se pueden borrar registros SMF?

Todo lo relacionado con seguridad y Security Server (RACF, LDAP, Etc)
Responder
Avatar de Usuario
smartin703
Usuario
Usuario
Mensajes: 3
Registrado: 29 Ene 2008, 11:10
País: Argentina
Ciudad: La Plata
Ocupación: Administrador de seguridad
Ubicación: Argentina

se pueden borrar registros SMF?

Mensaje por smartin703 » 27 Abr 2012, 19:36

Estimados foristas, hay alguna posibilidad que luego de configurar los registros smf , alguien pueda modificar el contenido de uno de ellos.
El caso es que por medio de una aplicación se recogió los eventos en RACF de determinados usuarios. Estos eventos que trajo el sistema pudieron ser adulterados por algún usuario? Tengo entendido que los registros de SMF son los unicos LOGS donde me sale toda la información de la seguridad de los eventos de un sistema mainframe Z OS 390. Es así? Muchas gracias

NJB
Su anfitrion
Su anfitrion
Mensajes: 1112
Registrado: 12 Oct 2003, 16:27
País: Argentina
Ciudad: Capilla del Señor
Ocupación: System Programmer
Contactar:

Re: se pueden borrar registros SMF?

Mensaje por NJB » 28 Abr 2012, 09:38

Hola

Los únicos que pueden modificar datos (no importa cuales) son aquellos que por RACF están autorizados o bien (siendo bastante sofisticado) aquellos que pueden bypasear al RACF, en este último caso debes hablar con el system programmer ya que en la PPT estan los segundos usuarios que mencioné. No tengo en cuenta los trusted ya que eso se maneja desde RACF.

Entonces desde los registros del SMF que son la historia de eventos dentro del Z hasta el lugar en que ves los datos tendrás una cadena de programas y archivos. Por RACF sabras quienes tienen acceso a ambos y quienes podrían adulterar datos.

Saludos
Norberto Bocalandro

Avatar de Usuario
Luislp2004
Usuario avanzado
Usuario avanzado
Mensajes: 71
Registrado: 15 Mar 2006, 12:32
País: Argentina
Ciudad: Capital Federal
Ocupación: Auditor de sistemas certificado

Re: se pueden borrar registros SMF?

Mensaje por Luislp2004 » 01 May 2012, 23:47

smartin703 escribió:Estimados foristas, hay alguna posibilidad que luego de configurar los registros smf , alguien pueda modificar el contenido de uno de ellos.
El caso es que por medio de una aplicación se recogió los eventos en RACF de determinados usuarios. Estos eventos que trajo el sistema pudieron ser adulterados por algún usuario? Tengo entendido que los registros de SMF son los unicos LOGS donde me sale toda la información de la seguridad de los eventos de un sistema mainframe Z OS 390. Es así? Muchas gracias
Ademas, tene en cuenta que en los registros del SMF solo te van a quedar aquellos registros que se generen si las condiciones de auditabilidad defnidas en el perfil de RACF del recurso en cuestion indicaban que se grabaran, sino... no te queda nada. (para el caso puntual de datos de RACF hablando).
El SMF contiene una gran variedad de informacion, pero solo 5 registros se relacionan con el RACF (20,30,80,81,83).

Por ejemplo .. si el nivel del AUDIT dice FAILURES(READ)... solo se van a registrar en el SMF los intentos de acceso a un recurso por quien no estaba autorizado, pero no quien logro accederlo, (ya sea para leerlo, modificarlo, borrar, usarlo)
Por otra parte mediante el utilitario IFASMFDP se pueden leer dichos registros para hacer extracciones e incluso bajo ciertas condiciones pueden eliminarse registros, pero si el IFASMFDP esta protegido solo tendran acceso los autorizados
Aca
http://www.dinoland.com.ar/phpBB3/viewt ... =12&t=1754
tenes algo mas de informacion.

ahora veo que tambien estas diciendo que
smartin703 escribió: El caso es que por medio de una aplicación se recogió los eventos en RACF de determinados usuarios.
entonces, una vez sacados del archivo del SMF la proteccion del dato pasa a ser del nuevo archivo donde quedo alojado, o de la aplicacion que procesa el dato, y alli... todo depende de las protecciones, permisos otorgados y validacion de la aplicacion.
LuisLP - (CISA - CGEIT - CRISC)

Avatar de Usuario
smartin703
Usuario
Usuario
Mensajes: 3
Registrado: 29 Ene 2008, 11:10
País: Argentina
Ciudad: La Plata
Ocupación: Administrador de seguridad
Ubicación: Argentina

Re: se pueden modificar registros SMF?

Mensaje por smartin703 » 03 May 2012, 19:03

Gracias por la respuesta. Me sirvió para aclarar un poco el tema. Pero me queda una duda. Yo puedo configurar los registros SMF para que tomen y graben los eventos que yo quiero. ¿Esos registros tambien pueden ser modificados desde su origen, para que luego que yo los levante con una aplicación lo que lea se una información erronea? Porque si los registros SMF son inviolables entonces yo puedo extraer los resultados de estos registros en dos momentos diferentes. Si alguien metió la mano en los archivos intermedios, podrá cambiarlos. Pero si vuelvo a levantar ese mismo registro con otra aplicación me dará los valores correctos. Es así? Vamos al hecho concreto. Hay un usuario en la organizacion que se le mostró que hizo una transacción no permitida para él. El alega que no la hizo poniendo como pretexto que alguién adultero esa información en la base de datos de eventos del sistema para que el quede involucrado. ¿Puede ser esto último?. Muchas gracias.

Avatar de Usuario
Vicente
Colaborador avanzado
Colaborador avanzado
Mensajes: 543
Registrado: 21 Jul 2011, 04:52
País: España
Ciudad: Malaga
Ocupación: Técnico en Sistemas

Re: se pueden borrar registros SMF?

Mensaje por Vicente » 04 May 2012, 04:47

Hola smartin:
Parece que en el ejemplo que das tu usuario tiene permiso en RACF para hacer "la transacción no permitida para él", pues la hizo.
Dicha esta obviedad voy a decir algo que por tan evidente a veces se descarta y esto genera debates:

"Toda información es manipulable y el contenido de todo fichero es modificable"

Ahora bien, una vez dicho esto, lo que se puede discutir son los procedimientos y dificultades de hacerlo.
No pretendo darte una respuesta concreta porque pienso que no existe, pero voy a hacrer algunas reflexiones sobre este tema.
El SMF (System Management Facilities) proporciona los mecanismos para que se graben registros sobre actividad del sistema en fincheros, normalmente llamados SYS1.MAN1, SYS1.MAN2, etc.
1)
Es habitual que los productos que se ejecutan en el sistema (lease CICS, RACF, Utilitarios, aplicaciones de terceros, etc.) se puedan configurar para que soliciten (realicen) grabaciones de su actividad en registros SMF. Para ello invocarán a macros de SMF o a código propio pasandoles el contenido de la información a grabar. (Ver mi nota final llamada "Leamos un poco").
Dicho esto es evidente que la responsabilidad del contenido de los registros es de la aplicación peticionaria; es decir que se puede grabar lo que se quiera, sea verdad o falso.
Por tanto la primera posibilidad de manipulación de información es hacer un programa que escriba lo que deseemos; esto requiere de conocimientos avanzados y de permisos especiales. (Ver mi nota final llamada "Leamos un poco").
2)
Cuando un fichero SYS1.MANx se llena, el SMF lo cierra y pasa a escribir en otro. Es en esta situacíon cuando el fichero lleno es más vulnerable, pues es un fichero secuencial VSAM cerrado a disposición de quien pueda abrirlo. Lo habitual es que de manera inmediata una exit preparada por un administrador copie el fichero a cinta y lo formatee. Si no es así, en el intervalo de tiempo disponible es posible modificarlo o copiarlo haciendo cambios y después sustituirlo por el nuevo fichero.
Esta es una segunda posibilidad de manipulación, que requiere tener permisos para leer y borrar el fichero SYS1.MANx
3)
Lo habitual es que los informes que se obtienen de los datos de SMF se hagan leyendo las copias en cinta de los datos que había en los ficheros SYS1.MAN, pues lo más frecuente es que estos ficheros se llenen en plazos cortos de tiempo y se vayan volcando a cinta, como he comentado más arriba.
Ahora una tercera forma de manipulación consistiría en modificar la información contenida en la cinta, bien mediante escrituras directas con programas especializados o copiandolo a otra cinta, a la vez que se modifican datos. Esto requiere tambien de permisos de acceso a los ficheros en cinta.
4)
Nunca olvidemos la posibilidad de generar pruebas falsas mediante un programa de informes escrito convenientemente.

Como ves si la instalación está convenientemente asegurada, la única posibilidad recae en los técnicos que teniendo permisos de acceso a los datos sepan escribir y puedan ejecutar programas en situaciones especiales. Normalmente son los mismos que han de hacer las investigaciones correspondientes para comprobar que no hay agujeros de seguridad, que la información es confiable y para demostrar que la única posibilidad de que una información se grabe en el SMF es porque es cierta .

Cada vez que reflexiono sobre estos temas llego siempre a la conclusión de que en última instancia la seguridad se basa en la confianza.
Confiamos que el CICS escribe verdades en el SMF,
Confiamos en que un programa (o aplicación de terceros) no intente continuar cuando RACF dice que no hay permisos.
Confiamos en los técnicos de sistemas.
etc.

Saludos a todos

Leamos un poco:
El manual "MVS System Management Facilities" en su capítulo "Using SMF Macros" al hablar de las macros SMFEWTM y SMFWTM dice:

The SMFEWTM macro can be used to write records to the SMF data set. You can use this macro in any exit routine that is in supervisor state except IEFU83, IEFU84, IEFU85, and IEFU29 and in any installation problem program that has APF authorization. The SMFEWTM macro verifies that SMF recording is active and allows the issuer to branch directly to SMF.......
Note that you can also write SMF records without using a macro. See smf_record (BPX1SMF, BPX4SMF) -- Write an SMF record in z/OS UNIX System Services Programming: Assembler Callable Services Reference.
Varios días probando, equivocandote y volviendo a probar
pueden ahorrarte quince minutos de lectura de un manual.

Avatar de Usuario
Luislp2004
Usuario avanzado
Usuario avanzado
Mensajes: 71
Registrado: 15 Mar 2006, 12:32
País: Argentina
Ciudad: Capital Federal
Ocupación: Auditor de sistemas certificado

Re: se pueden modificar registros SMF?

Mensaje por Luislp2004 » 04 May 2012, 09:55

smartin703 escribió:Gracias por la respuesta. Me sirvió para aclarar un poco el tema. Pero me queda una duda. Yo puedo configurar los registros SMF para que tomen y graben los eventos que yo quiero. ¿Esos registros tambien pueden ser modificados desde su origen, para que luego que yo los levante con una aplicación lo que lea se una información erronea? Porque si los registros SMF son inviolables entonces yo puedo extraer los resultados de estos registros en dos momentos diferentes. Si alguien metió la mano en los archivos intermedios, podrá cambiarlos. Pero si vuelvo a levantar ese mismo registro con otra aplicación me dará los valores correctos. Es así? Vamos al hecho concreto. Hay un usuario en la organizacion que se le mostró que hizo una transacción no permitida para él. El alega que no la hizo poniendo como pretexto que alguién adultero esa información en la base de datos de eventos del sistema para que el quede involucrado. ¿Puede ser esto último?. Muchas gracias.
Sobre si la hizo o no la hizo, tambien caemos en otro problema... la posibilidad que haya compartido la clave, o dejado su sesion abierta a disposicion de otro usuario, en esa situacion no hay nada que el pudiera discutir ya que resulta imposible determinar quien pudo hacer uso de esa clave. Lo unico que podria intentar determinarse es si en el horario o dia de la transaccion dicho usuario estaba en su lugar de trabajo, como para intentar justificar que no fue él quien ejecuto la transaccion, pero de igual forma tendria responsabilidad por lo ocurrido.

Veo que sos de La Plata, y son muy pocos los mainframe alli. Veo que sos auditor de sistemas, yo trabaje durante muchos años como auditor de sistemas sr. en MEPBA, ¿ de donde sos ? quizas conozcamos gente en comun.
LuisLP - (CISA - CGEIT - CRISC)

riloama
Colaborador
Colaborador
Mensajes: 187
Registrado: 02 Sep 2008, 18:39
Ubicación: Caracas - Veenzuela

Re: se pueden borrar registros SMF?

Mensaje por riloama » 05 May 2012, 11:34

Hola smartin703
El caso es que por medio de una aplicación se recogió los eventos en RACF de determinados usuarios
Hay un usuario en la organizacion que se le mostró que hizo una transacción no permitida para él.
No me queda claro que es lo que hizo ese usuario o su userid ; ejecuto una transaccion para la cual no tenia permisos de RACF y/o de la seguridad interna del sistema con el que transaccionaba o tenia permisos de ejecucion dentro del sistema pero vulnero alguna comunicacion oral o escrita que lo inhibia de hacerlo.
Saludos

riloama

Responder