Mainframe adalah komponen penting dari infrastruktur TI di banyak industri, mendukung pemrosesan transaksi volume tinggi dengan keandalan tinggi dan berbagai mekanisme keamanan. Bank, maskapai penerbangan, hotel dan perusahaan asuransi semuanya bergantung pada mainframe untuk menangani transaksi yang terkait dengan transfer bank, pembelian kartu kredit, membuat reservasi dan memproses klaim asuransi.
Seperti sistem komputer lainnya, kesalahan konfigurasi mainframe mungkin terjadi meskipun fitur keamanan canggih. Karena pentingnya informasi yang ditangani oleh mesin-mesin ini, sangat penting bahwa keamanan pada mainframe dinilai oleh penguji penetrasi secara teratur dan hati-hati. Setiap mainframe dirancang secara khusus untuk memenuhi contoh penggunaan tertentu, sehingga seorang penetration tester memerlukan waktu untuk memahami lingkungan yang sedang mereka evaluasi. Setelah fase pengintaian awal, penguji akan mencari kerentanan dan misconfigurations pada perangkat lunak serta aplikasi yang berjalan di mainframe.
Ada beberapa alat pengujian penetrasi yang tersedia untuk mainframe, tetapi ini adalah skrip mandiri, bukan bagian dari alat multi-fungsi. Penguji harus meluangkan waktu untuk menentukan skrip mana yang sesuai untuk dijalankan dan di mana menemukan skrip yang akan bekerja paling baik di lingkungan mereka. Untuk mengatasi kesenjangan ini, Elizabeth Christensen dan saya, keduanya magang untuk IBM® X-Force Red, mengembangkan m-RAY, pemindai kerentanan otomatis untuk IBM® mainframe yang menjalankan sistem operasi z/OS. Ini dimaksudkan untuk membantu penguji penetrasi pada tahap awal keterlibatan mereka dengan mengidentifikasi kesalahan konfigurasi dan kerentanan umum. Melalui alat ini, tester dapat memangkas banyak waktu yang sebelumnya dihabiskan untuk menjalankan perintah dan melakukan reconnaissance secara manual, sehingga mereka dapat lebih fokus mengeksplorasi kemungkinan jalur serangan atau titik pivot serta menemukan isu lebih awal daripada penyerang.
m-ray dirancang sebagai kerangka kerja yang mudah diperluas yang memeriksa kerentanan dalam konfigurasi berbagai layanan dan menyederhanakan proses menjalankan skrip di lingkungan z/OS. Karena sifat mainframe yang disesuaikan, penguji dapat mengonfigurasi fitur mana yang ingin mereka gunakan agar sesuai dengan lingkungan tempat mereka bekerja.
Daftar kesalahan konfigurasi yang harus diperiksa dikompilasi dari z/OS RACF Security Technical Implementation Guide (STIG). STIG adalah persyaratan konfigurasi yang digunakan oleh Departemen Pertahanan untuk mengamankan sistem mereka dan didasarkan pada rekomendasi dari NIST. Terlepas dari apakah suatu perusahaan diwajibkan untuk mematuhi persyaratan tersebut atau tidak, STIG menjadi sumber praktik terbaik industri untuk berbagai produk piranti lunak dan menjadi dasar dari alat keamanan ini. Tim mengidentifikasi 25 miskonfigurasi teratas yang akan memberikan nilai terbesar bagi seorang penguji dan yang paling penting untuk diketahui oleh klien, kemudian menerapkannya sebagai pemeriksaan kerentanan.
Misalnya, m-ray memeriksa apakah tingkat izin pengguna sejajar di lingkungan Unix dan TSO, apakah SSH dikonfigurasi untuk menggunakan algoritma kriptografi aman dan apakah akun tidak aktif dicabut secara otomatis. Saat ini, m-ray menyediakan informasi tentang kesalahan konfigurasi mainframe di lingkungan Layanan Sistem Unix dan di RACF, perangkat lunak keamanan yang menangani kontrol akses pengguna pada z/OS. Beberapa memberikan jawaban pasti tentang apakah suatu misconfiguration terdapat pada sistem, sementara yang lain memberikan informasi sistem seperti daftar akun pengguna yang dapat mengakses sumber daya tertentu. Penguji penetrasi kemudian dapat bekerja dengan klien untuk menentukan apakah akses dibatasi dengan benar.
Selain memeriksa konfigurasi sistem, tujuan lain dari m-ray adalah untuk mengonsolidasikan fitur perkakas mainframe yang ada. Alat enumerasi ini sering ditulis dalam REXX, bahasa skrip mainframe. Untuk menggunakan salah satu skrip ini selama uji penetrasi, penguji harus menemukan alat sumber terbuka tersebut, mengunduhnya ke komputer mereka, mengunggahnya dari sana ke mainframe, menjalankannya, dan menafsirkan hasilnya. Untuk merampingkan prosedur ini, m-RAY menyertakan dua skrip REXX sumber terbuka paling populer dan mengotomatiskan proses mengunggah dan menjalankan skrip, serta membersihkan lingkungan sesudahnya. Penguji juga dapat menambahkan skrip REXX kustom mereka sendiri ke alat.
Secara keseluruhan, dengan menggunakan M-ray, penguji penetrasi dapat mengotomatiskan banyak pemeriksaan kerentanan yang seharusnya mereka lakukan secara manual dan dapat mengurangi waktu yang dihabiskan untuk mendapatkan gambaran awal sistem.
Ada beberapa cara untuk berinteraksi dengan mainframe modern. Metode tradisional adalah TSO, yang memungkinkan pengguna untuk terhubung ke sesi interaktif dan mengeluarkan perintah. Ini biasanya melibatkan penggunaan emulator terminal khusus yang beroperasi melalui protokol IBM® 3270. Sebagian besar mainframe modern juga menjalankan SSH, protokol konektivitas jarak jauh yang dapat beroperasi di semua platform. Ini menyediakan cara untuk mengeluarkan perintah TSO dan UNIX dan mengotomatiskan tindakan sebagai bagian dari skrip. m-ray beroperasi melalui koneksi SSH ke mainframe untuk memanfaatkan fungsionalitas tambahan yang disediakan SSH dan untuk menghindari dependensi khusus platform.
SSH pada mainframe menggunakan Unix System Services, fitur z/OS yang memungkinkannya menjalankan program yang ditulis untuk sistem Unix. Menggunakan protokol ini, m-ray mengatur koneksi ke mainframe dan menjalankan perintah untuk mengumpulkan informasi untuk melakukan pemeriksaan kesalahan konfigurasi. SCP digunakan untuk menyalin skrip REXX dengan aman ke mainframe. Otentikasi dapat dilakukan melalui kata sandi atau pasangan kunci untuk mengakomodasi konfigurasi sistem yang berbeda.
Aplikasi utama menyediakan antarmuka pengguna baris perintah, mengatur koneksi dan mulai memeriksa kerentanan. Penguji penetrasi memasukkan alamat IP mainframe, memilih jenis kesalahan konfigurasi untuk diperiksa dan memasukkan satu set kredensial tingkat rendah. Kemudian, koneksi dimulai antara m-RAY dan mainframe yang memastikan kemampuan untuk mengirim perintah dan menerima hasil dari sistem.
Pemeriksaan kerentanan dibagi menjadi tiga kategori: pemeriksaan Layanan Sistem Unix, pemeriksaan melalui TSO dan pengintaian umum. Setelah memilih salah satu kategori ini, penguji memiliki opsi untuk menjalankan semua pemeriksaan atau mengonfigurasi mana yang ingin mereka jalankan. Setelah mengumpulkan hasil pemindaian, m-ray menghasilkan laporan temuan dan beberapa informasi sistem yang dapat memberikan arahan bagi penguji penetrasi saat mereka maju melalui keterlibatan mereka. Menjalankan skrip REXX bekerja dengan cara yang sama. Setelah memilih opsi skrip, penguji dapat memilih mana yang ingin mereka jalankan.
Bagian terpenting dari desain aplikasi ini adalah modularitasnya. Karena praktik terbaik keamanan berkembang dari waktu ke waktu, perlu menambahkan pemeriksaan untuk kesalahan konfigurasi baru dan memodifikasi yang sudah ada. Pemeriksaan dan skrip baru dapat ditambahkan dengan memodifikasi template yang disertakan dan hanya memerlukan pengetahuan tentang perintah apa yang perlu dijalankan untuk mengumpulkan informasi yang relevan. Jika seorang penetration tester ingin menambahkan cek baru yang melibatkan menjalankan perintah TSO, mereka tidak perlu mengetahui cara membuat koneksi ke mainframe; yang mereka perlukan hanyalah mengetahui perintah TSO tersebut dan, jika perlu, hasil yang diharapkan dari perintah itu. Menambahkan cek baru akan memakan waktu kurang dari 10 menit. Dimungkinkan juga untuk menambahkan protokol koneksi baru. m-ray menggunakan SSH karena paling cocok untuk fungsionalitas saat ini, tetapi menambahkan protokol koneksi lain juga disederhanakan melalui kelas koneksi yang menerapkan antarmuka standar.
m-RAY adalah alat sumber terbuka yang dapat ditemukan di sini.
Harapan dengan proyek ini adalah bahwa proyek ini akan Lanjutkan diperluas dengan kesalahan konfigurasi dan pemeriksaan kerentanan baru di luar 25 yang saat ini diterapkan. Pilihan saat ini telah dikurasi untuk memberikan nilai paling besar kepada penguji penetrasi dan klien yang sistemnya mereka nilai. Ini, dikombinasikan dengan fungsionalitas perkakas sumber terbuka yang ada, membuahkan hasil alat pengujian penetrasi mainframe paling komprehensif yang tersedia.
