 |
| Bellacosa Mainframe alerta sobre riscos no racf mal configurado |
💀🔥 “Seu RACF está seguro… ou você só acha?”
🧠 Checklist de Auditoria RACF nível banco (com segredos que ninguém te conta)
“RACF não falha…
quem falha é quem confia demais nele.”
🧠 📜 Contexto histórico (o começo de tudo)
O RACF nasceu nos anos 70 junto com o z/OS (antes MVS).
👉 Naquela época:
- segurança era controle de acesso
- hoje é sobrevivência digital
💡 Curiosidade:
RACF foi um dos primeiros sistemas do mundo a implementar controle centralizado de identidade — antes do conceito de IAM moderno.
💀🔥 O CHECKLIST QUE SEPARA AMADOR DE BANCO
🧨 1. *PUBLIC — o vilão silencioso
👉 Procure:
// quem tem acesso aberto?
RLIST DATASET * AUTHUSER(*)
💥 Red flag:
- datasets críticos com:
ID(*PUBLIC) ACCESS(READ ou UPDATE)
🔥 Insight Bellacosa:
80% das falhas começam aqui.
🧠 2. Usuários com SPECIAL / OPERATIONS
👉 Liste:
SEARCH CLASS(USER) MASK(*) SPECIAL
💥 Risco:
- acesso total ao RACF
🎯 Dica senior:
-
separar:
- ADMIN ≠ AUDITOR
⚙️ 3. Grupos com autoridade excessiva
👉 Verifique:
LISTGRP * OMVS
💥 Problema:
- grupo herdando privilégio indevido
🔥 Easter egg:
Um grupo mal configurado é pior que um usuário root.
🧬 4. Programas APF e AC=1
👉 Verifique APF:
D PROG,APF
💥 Risco:
- execução em modo supervisor
🎯 Ataque clássico:
- inserir loadlib malicioso
🔐 5. Password Policy (o calcanhar de aquiles)
👉 Cheque:
SETROPTS LIST
💥 Problemas comuns:
- senha simples
- sem expiração
- sem history
🔥 Curiosidade:
Já vi banco com senha “123456” em ambiente produtivo.
🌐 6. FACILITY class (o “backdoor oficial”)
👉 Verifique:
RLIST FACILITY *
💥 Risco:
- permissões ocultas
🎯 Exemplo crítico:
- BPX.* (Unix System Services)
🧑💻 7. USS (Unix no mainframe = Linux feelings)
👉 Verifique:
LISTUSER USER OMVS
💥 Risco:
- UID 0 (root)
🔥 Insight:
USS é o ponto favorito de pivot de atacante moderno.
🧾 8. Logging / SMF (sem isso você está cego)
👉 Cheque:
- SMF 80 (RACF)
- SMF 30 (jobs)
💥 Problema:
- logs incompletos
🎯 Dica:
- integrar com SIEM
🧠 9. Started Tasks (STC) — privilégio invisível
👉 Verifique:
RLIST STARTED *
💥 Risco:
- tarefas com privilégios elevados
🔥 Easter egg:
STC mal protegido = root invisível rodando 24x7
🔗 10. Integrações externas (o novo campo de batalha)
👉 Verifique:
- CICS
- z/OS Connect
💥 Risco:
- acesso indireto ao core
🎯 Realidade:
O ataque não entra pelo mainframe… entra pela API.
💀🔥 CHECKLIST RÁPIDO (modo auditor)
✔️ Nenhum dataset crítico com *PUBLIC
✔️ SPECIAL restrito e auditado
✔️ APF controlado
✔️ Senha forte e rotacionada
✔️ SMF ativo e monitorado
✔️ USS sem UID 0 indevido
✔️ FACILITY revisada
✔️ STC mapeado
✔️ Integrações seguras
🧠💣 Fluxo real de ataque (pra abrir a mente)
- credencial fraca
- acesso TSO/FTP
- enumeração RACF
- exploração (APF / FACILITY / USS)
- persistência
- exfiltração
🧬 Easter Eggs que só senior percebe
💡 RACF não protege dataset não catalogado direito
💡 APF + AC=1 = execução nível kernel
💡 FACILITY é mais perigosa que DATASET
💡 USS é o “Linux escondido” do mainframe
🏦 Realidade nível banco
👉 Banco não confia em RACF…
👉 Banco audita RACF o tempo todo
🔥 Frase final estilo Bellacosa
“Se você não auditou seu RACF hoje…
alguém pode estar usando ele melhor que você.”
Sem comentários:
Enviar um comentário