211service.com
Mainframecomputers die onze meest gevoelige gegevens verwerken, staan open voor internetaanvallen
Het zijn de machines die niet doodgaan. In de jaren zestig begonnen veel luchtvaartmaatschappijen, banken en overheden gevoelige transacties te verwerken met behulp van gigantische mainframecomputers - en hun nakomelingen zijn nog steeds in gebruik. Nu blijkt dat deze levende dinosaurussen van computers ook een zeer moderne ondeugd hebben: ze delen te veel op internet.

Het inlogscherm dat wordt weergegeven door een mainframecomputer die vrij toegankelijk is via internet; mainframes verwerken kritieke gegevens, maar krijgen veel minder aandacht van beveiligingsexperts dan andere soorten computers.
Beveiligingsonderzoeker Phil Young zegt dat hij ongeveer 400 mainframes op internet heeft gevonden die een inlogscherm bieden aan iedereen die verbinding maakt. Bij de Beveiliging Bsides dinsdag in Las Vegas vertelde hij hoe hij mainframes van de USDA had ontdekt, de National Institutes of Health , de staat van de database van chauffeursdiensten in New Mexico, Gezondheids- en menselijke diensten in South Carolina , luchtvaartmaatschappij EgyptAir en vele universitaire administratiesystemen. Hij houdt een blog bij waar software plaatst automatisch screenshots van de mainframe-inlogschermen die online zijn gevonden.
Young vond die mainframes door voort te bouwen op tools die zijn ontwikkeld om internet te scannen op kwetsbare software en apparaten (zie What Happened When One Man Pinged the Whole Internet). Hij zegt dat wat hij ontdekte zorgwekkend is, want hoewel mainframes de afgelopen 50 jaar in veel opzichten zijn geëvolueerd, missen ze moderne beveiligingsfuncties die nodig zijn voor systemen die vrij toegankelijk zijn via internet. En hoewel mainframes kostbare gegevens verwerken, zoals banktransacties en persoonlijke gegevens, zijn ze een kleine, gespecialiseerde niche die in wezen onzichtbaar is voor de computerbeveiligingsindustrie en die werkt om dingen als pc's, telefoons en websites te beveiligen.
Dat betekent dat het waarschijnlijk is dat beveiligingsfouten kunnen worden gebruikt om in te breken in de mainframes die lukraak online zijn gezet, zegt Young. Er is een vals gevoel van veiligheid omdat mensen al jaren te horen krijgen dat mainframes veilig zijn, zegt hij. Maar ze zijn niet echt veilig - alleen geeft niemand om ze.
De algemeen aanvaarde best practice om software veilig te houden, is dat bedrijven nieuw ontdekte fouten in hun producten openbaar maken, samen met softwarepatches om ze aan te pakken, zoals Microsoft doet voor Windows. Hierdoor kunnen IT-medewerkers die veel producten proberen up-to-date te houden, de risico's kennen waarmee ze worden geconfronteerd en kunnen ze prioriteit geven aan wat ze moeten patchen.
IBM gebruikt dat model niet voor zijn mainframesoftware, die de markt domineert. Het houdt details van beveiligingslekken in zijn mainframesoftware geheim, zegt Young, en neemt privé contact op met mainframeklanten om te zeggen dat ze een nieuwe beveiligingspatch moeten toepassen, zonder precies te zeggen waarom.
De beveiliging op dit platform wordt niet goed beheerd en bedrijven en overheden gebruiken ze voor dingen die er echt toe doen voor ons allemaal, zegt Young. Het is deze enorme blindside die wacht om te gebeuren.
In antwoord op een vraag over de beveiligingspraktijken van IBM, zei een woordvoerster van het bedrijf: IBM's mainframe is het veiligste computersysteem ter wereld met unieke cryptografietechnologieën.
Er zijn enkele recente voorbeelden van de gevaarlijke gevolgen van aanvallen op mainframes en de kritieke gegevens die ze verwerken. In 2014 werd een oprichter van de Zweedse dienst voor het delen van bestanden, The Pirate Bay, schuldig bevonden aan toegang tot een mainframe van een IT-aannemer en toegang tot gegevens van de Deense overheid, waaronder identificatienummers en strafregisters.
Meer recentelijk, toen leiders van het Amerikaanse Office of Personal Management voor het Congres verschenen om uit te leggen hoe hackers toegang kregen tot gevoelige gegevens van miljoenen federale werknemers, wezen ze op tientallen jaren oude code geschreven in een programmeertaal genaamd COBOL. COBOL, uitgevonden in 1959, wordt tegenwoordig voornamelijk gebruikt op mainframes.
Later deze week zullen Young en een medewerker, Chad Rikansrud, op de DEF CON-hackconferentie verschillende open-sourcetools introduceren om beveiligingsonderzoekers te helpen bij het onderzoeken van mainframesoftware op beveiligingsfouten die kunnen worden misbruikt. Ze hopen een golf van controle op mainframes op gang te brengen, vergelijkbaar met wat nu wordt toegepast op industriële controlesystemen na de ontdekking van de Stuxnet-aanval op het Iraanse nucleaire programma en internetscans waarbij honderdduizenden kwetsbare systemen online werden gevonden (zie Protecting Power Grids van hackers is een enorme uitdaging).
Bijgewerkt 5 augustus om 20.50 uur EST om commentaar van IBM toe te voegen.