kleines Scheunentor auf R530 entdeckt

[holgerscherer]

Hallo Forum,
das mit dem Scheunentor war wohl eine falsche Wortwahl. Ich
hatte heute Morgen eine Email aus Amerika bekommen mit diesem
Hinweis auf diese Ptfs und ich wollte dies nur weitergeben als
Info. Man sollte solche Informationen halt auch wirklich
verbreiten, das ist meine Meinung.

jau, da hast Du recht - diese Mails kriegen wir ja fast alle, die wir uns damit beschäftigen. Meines Erachtens reicht wie immer der Tip: "Häufig alle PTFs einspielen, und auf der Webseite nachlesen". Oder man hat dafür einen Berater... der "normale" Anwender und EDV-Leiter fühlt sich entweder mit den Informationen überfordert, oder er nicht sie nicht wichtig - oder beides

-h

[TARASIK]

jau, da hast Du recht - diese Mails kriegen wir ja fast alle, die wir uns damit beschäftigen. Meines Erachtens reicht wie immer der Tip: "Häufig alle PTFs einspielen, und auf der Webseite nachlesen". Oder man hat dafür einen Berater... der "normale" Anwender und EDV-Leiter fühlt sich entweder mit den Informationen überfordert, oder er nicht sie nicht wichtig - oder beides

-h

Hallo Forum,
ich werde dann in Zukunft mit solchen Informationen niemanden
mehr überfordern.

[holgerscherer]

Hallo Forum,
ich werde dann in Zukunft mit solchen Informationen niemanden
mehr überfordern.

wirst Du Dich hüten, diese Informationen hier nicht mehr zu posten! :-)

-h

[Fuerchau]

Das Scheunentor ODBC/FTP/DRDA/REXEC usw. halte ich da für wesentlich größer.
Nur mit Tools wie z.B. PCSACC/400 o.ä. (siehe WRKREGINF) kann ich das Tor etwas kleiner machen, jedoch nicht ganz schließen.

[pwrdwnsys]

Nach meiner Erfahrung ist das größte Scheunentor der Mensch. Denn was da teilweise bei den Netzwerkeinstellungen und Berechtigungen für Unfug getrieben wird, ist schon nicht mehr auszuhalten. Und diese Lücken sind wesentlich einfacher zu finden als irgendwelche Bugs (oder Features) im Betriebssystem.
Wenn ich mal schnell alle Berechtigungen auf einem System brauche, dauert das höchstens 5..10 min und ich hab was ich brauche. Und das mit Bordmitteln der i5....

[Fuerchau]

Aber auch nur, wenn du *ALLOBJ hast. Ansonsten wirds schon schwierig.

[TARASIK]

Hallo Forum,
habe gerade ein Redpaper mit einem neuen Service der IBM
gefunden, welchen eigentlich jeder nutzen sollte.

http://www.redbooks.ibm.com/redpapers/pdfs/redp4226.pdf

[holgerscherer]

Hallo Forum,
habe gerade ein Redpaper mit einem neuen Service der IBM
gefunden, welchen eigentlich jeder nutzen sollte.

http://www.redbooks.ibm.com/redpapers/pdfs/redp4226.pdf

Joah, das IDS im V5R4 ist eine nette Idee, aber eher als Beta oder Gag der Programmierer anzusehen. Jede 500EUR-Firewall oder eine Linux-Möhre hat mehr drauf und ist flexibler.

-h

[pwrdwnsys]

Aber auch nur, wenn du *ALLOBJ hast. Ansonsten wirds schon schwierig.

Nö. In der Regel gibt es Profile, auf die man Berechtigung hat und die dann wiederum mehr Berechtigungen haben. Nächste Falle : Jobbeschreibungen, die einen eingetragenen User haben, der dann hohe Berechtigungen hat. Und last but not least, DDM-Befehle unter anderen Benutzern, Programme mit Eignerberechtigung, Batch-user, die das gleiche Kennwort wie das profil haben und.... und... und....

[KingofKning]

Also so ganz kann ich Dir da nicht zustimmen.
Wenn Du z.B. Holgers Kiste nimmst und Dir da einen Account holst würde ich meinen zarten Popo drauf verwetten das Du keine Chance hast irgendwas auzurichten.
Du hast nur dann ne Möglichkeit wenn Du z.B. das System und die Leute kennst.
Und auch da wird es schon schwierig wenn ein wenig Vernunft beim Sysadmin ist und der auch die Logfiles mitliest.
Ich persönlich schaue mir min. 3 am Tag an wer was macht. Führt dann dazu das die Leute immer ein wenig erstaunt sind wenn ich Sie frage warum sie sich denn schon 2 mal falsch angemeldet haben oder warum am Terminal x wo sich normalerweise Benutzer x anmeldet auf einmal y anmeldet.
Ich gebe Dir insofern Recht das ein frisch installiertes OS/400 relativ offen ist.
Aber es wäre mal ne reizvolle Aufgabe ne Kiste zu nehmen und die zu hacken.
Btw. Ich glaube seit Schilly und Schäuble ihr Unwesen treiben ist das strafbar. Hat zwar den Nachteil das unsereins sich nicht mehr über Systemlücken austauschen können bzw. auch austesten können aber Hauptsache Schäuble und Ihre Mannen kommen auf jeden PC / jede AS/400.
Mich wundert es nur das die neue Rechtslage in NRW so gar keinen Staub aufwirbeln.

[Fuerchau]

Ohne *ALLOBJ (ggf. auch im Gruppenprofil) kommt man an andere Objekte gar nicht dran, wenn diese mit *PUBLIC *EXCLUDE gesichert sind !
Klaro, *PUBLIC *USE ist die Regel, so dass ich alles sehen und ggf. per CALL auch aufrufen kann.
Kenne ich beim CALL auch noch die Parameter, oder kann ggf. einen RTVCLSRC machen um diese festzustellen, ist das besagte Scheunentor auch gaaaaanz weit auf.

[BenderD]

Hallo,

da muss man doch drei Dinge sauber auseinanderhalten:

Szenario PWRDWNSYS = ich habe Programmierer Rechte, sprich Commandline und ich darf Programme erstellen, so ich denn die Objektrechte am jeweiligen Teil habe.
Sobald auf dieser Büchse mit adopted Authority gearbeitet wird, finden sich meist Nachlässigkeiten in der Implementierung mit denen man innerhalb von kurzer Zeit alles darf und einem die Büchse aus der Hand frisst, wenn man es denn darauf anlegt.

Szenario Holgers Büchse: Irgendwo steht eine Kiste, auf der ich einen Account und eine Art Sandbox als private Umgebung habe.
Das ist schon schwieriger, aber nicht Hoffnungslos. Wenn es mir denn gelänge irgendwo einen Trojaner zu platzieren, bin ich wieder durch und gegen lahmlegen ist der gute Holger auf den Goodwill seiner Mitnutzer angewiesen und kann dann allenfalls versuchen die Schmutzbacken wenigstens im Nachhinein eruieren zu können, damit sie ihm die Möhre nur einmal platt fahren dürfen.

Szenario Hacker: irgendwo in der weiten Welt sitzt jemand, den ich nicht kenne, der sich meine Büchse zum Ziel ausgesucht hat und jeden beliebigen Aufwand investiert, meine Kiste zu hacken.
Jetzt haben wir einen mehr oder weniger sportlichen Wettkampf, den meist der gewinnt, der mehr drauf hat. Ich kann mir einen Vorteil verschaffen, wenn ich meine Kiste in einen von der Außenwelt abgeschotteten Bunker stellen kann, aber dann kommt außer der Besatzung des Bunkers auch keiner mehr dran. Je mehr Leute ich dranlasse, umso mehr verschiebt sich das Ganze zur Seite des Hackers; ein Ping wird da schon zur Waffe, wenn es denn gelingt diesen Millionenfach von allen Richtungen gegen die Maschine zu schießen.

Dieter Bender,

der meint, dass solche Sprüche wie "die AS400, der sicherste Rechner der Welt" eines der größten Risiken darstellen

Also so ganz kann ich Dir da nicht zustimmen.
Wenn Du z.B. Holgers Kiste nimmst und Dir da einen Account holst würde ich meinen zarten Popo drauf verwetten das Du keine Chance hast irgendwas auzurichten.
Du hast nur dann ne Möglichkeit wenn Du z.B. das System und die Leute kennst.
Und auch da wird es schon schwierig wenn ein wenig Vernunft beim Sysadmin ist und der auch die Logfiles mitliest.
Ich persönlich schaue mir min. 3 am Tag an wer was macht. Führt dann dazu das die Leute immer ein wenig erstaunt sind wenn ich Sie frage warum sie sich denn schon 2 mal falsch angemeldet haben oder warum am Terminal x wo sich normalerweise Benutzer x anmeldet auf einmal y anmeldet.
Ich gebe Dir insofern Recht das ein frisch installiertes OS/400 relativ offen ist.
Aber es wäre mal ne reizvolle Aufgabe ne Kiste zu nehmen und die zu hacken.
Btw. Ich glaube seit Schilly und Schäuble ihr Unwesen treiben ist das strafbar. Hat zwar den Nachteil das unsereins sich nicht mehr über Systemlücken austauschen können bzw. auch austesten können aber Hauptsache Schäuble und Ihre Mannen kommen auf jeden PC / jede AS/400.
Mich wundert es nur das die neue Rechtslage in NRW so gar keinen Staub aufwirbeln.