سخت‌افزار IBM System i امنيت كافی فراهم نمی‌سازد

نويسنده: Jaikumar Vijayan
Computer World
مترجم: مريم‌ پويان‌پور

فرامينگهام- كامپيوترهای IBM System i كه سابقا به سرورهای iSeries و AS/400 معروف بودند از نظر قابليت اطمينان شهرت داشتند. اما اقدامات امنيتی ضعيف از طرف كسانی كه اين سيستم‌ها را مديريت می‌كنند آنها را بسيار آسيب‌پذير ساخته است. تحقيقی از طرف The PowerTech Grop (يك شركت امنيتی در واشنگتن) انجام شده كه بر پايه نتايج حاصل از 188 نظارت سيستم در 177 سايت System i تهيه شده است. گزارش تهيه شده نشان می‌دهد كه مالكان سيستم‌های System i از كنترل داخلی كافی برای محافظت از ديتا بر روی سيستم‌ها برخوردار نيستند. جان ارل مدير ارشد تكنولوژی PowerTech می‌گويد، بيش از 90 درصد از سيستم‌های ارزيابی شده از هيچ كنترلی برای جلوگيری يا نظارت بر تغييرات اعمال شده بر ديتای اساسی از طريق يك كامپيوتر خارجی برخوردار نبودند. علاوه بر آن 95 درصد از سيستم‌ها حداقل 10 كاربر با اجازه كامل دستيابی مدير داشتند. 43 درصد از آنها نيز 30 كاربر با چنين اجازه‌ای داشتند. در ضمن 77 درصد از سيستم‌ها بيش از 20 كاربر با اسم‌ رمزهايی مشابه نام كاربری‌شان داشتند. نتايج ارزيابی اخير چندان تفاوتی با دو تحقيق قبلی توسط PowerTech نداشته است. در واقع گزارش نشان می‌دهد كه توجه كاملی به امنيت صورت نمی‌گيرد.

ارل در ادامه می‌گويد، اين پلاتفرم هميشه از نظر شايستگی و امنيت شهرت داشته و تعداد زيادی از ابزارهای امنيتی عالی محلی را به همراه داشته است. اما جامعه مربوطه به دلايلی در اين امنيت پيشرفت نداشته و پشتكاری از خود نشان نداده است. اغلب اوقات به پروژه‌های امنيتی بر روی  System i اولويت داده نمی‌شود چون فرض می‌شود كه سيستم به اندازه كافی امن است.

  System i يك سرور آی‌بی‌ام ميانه انحصاری است كه برای چندين سال نرم‌افزارهای منابع استانی و مالی و طراحی منابع شركتی مهم را در شركت‌های بزرگ و كوچك تقويت نموده است. سيستم فوق اولين بار با عنوان AS/400 در سال 1988 معرفی شد و اساسا به طور كامل بر پايه يك سيستم متوسط نسل قبل آی‌بی‌ام به نام System 38 طراحی شده است. از آن سال به بعد تغييرات اساسی در سيستم اعمال شده است.

از مهمترين تغييرات گنجاندن پشتيبانی برای سرويس‌هايی مثل پروتكل انتقال فايل FTP و Open Database Connectivity يا ODBC و Java Database Connectivity يا JDBC است كه ديتای روی كامپيوترهای System i را برای ديگر كامپيوترهای شبكه قابل دسترس می‌سازد.

رابين تتمام مهندس ارشد امنيت System i در شركت MSI Systems Integrators  در اوماها می‌گويد، در روزهای اول سرور بسيار انحصاری بود و كاربران از بابت دسترسی افراد ديگر به ديتا روی سيستم نگرانی نداشتند. در طی چند سال مشتريان دستيابی بازتری از طريق FTP و ODBC را خواستار شدند و آی‌بی‌ام اين امكان را به آنها داد.

اما اين دستيابی باز به همراه عدم وجود كنترل صحيح، System i را آسيب‌پذير ساخته است. به عنوان مثال در سيستم‌های AS/400 صفحه نمايش سبز نسل قبل دستيابی سطح admin برای اكثر كاربران موضوع پراهميتی نبود زيرا آنها به آنچه می‌توانستند انجام دهند، محدود بودند.

اما به گفته تتمام با پشتيبانی سرويس‌هايی مثل FTP و ODBC كه به هر كاربر دارای يك پروفايل بر روی سيستم امكان دستيابی به ديتابيس روی System i از طريق يك كامپيوتر را می‌دهند، وجود تغييرات الزامی است. در نتيجه بسيار مهم است كه شركت‌ها سطح دسترسی كاربران اين سيستم ها را به شدت كنترل نمايند.

در گزارش آمده: حق دسترسی باز به ديتا و ابزارهای ساده برای دستيابی به ديتا از طريق يك كامپيوتر مشكل ساز است. اما تعداد اندكی از شركت‌ها كنترل‌هايی را برای محدود ساختن يا مانيتور اين دستيابی فراهم ساخته‌اند.

ال بارسا، رئيس Barsa Consulting Group LLC می‌گويد، بيشتر مواردی كه اكنون در امنيت System i مورد توجه قرار می‌گيرند نتيجه تجارب كاربران درگذشته است. به خاطر داشته باشيد كه بسياری از كاربران قبلا از سيستم‌های S/38 استفاده می‌كردند كه مسئله امنيت در آنها زياد مورد توجه قرار نمی‌گرفت. اين سيستم‌ها از نظر امنيت بسيار سطحی بودند و پياده‌سازی‌های ابتدايی اغلب حتی به اسم رمز نياز نداشتند. در سيستم های AS/400 نيز همين قضيه صدق می‌كرد و هنوز ادامه دارد.

به گفته بارسا از نظر تاريخچه اين پلاتفرم تا حدی نيرومند شده كه كاربران را قادر به دوری از كنترل‌های ناصحيح نموده است.