home *** CD-ROM | disk | FTP | other *** search
/ Group 42-Sells Out! - The Information Archive / Group 42 Sells Out (Group 42) (1996).iso / hack / nia / nia046.txt < prev    next >
Text File  |  1995-11-30  |  11KB  |  234 lines
  1.  ┌──────────────────┐ ╔═══════════════════════════════╗ ┌──────────────────┐
  2.  │   Founded By:    │ ║  Network Information Access   ║ │ Mother Earth BBS │
  3.  │ Guardian Of Time │─║            19AUG90            ║─│    Text Files    │
  4.  │   Judge Dredd    │ ║          Judge Dredd          ║ │  (713)-ITS-DOWN  │
  5.  └────────┬─────────┘ ║            File 46            ║ └─────────┬────────┘
  6.           │           ╚═══════════════════════════════╝           │
  7.           │      ╔═════════════════════════════════════════╗      │
  8.           └──────╢ Security Exposures and Controls for MVS ╟──────┘
  9.                  ╚═════════════════════════════════════════╝
  10.  
  11.  
  12.   MVS has many areas of concern to the data security officer.  If these are
  13. not adequately addressed, the installation exposes itself to the threats of
  14. computer viruses, theft and fraud.  This article describes some of the major
  15. security exposures (hmm, what shall we use these for?) in MVS and suggests a
  16. remedy for each.
  17.   The Implementation of most of the suggested control mechanisms requires the
  18. purchase of some type of optional security software package.  This will be
  19. generically referred to as "security software".
  20.  
  21.  
  22. AUTHORIZED LIBRARIES
  23.  
  24.   Authorized libraries are by far the greatest area of exposure in the MVS
  25. enviornment.  According to IBM's statement on integrity, MVS guarantees
  26. integrity for all processing done by unauthorized programs running in the
  27. system.  That is, and unauthorized program cannont preform a task that would
  28. compromise the integrity of the system or of data outside the program's realm.
  29.   So what is an 'authorized' program?  It is one that can execute privileged
  30. instructions and bypass normal security checks and controls.  IBM never
  31. guaranteed integrity for authorized programs (except for those that it wrote
  32. as part of the operating system).  Indeed, by the very nature of these programs
  33. it is impossible for them to do so.  The installation is responsible to ensure
  34. that authorized programs function as desired and that they are secured from
  35. unauthorized access.
  36.   For a program to be authorized it must meet 2 criteria.  It must be linkedited
  37. with AC=1 and it must reside in an authorized library.  The first condition
  38. is easy to satisfy.  Anyone who knows how to linkedit a program can get past
  39. this condition, therefore, in which all the controls are needed.  That is, the
  40. installation must ensure that authorized libraries are not subject to abuse.
  41.   Authorized libraries are installation-defined and are specified in the
  42. following members of SYS1.PARMLIB:
  43.  
  44.                       IEAAPFxx
  45.                       LNKLSTxx
  46.                       LPALSTxx
  47.  
  48.   Three steps can be taken to control the use of authorized libraries.
  49.    1 - ensure that there are security profiles protecting all existing
  50.        authorized libraries and allow update access to only a handful
  51.        of induviduals.  Further, make sure that security profiles are
  52.        added and deleted as meccessary.
  53.    2 - Implement formal procedures for adding or deleting authorized libraries
  54.        and for adding, deleting, or modifying programs in an autthorized
  55.        library.
  56.    3 - Conduct periodic reviews to ensure that everything is in place.
  57.  
  58.  
  59. TAPE BYPASS LABEL PCOCESSING (BLP) PROCEDURES
  60.  
  61.   MVS JCL allows the option of bypassing the tape label when processing a tape
  62. data set.  By bypassing the tape label, security checking is not done; thus,
  63. and unauthorized user can read or even destroy tape data.
  64.   There are 2 ways to restrict the use of the tape BLP option.  One is to
  65. specify JES2 parameters such that BLP processing is allowed only via specified
  66. initiationrs and control the use of these special initiators.  The second way
  67. is to use the tape management system to disallow this option.
  68.  
  69.  
  70. SYSTEM PARAMETER LIBRARIES
  71.  
  72.   SYS1.PARMLIB and SYS1.PROCLIB contain system parameters that are used during
  73. system startup.  The parameters in these systems determine options that will
  74. be in effect for the system.  If an unauthorized person updates data in them,
  75. the system may start improperly or meay even fail to start.
  76.   Ensure that security profiles exist to protect these libraries.  Specifically
  77. keep to a minimum the number of people who can update them.  Also, establish
  78. change control procedures for all updates to these libraries.
  79.  
  80.  
  81. SYSTEM DATA SETS
  82.  
  83.   Data sets beginning with SYS1 are system data sets.  Together they constitute
  84. the operating system.
  85.   Restrict access, especially UPDATE access, to all system data sets.
  86. Generally, only the systems programmers need to update the system data sets.
  87.  
  88.  
  89. STARTED TASKS
  90.  
  91.   Started tasks are initiated from an operator console.  Started tasks, if not
  92. properly controlled, can bypass security software to access and even destroy
  93. important data.
  94.   Use the security software to protect all started tasks.  Identify all started
  95. tasks and assign to each one appropriate access using the security system.
  96. Make sure that for each entry a started task exists in PROCLIB.  Lastly,
  97. institute procedures for adding and removing started tasks.
  98.  
  99.  
  100. PROGRAM PROPERTIES TABLE
  101.  
  102.   IBM provides the Program Properties Table (PPT) to sepcify programs needing
  103. sprecial powers.  This table should be protected against unauthorized access.
  104. An unwarranted program in this table can bypass normal security software
  105. processing and checking.  Obsolete or unnecesssary programs in the PPT may
  106. result in unauthorized programs gaining special powers.
  107.   Examine all entries in the PPT and make sure each entry is justified.
  108.  
  109.  
  110. IEHINTT And IMASPZAP PROGRAMS
  111.  
  112.   IEHINTT is the tape initialization program that can destroy tape labels and
  113. therefore data on tape.  IMASPZAP can modify contents of a program.  Both these
  114. utilities have potential use to cause damage by bypassing security controls.
  115. An installation may have other programs whoese use should be restricted also.
  116.   Use the program protection feature of the security software to restrict
  117. access to these programs.
  118.  
  119.  
  120. MVS CATALOGS
  121.  
  122.   If an MVS catalog is destroyed, it can result in widespread disruption of
  123. service.  The MVS master catalog is the most critical because all data set
  124. searches are funnelled through it.  The master catalog, if properly protected,
  125. can also enforce data set naming standards for the first-level qualifier.
  126.   For user catalogs, use security software to ensure that only the systems
  127. programmers are permitted to delete user catalogs.  For a master catalog, ensure
  128. that only the systems programming staff is permitted to write into, modify or
  129. delete a master catalog.
  130.  
  131.  
  132. SYSTEM EXITS
  133.  
  134.   System exits, such as SMF or JES exits, are provided by IBM to modify the
  135. operating system using standardized interfaces.  The intended use is to tailor
  136. the operating system environment to suit an installation.  The use of system
  137. exits to tailor the MVS enviornment should not be discouraged; however, since
  138. they alter the operating system, their use and implementation must me
  139. monitored.  Otherwaire, there is room for a time bomb or virus to creep in.
  140.   Guarantee that proper controls and procedures exist for installing system
  141. exits.  Ensure that source code for system exits is always availalbe and
  142. examine the source code to ensure there are no time bombs.  Use the System
  143. Modification Program (SMP) to install all exits.  This will guarantee system
  144. software integrity.
  145.  
  146.  
  147. SMF DATA SETS
  148.  
  149.   Security software packages produce SMF records for logging violations and so
  150. on.  Other system events and activities also generate SMF records; therefore
  151. many different SMF record types are produced.  However, the system allows
  152. an installation to specify which SMF record types are to be collected and
  153. which are to be disgarded.  This leaves open the pssibility that important
  154. SMF records may have been suppressed, allowing security violations to go
  155. unnoticed.
  156.   Ensure that the member SMFPRMxx in SYS1.PARMLIB collects records produced
  157. by the security software and other records required by an installation.
  158.  
  159.  
  160. SYSTEM LOG
  161.  
  162.   The System Log (SYSLOG) data set contains a log of many of the system
  163. activities.  Among other things, security software violations and other
  164. messages that are sent to SYSLOG.  The information contained in SYSLOG is
  165. useful in tracking down certain events after they have occurred.  For this
  166. reason, it is essential to have available the SYSLOG for at least the last
  167. few days.
  168.   Collect the SYSLOG and archive at least daily.  Assuming a daily collection
  169. cycle, a Generation Data Group (GDG) with 10 generations will allow the viewing
  170. of the last 10 days' log.  Make sure the GDG is protected by the security
  171. software to allow read access but not modify or delete access.
  172.  
  173.  
  174. TSO TERMINAL TIMEOUT
  175.  
  176.   If a TSO terminal is left unattended, anyone can manipulate the TSO user's
  177. powers to access the system.  A terminal may remain signed on by unattended
  178. for a long time, leaving the possibility of abuse.
  179.   Use the mechanism MVS provides to automatically logoff a terminal session
  180. that has been inactive for x minutes, where x is installation-specified (member
  181. SMFPRMxx in PARMLIB).
  182.  
  183.  
  184. VOLUME PROTECTION
  185.  
  186.   Some volumes contain sensitive information.  It maybe desireable to allow
  187. only select individuals to look at the VTOCs of these volumes in order to
  188. prevent misuse of the information.  Use the security software's volume
  189. protection controls to prevent unauthorized users from viewing the contents
  190. of these volumes.
  191.  
  192.  
  193. TSO ACCOUNT AUTHORITY
  194.  
  195.   This authority allows a person to view and update records in SYS1.UADS
  196. which contains profile records and information for all TSO users.  With a
  197. security software package, this information can be stored in the security
  198. database.  However, there may still be a need to store some important
  199. information in SYS1.UADS for backup purposes.
  200.   Assign the ACCOUNT authority judiciously.  Minimize the number of people
  201. who have the TSO ACCOUNT attribute.
  202.  
  203.  
  204. TSO OPERATIONS AUTHORITY
  205.  
  206.   The attribute allows a person to enter some of MVS commands such as the
  207. display of initiators.  Minimize the number of people who have the TSO
  208. OPERATIONS attribute.
  209.  
  210.  
  211. SECURITY SOFTWARE
  212.  
  213.   At IPL time the system may have been tailored such that is asks the operator
  214. if the cecurity software is to be active.  This allows the operator to remove
  215. the security software from the system.
  216.   Make sure the security software is always active in the system by tailoring
  217. the system so that at IPL time the security software is automatically started
  218. and there is no terminating option.
  219.  
  220. ---
  221.  
  222. Well thats it. Ugg. Its been a long day. Some comments and such...
  223. Nilrem  "I'm just burned out.  Mabye in Austin the board will be better."
  224. Guardian Of Time "In December, we'll be back, better than before, and I
  225.                   am going to use some of Dr. Ripco's techniques on the
  226.                   new board..."
  227. The People At Phrack - any word on the file that was sent in?
  228. The People At CUD/TD - its gotten better with time, now you put relevant
  229.                        stuff in.                
  230. Chester - "when i go over there he lets me rape his system!" hahaha...
  231.  
  232. well, take it easy people.
  233. -JUDGE DREDD/NIA
  234.