> Tech > Y a-t-il du code qui s’exécute en état système dans le logiciel ?

Y a-t-il du code qui s’exécute en état système dans le logiciel ?

Tech - Par iTPro - Publié le 24 juin 2010
email

Seul le code du système d'exploitation de l'OS/400 doit s'exécuter en état système. Les programmes d'état système sont généralement nécessaires pour manipuler des objets et du code internes. L'état système permet au code du système d'exploitation d'accéder à  des interfaces (appelées aussi interfaces système) dont l'usage est strictement réservé au

Y a-t-il du code qui s’exécute en état système dans le logiciel ?

système d’exploitation. Comme les interfaces système ne
sont pas documentées, le code du client ou du fournisseur a du mal à  les utiliser
correctement. Les programmes utilisant ces interfaces sont plus vulnérables aux
problèmes de compatibilité montante, ce qui risque de vous empêcher de passer
aux dernières releases de l’OS/400. Plus important, certaines interfaces système
court-circuitent l’intégrité du système.

Le code fournisseur qui s’exécute en état système fait comme s’il appartenait
au système d’exploitation. Si le code utilisant ces interfaces système non documentées
ne protège pas l’intégrité et la sécurité de l’AS/400, leur présence sur celui-ci
peut compromettre sa fiabilité, sa disponibilité, son intégrité et sa sécurité.
En outre, ces programmes ne font que compliquer l’environnement et rendent plus
difficile, voire impossible, le diagnostic ou la correction des problèmes du système,
par vous ou IBM.

Pour se protéger de ce genre de code, IBM a incorporé des mécanismes qui détectent
du code non-IBM camouflé comme appartenant au système d’exploitation dans le système
d’exploitation. La Compagnie envisage de renforcer cette protection par d’autres
mécanismes.
Si l’application d’un fournisseur s’exécute en état système, réfléchissez bien
avant de l’installer. Les programmes système associés à  un processus de développement
du logiciel mal maîtrisé, peuvent permettre à  un employé du fournisseur malveillant
de créer et d’utiliser des portes dérobées, des chevaux de Troie, ou autres virus
impossibles à  détecter.

Lors de l’installation du code fournisseur, il faut mettre la valeur système QALWOBJRST
à  *NONE ou à  *ALWPGMADP. Si une application demande autre chose pour cette valeur,
il vaut mieux y renoncer. Demandez pourquoi *ALL, *ALWSYSST ou *ALWPTF est nécessaire.
Le but est de découvrir si l’application contient du code stratégique pour la
sécurité du système.

Pendant le fonctionnement normal du système, mettez la valeur système QALWOBJRST
à  *NONE. Lors de l’installation de code OS/400 ou de PTF, changez la valeur en
*ALWPTF, sans oublier de la changer à  nouveau une fois l’installation terminée.
(La valeur *ALWPGMADP est expliquée plus loin.)
Il est également prudent d’exécuter la commande CHKOBJITG (Check Object Integrity)
après avoir installé l’application d’un fournisseur, pour vérifier l’intégrité
des objets chargés sur la machine et pour voir si l’application a remplacé ou
modifié certains programmes IBM.

Téléchargez cette ressource

Guide de cybersécurité en milieu sensible

Guide de cybersécurité en milieu sensible

Sur fond de vulnérabilités en tout genre, les établissements hospitaliers, pharmacies, laboratoires et autres structures de soin font face à des vagues incessantes de cyberattaques. L’objectif de ce livre blanc est de permettre aux responsables informatiques ainsi qu’à l’écosystème des sous-traitants et prestataires du secteur médical de se plonger dans un état de l’art de la cybersécurité des établissements de santé. Et de faire face à la menace.

Tech - Par iTPro - Publié le 24 juin 2010