kleines Scheunentor auf R530 entdeckt

[KingofKning]

Also so ganz kann ich Dir da nicht zustimmen.
Wenn Du z.B. Holgers Kiste nimmst und Dir da einen Account holst würde ich meinen zarten Popo drauf verwetten das Du keine Chance hast irgendwas auzurichten.
Du hast nur dann ne Möglichkeit wenn Du z.B. das System und die Leute kennst.
Und auch da wird es schon schwierig wenn ein wenig Vernunft beim Sysadmin ist und der auch die Logfiles mitliest.
Ich persönlich schaue mir min. 3 am Tag an wer was macht. Führt dann dazu das die Leute immer ein wenig erstaunt sind wenn ich Sie frage warum sie sich denn schon 2 mal falsch angemeldet haben oder warum am Terminal x wo sich normalerweise Benutzer x anmeldet auf einmal y anmeldet.
Ich gebe Dir insofern Recht das ein frisch installiertes OS/400 relativ offen ist.
Aber es wäre mal ne reizvolle Aufgabe ne Kiste zu nehmen und die zu hacken.
Btw. Ich glaube seit Schilly und Schäuble ihr Unwesen treiben ist das strafbar. Hat zwar den Nachteil das unsereins sich nicht mehr über Systemlücken austauschen können bzw. auch austesten können aber Hauptsache Schäuble und Ihre Mannen kommen auf jeden PC / jede AS/400.
Mich wundert es nur das die neue Rechtslage in NRW so gar keinen Staub aufwirbeln.

[Fuerchau]

Ohne *ALLOBJ (ggf. auch im Gruppenprofil) kommt man an andere Objekte gar nicht dran, wenn diese mit *PUBLIC *EXCLUDE gesichert sind !
Klaro, *PUBLIC *USE ist die Regel, so dass ich alles sehen und ggf. per CALL auch aufrufen kann.
Kenne ich beim CALL auch noch die Parameter, oder kann ggf. einen RTVCLSRC machen um diese festzustellen, ist das besagte Scheunentor auch gaaaaanz weit auf.

[BenderD]

Hallo,

da muss man doch drei Dinge sauber auseinanderhalten:

Szenario PWRDWNSYS = ich habe Programmierer Rechte, sprich Commandline und ich darf Programme erstellen, so ich denn die Objektrechte am jeweiligen Teil habe.
Sobald auf dieser Büchse mit adopted Authority gearbeitet wird, finden sich meist Nachlässigkeiten in der Implementierung mit denen man innerhalb von kurzer Zeit alles darf und einem die Büchse aus der Hand frisst, wenn man es denn darauf anlegt.

Szenario Holgers Büchse: Irgendwo steht eine Kiste, auf der ich einen Account und eine Art Sandbox als private Umgebung habe.
Das ist schon schwieriger, aber nicht Hoffnungslos. Wenn es mir denn gelänge irgendwo einen Trojaner zu platzieren, bin ich wieder durch und gegen lahmlegen ist der gute Holger auf den Goodwill seiner Mitnutzer angewiesen und kann dann allenfalls versuchen die Schmutzbacken wenigstens im Nachhinein eruieren zu können, damit sie ihm die Möhre nur einmal platt fahren dürfen.

Szenario Hacker: irgendwo in der weiten Welt sitzt jemand, den ich nicht kenne, der sich meine Büchse zum Ziel ausgesucht hat und jeden beliebigen Aufwand investiert, meine Kiste zu hacken.
Jetzt haben wir einen mehr oder weniger sportlichen Wettkampf, den meist der gewinnt, der mehr drauf hat. Ich kann mir einen Vorteil verschaffen, wenn ich meine Kiste in einen von der Außenwelt abgeschotteten Bunker stellen kann, aber dann kommt außer der Besatzung des Bunkers auch keiner mehr dran. Je mehr Leute ich dranlasse, umso mehr verschiebt sich das Ganze zur Seite des Hackers; ein Ping wird da schon zur Waffe, wenn es denn gelingt diesen Millionenfach von allen Richtungen gegen die Maschine zu schießen.

Dieter Bender,

der meint, dass solche Sprüche wie "die AS400, der sicherste Rechner der Welt" eines der größten Risiken darstellen

Also so ganz kann ich Dir da nicht zustimmen.
Wenn Du z.B. Holgers Kiste nimmst und Dir da einen Account holst würde ich meinen zarten Popo drauf verwetten das Du keine Chance hast irgendwas auzurichten.
Du hast nur dann ne Möglichkeit wenn Du z.B. das System und die Leute kennst.
Und auch da wird es schon schwierig wenn ein wenig Vernunft beim Sysadmin ist und der auch die Logfiles mitliest.
Ich persönlich schaue mir min. 3 am Tag an wer was macht. Führt dann dazu das die Leute immer ein wenig erstaunt sind wenn ich Sie frage warum sie sich denn schon 2 mal falsch angemeldet haben oder warum am Terminal x wo sich normalerweise Benutzer x anmeldet auf einmal y anmeldet.
Ich gebe Dir insofern Recht das ein frisch installiertes OS/400 relativ offen ist.
Aber es wäre mal ne reizvolle Aufgabe ne Kiste zu nehmen und die zu hacken.
Btw. Ich glaube seit Schilly und Schäuble ihr Unwesen treiben ist das strafbar. Hat zwar den Nachteil das unsereins sich nicht mehr über Systemlücken austauschen können bzw. auch austesten können aber Hauptsache Schäuble und Ihre Mannen kommen auf jeden PC / jede AS/400.
Mich wundert es nur das die neue Rechtslage in NRW so gar keinen Staub aufwirbeln.

[holgerscherer]

der meint, dass solche Sprüche wie "die AS400, der sicherste Rechner der Welt" eines der größten Risiken darstellen

ich habe schon Security Audits grösserer Beratungsunternehmen bei Kunden gesehen, da stand wörtlich drin "und die FiBu läuft auf einer AS/400, die ist sicher." (soviel zu diesem Thema). Das ganze Audit war das Vermögen nicht wert, was es gekostet hat...

Auf meiner Kiste versuche ich den Spagat zwischen Sicherheit und Anwendbarkeit (auch für Programmierer). Das ist gewiss nicht trivial, garantiert nie 100%ig und eine Menge Arbeit. Aber es macht Spass, und man sieht immerhin, dass es geht, im Gegensatz zu manch anderem Apparat. Nur mein Leben oder einen größeren Geldbetrag verwetten würde ich darauf auch nicht. Dann müsste man zu viel Zeit investieren, was für eine öffentliche Spielwiese nicht interessant ist.

Das Thema mit dem Trojaner hatte ich auch schon (gruss an Jürgen R.); das ist in der Regel die effektivste Methode, irgendwo ran zu kommen.

Und selbst eine ausgeschaltete Kiste im Bunker mit Bleimantel ist nicht 100%ig sicher. Der Server stirbt mit der Sicherheit des Clients, und im Notfall mit der Sicherheit des Bewachungspersonals.

-h

[holgerscherer]

Hallo Forum,
habe gerade ein Redpaper mit einem neuen Service der IBM
gefunden, welchen eigentlich jeder nutzen sollte.

http://www.redbooks.ibm.com/redpapers/pdfs/redp4226.pdf

Joah, das IDS im V5R4 ist eine nette Idee, aber eher als Beta oder Gag der Programmierer anzusehen. Jede 500EUR-Firewall oder eine Linux-Möhre hat mehr drauf und ist flexibler.

-h