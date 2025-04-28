Mainframes são um componente crítico da infraestrutura de TI em muitos setores, impulsionando processamento de transações de alto volume com alta confiabilidade e inúmeros mecanismos de segurança. Bancos, companhias aéreas, hotéis e seguradoras contam com mainframes para lidar com as transações associadas a transferências bancárias, compras com cartão de crédito, criação de reservas e processamento de sinistros de seguro.
Como em qualquer sistema de computador, as configurações incorretas do mainframe são possíveis, apesar das funcionalidades avançadas de segurança. Devido à importância das informações que essas máquinas processam, é imprescindível que a segurança do mainframe seja avaliada regularmente e com cuidado por especialistas em testes de penetração . Cada mainframe é especialmente projetado para atender a um caso de uso específico, portanto, pode levar algum tempo para que um profissional de testes de penetração compreenda o ambiente que está avaliando. Após a fase de reconhecimento inicial, o especialista procurará vulnerabilidades e configurações incorretas no software e nas aplicações executados no mainframe.
Existem várias ferramentas de testes de penetração disponíveis para mainframes, mas esses são scripts independentes, não fazem parte de uma ferramenta multifuncional. Um profissional de testes deve dedicar algum tempo para determinar quais scripts são apropriados para execução e onde encontrar os scripts que funcionarão melhor em seu ambiente. Para lidar com essa lacuna, Elizabeth Christensen e eu, ambos estagiários do IBM X-Force Red, desenvolvemos o m-RAY, um scanner de vulnerabilidades automatizado para mainframes da IBM que executam o sistema z/OS. O objetivo é ajudar profissionais de testes de penetração em estágios iniciais, identificando configurações incorretas e vulnerabilidades comuns. Com essa ferramenta, os especialistas reduzem as horas gastas executando comandos manualmente e realizando reconhecimento, o que aumenta o tempo disponível para investigar possíveis caminhos de ataque ou pontos de inflexão e identificar problemas antes que um adversário o faça.
O m-RAY foi projetado como um framework facilmente extensível que verifica as vulnerabilidades nas configurações de vários serviços e simplifica o processo de execução de scripts em um ambiente z/OS. Devido à natureza personalizada dos mainframes, os profissionais de testes podem configurar quais funcionalidades gostariam de usar para melhor se adequar ao ambiente em que estão trabalhando.
A lista de configurações incorretas a serem verificadas foi compilada a partir do Security Technical Implementation Guide (STIG) do z/OS RACF. STIGs são requisitos de configuração usados pelo departamento de segurança para proteger os sistemas e são baseados em recomendações do NIST. Independentemente de uma empresa ser obrigada a cumprir esses requisitos ou não, os STIGs fornecem uma fonte com as melhores práticas do setor para vários produtos de software e formam a base dessa ferramenta de segurança. A equipe identificou as 25 principais configurações incorretas mais valiosas para um testador e que seriam mais importantes para os clientes estarem cientes e, em seguida, as implementou como verificações de vulnerabilidade.
Por exemplo, o m-RAY verifica se os níveis de permissão dos usuários estão alinhados nos ambientes Unix e TSO, se o SSH está configurado para usar algoritmos criptográficos seguros e se contas inativas são automaticamente revogadas. Atualmente, o m-RAY fornece informações sobre configurações incorretas do mainframe no ambiente Unix System Services e no RACF, o software de segurança que lida com o controle de acesso de usuário no z/OS. Algumas fornecem uma resposta definitiva sobre a presença de uma determinada configuração incorreta no sistema, enquanto outras fornecem informações do sistema, como uma lista de contas de usuário que podem acessar um determinado recurso. Um profissional de testes de penetração pode então trabalhar com o cliente para determinar se o acesso está devidamente restrito.
Além de verificar as configurações do sistema, outro objetivo do m-RAY é consolidar as funcionalidades das ferramentas de mainframe existentes. Essas ferramentas de enumeração geralmente são escritas em REXX, uma linguagem de script de mainframe. Para usar um desses scripts durante um teste de inserção, o profissional de testes deve encontrar a ferramenta de código aberto, baixá-la para o seu computador, carregá-la de lá para o mainframe, executá-la e interpretar os resultados. Para agilizar esse procedimento, o m-RAY inclui os dois scripts REXX de código aberto mais populares e automatiza o processo de upload e execução do script, além de limpar o ambiente posteriormente. Os profissionais de testes também podem adicionar seus próprios scripts REXX personalizados à ferramenta.
De forma geral, ao usar o m-RAY, um profissional de testes de penetração pode automatizar muitas das verificações de vulnerabilidade que, de outra forma, precisaria realizar manualmente, reduzindo o tempo gasto na obtenção de uma visão geral inicial do sistema.
Há várias maneiras de interagir com um mainframe moderno. O método tradicional é o TSO, que permite que os usuários se conectem a uma sessão interativa e emitam comandos. Isso geralmente envolve o uso de um emulador de terminal especializado que opera no protocolo IBM 3270. A maioria dos mainframes modernos também executa o SSH, um protocolo de conectividade remota que pode operar em todas as plataformas. Isso oferece uma maneira de emitir comandos do TSO e do UNIX e automatizar ações como parte de um script. O m-RAY opera sobre uma conexão SSH com o mainframe para aproveitar a funcionalidade adicional que o SSH fornece e evitar dependências específicas da plataforma.
O SSH no mainframe usa o Unix System Services, uma funcionalidade do z/OS que permite executar programas escritos para sistemas Unix. Usando esse protocolo, o m-RAY estabelece uma conexão com o mainframe e executa comandos para coletar informações e realizar verificações de configuração incorreta. O SCP é usado para copiar scripts REXX para o mainframe de forma segura. A autenticação pode ser realizada por meio de uma senha ou de um par de chaves para acomodar as diferentes configurações do sistema.
A aplicação principal fornece uma interface de usuário de linha de comando, estabelece conexões e inicia a verificação de vulnerabilidades. O profissional de testes de penetração insere o endereço IP do mainframe, seleciona os tipos de configurações incorretas a serem verificadas e insere um conjunto de credenciais de baixo nível. Então, é iniciada uma conexão entre o m-RAY e o mainframe, garantindo a capacidade de enviar comandos e receber resultados do sistema.
As verificações de vulnerabilidade são divididas em três categorias: verificações de serviços do sistema Unix, verificações por meio do TSO e reconhecimento geral. Depois de selecionar uma dessas categories, profissionais de testes tem a opção de executar todas as verificações ou configurar quais ele gostaria de executar. Após coletar os resultados de uma varredura, o m-RAY gera um relatório com as descobertas e algumas informações do sistema que podem orientar profissionais de testes de penetração à medida que avançam em sua atuação. A execução de um script REXX funciona de forma semelhante. Depois de selecionar a opção de scripts, o profissional de testes pode selecionar quais deseja executar.
A parte mais importante do design dessa aplicação é sua modularidade. À medida que as melhores práticas de segurança evoluem com o tempo, será necessário adicionar verificações para novas configurações incorretas e modificar as existentes. Novas verificações e scripts podem ser adicionados modificando um modelo incluído, sendo necessário apenas saber quais comandos devem ser executados para coletar as informações relevantes. Se um profissional de penetração quiser adicionar uma nova verificação que envolva a execução de um comando TSO, ele não precisa saber como configurar uma conexão com o mainframe, basta conhecer o comando TSO e, opcionalmente, qual o resultado desejado do comando. Adicionar uma nova verificação deve levar menos de 10 minutos. Também é possível adicionar novos protocolos de conexão. O m-RAY utiliza SSH por ser o mais adequado para a funcionalidade atual, mas adicionar outro protocolo de conexão também é simplificado por meio de classes de conexão que implementam uma interface padrão.
O m-RAY é uma ferramenta de código aberto que pode ser encontrada aqui.
A expectativa com este projeto é que ele continue sendo expandido com novas verificações de configurações incorretas e vulnerabilidades, além das 25 atualmente implementadas. A seleção atual foi feita para fornecer o máximo valor, tanto para profissionais de penetração quanto para os clientes cujos sistemas estão sendo avaliados. Isso, combinado com a funcionalidade das ferramentas de código aberto existentes, resulta na ferramenta de teste de penetração de mainframe mais abrangente disponível.
