

... falls Du Elster (die Jungs beim Firlefanzamt haben Humor, das ausgerechnet nach einem diebischen Vogel zu benennen) nutzt, hast Du Dir den Bundestrojaner eingefangen.

Ist das nicht auch nur ein Gerücht?