Computing power comparison: mainframe versus Intel Xeon

[StrangerR]

А на Linux для сервера или Windows сервер есть? Есть, но только он как пятое колесо к телеге, верно? Мы о сереверах говорим, прошу не забывать.

Влад опять в пещере. А через что работает интерфейс доброй половины продакшн IT систем? Через броузер.

Я вот ставлю бразеры и на серверы. Бывает не часто но нужно проверить что-то непосредственно с сервера, тогда эта _стюардесса_ выкапывается и все проверяется.... А иначе долго долго трахаться через всякие там wget

А я использую для этого свой десктоп, или лаптоп, или таблетку. На серваках, тем более что нормально что к ним нет физического доступа, это не нужно. Даже если кто-то через RDC работает с серваком Windows, то наличие на нем браузера с выходом в публик интернет это большая ошибка службы безопасности, или ее нет вообще.

Очень редко но бывает нужен. Хотя речь про девелоперские серверы. Типа билд систем, всяких дженкинсов и прочего. На реальном продакшене бразер был нужен всего пару раз и прекрасно заменялся wget-ом (проверить достут на сайт провайдера какой то информации)

[Dmitry67]

А новый интерфейс VMware? Только не говорите что его можно запустить удаленно, с другого континента окно логина открывается около минуты

[Dmitry67]

А я использую для этого свой десктоп, или лаптоп, или таблетку. На серваках, тем более что нормально что к ним нет физического доступа, это не нужно. Даже если кто-то через RDC работает с серваком Windows, то наличие на нем браузера с выходом в публик интернет это большая ошибка службы безопасности, или ее нет вообще.

Как наличие браузера связано с наличием выхода во внешний интернет?

[Dmitry67]

Кстати, вот тоже любят закрытость и не любят бенчмарки
https://m.geektimes.ru/post/269914/

Мне кажется нас ждут интересные новости из России в части IT и электроники...
(чисто субъективное мнение, будем посмотреть)

"В Интел напряглись"? (С)

[Flash-04]

На данный момент можно констатировать что те предположения, которые необходимы чтобы вообще использовать этот подход простым юзером в любой не лоховской конторе с мф (а таких я считаю нет), не реалистичны и сделать его реалистичным возможностей у простого пользователя просто нет.

На Black Hat обычно с фуфлом не ходят.

[zVlad]

А я использую для этого свой десктоп, или лаптоп, или таблетку. На серваках, тем более что нормально что к ним нет физического доступа, это не нужно. Даже если кто-то через RDC работает с серваком Windows, то наличие на нем браузера с выходом в публик интернет это большая ошибка службы безопасности, или ее нет вообще.

Как наличие браузера связано с наличием выхода во внешний интернет?

Никак не связано.

[zVlad]

На данный момент можно констатировать что те предположения, которые необходимы чтобы вообще использовать этот подход простым юзером в любой не лоховской конторе с мф (а таких я считаю нет), не реалистичны и сделать его реалистичным возможностей у простого пользователя просто нет.

На Black Hat обычно с фуфлом не ходят.

Я по возвращении из отпуска займусь этим плотно. Кстати, спасибо что подкинул интересную тему для исследования и следовательно освежения давно не используемых знаний. Давно я с ассемблером не возился, програмки на REXX там есть. Посмотрим.
Вообще все это замешано на документированных системных функциях. Это не никому не известные дырки, а известные средства как раз таки повышения уровня безопасности работы и в тоже время предоставления контролируемого доступа к системным возможностям, которые могут дать права работы с высокими уровнями доступа. Следовательно, как раз за этими объектами: APF libraries, и SVC особенно бдительно следят, т.е. банально ограничивают к ним доступ так что только определенные пользователи могут их модифицировать. Читать их можно дать всем, но не модифицировать на чем вся эта музыка только и построена. Без этой возможности все что написано и предложено не работает так как заявлено, и вот это как раз не может подвергаться сомнению.
SVC, да они выполняют работу из ядра, но вполне определенную работу и их алгоритм изменению может быть подвержен если удастся подменить код, а вот это как раз очень просто и надежно пресекается в zOS.
Меня удивило что материалы довольно свежие. Ничего нового в них нет и я уверен что кто-то просто решил освежить что-то уже публикованое годах этак 80х, если не 70х. Этим механизмам много лет. И они есть официальные возможности для выполнения програм в контролируемой обстановке. Именно для защиты системы, а не проникновение в нее без санкций на то.

Ты понимаешь к чему я клоню? Ребята предположили что они получили доступ будучи обычным пользователем к тому к чему обычный пользователь доступ получить в принципе не может и рассказали как используя стандартные механизмы можно все перевернуть с ног на голову.

Что особо мне интересно это то можно ли "попав в систему через APF library или SVC" сделать пользователя, который выполнил этот вход, SPECIAL. SPECIAL это полный контроль за всем и вся.

[Flash-04]

Не могу ничего сказать, так как я в этой теме не разбираюсь. Посмотри, обычно презентацию полностью выкладывают, да и с автором обычно можно связаться если есть желание.

[zVlad]

Не могу ничего сказать, так как я в этой теме не разбираюсь. Посмотри, обычно презентацию полностью выкладывают, да и с автором обычно можно связаться если есть желание.

Исходных текстов что автор предоставил более чем достаточно чтобы разобраться самому. К первой ссылке на zdnetесть шесть комментов от мэйнфреймщиков. Говорят тоже что и я сказал. Но ни один не покопался всерьез и не подтвердил возможность/невозможность "сделаться" SPECIAL. Я нашел в программах место где ставятся биты в управляющих блоках. Блоки и биты в них наверняка есть, но достаточно ли их установки чтобы стать SPECIAL я этим не убежден нисколько. Надо еще показать что после установки этих битов действительно возможности SPECIAL доступны.
Вообще SPECIAL это не совсем тоже что и root в юниксподобных системах. SPECIAL позволяет менять security structure во всех ее аспектах и в связи с этим он имеет доступ ко всему (просто поскольку он сам себе может дать права или снять запретительные права установленные другими на подконтрольные им ресурсы), но все эти действия записываются и освободиться от аудита можно только уничтожением этих записей что само по себе вскрывает злоумышленника с головой.
Заявление автора этой сенсации что svc используют эскалацию прав для чего то не выдерживают никакой критики потому что как я уже сказал SPECIAL настолько специфичен что никакой пользовательской svc ни для чего быть нужен не может. А действия в пользовательской svc обязательно аудиторствуются как только будет сказано что мы эскалируем права в ней так сразу зажется красный свет. Людям, делающим работы SPECIAL, дают эти права под строгим контролем только на время изменения, а чтобы это позволялось какой-либо прикладной программе так это нонсен и не является обычной практикой ни разу.
Есть мнение, на мое, а в комментах к этому, что этт реклама аудиторской фирмы.
В любом случае я этим займусь. Не знаю только как проживу больше недели - меня рвет в бой, а надо собираться в путь и завтра утром вылетать. Не мог ты раньше это найти? Когда я от скуки офигевал.

[StrangerR]

А новый интерфейс VMware? Только не говорите что его можно запустить удаленно, с другого континента окно логина открывается около минуты

Если мне попадется тот индус, который придумал этот интерфейс - повешу на ближайшем столбе. Это какой то кошмар. Я пока еще на 5.5 живу но с ужасом думаю о том, что придется бразеры отдельные заводить для этого ужаса-на-крыльях-ночи.

Кстати да, бразер мне был нужен чтобы ходить к провайдеру сервиса через IPSEC. Хотя интернет там и был (там нет критических данных, слава богу).

[Flash-04]

Не мог ты раньше это найти? Когда я от скуки офигевал.

Выходил бы почаще с MF в Гугл, нашёл бы и сам

[Flash-04]

Если мне попадется тот индус, который придумал этот интерфейс - повешу на ближайшем столбе. Это какой то кошмар. Я пока еще на 5.5 живу но с ужасом думаю о том, что придется бразеры отдельные заводить для этого ужаса-на-крыльях-ночи.

Кстати да, бразер мне был нужен чтобы ходить к провайдеру сервиса через IPSEC. Хотя интернет там и был (там нет критических данных, слава богу).

не забудь remote console доставить, а то я некоторое время офигевал, почему консоль запускается, но вот мышь в ней не работает

[zVlad]

Не мог ты раньше это найти? Когда я от скуки офигевал.

*
Выходил бы почаще с MF в Гугл, нашёл бы и сам

Привет. Все шутишь? А я вот сижу у выхода на посадку в Пирсоне. После обеда должен буду окунуться в океан.
Тема не выходит из головы. Вот так ты меня торкнул.
Кроме тех предположений там необходимо еще одно: надо иметь доступ к TSO. Этот доступ определяется наличием TSO сегмента в профайле пользователя. Такой сегмент надо дать, по умолчанию его нет. Дают его программистам. Могут дать и пользователям если для них написали приложение в TSO, что возможно но очень невероятно. 99% пользователей мф либо работают через CICS либо WebSphere. Это значит что те програмки на REXX они в принципе запускать не могут, нет у них для этого среды работы в принципе. Это как если аккаунт не в группе удаленных пользователей Windows, то через RDC не присоединишься.
Это я так дополнительную инфу дал. Интерес сохраняется, я буду запускать те програмки в TSO с пользователем типа програмиста, и расскажу как они выполнялись, что показывали и т.д. попытаюсь после "эскалации" до SPECIAL выполнить что-нибудь что требует этих прав.
Как ты понимаешь в эскалацию эту я не верю, но я это показать собираюсь. Путь к этому понятен и реален, вопросов нет, но будет ли достигаться то что заявленно для меня не очевидно. Тот блок в котором автор ставит биты может быть не тем где права на самом деле проверяются.
Не скучай.

[Dmitry67]

Ну вот собственно мы почти договорились. Уязвимости это не взлом kernel, что почти невероятно. Это неправильное взаимодействия софта вокруг, когда более привилегированный процесс is,tricked into doing something wrong. Тот же классический SQL injection из той же серии

Соответсвенно, потенциально количество уязвимостей грубо пропорционально квадрату разнообразия софта в экосистеме. В МФ оно минимально. Опять имеем неуловимого Джо

[Flash-04]

Привет. Все шутишь? А я вот сижу у выхода на посадку в Пирсоне. После обеда должен буду окунуться в океан.

конечно, иначе жизнь была бы скучна и ужасна океан - это хорошо, я вот на Крсимас слетал, как приехал, столько всего наворотил, что сам теперь офигеваю вот что значит хорошо отдохнуть!

Тема не выходит из головы. Вот так ты меня торкнул.

значит день пропал не зря

Как ты понимаешь в эскалацию эту я не верю, но я это показать собираюсь. Путь к этому понятен и реален, вопросов нет, но будет ли достигаться то что заявленно для меня не очевидно. Тот блок в котором автор ставит биты может быть не тем где права на самом деле проверяются.

ну вот и посмотрим. как показывает практика - идеальных систем нет. Каждый из компонентов может быть хорошо, но когда их сводят вместе бывают косяки. Да и сами идеальные компоненты на деле могут оказаться далеко не идеальными. Примеров тому - вагон и маленькая тележка.

Не скучай.

при моей жизни это исключено