Tökéletesen védett rendszer nincs, nem volt és – valószínűleg – nem is lesz. Ám egyáltalán nem mindegy, hogy a körülöttünk levő digitális világ egyes részei milyen védelemben részesülnek. Természetesen minden érintett számára a saját adatai elvesztése, ellopása jelenti a legnagyobb problémát, de az egyéni veszteségeken túl ott van néhány viszonylag jól körülhatárolható terület, melynek sérülése vagy kiesése már nem tolerálható a 21. században.

A (kritikus fontosságú) infrastruktúra ugyan csak az egy része a mainframe-ek vidékének, de nem ok nélkül kedvelik az igazán fontos rendszerek IT-hátterének tervezői, kialakítói. Noha ezt a szegmenset is érintik a biztonsági rések, a nulladik napi támadások és a sebezhetőségek, szoftveres és hardveres felépítésüknek köszönhetően jóval ellenállóbbak az online támadásoknak, mint más rendszerek.

Alkalmazásuknak könnyen érthető anyagi okai (is) vannak: a kritikus fontosságú infrastruktúrák esetében már igen rövid leállás is komoly pénzügyi és presztízs-, azaz reputációs veszteséget okozhat. Emiatt a munkaállomásokhoz vagy x86-os szerverekhez képest számos tekintetben eltérő módon kell kezelni ezeket a helyzeteket – például a szoftveres frissítéseket is úgy kell megtervezni és végrehajtani, hogy azok az éles környezetben semmilyen körülmények között ne okozzanak üzemkiesést. Ezt a fajta komplexitást gyakorlatilag csak az olyan mainframe gépek képesek biztosítani, mint amilyen az IBM Z/OS és Parallel Sysplex technológiája.

Áldozattá válni: könnyű, közepesen nehéz, nehéz, mainframe

A nagygépes rendszerek világát körüllengő titokzatosság még az informatikusok jó részébe is elültette a kimagasló biztonsági szint érzetét, különösen az x86-os megoldásokhoz képest. Többek között azért, mert viszonylag kevés ember foglalkozik közvetlenül ezzel a területtel. Másrészt a nyilvánosságra kerülő statisztikák is alátámasztják ezt az érzést. Az amerikai NIST (National Institute of Standards and Technology) sebezhetőségeket tartalmazó adatbázisa például az olyan klasszikus mainframe-eket, mint az IBM zSeries vagy a Unisys modellek, különösen biztonságosnak tartja.

Felmerül tehát a kérdés: meg lehet-e egyáltalán hackelni egy nagygépes rendszert? A válasz természetesen nem egy egyszerű igen vagy nem. Ahogy említettük, nincsen tökéletesen védett IT-infrastruktúra, de egy biztonsági rés kiaknázása egyáltalán nem hozza magával azokat a nyilvánvaló előnyöket egy mainframe-nél, mint például x86-os szerverek esetében. Ennek okai az architektúrában, a processzorok felépítésében és a szoftverek terén tapasztalható jelentős eltérésekben kereshetők.

Nincsenek például könnyen elérhető, behatolás-tesztelő eszközök (Penetration Testing Tool) sem. Korlátozott a megfelelő tudással rendelkező emberek száma, és gyakran ugyanez a limitáltság jellemzi a közösségi támogatást is. Magasabban van a belépési küszöb az x86-os architektúrára alapuló szerverekhez képest, noha ezen összetettebb rendszerek is megérthetők a megfelelő képzettségek birtokában.

Ismeretlen részletek

A fentiekből kifolyólag a legtöbb, mainframe-ekkel dolgozó informatikus úgy tekint „rendszerére”, mint egy áthatolhatatlan, totális biztonságban levő, elzárt világra. Holott a nagygépeknek is vannak sebezhető pontjaik, még ha ezek a nyilvánosság előtt nem – vagy csak alig – ismertek. Ennek oka, hogy egy-egy biztonsági rés felfedezésekor a klienseket részletesen nem értesítik, csupán egy feltelepítendő patch és a hibát minősítő CVSS (Common Vulnerability Scoring System) pontszám születik meg.

Ugyanakkor még abban az esetben is komoly kihívást jelentene egy mainframe sebezhetőség sikeres kiaknázása, ha rosszindulatú kezekbe jutna a sérülékenység részletes leírása. Amellett ugyanis, hogy először rá kell akadni egy online kapcsolattal bíró – sebezhető – nagygépes rendszerre, kommunikálni is tudni kell(ene) vele.

Ez nem pont ugyanúgy zajlik, mint egy x86-os szerver esetében. A mainframe-ek NJE (Network Job Entry) révén alakítanak ki megbízható hálózati kapcsolatot, ezt követően a nem interaktív JCL (Job Control Language) segítségével zajlik a feladatok küldése és fogadása. A felhasználók változtatásokat eszközölnek, majd elküldik ezeket, a célpont mainframe pedig frissít, végrehajt és visszaválaszol.

Valaki foglalkozni fog vele…

Noha a mainframe-ek egyáltalán nem feltörhetetlenek, jóval nehezebb őket online támadásokkal legyűrni, mint más rendszereket. Ettől függetlenül ajánlott felismerni és megérteni gyenge pontjaikat – még mielőtt valaki más, önös érdekeitől vezérelve szánja rá magát erre. Hiszen a nagygépek világa túl sok előnyt nyújt ahhoz, hogy ezt a problémát a szőnyeg alá lehetne söpörni.