3 spôsoby, ako môže malware napadnúť váš IFS

Dokonca aj skúsení administrátori IBM i niekedy pochybujú, či je ochrana proti malvéru na tejto platforme nutná. Je pravda, že IBM i (AS/400, iSeries) nemôže byť infikované PC vírusom. Avšak anti-malware software je nevyhnutný, aby IFS neslúžil ako hostiteľ a distribučný mechanizmus pre vírusy a malware, a aby sa zabránilo tomu, že vírusy nepriamo ovplyvnia prevádzku IBM i.

Ak sa integrovaný súborový systém (IFS) používa ako súborový server pre PC súbory, môžu súbory uložené na IFS potenciálne obsahovať vírusy. Infikovaný súbor, ktorý je uložený z PC na IFS a následne redistribuovaný na iné PC, môže preniesť vírus na tento nový počítač.

Pozrime sa na tri konkrétne spôsoby, ako sa vírusy a malware môžu dostať na IFS.

Zobraziteľné zdieľané priečinky

Jedným zo spôsobov, ako môže byť vírus šírený na IFS, je prostredníctvom zobraziteľných zdieľaných priečinkov. Vo Windows sa tieto priečinky nachádzajú pod možnosťou „sieť“ úplne dole v ľavom paneli nástroja Prieskumník súborov. Ak nie je sieťové zisťovanie vypnuté, budete môcť vidieť všetky zobraziteľné zdieľané priečinky, ktoré existujú vo vašej sieti ako dostupný zdroj.

Ak malware infikuje zariadenie pripojené k sieti vašej organizácie, na ktorom nie je sieťové zisťovanie vypnuté, útočník bude môcť využiť oprávnenia tohto používateľa. To znamená, že môže potenciálne zobraziť, šifrovať, meniť a mazať všetky zobraziteľné zdieľané priečinky v celej vašej sieti, bez ohľadu na to, či sú používateľom mapované ako disk. Rovnaký princíp platí pre IP adresu servera. Ak útočník pozná IP adresu a zisťovanie je zapnuté, má prístup ku všetkým vašim zdieľaným priečinkom.

Útoky vychádzajúce zo zobraziteľných zdieľaných priečinkov sú z hľadiska bezpečnosti zložité. Ich zastavenie je obtiažne, pretože vykonávané akcie sú platné, a preto je ťažké ich identifikovať ako škodlivé. Úplné odstránenie zdieľaných priečinkov môže byť užitočné, ale ak sú potrebné pre legitímne obchodné transakcie, nie je to najlepšie riešenie.

Vaše IBM i potrebuje správne nástroje na boj s dnešným malwérom. Powertech Antivirus pre IBM i používa technológiu detekcie na základe správania proti ransomwéru, aby vystopoval útočníkov vykonávajúcich škodlivé akcie proti vašim serverom. Týmto spôsobom môžete splniť obchodnú potrebu zdieľania súborov, bez toho, aby ste ohrozili bezpečnosť.

Katalógy obrazov

Katalógy obrazov, NFS pripojenie a UDFS pripojenie sú ďalším spôsobom, ako sa vírusy môžu šíriť medzi servermi. Katalóg obrazov je v podstate súbor, ktorý sa inému systému javí ako CD a často sa používa pre načítanie softwéru. IBM i používa katalógy obrazov k načítaniu Linuxu na oddiel. Vírusy, ktoré infikovali súbor v katalógu obrazov alebo virtuálnom disku, budú spustiteľné akýmkoľvek vzdialeným serverom, ktorý ich používa.

Klientský prístup

Klientský prístup bol ďalším zdrojom šírenia vírusov. Jeden zo zákazníkov Fortry ich kontaktoval s problémom, ktorý mal s vírusmi v sieti, ktoré neustále reinfikovali ich PC, napriek tomu, že vykonali všetky kroky na ich vyčistenie.

Aby sme to skrátili, všetky PC používali Klientský prístup (čo všetci poznáme), a súbor setup.exe pre Klientský prístup, ktorý sa nachádzal na IFS, bol infikovaný. Zakaždým, keď PC spúšťali automatickú aktualizáciu, čo bolo každý deň, spustili setup.exe súbor na IFS a znovu iniciovali infekciu vírusom.

Sú Windows vírusy hrozbou?

Často vzniká zmätok ohľadom toho, či vírusy vo Windows môžu ovplyvniť IBM i — tj. či môžu ovplyvniť výkon IBM i. Podstata je nasledovná:

1. Vírusy nemôžu byť ukryté vo vnútri RPG a CL programov.
2. Vírusy nemôžu byť ukryté vo vnútri fyzických a logických súborov.
3. IBM i nemôže spustiť .exe súbory, ktoré obsahujú vírusy.
4. IBM i môže spustiť Java a UNIX spustiteľné súbory, ktoré obsahujú vírusy.
5. Vírusy môžu byť skryté vo vnútri Java a UNIX streamových súborov.

Vírusy vo Windows môžu ovplyvniť IBM i napríklad nasledovne:

DOS príkaz by mohol byť vydaný k „vymazaniu všetkého“ z adresára, ktorý je mapovaný na IBM i. Knižnice IBM i sa zobrazia ako adresár pre škodlivý program alebo vírus bežiaci na PC. Príkaz DEL *.* by mohol byť použitý na odstránenie všetkých objektov v knižnici IBM i, čím by sa systém stal nepoužiteľným.

Vírusy môžu používať ODBC alebo JDBC ovládač klientského prístupu bežiaci na PC k vykonávaniu príkazov prostredníctvom SQL príkazov. Príkladom môže byť Excel súbor s SQL príkazom, ktorý zasiela príkaz clear lib QUSRSYS. Minimálne by to zničilo všetko, čo vlastní aktuálny používateľ. Ak by bežal pod profilom správcu, vírus by mal dostatočné oprávnenie na zničenie operačného systému.

Záverečné myšlienky

Aj keď vírusy a malware nemusia IBM i infikovať tradičným spôsobom, tieto škodlivé programy môžu mať devastujúci dopad, vrátane dní či týždňov výpadku. Ak je vaša organizácia povinná dodržiavať normy ako PCI DSS, je ochrana proti malvéru nevyhnutná. Aj keď nie ste ovplyvnení vládnymi či priemyselnými požiadavkami, zvážte, či je riziko opodstatnené. Začať ochranu proti vírusom na IBM i (a AIX a Linuxe) je jednoduché a začína bezplatným skenom, ktorý identifikuje všetky hrozby, ktoré sa už na vašom systéme nachádzajú.

Požiadajte si o bezplatný sken ešte dnes a začnite chrániť svoje kľúčové servery.

Pre viac informácií nás kontaktujte:

Vilém Raichel, vilem.raichel@bakotech.com +420 734 542 498