Aktuelle Virenwarnungen

[Pikachu]

Also den Inhalt einer Teildatei kann man darüber (mit nem Editor) schon irgendwie verändern ...

... über einen Zugriff via IFS auf QSYS.LIB Objekte ist eine Verschlüsselung/Zerstörung per Modifikation der Objekte nicht möglich; anders könnte es da mit löschen aussehen. Diese Art von Virus wäre da wohl verpufft.D*B

[BenderD]

mit nem Editor

... aber nur wenn der Editor auf den entsprechenden Schnittstellen aufsetzt. Es zieht schon noch das Obejkt basierte Design der AS/400, dass jedes Objekt nur mit dafür vorgesehenen Methoden angefasst werden kann und unter der Oberfläche werden dann bestimmte Konsistenz Bedingungen eingehalten. Man kann also zum Beispiel einer Teildatei nicht erzählen, dass sie nun ein Programm sei oder umgekehrt. Unfug kann man da immer noch machen, aber eben anders als unter Windoof.

D*B

[holgerscherer]

Und ob einer gezielt einen Compiler mit Virencode anschmeißt halte ich eher für ein Gerücht.
...
Bei der AS/400 sitzen die Trojaner meist vor den Bildschirmen.

Virencode kann ich auch mit CL erstellen. Allerdings kann der Virencode nix machen, da (wie schon hier geschrieben) es nicht ganz so einfach ist, *PGM Objekte zu modifizieren...

Was im IFS passiert, ist dem i erst mal egal, das muss man ausklammern oder über Virenscanner verhindern.

Was aber schon immer geht: die Client Access APIs mal so richtig zum Glühen zu bringen. Wer CA installiert hat, und am besten noch automatische Anmeldung (via SSO) aktiv hat, dem ist sowieso nicht zu helfen...

-h

[MoselRBA]

Wer CA installiert hat, und am besten noch automatische Anmeldung (via SSO) aktiv hat, dem ist sowieso nicht zu helfen...-h

Autsch! Der sitzt, was kann man da besser machen? Gibt es Literatur wo man sich mal mit beschäftigen könnte?

[Fuerchau]

Die Literatur bezieht sich i.W. auf das Berechtigungskonzept der AS/400.
Hier kann ich jedes Objekt (eine Lib gehört auch dazu) gegen unbefugten Zugriff schützen.
Ein Virus hat nur dann eine Chance wenn der User über *ALLOBJ-Berechtigung verfügt und diese ist z.B. dem QSECOFR vorbehalten.
Wie Dieter schon schreibt, jedes AS/400-Objekt hat seine Zugriffsmethoden die unbedingt einzuhalten sind (ja, die AS/400 ist von Grund auf ein objektorientiertes System).
Schadsoftware á la Windows hat da nun mal schlechte Karten.

Was den Rest der IFS-Welt angeht so ist diese genauso gut geschützt wie jeder Windowsserver.

[andreaspr@aon.at]

Mein Lieblingsvergleich ist der, dass Security im OS der IBM i von Anfang an im Kern mitentwickelt wurde.
Anders bei Windows und Unix wo Security quasi ein "Add-On" ist.
Du kannst einen Kernel erstellen der kein Berechtigungssystem hat. Wenn du zum Zusammenbauen eines Kernels eine SW verwendest, kannst du neben den Prozessor Treibern uvm. auch ein Hacken bei Berechtigungen machen oder nicht.

Das macht es schwieriger Sicherheitslücken zu finden. Nicht umsonst gibt es Berichte wo die AS/400 frei im Internet stand weil ein Admin diverse Firewall Regeln vergessen hatte und das jahrelang keinem auffiel.

Natürlich wenn z.B. alle user mit *ALLOBJ ausgestattet sind, hilft die beste Security nicht.
Oder Passwörter aus den Top 25 häufig verwendeten stammen.

[AG1965_2]

Ein Virus ist erst dann bedrohlich, wenn er eine CPU findet, die ihn verstehen kann und ausführen will.
Das wird einem auf einem System i nicht so leicht gelingen wie auf einer anderen Plattform.
Schließlich kann man hier - zumindest im klassischen Bibliotheksdateisystem - nicht so leicht aus z.B. einem Textfile ein Programm machen.

[Fuerchau]

Wer sich ein wenig mit REXX auskennt der weiß, dass mit der entsprechenden Berechtigung eine REXX-Prozedur dynamisch erstellt und ausgeführt werden kann.
Da REXX immer verfügbar ist kann dies für Makroviren ein interessanter Ansatz sein.
Allerdings muss das Virus sich schon per SQL oder API in die AS/400 einloggen.

[Pikachu]

Aber irgendein externes Programm könnte den Inhalt einer Teildatei (ähnlich wie eine normale Textdatei) verschlüsseln, wenn diese per Dateisystem-Freigabe übers IFS erreichbar ist (und die entsprechende Datenberechtigung vorliegt) und den ursprünglichen Inhalt nur gegen Lösegeld wieder herausrücken.

... aber nur wenn der Editor auf den entsprechenden Schnittstellen aufsetzt. Es zieht schon noch das Obejkt basierte Design der AS/400, dass jedes Objekt nur mit dafür vorgesehenen Methoden angefasst werden kann und unter der Oberfläche werden dann bestimmte Konsistenz Bedingungen eingehalten. Man kann also zum Beispiel einer Teildatei nicht erzählen, dass sie nun ein Programm sei oder umgekehrt. Unfug kann man da immer noch machen, aber eben anders als unter Windoof.

D*B

[Fuerchau]

Nein.
Eine Datei lässt sich nicht wie eine IFS-Datei öffnen.
Dies geht nur klassisch per Standard-IO oder per SQL.
Das Datei-Objekt besteht ja nicht nur aus den Daten sondern enthält eine Vielzahl von weiteren Objekten (LF's, Keys, Trigger, Berechtigungen und eben Daten und ggf. Index).
Jede dieser Eigenschaften kann nur mit passenden Methoden bearbeitet werden.
IFS-IO gehört da nun mal nicht dazu.

Ausschließlich SAVxxx-Befehle als Systemdomänen-Objekte können da mehr.

[Pikachu]

Eine Datei (FILE) natürlich nicht, aber eine Teildatei (MBR), und somit die Daten.

Nein.
Eine Datei lässt sich nicht wie eine IFS-Datei öffnen.
Dies geht nur klassisch per Standard-IO oder per SQL.
Das Datei-Objekt besteht ja nicht nur aus den Daten sondern enthält eine Vielzahl von weiteren Objekten (LF's, Keys, Trigger, Berechtigungen und eben Daten und ggf. Index).
Jede dieser Eigenschaften kann nur mit passenden Methoden bearbeitet werden.
IFS-IO gehört da nun mal nicht dazu.

Ausschließlich SAVxxx-Befehle als Systemdomänen-Objekte können da mehr.

[BenderD]

... passend zum Thema trudelt gerade eine Bestellung von einer offenbar gespooften eMail Adresse krell@berges.de bei mir ein, die im Anhang wohl eine infizierte Word Datei mitbringt.

Zu dem verschlüsseln etc. sei noch angemerkt, dass sich extern beschriebene Dateien nicht mit einem Editor öffnen lassen, also auch nicht verschlüsseln.

Zu der REXX Problematik sei noch angemerkt, dass Viren, also sich selber per duplizieren verbreitende Programme, voraussetzen, dass ich REXX Scripte habe (, was nicht heißen soll, dass es keine anderen Mechanismen für Schadprogramme gibt), aber selbst da dürfte es schwierig sein so etwas per Word Macro oder whatever von Windows aus einzuschleusen, geschweige denn einen Windows Virus auf OS/400 springen zu lassen.

D*B