Minotauro8:(TEXT_004.008):13/10/1995 << Back To Minotauro8


Minotauro Magazine #8: Hackeando al Venerable S/36 Por Mantisking Hi fucking hackers de la Argentina !! Aquí el Rey del Boxeo de Mantis los saluda una vez más para traerle útiles informaciones. Lo primero que les traigo son datos estadísticos del sistema financiero argentino. Aqui van los proveedores de hardware de bancos: 78 % IBM 7 % NCR 15 % otros De ese 78 % de IBM, aunque les cueste creerlo, una gran porción la ocupan equipos venerables del tipo S/34 y S/36 sobre todo en bancos del interior del pais, aunque gradualmente están siendo reemplazados, generalmente por AS 400. Entonces, si quieren hackear algo mas interesante que un BBS, abandonen sus asquerosas PC, y a darle maza a estos fierros. Aca van algunas pistas para comprender la seguridad del S/36: ------------------------------------------------------------- Recursos del sistema: son aquellos archivos donde se encuentran los prg. y bibiotecas que utiliza el sistema durante su funcionamiento. Pueden residir en el disco o en diskette. En este último caso se cargan al disco en momento de su utilización. Archivo historico del sistema operativo: contiene información generada por el sistema sobre todas las tareas realizadas en el mismo (procedimientos ejecutados, hora de ejecución, terminal desde la cual se ejecutó, usuario, etc.). También registra el tiempo de utilización (es decir hora de conexión y desconección al sistema), por lo que hay que ser cuidadoso y no abusar de la cuenta que se este hackeando, aunque la mayoría de los System Programmers no lo revisan, y generalmente lo eliminan del disco al iniciar las operaciones al inicio del día para liberar espacio en disco. Archivos operativos: son el conjunto de datos utilizados por los sistemas aplicativos. Los utiliza el operador del sistema y son lo mas jugoso de los sistemas bancarios. Allí pueden encontrarse valiosos datos como saldos de cuentas, nombres de los clientes del banco, gastos mensuales con tarjeta de crédito, y un largo etc. (dejen volar su imaginación para pensar que podrían hacer con esa información, mas allá de modificar el saldo de su propia cuenta JA JA). Muchos de los mailing que se reciben nutrieron sus bases de las informaciones que se "toman prestadas" de estos archivos. Archivo de esquema de seguridad: contiene la seguridad de usuarios y recursos. Está más que claro que es el archivo que hay que tocar para otorgarse mayor seguridad para poder acceder a todas las opciones del sistema. Bibliotecas: son procedimientos, programas y parámetros de los sistemas aplicativos. Biblioteca -ÑLibrary- : es el sistema operativo del equipo S/36. Para trabajar con la seguridad del sistema: ------------------------------------------ Los usuarios MASTER y SYSTEM son generalmente los únicos habilitados para trabajar con la seguridad del sistema. El usuario SYSTEM como responsable no maestro de la seguridad, no tiene acceso a todas las funciones del usuario MASTER, responsable maestro de la seguridad. El sistema de seguridad suministra una serie de listados: 1) Listado de seguridad de usuarios: provee los perfiles correspondientes a cada usuario del sistema con indicación de sus atributos. 2) Listado de seguridad de recursos: provee las características de seguridad determinadas para cada recurso del sistema. 3) Listado de seguridad de carpetas: verifica la existencia de carpetas 4) Listado de seguridad de comunicaciones: atención este es el listado donde aparecen señaladas las comunicaciones. Al igual que con el historico no hay mucho drama porque nadie le da bola. Solo se lo empieza a revisar cuando los auditores (internos o externos) andan dando vueltas por el centro de computos. 5) Listado catálogo del disco: en este listado figura detalladamente el conte- nido de las bibliotecas del disco, su ocupación, etc. Vamos a un punto que había quedado medio colgado, Modificación de seguridad de usuarios ------------------------------------- ID del Usuario: corresponderá a su identificación individual o a las claves únicas SYSTEM, MASTER o CONTROL. Contraseña: es el password de seguridad. Clasificación de la seguridad: especifica la clasificación de seguridad que tendrá el usuario cuando está activa la seguridad por contraseña. Las clasi- ficaciones se listan desde el nivel de autorización más elevado hasta el más bajo. Cada clasificación posee todas las autorizaciones de nivel inferior a ella. Acá va una descripción mas detallada: M - Usuario responsable maestro de seguridad, que puede ejecutar todos los procedimientos de seguridad y puede usar cualquier estación de panta- lla. S - Usuario responsable de seguridad, puede definir y listar perfiles de usuario, asegurar grupos, índices alternativos y la ÑLibrary. Este usuario también puede usar cualquier estación de pantalla. O - Usuario operador de consola del sistema que puede usar cualquier esta- ción de pantalla. C - Usuario operador de subconsola, que puede usar cualquier estación de pantalla, excepto la consola del sistema. D - Usuario operador de estación de pantalla que puede hacer lo siguiente: - Cambiar su propio perfil de usuario - Cambiar su propio password - Asegurar todos los recursos que no estén asegurados - Cambiar o eliminar la seguridad de los recursos que posee - Listar información de seguridad para los recursos a los que tiene acceso. Mediante la utilización de la tecla Mdto.2 se podrá requerir directamente al usuario de su interés mediante el ingreso de su identificación en la pantalla que aparecerá. Estando en la visualización del USUARIO de su interés podrá ver las particula- ridades en la definición de ese usuario, haciendo uso del Mdto.6 para ver y/o modificar la contraseña. Utilizando Mdto.9 se podrá obtener el resto de la información correspondiente al usuario en cuestión. Cuando este en la pantalla deseada podrá modificar las propiedades de defini- ción efectuada. Se obtendrá el mensaje SYS-6888 Se han efectuado los cambios. Si desea eliminar al usuario visualizado pulse Mdto.4. Si desea agregar algún usuario utilice Mdto.5 e ingrese los datos solicitados en pantalla. Modificación de seguridad de recursos ------------------------------------- Para modificar la seguridad de archivos y bibliotecas hay que realizar el siguiente procedimiento: Accionar las teclas de giro de página hasta obtener el mensaje SYS-8647 Final de registro de recursos. Obtenida la visualización del recurso de su interés, podrá ver los usuarios que tienen acceso al mismo y con que propiedades lo acceden haciendo uso del Mdto.6 y accionando las teclas de giro de página. Así puden visualizarse to- dos los usuarios habilitados para ese recurso hasta que aparezca el mensaje SYS-8649 Final de usuarios para ese registro de recurso. Si desea agregar o eliminar usuarios para ese registro use Mdto.5 y Mdto.6 respectivamente. Accesos permitidos Nivel de acceso dado a los usuarios que carecen de registro de usuario para este recurso o para el recurso principal: O - Propietario : El usuario puede añadir, suprimir o cambiar registros de usuario asociado con el registro de recurso y tiene todos los niveles de acceso inferiores. C - Cambio : El usuario puede crear o suprimir el recurso y tiene todos los niveles de acceso inferiores. U - Actualización: El usuario puede actualizar información en el recurso y tiene todos los niveles inferiores de acceso. R - Lectura : El usuario puede leer información en el recurso y procesar miembros de carga y procedimientos desde una biblioteca. E - Ejecución : El usuario solo puede ejecutar miembros de carga y procedi- mientos desde una biblioteca. N - Ninguno : El usuario no tiene acceso a este recurso. Bueno gente, espero que esta información les sirva. El sistema financiero argentino está en bolas y esperando ser hackeado... Adelante ! PD 1: Saludos a los muchachos de Dionysios, el mejor BBS del condado. PD 2: Aguante Ciclón, Globo Botón !!! PD 3: Ultima y no jodo mas... San Lorenzo Capo, da la vuelta en cancha nueva ! Vuestro servidor MaNTiSKiNG ==========