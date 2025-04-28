Los mainframes son un componente crítico de la infraestructura de TI en muchos sectores, ya que impulsan el procesamiento de transacciones de gran volumen con una alta fiabilidad y numerosos mecanismos de seguridad. Los bancos, las aerolíneas, los hoteles y las compañías de seguros confían en los mainframes para gestionar las transacciones asociadas a las transferencias bancarias, las compras con tarjeta de crédito, la creación de reservas y la tramitación de las reclamaciones de seguros.
Como cualquier sistema informático, es posible que se produzcan errores de configuración en los mainframes a pesar de las avanzadas características de seguridad. Debido a la importancia de la información que manejan estas máquinas, es imperativo que los probadores de penetración evalúen la seguridad de los mainframes con regularidad y cuidado. Cada mainframe está especialmente diseñado para adaptarse a un caso de uso particular, por lo que puede llevar tiempo que un probador de penetración adquiera una comprensión del entorno que está evaluando. Tras la fase inicial de reconocimiento, el probador buscará vulnerabilidades y configuraciones erróneas en el software y las aplicaciones que se ejecutan en el mainframe.
Hay varias herramientas de pruebas de penetración disponibles para mainframes, pero se trata de scripts independientes, que no forman parte de una herramienta multifuncional. Un probador debe dedicar tiempo a determinar qué scripts son apropiados para ejecutar y dónde encontrar los scripts que funcionarán mejor en su entorno. Para cubrir esta carencia, Elizabeth Christensen y yo, ambas becarias de IBM X-Force Red, desarrollamos m-RAY, un escáner automatizado de vulnerabilidades para mainframes de IBM que ejecutan el sistema operativo z/OS. Su objetivo es ayudar a los probadores de penetración en las fases iniciales de su intervención identificando los errores de configuración y las vulnerabilidades más comunes. Con esta herramienta, los probadores reducen las horas dedicadas a ejecutar comandos manualmente y realizar reconocimiento, aumentando el tiempo que pueden dedicar a seguir posibles rutas de ataque o puntos de pivote e identificar problemas antes de que pueda hacerlo un adversario.
m-RAY se diseñó como un marco fácilmente extensible que comprueba las vulnerabilidades en las configuraciones de varios servicios y simplifica el proceso de ejecución de scripts en un entorno z/OS. Debido a la naturaleza personalizada de los mainframes, los probadores pueden configurar qué características desean usar para adaptarse mejor al entorno en el que trabajan.
La lista de configuraciones erróneas que hay que comprobar se ha elaborado a partir de la Guía de implementación técnica de seguridad (STIG) de z/OS RACF. Las STIG son requisitos de configuración utilizados por el Departamento de Defensa para proteger sus sistemas y se basan en las recomendaciones del NIST. Tanto si una empresa está obligada a cumplir estos requisitos como si no, las STIG proporcionan una fuente de buenas prácticas del sector para diversos productos de software y constituyen la base de esta herramienta de seguridad. El equipo identificó las 25 principales configuraciones erróneas que aportarían mayor valor a un probador, y que serían las más importantes para que los clientes conocieran, y luego implementó estas configuraciones como comprobaciones de vulnerabilidades.
Por ejemplo, m-RAY comprueba si los niveles de permiso de los usuarios se alinean en los entornos Unix y TSO, si SSH está configurado para utilizar algoritmos criptográficos seguros y si las cuentas inactivas se revocan automáticamente. Actualmente, m-RAY proporciona información sobre errores de configuración del mainframe en el entorno de Unix System Services y en RACF, el software de seguridad que gestiona el control de acceso de los usuarios en z/OS. Algunos proporcionan una respuesta definitiva sobre si hay una determinada configuración errónea en el sistema, mientras que otros proporcionan información del sistema, como una lista de cuentas de usuario que pueden acceder a un recurso determinado. Un probador de penetración puede entonces trabajar con el cliente para determinar si el acceso está correctamente restringido.
Además de comprobar las configuraciones del sistema, otro objetivo de m-RAY es consolidar las características de las herramientas de mainframe existentes. Estas herramientas de enumeración suelen estar escritas en REXX, un lenguaje de scripting para mainframes. Para utilizar uno de estos scripts durante una prueba de penetración, el probador debe encontrar la herramienta de código abierto, descargarla en su ordenador, cargarla desde allí al mainframe, ejecutarla e interpretar los resultados. Para agilizar este procedimiento, m-RAY incluye los dos scripts REXX de código abierto más populares y automatiza el proceso de carga y ejecución del script, así como la limpieza posterior del entorno. Los evaluadores también pueden añadir sus propios scripts REXX personalizados a la herramienta.
En general, mediante el uso de m-RAY, un probador de penetración puede automatizar muchas de las comprobaciones de vulnerabilidades que de otro modo tendrían que realizar manualmente y puede reducir el tiempo dedicado a obtener una visión general inicial del sistema.
Hay varias formas de interactuar con un mainframe moderno. El método tradicional es TSO, que permite a los usuarios conectarse a una sesión interactiva y emitir comandos. Esto suele implicar el uso de un emulador de terminal especializado que opera sobre el protocolo IBM 3270. La mayoría de los mainframes modernos también ejecutan SSH, un protocolo de conectividad remota que puede funcionar en todas las plataformas. Esto proporciona una forma de emitir comandos TSO y UNIX y automatizar acciones como parte de un script. m-RAY opera a través de una conexión SSH al mainframe para beneficiarse de la funcionalidad adicional que proporciona SSH y evitar dependencias específicas de la plataforma.
SSH en el mainframe utiliza Unix System Services, una característica de z/OS que le permite ejecutar programas escritos para sistemas Unix. Con este protocolo, m-RAY establece una conexión con el mainframe y ejecuta comandos para recopilar información para realizar comprobaciones de configuración incorrecta. El SCP se utiliza para copiar de forma segura los guiones de REXX al mainframe. La autenticación puede realizarse mediante una contraseña o un par de claves para adaptarse a diferentes configuraciones del sistema.
La aplicación principal proporciona una interfaz de usuario de línea de comandos, establece las conexiones y comienza a comprobar las vulnerabilidades. El probador de penetración introduce la dirección IP del mainframe, selecciona los tipos de desconfiguraciones que desea comprobar e introduce un conjunto de credenciales de bajo nivel. A continuación, se inicia una conexión entre m-RAY y el mainframe que garantiza la capacidad de enviar comandos y recibir resultados del sistema.
Las comprobaciones de vulnerabilidad se dividen en tres categorías: comprobaciones de Unix System Services, comprobaciones a través de TSO y reconocimiento general. Tras seleccionar una de estas categorías, un probador tiene la opción de realizar todas las comprobaciones o configurar cuáles desea ejecutar. Tras recopilar los resultados de un escaneo, m-RAY elabora un informe de hallazgos e información del sistema que puede orientar al probador de penetración a medida que avanza en su combate. Ejecutar un script de REXX funciona de forma similar. Tras seleccionar la opción de scripts, un probador puede seleccionar cuáles desea ejecutar.
La parte más importante del diseño de esta aplicación es su modularidad. A medida que las buenas prácticas de seguridad evolucionen con el tiempo, será necesario añadir comprobaciones para detectar nuevos errores de configuración y modificar los existentes. Se pueden añadir nuevas comprobaciones y scripts modificando una plantilla incluida y solo es necesario saber qué comandos se deben ejecutar para recopilar la información pertinente. Si un probador de penetración quisiera añadir una nueva comprobación que implicara ejecutar un comando TSO, no necesita saber cómo establecer una conexión al mainframe, solo necesita conocer el comando TSO y, opcionalmente, cuál es el resultado deseado del comando. Añadir una nueva comprobación debería tardar menos de 10 minutos. También es posible añadir nuevos protocolos de conexión. m-RAY utilizó SSH ya que era el que mejor se adaptaba a la funcionalidad actual, pero añadir otro protocolo de conexión también se simplifica mediante clases de conexión que implementan una interfaz estándar.
m-RAY es una herramienta de código abierto que se puede encontrar aquí.
La esperanza con este proyecto es que continúe ampliándose con nuevas comprobaciones de errores de configuración y vulnerabilidades más allá de las 25 implementadas actualmente. La selección actual se ha elegido para ofrecer el máximo valor tanto a los probadores de penetración como a los clientes cuyos sistemas están evaluando. Esto, combinado con la funcionalidad de las herramientas de código abierto existentes, da como resultado la herramienta de pruebas de penetración en mainframe más completa disponible.
