En la mayoría de las empresas los archivos de spool e informes en PDF en el IFS incluyen información sensible, fácilmente accesible.
Suelo inspirame en diversas fuentes para mis artículos, pero, en este caso, es uno de mis clientes quien merece realmente el crédito por este artículo. Tal como él identificó, hay mucha información “interesante” que puede encontrarse en archivos de spool y PDFs en los directorios IFS que son dejados en el sistema, a veces, por un largo tiempo. Entonces, agradezco a TJ por inspirarme a profundiizar en este tema.
Deténgase un momento a pensar en la política de su empresa respecto a la retención de archivos de spool o de otro tipo de reportes. Algunas empresas tienen rutinas de limpieza para borrar archivos de spool después de una o dos semanas. Otras, no solo no tienen este tipo de políticas, sino que sus usuarios insisten en mantener los archivos de spool con propósitos históricos. Y mientras los archivos de spool son habitualmente administrados, es raro que esto suceda con archivos PDF.
Luego, considere el tipo de información contenida en los PDF de sus directorios y los archivos de spool en cola de salida. Además de ocupar espacio en el disco y consumir tiempo al momento de realizar una copia de seguridad, ¿cuál es el inconveniente de dejar estos reportes en el sistema? El problema son los contenidos de esos reportes y quién tiene acceso a ellos.
Es obvio que cuando los reportes incluyen números de tarjetas de crédito u otro tipo de información personal, deben ser protegidos. Pero, piense más allá de lo obvio. ¿Qué sucede con los reportes que listan precios o inventarios? ¿Esa información no es útil para sus competidores? ¿Y los reportes que contienen información financiera? Para las empresas que cotizan en bolsa, hay un período de silencio que precede a los informes trimestrales u otras transacciones significativas. ¿Qué daño le haría a su empresa si estos informes se filtraran?
Finalmente, me gustaría que piense en los informes que los administradores crean, tanto para su propio uso como para el uso de otros equipos tales como el de auditoría interna. Por ejemplo, muchos de ustedes ejecutan el comando Analyze Default Password (ANZDFTPWD). Como el nombre sugiere, el archivo de spool generado lista todos los perfiles de usuario en el sistema que tienen una contraseña por defecto (serían aquellos que tienen una contraseña idéntica al nombre del perfil de usuario). Además de usted, ¿quién puede ver este informe? Ciertamente, cualquier usuario con autoridad especial *SPLCTL tiene esa capacidad. Otros usuarios también pueden tener acceso, dependiendo de cómo se han definido los parámetros en Display Data (DSPDTA), Operational Control (OPRCTL) y Authority to Check (AUTCHK) para la cola de salida.
Consideraciones sobre Archivos de Spool
*SPLCTL es uno de los permisos especiales más utilizadas y puedo entender por qué. Por defecto, solo el usuario que crea un archivo de spool puede verlo. Muchas veces, un usuario crea un reporte, pero luego el resto de los departamentos necesita acceso. La forma más sencilla (y también la más obvia) de lograr esto, es otorgar *SPLCTL a los usuarios.
Desafortunadamente, el acceso es otorgado a reportes que usted pretende compartir, así como todo archivo de spool en el sistema, independientemente de la autoridad del usuario para la cola de salida que contiene los archivos de spool. (Piense en *SPLCTL como el *ALLOBJ de los archivos de spool). La forma más segura de compartir archivos de spool es modificar los atributos de la cola de salida (DSPDTA, OPRCTL, y AUTCHK) para permitir compartir sus contenidos. (Vea el capítulo 8 de mi libro, IBM i Security Administration and Compliance para una descripción sobre cómo utilizar estos atributos).
Usuarios con autoridad especial *JOBCTL pueden también tener acceso a todos los archivos de spool en el sistema, una vez más dependiendo de la configuración de la cola de salida. En pocas palabras: puede pensar que sus archivos de spool son seguros, sin embargo es probable que haya más usuarios que tengan acceso de los que usted cree. Utilice el comando Print Queue Authority (PRTQAUT) para obtener una lista de todas las configuraciones de la cola de salida.
Consideraciones sobre PDF e Imágenes
Muchos de ustedes han pasado de usar una versión de archivos de spool de un reporte a un PDF. Muchos PDFs comienzan como un archivo de spool pero son convertidos en PDF y enviados por mail fuera del sistema. El archivo de spool es habitualmente eliminado una vez que la conversión fue exitosa, sin embargo, el PDF suele conservarse. ¿Cuál es la autoridad del directorio que contiene dichos PDFs? Para Powertech Policy Minder y Powertech Risk Assessor for IBM i, hemos establecido la autoridad *PUBLIC en *EXCLUDE, para que solo aquellos con *ALLOBJ puedan acceder a los directorios. Esto se debe a la información sensible contenida en los reportes.
¿Usted ha tenido en cuenta esta configuración para los directorios de su empresa? La mayoría de las organizaciones no lo han hecho, provocando una vulnerabilidad significativa en la mayoría de los sistemas. Dado que muchas organizaciones comparten root, todo lo que alguien tiene que hacer es asignar una unidad al root usando Windows Explorer, abrir el root, navegar hasta el directorio que contiene los informes, leer cada informe para determinar qué información es más útil y encaminarse para dañar su organización. Asegúrese de que los directorios estén protegidos de manera que solo tengan acceso los usuarios que por su rol en la empresa deban tenerlo. Es decir, usar el comando Change Authority (CHGAUT) para establecer la autoridad *PUBLIC del directorio en DTAAUT(*EXCLUDE) OBJAUT(*NONE) y otorgar a los usuarios apropiados el permiso DTAAUT(*RWX) OBJAUT(*NONE).
Si bien no es exactamente un informe, las imágenes también necesitan consideración, porque a menudo forman parte de un informe. ¿De qué son esas imágenes? ¿Información de salud? ¿Firmas electrónicas? Dependiendo de las imágenes, pueden representar un riesgo significativo para su organización si cayeran en manos equivocadas. Las mismas recomendaciones de permisos para sus archivos PDF también aplican a las imágenes.
Consideraciones Finales
Habitualmente discuto sobre la necesidad de proteger la información en sus sistemas, o sea, el acceso que tienen los usuarios a los archivos de la base de datos. Pero los reportes (tanto los archivos de spool como los PDFs) pueden contener información valiosa también. Los invito a que revisen a conciencia los reportes y las imágenes que están en su sistema. Dado el tipo de información que contienen, ¿están protegidos correctamente? ¿existe un riesgo que esa información pueda ser vista y utilizada en contra de su organización?
Comience hoy mismo
Descubra el estado de Seguridad de su IBM i con un Security Scan gratuito. El escaneo le permite identificar, cuantificar y priorizar fácilmente las vulnerabilidades en sus sistemas.