Translate

Mostrar mensagens com a etiqueta controle de acesso. Mostrar todas as mensagens
Mostrar mensagens com a etiqueta controle de acesso. Mostrar todas as mensagens

segunda-feira, 14 de junho de 2021

💀🔥 “Seu RACF está auditado… ou você só roda comando manual?”

 

Bellacosa Mainframe comenta sobre auditoria racf e segurança mainframe

💀🔥 “Seu RACF está auditado… ou você só roda comando manual?”

🧠 Checklist automatizado com JCL + REXX (nível banco, zero ilusão)

“Se sua auditoria depende de humano…
ela já falhou.”


🧠 📜 A verdade que ninguém te conta

No mundo real (banco, fintech, governo):

👉 Auditoria manual = teatro
👉 Auditoria automatizada = sobrevivência

E aqui entra a dupla lendária do mainframe:

  • JCL → orquestra
  • REXX → pensa, filtra, decide

💡 Curiosidade Bellacosa:

Antes de SIEM moderno… o mainframe já fazia auditoria automatizada com SMF + REXX.


⚙️ 🧬 Arquitetura do “scanner RACF”

👉 Fluxo real:

  1. JCL executa comandos RACF
  2. Output vai para dataset
  3. REXX lê dataset
  4. Aplica regras de auditoria
  5. Gera relatório (ou alerta)

🧨 1. JCL — o motor da auditoria

🔥 Exemplo prático (coleta de evidências)

//AUDITRAC JOB (ACCT),'RACF SCAN',CLASS=A,MSGCLASS=X
//STEP1 EXEC PGM=IKJEFT01
//SYSTSPRT DD DSN=&&RACFOUT,DISP=(,PASS),
// SPACE=(CYL,(5,5)),UNIT=SYSDA
//SYSTSIN DD *
SETROPTS LIST
SEARCH CLASS(USER) MASK(*) SPECIAL
RLIST DATASET * AUTHUSER(*)
/*

💥 O que isso faz:

  • lista configurações RACF
  • identifica usuários privilegiados
  • expõe acessos indevidos

🧠 2. REXX — o cérebro da auditoria

🔥 Exemplo prático (detecção de risco)

/* REXX */
parse arg dataset
"EXECIO * DISKR" dataset "(STEM LINES. FINIS"

do i = 1 to lines.0
if pos('SPECIAL', lines.i) > 0 then do
say 'ALERTA: usuário com SPECIAL -> ' lines.i
end

if pos('*PUBLIC', lines.i) > 0 then do
say 'RISCO CRÍTICO: acesso público detectado -> ' lines.i
end
end

💀 Resultado:

  • identifica risco automaticamente
  • elimina análise manual

🧬 3. Regras que um banco REAL usa

👉 Não é só listar — é interpretar

✔️ Nenhum *PUBLIC em dataset crítico
✔️ SPECIAL limitado
✔️ APF controlado
✔️ UID 0 auditado
✔️ FACILITY revisada
✔️ STARTED TASK mapeada


⚙️ 4. Evolução hardcore (nível enterprise)

👉 Automatização completa:

  • agendado via JES2 / scheduler
  • output versionado
  • comparação diária (drift detection)
  • envio de alerta (email / SIEM)

💡 Easter egg:

Drift de segurança é mais perigoso que invasão direta.


🧠 5. Comparação inteligente (ontem vs hoje)

🔥 Ideia poderosa

REXX pode comparar execuções:

if linha_hoje \= linha_ontem then
say 'ALTERAÇÃO DETECTADA!'

💥 Isso detecta:

  • privilégio adicionado
  • acesso aberto
  • mudança suspeita

🧾 6. Output estilo auditor (nível banco)

👉 Não basta log — precisa ser auditável

Exemplo:

[CRITICAL] USER HACKER HAS SPECIAL
[HIGH] DATASET PROD.FINANCE WITH *PUBLIC READ
[MEDIUM] NEW APF LIBRARY DETECTED

💣 7. Onde mora o perigo real

👉 Não está no código… está na omissão

🔥 Problemas comuns:

  • script roda mas ninguém lê
  • alertas ignorados
  • baseline inexistente

💡 Insight:

Auditoria sem ação é só documentação bonita.


🧠 8. Easter eggs de quem vive isso

💡 IKJEFT01 é o “shell invisível” do z/OS
💡 REXX consegue parsear RACF melhor que muita ferramenta cara
💡 JES spool é fonte de ouro pra auditor
💡 dataset temporário mal protegido = vazamento


⚔️ 9. Fluxo real de ataque vs auditoria automatizada

👹 Ataque:

  1. ganha acesso
  2. eleva privilégio
  3. altera RACF
  4. mantém persistência

🛡️ Auditoria automatizada:

  1. detecta alteração
  2. gera alerta
  3. compara baseline
  4. bloqueia rapidamente

🏦 Realidade nível banco

👉 Banco não confia em:

  • print de tela
  • comando manual
  • auditor humano

👉 Banco confia em:

  • automação
  • evidência
  • histórico

💀🔥 Frase final Bellacosa

“Se o seu RACF muda e você não percebe…
quem percebe é o atacante.”

sábado, 1 de maio de 2021

💀🔥 “Seu RACF está seguro… ou você só acha?”

 

Bellacosa Mainframe alerta sobre riscos no racf mal configurado

💀🔥 “Seu RACF está seguro… ou você só acha?”

🧠 Checklist de Auditoria RACF nível banco (com segredos que ninguém te conta)

“RACF não falha…
quem falha é quem confia demais nele.”


🧠 📜 Contexto histórico (o começo de tudo)

O RACF nasceu nos anos 70 junto com o z/OS (antes MVS).

👉 Naquela época:

  • segurança era controle de acesso
  • hoje é sobrevivência digital

💡 Curiosidade:

RACF foi um dos primeiros sistemas do mundo a implementar controle centralizado de identidade — antes do conceito de IAM moderno.


💀🔥 O CHECKLIST QUE SEPARA AMADOR DE BANCO


🧨 1. *PUBLIC — o vilão silencioso

👉 Procure:

// quem tem acesso aberto?
RLIST DATASET * AUTHUSER(*)

💥 Red flag:

  • datasets críticos com:
ID(*PUBLIC) ACCESS(READ ou UPDATE)

🔥 Insight Bellacosa:

80% das falhas começam aqui.


🧠 2. Usuários com SPECIAL / OPERATIONS

👉 Liste:

SEARCH CLASS(USER) MASK(*) SPECIAL

💥 Risco:

  • acesso total ao RACF

🎯 Dica senior:

  • separar:
    • ADMIN ≠ AUDITOR

⚙️ 3. Grupos com autoridade excessiva

👉 Verifique:

LISTGRP * OMVS

💥 Problema:

  • grupo herdando privilégio indevido

🔥 Easter egg:

Um grupo mal configurado é pior que um usuário root.


🧬 4. Programas APF e AC=1

👉 Verifique APF:

D PROG,APF

💥 Risco:

  • execução em modo supervisor

🎯 Ataque clássico:

  • inserir loadlib malicioso

🔐 5. Password Policy (o calcanhar de aquiles)

👉 Cheque:

SETROPTS LIST

💥 Problemas comuns:

  • senha simples
  • sem expiração
  • sem history

🔥 Curiosidade:

Já vi banco com senha “123456” em ambiente produtivo.


🌐 6. FACILITY class (o “backdoor oficial”)

👉 Verifique:

RLIST FACILITY *

💥 Risco:

  • permissões ocultas

🎯 Exemplo crítico:

  • BPX.* (Unix System Services)

🧑‍💻 7. USS (Unix no mainframe = Linux feelings)

👉 Verifique:

LISTUSER USER OMVS

💥 Risco:

  • UID 0 (root)

🔥 Insight:

USS é o ponto favorito de pivot de atacante moderno.


🧾 8. Logging / SMF (sem isso você está cego)

👉 Cheque:

  • SMF 80 (RACF)
  • SMF 30 (jobs)

💥 Problema:

  • logs incompletos

🎯 Dica:

  • integrar com SIEM

🧠 9. Started Tasks (STC) — privilégio invisível

👉 Verifique:

RLIST STARTED *

💥 Risco:

  • tarefas com privilégios elevados

🔥 Easter egg:

STC mal protegido = root invisível rodando 24x7


🔗 10. Integrações externas (o novo campo de batalha)

👉 Verifique:

  • CICS
  • z/OS Connect

💥 Risco:

  • acesso indireto ao core

🎯 Realidade:

O ataque não entra pelo mainframe… entra pela API.


💀🔥 CHECKLIST RÁPIDO (modo auditor)

✔️ Nenhum dataset crítico com *PUBLIC
✔️ SPECIAL restrito e auditado
✔️ APF controlado
✔️ Senha forte e rotacionada
✔️ SMF ativo e monitorado
✔️ USS sem UID 0 indevido
✔️ FACILITY revisada
✔️ STC mapeado
✔️ Integrações seguras


🧠💣 Fluxo real de ataque (pra abrir a mente)

  1. credencial fraca
  2. acesso TSO/FTP
  3. enumeração RACF
  4. exploração (APF / FACILITY / USS)
  5. persistência
  6. exfiltração

🧬 Easter Eggs que só senior percebe

💡 RACF não protege dataset não catalogado direito
💡 APF + AC=1 = execução nível kernel
💡 FACILITY é mais perigosa que DATASET
💡 USS é o “Linux escondido” do mainframe


🏦 Realidade nível banco

👉 Banco não confia em RACF…
👉 Banco audita RACF o tempo todo


🔥 Frase final estilo Bellacosa

“Se você não auditou seu RACF hoje…
alguém pode estar usando ele melhor que você.”

 

quarta-feira, 7 de janeiro de 2009

📘 Treinamento Completo de Auditoria z/OS

Bellacosa Mainframe treinamento em Auditoria em IBM Z/OS


📘 Treinamento Completo de Auditoria z/OS

Estilo Bellacosa Mainframe — do técnico ao auditável

"Auditoria em z/OS não é um evento. É um estado permanente de controle."


🎯 Objetivo do treinamento

Capacitar profissionais de mainframe a:

  • Preparar ambientes z/OS para auditoria

  • Responder auditores com evidência técnica

  • Evitar não conformidades

  • Implementar governança contínua

Público-alvo:

  • System Programmers

  • Analistas de Segurança

  • Auditores técnicos

  • Arquitetos mainframe


🧱 Estrutura do treinamento

🧩 Módulo 1 – Fundamentos de Auditoria em z/OS

  • O que o auditor realmente procura

  • Tipos de auditoria (interna, externa, regulatória)

  • Conceitos: evidência, rastreabilidade, segregação

  • Por que z/OS já nasce auditável

📌 Entregável: checklist conceitual


🔐 Módulo 2 – Controle de Acesso (RACF)

  • IDs privilegiados (SPECIAL, OPERATIONS)

  • UACC e perfis genéricos

  • Logging e SMF

  • Revisão periódica de acessos

📌 Laboratório:

  • Identificar riscos reais em perfis RACF


📦 Módulo 3 – SMP/E como pilar de integridade

  • CSI, DLIB e TARGET

  • RECEIVE, APPLY, ACCEPT

  • APPLY CHECK

  • ++HOLD, ++ERROR, ++VER

📌 Laboratório:

  • Análise de PTF com HOLD de segurança


🧩 Módulo 4 – USERMOD e risco operacional

  • Quando USERMOD é aceitável

  • Documentação obrigatória

  • Riscos em auditoria

  • Plano de remoção

📌 Estudo de caso real


🔁 Módulo 5 – Gestão de Mudanças

  • Integração SMP/E + Change Management

  • Evidências exigidas

  • Falhas clássicas em auditoria

📌 Oficina:

  • Montar dossiê de mudança


🧪 Módulo 6 – Evidência técnica e rastreabilidade

  • Outputs SMP/E

  • Logs RACF

  • SMF como prova

  • Versionamento de JCL

📌 Laboratório:

  • Criar pacote de evidências


🛡️ Módulo 7 – Segurança e Compliance

  • PTFs de segurança

  • Backlog e risco

  • Auditorias regulatórias (SOX, PCI, LGPD)

📌 Discussão guiada


🔄 Módulo 8 – Continuidade e Recuperação

  • Backup do CSI

  • RESTORE na prática

  • Testes documentados

📌 Laboratório:

  • Simulação de rollback


📋 Módulo 9 – Auditoria passo a passo

  • Como o auditor conduz a sessão

  • Como responder perguntas difíceis

  • O que nunca dizer

📌 Simulação completa de auditoria


🧠 Estudos de Caso Bellacosa

  • USERMOD esquecido

  • CSI sem backup

  • ALTER irrestrito

  • PTF de segurança atrasado


📜 Avaliação e Certificação

  • Checklist executável preenchido

  • Estudo de caso resolvido

  • Avaliação prática

🎓 Certificado: Auditoria Técnica z/OS – Nível Profissional


🧰 Material complementar

  • Checklist executável

  • Modelos de evidência

  • JCLs de laboratório

  • Guia rápido para auditores


🏁 Encerramento

"No mainframe, auditoria não é medo. É maturidade operacional."

📘💾🛡️

📘 Treinamento Completo De Auditoria Z/os 


💾 Resumo para ir mais longe

A auditoria em ambientes z/OS é uma atividade fundamental para garantir a segurança, a conformidade regulatória e a integridade operacional dos sistemas mainframe. Considerado um dos ambientes computacionais mais seguros do mundo, o z/OS oferece recursos avançados de controle, monitoramento e rastreabilidade que auxiliam auditores e administradores na proteção das informações corporativas.

Um treinamento completo de auditoria z/OS normalmente aborda conceitos de governança, gestão de riscos, controle de acessos e análise de eventos de segurança. Entre os principais tópicos estudados estão o RACF (Resource Access Control Facility), gerenciamento de usuários, grupos, perfis de acesso, privilégios especiais e segregação de funções.

Outro tema essencial envolve a interpretação de registros SMF (System Management Facility), que armazenam informações detalhadas sobre atividades do sistema, acessos, execuções de jobs e eventos administrativos. Esses registros permitem rastrear ações realizadas por usuários e aplicações, auxiliando investigações e verificações de conformidade.

O treinamento também costuma abordar requisitos de auditoria relacionados a normas como SOX, LGPD, ISO 27001 e outras estruturas de governança corporativa. Ferramentas de monitoramento, geração de relatórios e análise de vulnerabilidades complementam o conteúdo.

Dominar auditoria em z/OS significa compreender não apenas aspectos técnicos, mas também processos, controles internos e práticas que garantem a confiabilidade de ambientes responsáveis por processar algumas das informações mais críticas do mundo corporativo.


terça-feira, 20 de fevereiro de 2007

O que é RACF?

 

Bellacosa Mainframe o que é RACF


O que é RACF?

RACF significa:

Resource Access Control Facility

É o principal sistema de segurança do ambiente IBM Mainframe desenvolvido pela IBM.

O RACF controla:

  • usuários;

  • senhas;

  • grupos;

  • datasets;

  • transações CICS;

  • recursos do sistema;

  • comandos operacionais;

  • aplicações.

Em resumo:

RACF é o "porteiro" do Mainframe.


Definição Simples

Sempre que alguém tenta acessar:

TSO
CICS
IMS
DB2
Dataset
JES2
Console

o RACF verifica:

Quem é você?
O que pode fazer?
Você tem autorização?

Se a resposta for não:

ACESSO NEGADO

Analogia Simples

Imagine um prédio corporativo.

O RACF seria:

  • recepção;

  • crachá;

  • catraca;

  • segurança.

Sem autorização ninguém entra.


Arquitetura Simplificada

Usuário
    ↓
Login
    ↓
RACF
    ↓
Validação
    ↓
Sistema

O que o RACF protege?

Usuários

USERID

Datasets

BANCO.CLIENTES

Transações CICS

SALD
PAGT
PIX1

Planos DB2

PLAN
PACKAGE

Comandos Operacionais

CANCEL
START
STOP

Conceitos Fundamentais

USER

Usuário do sistema.

Exemplo:

VBELLA01

GROUP

Grupo de usuários.

Exemplo:

DESENV
OPERACAO
SEGURANCA

RESOURCE

Recurso protegido.

Exemplo:

DATASET
CICS
DB2
JES

Estrutura RACF

GROUP
   ↓
USER
   ↓
PERMISSÕES

Exemplo

GRUPO: DESENV

USUÁRIO:
JOAO
MARIA
CARLOS

Classe de Recursos

O RACF organiza recursos em classes.


DATASET

Protege arquivos.

DATASET

CICS

Protege transações.

TCICSTRN

JES

Protege Jobs.

JESSPOOL

OPERCMDS

Protege comandos.

OPERCMDS

Como Funciona?

Usuário tenta acessar:

BANCO.CLIENTES

RACF verifica:

Existe usuário?
      ↓
Possui permissão?
      ↓
Liberar ou negar

Níveis de Permissão

NONE

Sem acesso.


READ

Somente leitura.


UPDATE

Alteração.


CONTROL

Controle avançado.


ALTER

Controle total.


Exemplo

DATASET

BANCO.CLIENTES

READ

Pode apenas consultar.


Comandos RACF Mais Conhecidos

ADDUSER

Criar usuário.

ADDUSER JOAO

ALTUSER

Alterar usuário.

ALTUSER JOAO

DELUSER

Excluir usuário.

DELUSER JOAO

ADDGROUP

Criar grupo.

ADDGROUP DESENV

CONNECT

Associar usuário ao grupo.

CONNECT JOAO
GROUP(DESENV)

LISTUSER

Consultar usuário.

LISTUSER JOAO

Perfil de Dataset

Exemplo:

BANCO.**

Protege todos os datasets:

BANCO.CLIENTES
BANCO.CONTAS
BANCO.EXTRATOS

Máscaras RACF

*

Um nível.

BANCO.*

**

Todos os níveis.

BANCO.**

Exemplo

BANCO.CLIENTES
BANCO.CLIENTES.TESTE
BANCO.CLIENTES.HIST

RACF e TSO

Ao entrar no TSO:

LOGON

o RACF valida:

  • usuário;

  • senha;

  • grupo;

  • privilégios.


RACF e CICS

Quando uma transação é executada:

SALD

RACF verifica:

Usuário autorizado?

RACF e DB2

Controla:

  • tabelas;

  • packages;

  • plans;

  • comandos administrativos.


RACF e JES2

Controla:

  • SUBMIT;

  • CANCEL;

  • HOLD;

  • OUTPUT.


Auditoria

O RACF registra eventos.


Exemplos

Login
Logoff
Falha senha
Tentativa acesso
Alteração perfil

SMF

As auditorias normalmente são gravadas em:

SMF

(System Management Facility)


Multifactor Authentication

Versões modernas suportam:

  • Token

  • Certificado Digital

  • MFA

  • OTP


Comandos de Consulta

LISTUSER

LISTUSER JOAO

SEARCH

SEARCH CLASS(DATASET)

RLIST

RLIST DATASET

Curiosidades

1. O RACF existe desde 1976

2. É um dos sistemas de segurança mais confiáveis do mundo

3. Protege bilhões de transações diariamente

4. Continua evoluindo com suporte a MFA e certificados digitais

5. É amplamente utilizado por bancos e governos


RACF x ACF2 x Top Secret

ProdutoFabricante
RACFIBM
ACF2Broadcom
Top SecretBroadcom

Todos possuem funções semelhantes.


Resumo Rápido

ConceitoFunção
RACFSegurança Mainframe
USERUsuário
GROUPGrupo
RESOURCERecurso protegido
DATASETArquivo
READLeitura
UPDATEAlteração
ALTERControle total
ADDUSERCria usuário
LISTUSERConsulta usuário
SMFAuditoria
MFAAutenticação forte

Conclusão

O RACF (Resource Access Control Facility) é o principal sistema de segurança do Mainframe IBM Z. Ele controla autenticação, autorização e auditoria de usuários, protegendo datasets, aplicações CICS, bancos DB2, jobs JES2 e recursos críticos do sistema, garantindo que apenas pessoas autorizadas tenham acesso aos dados corporativos.