Bellacosa Mainframe e o AMOS uma porta dos fundos para roubar dados

🧠 AMOS: O Ladrão Invisível Que Não Roda no z/OS… Mas Já Pode Estar Roubando Seus Dados

“Você protege seu RACF. Blinda seu CICS. Controla seu batch.
Mas… e o endpoint do seu desenvolvedor COBOL? Quem está protegendo isso?”

---

☕ Introdução ao Estilo Bellacosa

No mundo do mainframe, existe um mantra silencioso:

“Se está no z/OS, está seguro.”

E na maioria das vezes… está mesmo.

Mas aqui vai o plot twist que poucos analistas seniores querem encarar:

👉 O problema moderno não começa dentro do mainframe. Ele começa fora.

Hoje vamos dissecar uma ameaça real, atual e crescente:

🔥 Atomic Stealer (AMOS)

---

🧬 O que é o AMOS (Atomic Stealer)?

O Atomic Stealer, também conhecido como AMOS, é um malware do tipo infostealer, projetado inicialmente para sistemas macOS — sim, aquele ambiente que muitos ainda chamam de “seguro por padrão”.

Ele atua roubando:

• Credenciais (navegadores, FTP, SSH)
• Cookies de sessão
• Carteiras de criptomoedas
• Tokens de autenticação
• Dados sensíveis armazenados localmente

👉 Em outras palavras:
Ele não invade o mainframe… ele invade quem acessa o mainframe.

---

🧠 A Nova Superfície de Ataque do z/OS

Você, analista COBOL sênior, já domina:

• RACF
• ACF2 / Top Secret
• Segurança de dataset
• Auditoria SMF
• Controles de acesso CICS/DB2

Mas me responda com franqueza:

👉 Você controla o notebook do desenvolvedor que acessa o TSO?

👉 Você audita o browser onde está o plugin de emulador 3270?

👉 Você garante que tokens de sessão não estão sendo roubados?

Se a resposta for “não totalmente”…

Então o AMOS já encontrou um ponto de entrada.

---

🕵️‍♂️ Anatomia do Ataque

O AMOS não precisa de APF autorizado.
Ele não precisa de IPL.
Ele não precisa nem saber o que é um dataset VSAM.

Ele funciona assim:

🔓 1. Engenharia Social

• Usuário baixa software pirata, plugin ou update falso
• Ou acessa link malicioso (phishing)

🧬 2. Execução Silenciosa

• Malware roda no endpoint (Mac/Windows)
• Coleta credenciais, cookies, tokens

📤 3. Exfiltração

• Dados enviados para servidores do atacante

🎯 4. Uso Inteligente

• Hacker usa sessão válida
• Acessa sistemas corporativos como usuário legítimo

👉 Inclusive:

• Acessos TSO
• Ferramentas FTP para datasets
• APIs REST via z/OS Connect

---

⚠️ O Impacto no Mundo Mainframe

“Mas o z/OS não foi invadido…”

Correto.

👉 Mas os dados foram.

E isso muda tudo.

💥 Possíveis impactos:

• Vazamento de dados sensíveis (clientes, contas, CPF)
• Acesso indevido a sistemas batch
• Execução de jobs maliciosos
• Exfiltração de arquivos via FTP/SFTP
• Comprometimento de credenciais privilegiadas

---

⚖️ LGPD: Onde o Problema Fica Sério

No contexto da Lei Geral de Proteção de Dados:

👉 Não importa onde ocorreu a falha.

Se houve vazamento de dados pessoais:

• A empresa é responsável
• Pode sofrer multas
• Pode ter dano reputacional severo

E aqui vem a bomba:

“Mas foi no notebook do desenvolvedor…”

👉 Irrelevante para a LGPD.

---

🔍 Auditoria: O Que Você NÃO Está Vendo

Ferramentas clássicas de auditoria no z/OS:

• SMF
• RACF logging
• CICS journaling

Elas vão mostrar:

✔ Login válido
✔ Acesso autorizado
✔ Comandos corretos

👉 Ou seja:
Tudo parece normal.

Porque o atacante está usando:

A identidade legítima do usuário.

---

🧠 O Paradoxo da Segurança Mainframe

O mainframe continua sendo o ambiente mais seguro.

Mas…

👉 A confiança no perímetro humano virou o elo fraco.

---

🛡️ Controles que um Analista COBOL Sênior Precisa Entender

Você não precisa virar especialista em cibersegurança.

Mas precisa evoluir sua visão.

🔐 1. Zero Trust

• Nunca confiar implicitamente no usuário
• Validar continuamente identidade e contexto

🔑 2. MFA (Multi-Factor Authentication)

• TSO
• VPN
• Ferramentas de acesso

🧾 3. Monitoramento Comportamental

• Detectar acessos fora do padrão
• Horários incomuns
• Volume anormal de leitura de datasets

🧬 4. Proteção de Endpoint

• Antimalware corporativo
• EDR (Endpoint Detection and Response)

📡 5. Segmentação de Acesso

• Limitar privilégios
• Evitar acessos amplos desnecessários

---

🧠 Curiosidades & Easter Eggs

💡 AMOS é vendido como serviço (Malware-as-a-Service)
👉 Hackers “alugam” o malware — modelo parecido com SaaS.

💡 Foco inicial em macOS
👉 Porque muitos profissionais de TI usam Mac… incluindo devs mainframe.

💡 Interface amigável para criminosos
👉 Painel web para visualizar dados roubados.

💡 Tokens são mais valiosos que senhas
👉 Permitem acesso sem autenticação adicional.

---

🧨 O Problema Ético

Aqui vai uma reflexão forte:

👉 O analista COBOL tradicional sempre confiou no ambiente controlado.

Mas agora…

• Seu código pode ser seguro
• Seu JCL pode estar perfeito
• Seu RACF pode estar blindado

E mesmo assim…

Seus dados podem estar sendo vendidos na dark web.

---

🧭 Conclusão: O Novo Papel do Analista Mainframe

O analista COBOL sênior de hoje precisa ser:

• Técnico ✔
• Experiente ✔
• Consciente de segurança moderna ✔✔✔

Porque o jogo mudou:

O ataque não vem mais pelo JCL…
Vem pelo clique do usuário.

---

🚀 Provocação Final

👉 Você revisa seu código COBOL com atenção extrema.

Mas…

Você já revisou o ambiente onde esse código é acessado?

 

Bellacosa Mainframe e o risco da Shadow AI

🧠 Shadow AI no Mainframe: O Inimigo Invisível Já Está Rodando no Seu Batch?

“Você auditou o código. Você validou o JCL. Você conferiu o RACF.
Mas… você auditou a IA que seu time está usando escondido?”

---

☕ Introdução ao Café (ou ao Alerta)

Se você é um analista COBOL sênior, já sobreviveu a muita coisa: migração de VSAM, tuning de DB2, quedas de CICS às 3 da manhã…

Mas agora, um novo risco silencioso entrou no jogo — e ele não aparece no JES2, nem no SMF:

👉 Shadow AI

Não está no inventário.
Não passou pelo Change Management.
Não foi homologada.

Mas já está sendo usada.

---

👻 O que é Shadow AI?

Shadow AI é o uso não autorizado ou não governado de ferramentas de inteligência artificial dentro da empresa.

Não estamos falando de um projeto oficial aprovado pela IBM ou integrado ao seu pipeline corporativo.

Estamos falando de algo muito mais perigoso:

• Um desenvolvedor colando código COBOL no ChatGPT
• Um analista usando IA para gerar JCL em produção
• Um operador pedindo ajuda para interpretar dumps sensíveis

Tudo isso fora do radar corporativo.

---

🧬 Origem do Problema: A Nova Shadow IT

Shadow AI nasce da velha conhecida:

👉 Shadow IT

Lá nos anos 2000, usuários começaram a usar:

• Planilhas fora do controle
• Scripts locais
• Ferramentas não homologadas

Agora, evoluímos.

A diferença?

Shadow AI aprende com os dados que você entrega.

E isso muda completamente o jogo.

---

🔥 O Risco Real (e Subestimado)

1. Vazamento de Dados Sensíveis

Você cola um copybook COBOL com dados reais…

Pode estar expondo:

• CPF
• Dados bancários
• Regras de negócio sigilosas

Isso é um pesadelo sob a Lei Geral de Proteção de Dados (LGPD).

---

2. Compliance e Auditoria

Pergunta simples:

Você consegue provar para uma auditoria como uma decisão foi tomada por uma IA externa?

Se não consegue…

👉 Você já perdeu.

Auditores não aceitam:

• “foi a IA que sugeriu”
• “copiei da ferramenta”

No mundo mainframe, tudo precisa de:

• Rastreabilidade
• Evidência
• Controle

Shadow AI quebra os três.

---

3. Segurança e Hacker

Agora imagine isso:

Um atacante sabe que seu time usa IA.

Ele pode:

• Induzir respostas com código malicioso
• Explorar prompts
• Fazer engenharia social baseada em IA

Isso é o novo vetor de ataque.

O hacker não invade seu z/OS…
Ele invade a mente do operador via IA.

---

4. Ética e Responsabilidade

Quem é responsável por um erro gerado por IA?

• O analista?
• A empresa?
• A ferramenta?

No mainframe, sempre existiu uma cultura:

👉 Responsabilidade total sobre o que roda em produção

Shadow AI quebra esse princípio.

---

🧱 Impacto no Mundo Mainframe

Você pode pensar:

“Mainframe é fechado, isso não me afeta.”

Erro clássico.

Impactos diretos:

• Código COBOL gerado sem padrões corporativos
• Violação de políticas de segurança
• Exposição de regras críticas de negócio
• Dependência invisível de IA externa
• Perda de governança técnica

---

🧠 Curiosidade (Easter Egg da História)

Sabia que o conceito de “shadow systems” já existia nos anos 70?

Na época dos primeiros sistemas IBM:

• Desenvolvedores criavam rotinas paralelas fora do controle central
• Muitas vezes mais eficientes… e perigosas

👉 A história não se repete… ela evolui.

Shadow AI é o novo “programa clandestino”.

---

🧩 Pontos de Atenção para o Analista COBOL Sênior

Se você quer se manter relevante (e seguro), comece aqui:

🔍 1. Crie Consciência no Time

Fale sobre o tema. Shadow AI cresce no silêncio.

---

🛡️ 2. Nunca Compartilhe Dados Reais

Regra de ouro:

Se está em produção → não entra na IA

---

📜 3. Exija Políticas Claras

Empresas precisam definir:

• O que pode ou não pode usar
• Quais ferramentas são autorizadas
• Como auditar uso de IA

---

🧾 4. Registre Tudo

Se usar IA:

• Documente
• Versione
• Justifique

---

🧠 5. Use IA com Inteligência

IA deve ser:

👉 Assistente
Não decisor

---

⚠️ O Paradoxo Final

A IA pode aumentar sua produtividade…

Mas também pode:

• Comprometer sua carreira
• Expor sua empresa
• Violar leis

Tudo depende de como você usa.

---

☕ Comentário ao Estilo Bellacosa

Mainframe sempre foi sinônimo de:

• Controle
• Confiabilidade
• Disciplina

Shadow AI é o oposto disso:

• Invisível
• Não auditável
• Imprevisível

E é exatamente por isso que é perigosa.

---

🎯 Conclusão: O Inimigo Não Está no Código

O maior risco não está no COBOL.

Nem no JCL.
Nem no CICS.

Está aqui:

Na decisão silenciosa de usar algo fora do controle.

---

Se o mainframe sobreviveu por décadas…

Foi porque sempre existiu uma coisa:

👉 Governança

Sem isso, até o sistema mais robusto vira vulnerável.