Aktuelle Virenwarnungen

[MoselRBA]

Hallo in die Runde,@heise hat ja letztens eindringlich auf eine neue Welle von Virenangriffen gewarnt, bei der auch das NRW Innenministerium betroffen war.Jetzt stellt sich mir die Frage, in wie weit sich ein solcher Virus auch auf die AS/400 auswirken könnte. Ich denke hier an Netzwerkfreigaben im IFS bzw QDLS oder den iNavigator, der ja an die einzelnen Bibliotheken bzw. Dateien dran kommt. Wenn dann noch ein Single-Sign-On im Spiel ist komme ich ins Grübeln.Deshalb mal die Frage an die geballte Fachkompetenz, könnte ein richtig intelligenter Virus über, z.B. SQL Statements Daten auch auf der AS/400 verändern?Welche Steine kann man da noch in den Weg legen, um das zu verhindern (wenn überhaupt möglich)?

[KingofKning]

In der AS/400 Benutzergruppe wurde mal ein Virenscanner für die AS/400 vorgestellt. Nettes Teil, da wir aber kaum Dokumente im IFS haben habe ich das nicht weiter verfolgt.

Beim Rest (SQL etc.) wäre es meiner Meinung nach nur möglich wenn man gezielt etwas für die AS/400 schreibt. Denkbar ja aber lohnt es sich?

GG

[MoselRBA]

Beim Rest (SQL etc.) wäre es meiner Meinung nach nur möglich wenn man gezielt etwas für die AS/400 schreibt.

Genau das ist es was mich beschäftigt, ob es wirklich was spezielles sein MUß, oder ob ein "einfacher" Zugriff über ODBC oder was auch immer ausreicht.Über die Dokumente und Dateien im IFS/QDLS mache ich mir keine Sorgen, da sind bei uns z.B. ausschließlich Dinge drin die unkritisch sind. Will heißen entweder reiner Datenaustausch oder Dateien, die sehr einfach wiederhergestellt werden können. Meine Bedenken hier sind eher, wäre es möglich vom IFS/QDLS aus gezielt auf Bibliotheken/Dateien zuzugreifen?Über die Frage ob es sich lohnt oder nicht, denke ich schon lange nicht mehr nach, denn die Tools zum Erstellen dieser Schädlinge werden immer besser und einfacher. Die Zeiten, wo man sich mit HEX-Codes auseinander setzen musste sind schon sehr lange vorbei.Wie wird denn allgemein das Thema VirenschutzAS/400 gesehen?

[BenderD]

... üblicherweise hängt eine AS/400 in einem trusted Netzwerk und für Angriffe von außerhalb ist es entscheidendn was die Firewall macht.

D*B

[MoselRBA]

Stimmt, aber üblicherweise hängt die AS/400 zusammen mit einer WINDOWS Umgebung in einem trusted network. Wenn jetzt ein perfider Macrovirus über eine eMail in das Netzwerk geschleust wird kriegt die Firewall davon nichts mit.

[Fuerchau]

Da müsste schon ein Virus im MI-Code kommen, bestehende Programmobjekte als Daten bearbeiten und modifizieren. Letzteres ist schon mal nicht erlaubt. Und ob einer gezielt einen Compiler mit Virencode anschmeißt halte ich eher für ein Gerücht.
Makroviren gibt es da wiederum eher nicht, da ich nur REXX als Makrosprache auf der AS/400 kenne.

Wie und ob es Viren in der Java-Welt gibt weiß ich nicht, gehört habe ich noch nichts davon.
Und was so ein Virus denn tatsächlich auf der AS/400 anstellen will kann ich mir nicht vorstellen.

In meiner langen Tätigkeit mit PC's (seit Windows 3.11) habe ich immer einen Virenscanner im Einsatz gehabt und tatsächlich und wirklich noch nie einen Virus gehabt!
Der einzige schadhafte Angriff war vor Jahren der Internetangriff, der das Windows in 60 Sekunden einfach abgeschaltet hat. Dies war aber ein Angriff von außen und kein Virus oder Trojaner von innen.

Fazit:
Bei der AS/400 sitzen die Trojaner meist vor den Bildschirmen.

[MoselRBA]

Zunächst danke ich mal für eure Antworten! Es ist nun mal so, dass es bei einem befreundeten Administratorkollegen ein Marcrovirus durch eine eMail eingeschleust wurde. Dort wurden dann Dateien auf Windowsseite derart verschlüsselt, dass sie nicht mehr zu retten waren. Auch auf freigegebenen Verzeichnissen auf der AS/400 wurden Dateien verschlüsselt und genau das macht mich ein wenig nachdenklich. Natürlich ist es logisch, dass der Schädling auch diese Dateien auf der AS/400 angreifen kann, weil halt windowskonform. Ich möchte hier nicht den Eindruck vermitteln selbst ein potentieller Schädlingsschöpfer zu sein, man kennt mich ja nicht. Wer aber dennoch Zweifel hat darf mich gerne kontaktieren.

[KingofKning]

Wer sich mit der Thematik nicht intensiv auseinandersetzt und probiert der kann auch keine Lösungsansätze zum Schutz entwickeln.
Also mußt du zwangläufig in einer Testumgebung versuchen deine AS/400 zu knacken mit Kollegen darüber diskutieren um einen guten Schutz zu entwickeln.

Wenn Du eine Möglichkeit gefunden hast per Macro über z.B. Excel SQL-Daten zu modifizieren, wird es vermutlich bei einer anderen Firma nicht funktionieren. ODBC anders Libs anders etc.
Vielleicht könnte man in einer SAP-Umgebung was basten was allgemeingültig ist. Habe leider kein SAP.

Vielleicht kannst Du ja nächstes Jahr mal sagen ob Du eine Möglichkeit gefunden hast und stellst das mal einer anderen Firma zu Verfügung.

Versuch macht Klug..

GG

[Fuerchau]

Der Virus war nicht auf der AS/400 aktiv sondern auf dem Windowsrechner mit einer zugelassenen Freigabe.
Ein Scanner auf der AS/400 hätte da nichts gemerkt.
Ein Windows/Linuxserver merkt das auch nicht da ja die reinen Dateizugriffe durchaus beabsichtigt sein können.
Schließlich kann man seine Verzeichnisse ja auch selber ohne Virus verschlüsseln.

Das klingt ja böse nach einem "Erpresser-Virus".

[MoselRBA]

Das klingt ja böse nach einem "Erpresser-Virus".

Genau das war's auch!

[Pikachu]

Bibliotheken/Dateien sind selbst Teil des IFS:
/QSYS.LIB/Bibliothek.LIB/Datei.FILE/Teildatei.MBR

Es kommt natürlich immer auf die Berechtigung an,
ob jemand (Benutzername/Kennwort) Daten verändern darf.

Meine Bedenken hier sind eher, wäre es möglich vom IFS/QDLS aus gezielt auf Bibliotheken/Dateien zuzugreifen?

[BenderD]

Bibliotheken/Dateien sind selbst Teil des IFS:
/QSYS.LIB/Bibliothek.LIB/Datei.FILE/Teildatei.MBR

Es kommt natürlich immer auf die Berechtigung an,
ob jemand (Benutzername/Kennwort) Daten verändern darf.

... über einen Zugriff via IFS auf QSYS.LIB Objekte ist eine Verschlüsselung/Zerstörung per Modifikation der Objekte nicht möglich; anders könnte es da mit löschen aussehen. Diese Art von Virus wäre da wohl verpufft.

D*B