Seguridad

Pensando como un hacker: 5 formas de evadir la seguridad de un IBM i y cómo evitarlas

Por: Pablo Ruiz

Contenido

¿Estás seguro de que tus sistemas IBM i – AS400 están completamente protegidos contra posibles ataques planeados por usuarios internos u organizaciones con malas intenciones?

¿Por qué es importante?

Indiscutiblemente, la información almacenada en los servidores se ha vuelto extremadamente valiosa para cualquier empresa. Desafortunadamente, se han registrado casos en los que el personal interno con conocimientos avanzados ha llevado a cabo acciones maliciosas que han afectado seriamente a la compañía, tanto en términos de ingresos como de reputación.

Por esta razón, nos hemos dado a la tarea de explorar las potenciales vulnerabilidades de los sistemas IBM i, con el objetivo de ayudar a las empresas a protegerse de ataques, especialmente aquellos realizados por usuarios con privilegios limitados pero suficientes para llevar a cabo sus intenciones.

Anteriormente realizamos esta presentación hablando de estos temas. Sin embargo, tiene un enfoque muy general. En esta ocasión, expondremos 5 vulnerabilidades del IBM i que hemos encontrado constantemente en la operación de clientes de distintas industrias y tamaños.

Consideramos importante compartirlas, ya que existe cierta probabilidad de que el sistema de tu compañía tenga estas vulnerabilidades, y sólo es cuestión de tiempo antes de que alguien las explote. El enfoque de seguridad debe ser proactivo, y no reactivo; esperar a que nos ocurra algo para actuar puede salir bastante caro.

Las 5 vulnerabilidades del IBM i

Hemos identificado las siguientes vulnerabilidades:

  • Uso de accesos no seguros: mediante el acceso tradicional al sistema IBM i, la información se transmite en texto plano, lo que la expone a ser interceptada por cualquier persona conectada a la red. Esto permite acceder a información confidencial e incluso recuperar contraseñas de personal con roles de administración.

  • Ejecución de comandos desde diferentes protocolos (ODBC, FTP, Navigator, Rexec, etc.): hemos descubierto que los usuarios pueden eludir ciertos privilegios al utilizar diferentes protocolos de acceso al sistema IBM i. Esto les permite realizar acciones como elevar sus propios privilegios o robar la identidad de otros usuarios mediante la modificación de contraseñas. Además, pueden ejecutar procesos maliciosos que perjudiquen a la compañía, como ataques de denegación de servicio (DoS).

  • Extracción, inserción o modificación de información a través de ODBC, FTP, Navigator, etc.: mediante el uso de herramientas o la ejecución de comandos, los usuarios podrían acceder a información a la que no deberían tener autorización, lo cual puede resultar en el acceso no autorizado, robo de información confidencial, sabotaje o manipulación maliciosa de información.

  • Aplicaciones externas al IBM i: la creación de aplicaciones externas que se conectan al sistema IBM i requiere un método de acceso (nombre de usuario y contraseña), lo cual puede generar un riesgo si el personal conoce estas credenciales y las utiliza de manera inapropiada, afectando a la compañía. Además, podrían abrir una puerta trasera, creando una brecha de seguridad.

  • Acceso a usuarios comunes o con baja seguridad y privilegios elevados en el IBM i: algunos usuarios utilizan contraseñas débiles, lo que facilita que personas malintencionadas puedan descifrarlas y acceder al sistema.

Instigadores de las brechas de seguridad del IBM i

Adicionalmente a los puntos previos, es importante mencionar los siguientes casos:

  • Existen ERP´s que requieren que los usuarios cuenten con la autoridad de *ALLOBJ.
  • Existen aplicaciones de terceros que utilizan un perfil de usuario interno con altos privilegios.
  • Algunas empresas utilizan perfiles de usuario para el acceso al sistema IBM i por medio de aplicaciones externas.

¿Cómo protegerme ante estas vulnerabilidades?

Es fundamental que las empresas tomen medidas proactivas para abordar estas vulnerabilidades y fortalecer la seguridad de su IBM i. Esto incluye implementar políticas de acceso seguras, fomentar contraseñas fuertes, monitorear y auditar regularmente los accesos y mantenerse al tanto de las mejores prácticas en seguridad informática.

Con base en nuestra experiencia, sugerimos fuertemente llevar a cabo las siguientes acciones para NO ser víctima de ataques de cualquier tipo:

  • Identificar las vulnerabilidades potenciales del sistema IBM i en función de la gestión de usuarios y las configuraciones específicas de la compañía.
    • Administrar adecuadamente el acceso al IBM i siguiendo las mejores prácticas y los estándares de seguridad, y adoptar metodologías como DevOps y DevSecOps.
  • Bloquear los accesos que no sean necesarios y que no afecten el funcionamiento adecuado de la compañía.
  • Instalar un certificado de seguridad para todos los accesos necesarios al IBM i, de modo que la información se transmita de forma cifrada.

  • Implementar exit points para restringir el acceso no autorizado a través de los protocolos que no se puedan bloquear por completo.
    • Utilizar aplicaciones de control de accesos que facilitan la configuración y administración de los exit points de manera sencilla y rápida.

  • Validar periódicamente las reglas de seguridad establecidas para evitar que surjan brechas de seguridad o identificarlas de forma prematura para tomar acción.

  • Evitar que las credenciales para acceder al IBM i sean visibles o conocidas para algún usuario o desarrolladores que crean aplicaciones externas a este por medio de la apificación. Esto se puede reducir mediante los siguientes métodos:
    • Implementar API’s externas que se conecten al sistema IBM i y sólo ejecuten las funciones permitidas.
      • Sin embargo, hay que seguir teniendo cuidado ya que aún existe el riesgo asociado al conocimiento de las credenciales del IBM i por parte del personal que desarrolla estas API’s.
    • Implementar API’s nativas en el sistema IBM i para que las aplicaciones externas se conecten a través de ellas. De esta forma, se evita compartir las credenciales del acceso al IBM i.
      • Existen aplicaciones como Profound API que permiten crear API’s de manera sencilla y rápida. Además cuentan con opciones avanzadas que se pueden personalizar en detalle, así como generar la documentación necesaria para utilizarlas fácilmente, incluso sin conocimientos técnicos o avanzados del IBM i.

  • Crear aplicaciones directamente en el IBM i (nativas): es posible desarrollar aplicaciones modernas en el sistema IBM i, y las posibilidades se presentan en la siguiente tabla:
Modernización de interfaz (UI)BeneficiosDesventajas
Herramientas de re-facing de pantalla– Fácil y rápida implementación
– Disponibilidad de múltiples IDE para desarrollo web
– Páginas web antiguas de HTML/CSS
– Requiere dependencia de proveedores, herramientas y algoritmos propios
– Las aplicaciones subyacentes son monolíticas
Integración del Zend Server PHP con AS/400– Utiliza lenguajes web populares
– Soporta integración nativa con AS/400
– Dependencia de aplicaciones Legacy
– Requiere instalación de un Zend Server adicional
RPG Open Access– La carga del flujo de datos existentes en 5250 es cero
– Mínimo esfuerzo para modernizar las UI existentes
– Necesita herramientas y algoritmos de algún proveedor
– Las aplicaciones subyacentes son monolíticas
– Requiere codificación para un programa controlador adicional
Apificación y Framework UI– Arquitectura preparada para el futuro con servicios ligeros y API´s
– Utiliza módulos AS/400 para exponer microservicios
– Aplicación modular y por componentes
– Soporte de varios proveedores para consumir programas como API´s
– Dependencia de aplicaciones Legacy
  • Limitar las capacidades de los usuarios: cambiar el valor del atributo LMTCPB a *YES para evitar que los usuarios ejecuten comandos, este valor sólo restringe la ejecución de comandos por Telnet o REXX.

  • Asignar las autoridades a nivel de objeto, ya sea por listas de autorización o por perfiles de grupo.

  • Asignar un dispositivo específico para el acceso de los usuarios.

  • Implementar menús para segregar el acceso por medio de estos sólo a las funciones permitidas.

  • Bloqueo a nivel de la capa de red por medio de un firewall.

  • Adquisición de herramientas de seguridad externas al IBM i.

  • Implementar políticas más rigurosas de contraseñas.

  • Protección de la PC por medio de la administración del Active Directory.
    • Gestionar los programas que se instalan en la PC.

Sin embargo, estas prácticas pueden no ser suficientes, lo único que necesita una persona para poder vulnerar el sistema IBM i es un perfil de usuario con autorización de *ALLOBJ y el acceso adecuado al sistema.

La mejor forma de proteger por completo es quitar el *ALLOBJ y gestionar correctamente las autoridades de cada objeto para cada usuario, lo que llega a ser un reto debido a la dependencia de aplicaciones de terceros y/o aplicaciones Legacy: ya sean aplicaciones externas o internas, falta de documentación o el desconocimiento de los permisos que realmente necesita el usuario para realizar sus actividades diarias. Cabe mencionar que esta gestión es un tema que se debe tener presente en todo momento a pesar de los nuevos requerimientos que llegue a tener la empresa y el uso de nuevas tecnologías.

¿Cómo puede ayudar TIMWare?

En TIMWare, nos complace ofrecerle nuestra ayuda para abordar las vulnerabilidades en su IBM i. Como parte de nuestra propuesta, podemos realizar un assessment gratuito y sin compromiso para identificar posibles brechas de seguridad y evaluar su sistema según las mejores prácticas y estándares de seguridad.

El assessmente que llevaríamos a cabo generaría un reporte como este, te ayudaremos con la interpretación y el apoyo para que puedas tomar la mejor decisión para proteger tu IBM i.

Además, podemos aportar nuestro expertise en la implementación de microservicios web dentro del sistema IBM i. A través de la apificación y el uso de servicios REST/SOAP, le ayudaremos a construir una arquitectura segura y moderna.

Diagrama de apificación

Arquitectura de modernización con aplicaciones nativas en IBM i

Arquitectura de modernización con aplicaciones externas

Nuestro objetivo es asegurar que su empresa esté protegida contra posibles ataques asegurando cualquier brecha de seguridad y garantizando al mismo tiempo un entorno de trabajo ágil y eficiente en el sistema IBM i. No dudes en contactarnos.

Suscríbete al newsletter
¿Necesitas ayuda?
Únete a nuestro nuevo foro especializado en IBM i - AS400. Busca o haz consultas específicas en las que nuestro equipo de ingeniería y la comunidad podemos apoyarte.
Más de 35 años de experiencia en Sistemas IBM i (Anteriormente AS/400 - iSeries)
Síguenos en
Tecnologías de Innovación y Mejora S.A. de C.V.
Ciudad de México
México

Suscríbete a nuestro newsletter

Información relevante para los profesionales en IBM i
TIMWare © 2024. Todos los derechos reservados
¿Necesitas ayuda?

Únete a nuestro nuevo foro especializado en IBM i - AS400

Sé parte de esta nueva comunidad de profesionales, entusiastas y desarrolladores involucrados en el IBM i para discutir temas, resolver problemas y compartir conocimientos sobre esta poderosa plataforma.