211service.com
Stordatorer som hanterar våra mest känsliga data är öppna för internetattacker
De är maskinerna som inte kommer att dö. På 1960-talet började många flygbolag, banker och regeringar behandla känsliga transaktioner med hjälp av gigantiska stordatorer – och deras ättlingar är fortfarande i bruk. Nu visar det sig att dessa levande datordinosaurier också har en mycket modern last: de överdelar på Internet.

Inloggningsskärmen som presenteras av en stordator fritt tillgänglig över Internet; stordatorer hanterar kritisk data men får mycket mindre granskning av säkerhetsexperter än andra typer av datorer.
Säkerhetsforskaren Phil Young säger att han har hittat omkring 400 stordatorer på Internet som erbjuder en inloggningsskärm för alla som ansluter. Vid Säkerhet BSides konferens i Las Vegas i tisdags berättade han om hur han hade upptäckt stordatorer som tillhörde USDA, National Institutes of Health , delstaten New Mexicos databas för förartjänster, South Carolina Health and Human Services , flygbolaget EgyptAir och många universitetsadministrationssystem. Han håller en blogg där programvara lägger automatiskt upp skärmdumpar av stordator-inloggningsskärmar som finns online.
Young hittade dessa stordatorer genom att bygga på verktyg som utvecklats för att skanna Internet efter sårbar programvara och enheter (se Vad hände när en man pingade hela Internet). Han säger att det han fann är oroande för även om stordatorer har utvecklats på många sätt under de senaste 50 åren, saknar de moderna säkerhetsfunktioner som behövs för system som är fritt tillgängliga över Internet. Och medan stordatorer hanterar värdefull data som banktransaktioner och personuppgifter, är de en liten, specialiserad nisch som är väsentligen osynlig för datorsäkerhetsindustrin som arbetar för att hålla saker som datorer, telefoner och webbplatser säkra.
Det betyder att det är troligt att säkerhetsbrister kan användas för att bryta sig in i stordatorerna som glatt har lagts ut online, säger Young. Det finns en falsk känsla av säkerhet eftersom folk har fått höra i flera år att stordatorer är säkra, säger han. Men de är inte riktigt säkra – det är bara det att ingen bryr sig om dem.
Den godkända bästa praxisen för att hålla programvara säker är att företag offentligt avslöjar nyupptäckta brister i sina produkter tillsammans med programvarukorrigeringar för att åtgärda dem, som Microsoft gör för Windows. Det gör det möjligt för IT-personal som försöker hålla många produkter uppdaterade för att veta vilka risker de står inför och prioritera vad de ska korrigera.
IBM använder inte den modellen för sin stordatorprogramvara, som dominerar marknaden. Den håller information om säkerhetshål i sin stordatorprogramvara hemlig, säger Young, och kontaktar stordatorkunder privat för att säga att de borde tillämpa en ny säkerhetskorrigering, utan att säga exakt varför.
Säkerheten på den här plattformen hanteras inte väl, och företag och regeringar använder dem för saker som verkligen betyder något för oss alla, säger Young. Det är denna enorma blindside som väntar på att hända.
Som svar på en fråga om IBM:s säkerhetspraxis sa en taleskvinna för företaget: IBM:s stordator är det säkraste datorsystemet i världen med unik kryptografiteknik.
Det har på senare tid funnits några exempel på farliga konsekvenser av attacker på stordatorer och den kritiska data de hanterar. 2014 befanns en grundare av den svenska fildelningstjänsten Pirate Bay skyldig till åtkomst till en stordator som tillhör en IT-entreprenör och åt danska myndigheters data inklusive identifikationsnummer och brottsregister.
På senare tid, när ledare för det amerikanska kontoret för personlig förvaltning dök upp inför kongressen för att förklara hur känslig information om miljontals federala anställda nåddes av hackare, pekade de på decennier gammal kod skriven på ett programmeringsspråk som heter COBOL. COBOL uppfanns 1959 och använder idag huvudsakligen stordatorer.
Senare i veckan på DEF CON-hackningskonferensen kommer Young och en samarbetspartner, Chad Rikansrud, att introducera flera verktyg med öppen källkod för att hjälpa säkerhetsforskare att undersöka stordatorprogramvara för säkerhetsbrister som kan utnyttjas. De hoppas kunna utlösa en våg av granskning av stordatorer, liknande det som nu tillämpas på industriella kontrollsystem efter upptäckten av Stuxnet-attacken på det iranska kärnkraftsprogrammet och internetskanningar som hittade hundratusentals sårbara system online (se Protecting Power Grids from Hackers är en enorm utmaning).
Uppdaterad 5 augusti, kl 20.50. EST för att lägga till kommentar från IBM.