Bellacosa Mainframe alerta sobre riscos no racf mal configurado

💀🔥 “Seu RACF está seguro… ou você só acha?”

🧠 Checklist de Auditoria RACF nível banco (com segredos que ninguém te conta)

“RACF não falha…
quem falha é quem confia demais nele.”

---

🧠 📜 Contexto histórico (o começo de tudo)

O RACF nasceu nos anos 70 junto com o z/OS (antes MVS).

👉 Naquela época:

• segurança era controle de acesso
• hoje é sobrevivência digital

💡 Curiosidade:

RACF foi um dos primeiros sistemas do mundo a implementar controle centralizado de identidade — antes do conceito de IAM moderno.

---

💀🔥 O CHECKLIST QUE SEPARA AMADOR DE BANCO

---

🧨 1. *PUBLIC — o vilão silencioso

👉 Procure:

// quem tem acesso aberto?
RLIST DATASET * AUTHUSER(*)

💥 Red flag:

• datasets críticos com:

ID(*PUBLIC) ACCESS(READ ou UPDATE)

🔥 Insight Bellacosa:

80% das falhas começam aqui.

---

🧠 2. Usuários com SPECIAL / OPERATIONS

👉 Liste:

SEARCH CLASS(USER) MASK(*) SPECIAL

💥 Risco:

• acesso total ao RACF

🎯 Dica senior:

• separar:
  • ADMIN ≠ AUDITOR

---

⚙️ 3. Grupos com autoridade excessiva

👉 Verifique:

LISTGRP * OMVS

💥 Problema:

• grupo herdando privilégio indevido

🔥 Easter egg:

Um grupo mal configurado é pior que um usuário root.

---

🧬 4. Programas APF e AC=1

👉 Verifique APF:

D PROG,APF

💥 Risco:

• execução em modo supervisor

🎯 Ataque clássico:

• inserir loadlib malicioso

---

🔐 5. Password Policy (o calcanhar de aquiles)

👉 Cheque:

SETROPTS LIST

💥 Problemas comuns:

• senha simples
• sem expiração
• sem history

🔥 Curiosidade:

Já vi banco com senha “123456” em ambiente produtivo.

---

🌐 6. FACILITY class (o “backdoor oficial”)

👉 Verifique:

RLIST FACILITY *

💥 Risco:

• permissões ocultas

🎯 Exemplo crítico:

• BPX.* (Unix System Services)

---

🧑‍💻 7. USS (Unix no mainframe = Linux feelings)

👉 Verifique:

LISTUSER USER OMVS

💥 Risco:

• UID 0 (root)

🔥 Insight:

USS é o ponto favorito de pivot de atacante moderno.

---

🧾 8. Logging / SMF (sem isso você está cego)

👉 Cheque:

• SMF 80 (RACF)
• SMF 30 (jobs)

💥 Problema:

• logs incompletos

🎯 Dica:

• integrar com SIEM

---

🧠 9. Started Tasks (STC) — privilégio invisível

👉 Verifique:

RLIST STARTED *

💥 Risco:

• tarefas com privilégios elevados

🔥 Easter egg:

STC mal protegido = root invisível rodando 24x7

---

🔗 10. Integrações externas (o novo campo de batalha)

👉 Verifique:

• CICS
• z/OS Connect

💥 Risco:

• acesso indireto ao core

🎯 Realidade:

O ataque não entra pelo mainframe… entra pela API.

---

💀🔥 CHECKLIST RÁPIDO (modo auditor)

✔️ Nenhum dataset crítico com *PUBLIC
✔️ SPECIAL restrito e auditado
✔️ APF controlado
✔️ Senha forte e rotacionada
✔️ SMF ativo e monitorado
✔️ USS sem UID 0 indevido
✔️ FACILITY revisada
✔️ STC mapeado
✔️ Integrações seguras

---

🧠💣 Fluxo real de ataque (pra abrir a mente)

1. credencial fraca
2. acesso TSO/FTP
3. enumeração RACF
4. exploração (APF / FACILITY / USS)
5. persistência
6. exfiltração

---

🧬 Easter Eggs que só senior percebe

💡 RACF não protege dataset não catalogado direito
💡 APF + AC=1 = execução nível kernel
💡 FACILITY é mais perigosa que DATASET
💡 USS é o “Linux escondido” do mainframe

---

🏦 Realidade nível banco

👉 Banco não confia em RACF…
👉 Banco audita RACF o tempo todo

---

🔥 Frase final estilo Bellacosa

“Se você não auditou seu RACF hoje…
alguém pode estar usando ele melhor que você.”

 

 

Bellacosa Mainframe apresenta alguns casos de ataques hackers em mainframe

🧠 💥 Coletânea de ataques hacker em ambiente IBM Mainframe

🧪 1. 1965 — O primeiro “hack” da história (IBM 7094 – CTSS)

👉 Sistema: IBM 7094 (CTSS – Compatible Time Sharing System)

O que aconteceu:

• Um bug no editor criou um arquivo temporário com nome fixo
• Dois usuários simultâneos causaram:
  • exposição do arquivo de senhas (!)

Impacto:

• Senhas ficaram visíveis para qualquer usuário

📌 IMPORTANTE:
👉 Isso é considerado o primeiro vazamento de credenciais da história

✔️ Lição:

• Controle de concorrência e isolamento são fundamentais

---

🧠 2. 1967 — Primeira invasão de rede (IBM APL Network)

👉 Ambiente: rede experimental IBM APL

O que aconteceu:

• Estudantes exploraram workspaces compartilhados
• Conseguiram navegar além do escopo permitido

Impacto:

• Primeira invasão “não autorizada” documentada em rede

✔️ Lição:

• Segurança lógica > segurança física

---

💣 3. 2007 — Primeiro hack documentado em z/OS moderno

👉 Caso citado em estudos de segurança mainframe

Possível alvo:

• Banco europeu (ex: Nordea Bank)

O que aconteceu:

• Uso de vulnerabilidades em ambiente z/OS
• exploração via acesso indireto (provavelmente aplicações)

✔️ Lição:

• Mainframe moderno também é atacável

---

🏦 4. 2012 — Caso Nordea Bank / Governo Sueco (O MAIS CLÁSSICO)

👉 Ambiente: IBM z/OS

O que aconteceu:

• Hackers usaram:
  • z/OS emulado
  • exploração de vulnerabilidades (0-day)
• Conseguiram:
  • escalar privilégios (SPECIAL)
  • modificar APF
  • acessar dados sensíveis
  • transferir dinheiro (~$850k)

Impacto:

• Um dos raros casos confirmados de invasão real em mainframe

✔️ Técnica usada:

• privilege escalation
• persistência (APF)
• exfiltração de datasets

✔️ Lição:

• RACF mal configurado = porta aberta

---

🏴‍☠️ 5. 2012 — Hacker do Pirate Bay (caso judicial)

👉 Hacker: cofundador do Pirate Bay

O que aconteceu:

• Invasão de mainframe
• Roubo de dados governamentais

Impacto:

• considerado o maior caso de hacking de mainframe na Dinamarca

✔️ Lição:

• ameaça real não é só técnica — é também judicial/legal

---

🧾 6. Casos indiretos (2014–2015) — Dados de mainframe expostos

👉 Empresas:

• Home Depot
• Anthem
• Experian

O que aconteceu:

• Ataque NÃO começou no mainframe
• MAS:
  • dados críticos estavam no mainframe
  • foram exfiltrados via sistemas distribuídos

Impacto:

• milhões de registros vazados

✔️ Insight poderoso:
👉 O mainframe NÃO foi invadido diretamente
👉 mas foi comprometido indiretamente

✔️ Lição:

• o risco está na integração (APIs, middlewares)

---

⚠️ 7. Casos IBM i (AS/400) — “Nunca foi hackeado” (mito quebrado)

👉 Realidade:

• já houve invasões documentadas

Problema comum:

• permissões abertas (*PUBLIC *ALL)
• falta de auditoria

✔️ Lição:

• segurança default ≠ segurança real

---

🧨 8. Engenharia social e insider (o ataque mais comum)

👉 Segundo especialistas:

• A maioria dos ataques não é “hack remoto hollywoodiano”
• São:
  • insiders
  • credenciais roubadas
  • acesso legítimo abusado

✔️ Lição:

• RACF + auditoria > firewall

---

📊 9. Estatística brutal (realidade do mercado)

👉 Apenas 0.1% dos mainframes reportaram breach direto

✔️ Tradução Bellacosa:

• extremamente seguro
• MAS quando falha → impacto é gigante

---

🧠 🔥 Padrões REAIS dos ataques em Mainframe

🧩 Vetores mais comuns

• má configuração de RACF / ACF2 / Top Secret
• credenciais roubadas
• aplicações CICS vulneráveis
• integração com sistemas distribuídos
• insiders

---

⚙️ Técnicas usadas

• privilege escalation (SPECIAL / OPERATIONS)
• manipulação de APF
• execução de REXX malicioso
• leitura de datasets (PII)
• exfiltração via FTP / TCP/IP stack

---

💀 MITO vs REALIDADE

Mito	Realidade
Mainframe não é hackeável	É, mas difícil
Só ataque externo	Maioria é interna
RACF resolve tudo	Depende da configuração
Isolado = seguro	Integração quebra isso

---

🧠 Conclusão estilo Bellacosa

👉 O mainframe NÃO é invulnerável
👉 Ele é mal compreendido

💡 A verdade:

“Mainframe não cai por brute force…
cai por negligência.”

PS: Nunca se esqueça que o inimigo pode estar dentro do castelo. E os demonios riem quando fazemos planos infaliveis. 

 

Bellacosa Mainframe apresenta as 10 vulnerabilidades mais comuns em Mainframe

💀🔥 Top 10 vulnerabilidades reais em z/OS (com exemplos práticos)

“O perigo no mainframe não é o sistema…
é quem configura.”

---

🧨 1. RACF mal configurado (*PUBLIC liberado)

Cenário clássico:

// Dataset crítico liberado
PERMIT DATASET.PROD.FINANCE CLASS(DATASET) ID(*PUBLIC) ACCESS(READ)

💥 Resultado:

• qualquer usuário pode ler dados financeiros

✔️ Ataque:

• exfiltração via TSO, FTP ou batch

🔥 Correção:

• remover *PUBLIC
• usar grupos restritos

---

🧠 2. Usuário com SPECIAL indevido

Erro comum:

• dar SPECIAL “temporário” e esquecer

💥 Resultado:

• usuário vira “quase root”

✔️ Ataque:

• altera RACF
• cria backdoors

🔥 Exemplo:

ALTUSER HACKER SPECIAL

---

⚙️ 3. APF Library Injection

👉 Se atacante conseguir inserir lib na APF:

💥 Resultado:

• código roda em modo supervisor

✔️ Ataque:

• escalar privilégio total

🔥 Exemplo:

• adicionar dataset na APF via:

SETPROG APF,ADD,DSNAME=HACK.LOADLIB,VOLUME=SYS001

---

🧬 4. Programas com AC=1 (Authorized)

👉 Programas autorizados são perigosíssimos

💥 Cenário:

• programa mal protegido

✔️ Ataque:

• executa código privilegiado

🔥 Exemplo:

• load module vulnerável em:

SYS1.LINKLIB

---

🧾 5. JCL Injection

👉 Entrada controlada por usuário dentro de JOB

💥 Exemplo:

//STEP1 EXEC PGM=IEFBR14
//SYSIN DD *
DELETE PROD.DATA
/*

✔️ Ataque:

• execução de comandos não autorizados

🔥 Lição:

• validar input sempre

---

🌐 6. FTP mal configurado

👉 FTP aberto é porta escancarada

💥 Problema:

• acesso sem restrição
• upload/download liberado

✔️ Ataque:

• baixar datasets
• subir payload

🔥 Exemplo:

ftp> get 'PROD.CLIENTES'

---

🧑‍💻 7. CICS sem segurança adequada

👉 Transações abertas

💥 Cenário:

• transação sem autenticação

✔️ Ataque:

• acesso direto a dados sensíveis

🔥 Exemplo:

• acessar transação:

CEMT I TASK

---

🔐 8. Falta de logging (SMF desligado ou fraco)

👉 Sem trilha = sem investigação

💥 Resultado:

• ataque invisível

✔️ Ataque:

• ações sem rastreabilidade

🔥 Correção:

• ativar SMF 80 (RACF), 30 (job), 110 (CICS)

---

🧠 9. Senhas fracas / padrão

👉 O clássico que nunca morre

💥 Exemplo:

• USER: OPERADOR
• PASS: OPERADOR

✔️ Ataque:

• brute force / guessing

🔥 Correção:

• regras RACF (PASSWORD RULES)

---

🔗 10. Integração insegura (APIs / z/OS Connect)

👉 O ponto mais moderno… e mais perigoso

💥 Cenário:

• API exposta sem controle forte

✔️ Ataque:

• acesso indireto ao mainframe

🔥 Exemplo:

• chamada REST acessando backend CICS sem validação

---

🧠🔥 Padrão ouro dos ataques

👉 90% dos casos seguem esse fluxo:

1. credencial fraca ou vazada
2. acesso TSO / FTP
3. enumeração de datasets
4. exploração (APF / AC=1 / CICS)
5. persistência
6. exfiltração

---

💀 MITO vs REALIDADE (nível hardcore)

Mito	Realidade
RACF protege tudo	só se bem configurado
APF é seguro	é arma nuclear
Ninguém acessa TSO	atacante ama TSO
Mainframe é isolado	API abriu a porteira

---

☢️Maior falha de sempre

Backdoor em online. As vezes para corrigir erros em produção são criados programinhas ocultos com muito poder de atualização. Caso caia em mãos erradas o estrago esta feito. Sem log, sem rastro, oculto entre programas quentes.

De boas inteçoes o inferno esta cheio.

🚀 Conclusão Bellacosa

“Mainframe não é hackeado por força…
é hackeado por permissão.”