AS/400 is not vulnerable

1999-03-01

Om Ni läser rekommendationerna från CERT så kanske Ni reagerar över rubrikvalet. Jag skall strax förklara varför.

För Er som inte är bekanta med CERT så kan kanske följande beskrivning bringa lite klarhet. CERT, Computer Emergency Response Team, är en organisation vid Carnegie Mellon University i USA som bekostas av staten. Organisationen grundades 1988 av DARPA (Defense Applied Research Projects Agency) och har bland annat till uppgift att koordinera incidenter som inträffar på Internet. Organisationen jobbar också starkt med att stötta systerorganisationer som byggs upp runt om i världen. Organisationen har under resans gång namnändrat till CERT Coordination Center (CERT/CC), men i folkmun lever CERT kvar.

När en ny incident inträffar på Internet så rapporterar den som upptäcker eller utsätts för denna incident detta till CERT. Ett exempel är den incident som Netect rapporterade den 9 februari i år rörande ett FTP bufferproblem som kan leda till att en anonym användare får full access till FTP-arean. Oftast så verifierar och rekonstruerar CERT incidenten samt undersöker vilka ytterliggare miljöer som är sårbara. Därefter skickar CERT ut en rekommendation för att undvika att fler drabbas av den aktuella incidenten. Berörda miljöer kanske redan har fått välbehövliga rättningar (patchar, PTF’er, fixar) vilka också omnämns rekommendationerna från CERT. Arbetet hos CERT bedrivs i samarbete med berörda leverantörer och tillverkare.

Det är här rubrikvalet kommer in. Jag har aldrig noterat AS/400 i rekommendationerna från CERT. Delar av IBM är verksamma eftersom AIX omnämns i flertalet rekommendationer. Det är möjligt att AS/400 inte har några brister och inte är känslig för några attacker, men desto bättre om AS/400 alltid skulle omnämns som “not vulnerable” i rekommendationerna från CERT. Det krävs ett engagemang från IBMs sida för att AS/400 också skall bli en miljö som omnämns av CERT. Det ställer också krav på att alla rapporterade incidenter verifieras på AS/400 vilket inte kan vara till någon nackdel.

Med förhoppning om att vi alla i nästa rekommendation från CERT läser “AS/400 is not vulnerable”.

© 1999 Thomas Nilsson, Certezza AB