Copy Link
Add to Bookmark
Report
Minotauro Magazine Issue 08 04 Hackeando al Venerable S36
Minotauro Magazine #8:
Hackeando al Venerable S/36
Por Mantisking
Hi fucking hackers de la Argentina !! Aqu¡ el Rey del Boxeo de Mantis los
saluda una vez m s para traerle £tiles informaciones.
Lo primero que les traigo son datos estad¡sticos del sistema financiero
argentino. Aqui van los proveedores de hardware de bancos:
78 % IBM
7 % NCR
15 % otros
De ese 78 % de IBM, aunque les cueste creerlo, una gran porci¢n la ocupan
equipos venerables del tipo S/34 y S/36 sobre todo en bancos del interior del
pais, aunque gradualmente est n siendo reemplazados, generalmente por AS 400.
Entonces, si quieren hackear algo mas interesante que un BBS, abandonen sus
asquerosas PC, y a darle maza a estos fierros.
Aca van algunas pistas para comprender la seguridad del S/36:
-------------------------------------------------------------
Recursos del sistema: son aquellos archivos donde se encuentran los prg. y
bibiotecas que utiliza el sistema durante su funcionamiento. Pueden residir
en el disco o en diskette. En este £ltimo caso se cargan al disco en momento
de su utilizaci¢n.
Archivo historico del sistema operativo: contiene informaci¢n generada por
el sistema sobre todas las tareas realizadas en el mismo (procedimientos
ejecutados, hora de ejecuci¢n, terminal desde la cual se ejecut¢, usuario,
etc.). Tambin registra el tiempo de utilizaci¢n (es decir hora de conexi¢n
y desconecci¢n al sistema), por lo que hay que ser cuidadoso y no abusar de
la cuenta que se este hackeando, aunque la mayor¡a de los System Programmers
no lo revisan, y generalmente lo eliminan del disco al iniciar las operaciones
al inicio del d¡a para liberar espacio en disco.
Archivos operativos: son el conjunto de datos utilizados por los sistemas
aplicativos. Los utiliza el operador del sistema y son lo mas jugoso de los
sistemas bancarios. All¡ pueden encontrarse valiosos datos como saldos de
cuentas, nombres de los clientes del banco, gastos mensuales con tarjeta de
crdito, y un largo etc. (dejen volar su imaginaci¢n para pensar que podr¡an
hacer con esa informaci¢n, mas all de modificar el saldo de su propia cuenta
JA JA). Muchos de los mailing que se reciben nutrieron sus bases de las
informaciones que se "toman prestadas" de estos archivos.
Archivo de esquema de seguridad: contiene la seguridad de usuarios y recursos.
Est m s que claro que es el archivo que hay que tocar para otorgarse mayor
seguridad para poder acceder a todas las opciones del sistema.
Bibliotecas: son procedimientos, programas y par metros de los sistemas
aplicativos.
Biblioteca -¥Library- : es el sistema operativo del equipo S/36.
Para trabajar con la seguridad del sistema:
------------------------------------------
Los usuarios MASTER y SYSTEM son generalmente los £nicos habilitados para
trabajar con la seguridad del sistema.
El usuario SYSTEM como responsable no maestro de la seguridad, no tiene acceso
a todas las funciones del usuario MASTER, responsable maestro de la seguridad.
El sistema de seguridad suministra una serie de listados:
1) Listado de seguridad de usuarios: provee los perfiles correspondientes a
cada usuario del sistema con indicaci¢n de sus atributos.
2) Listado de seguridad de recursos: provee las caracter¡sticas de seguridad
determinadas para cada recurso del sistema.
3) Listado de seguridad de carpetas: verifica la existencia de carpetas
4) Listado de seguridad de comunicaciones: atenci¢n este es el listado donde
aparecen se¤aladas las comunicaciones. Al igual que con el historico no hay
mucho drama porque nadie le da bola. Solo se lo empieza a revisar cuando los
auditores (internos o externos) andan dando vueltas por el centro de computos.
5) Listado cat logo del disco: en este listado figura detalladamente el conte-
nido de las bibliotecas del disco, su ocupaci¢n, etc.
Vamos a un punto que hab¡a quedado medio colgado,
Modificaci¢n de seguridad de usuarios
-------------------------------------
ID del Usuario: corresponder a su identificaci¢n individual o a las claves
£nicas SYSTEM, MASTER o CONTROL.
Contrase¤a: es el password de seguridad.
Clasificaci¢n de la seguridad: especifica la clasificaci¢n de seguridad que
tendr el usuario cuando est activa la seguridad por contrase¤a. Las clasi-
ficaciones se listan desde el nivel de autorizaci¢n m s elevado hasta el m s
bajo. Cada clasificaci¢n posee todas las autorizaciones de nivel inferior a
ella. Ac va una descripci¢n mas detallada:
M - Usuario responsable maestro de seguridad, que puede ejecutar todos los
procedimientos de seguridad y puede usar cualquier estaci¢n de panta-
lla.
S - Usuario responsable de seguridad, puede definir y listar perfiles de
usuario, asegurar grupos, ¡ndices alternativos y la ¥Library. Este
usuario tambin puede usar cualquier estaci¢n de pantalla.
O - Usuario operador de consola del sistema que puede usar cualquier esta-
ci¢n de pantalla.
C - Usuario operador de subconsola, que puede usar cualquier estaci¢n de
pantalla, excepto la consola del sistema.
D - Usuario operador de estaci¢n de pantalla que puede hacer lo siguiente:
- Cambiar su propio perfil de usuario
- Cambiar su propio password
- Asegurar todos los recursos que no estn asegurados
- Cambiar o eliminar la seguridad de los recursos que posee
- Listar informaci¢n de seguridad para los recursos a los que tiene
acceso.
Mediante la utilizaci¢n de la tecla Mdto.2 se podr requerir directamente al
usuario de su inters mediante el ingreso de su identificaci¢n en la pantalla
que aparecer .
Estando en la visualizaci¢n del USUARIO de su inters podr ver las particula-
ridades en la definici¢n de ese usuario, haciendo uso del Mdto.6 para ver y/o
modificar la contrase¤a.
Utilizando Mdto.9 se podr obtener el resto de la informaci¢n correspondiente
al usuario en cuesti¢n.
Cuando este en la pantalla deseada podr modificar las propiedades de defini-
ci¢n efectuada. Se obtendr el mensaje SYS-6888 Se han efectuado los cambios.
Si desea eliminar al usuario visualizado pulse Mdto.4.
Si desea agregar alg£n usuario utilice Mdto.5 e ingrese los datos solicitados
en pantalla.
Modificaci¢n de seguridad de recursos
-------------------------------------
Para modificar la seguridad de archivos y bibliotecas hay que realizar el
siguiente procedimiento:
Accionar las teclas de giro de p gina hasta obtener el mensaje SYS-8647 Final
de registro de recursos.
Obtenida la visualizaci¢n del recurso de su inters, podr ver los usuarios
que tienen acceso al mismo y con que propiedades lo acceden haciendo uso del
Mdto.6 y accionando las teclas de giro de p gina. As¡ puden visualizarse to-
dos los usuarios habilitados para ese recurso hasta que aparezca el mensaje
SYS-8649 Final de usuarios para ese registro de recurso.
Si desea agregar o eliminar usuarios para ese registro use Mdto.5 y Mdto.6
respectivamente.
Accesos permitidos
Nivel de acceso dado a los usuarios que carecen de registro de usuario para
este recurso o para el recurso principal:
O - Propietario : El usuario puede a¤adir, suprimir o cambiar registros de
usuario asociado con el registro de recurso y tiene todos
los niveles de acceso inferiores.
C - Cambio : El usuario puede crear o suprimir el recurso y tiene todos
los niveles de acceso inferiores.
U - Actualizaci¢n: El usuario puede actualizar informaci¢n en el recurso y
tiene todos los niveles inferiores de acceso.
R - Lectura : El usuario puede leer informaci¢n en el recurso y procesar
miembros de carga y procedimientos desde una biblioteca.
E - Ejecuci¢n : El usuario solo puede ejecutar miembros de carga y procedi-
mientos desde una biblioteca.
N - Ninguno : El usuario no tiene acceso a este recurso.
Bueno gente, espero que esta informaci¢n les sirva. El sistema financiero
argentino est en bolas y esperando ser hackeado... Adelante !
PD 1: Saludos a los muchachos de Dionysios, el mejor BBS del condado.
PD 2: Aguante Cicl¢n, Globo Bot¢n !!!
PD 3: Ultima y no jodo mas... San Lorenzo Capo, da la vuelta en cancha nueva !
Vuestro servidor
MaNTiSKiNG
==========
