Mainframe Security: ব্যাংকিং এবং ফাইন্যান্সিয়াল খাতের কোর মেইনফ্রেম সিস্টেমের নিরাপত্তা!

Mainframe একটি Specialized Computing System যা অত্যন্ত উচ্চ Throughput, Massive Parallelism, এবং অসাধারণ Reliability সরবরাহ করে। IBM z16 Mainframe প্রতি সেকেন্ডে 200 বিলিয়ন AI Inference প্রক্রিয়া করতে পারে এবং প্রতি বছর 250 বিলিয়ন এনক্রিপ্টেড লেনদেন পরিচালনা করতে পারে। এর Uptime সাধারণত 99.999% বা তার বেশি, যা বছরে মাত্র 5 মিনিট Downtime নির্দেশ করে।

Mainframe-এ চলে বিশেষায়িত Operating System যেমন IBM z/OS, z/VM, z/VSE, এবং z/Linux। সবচেয়ে ব্যাপকভাবে ব্যবহৃত হলো z/OS, যা সরাসরি MVS এবং OS/360-এর বংশধর। এই System-এর কিছু Concept 1960-এর দশকের, যা একদিকে Stability এবং অন্যদিকে Legacy Security Issue তৈরি করেছে।

Mainframe-এ Workload চলে CICS (Customer Information Control System) Transaction Manager-এ, ডেটা সংরক্ষিত হয় DB2 বা VSAM-এ, এবং ব্যাচ Job চলে JCL (Job Control Language) Script-এর মাধ্যমে। COBOL এখনও Mainframe-এর প্রধান Programming Language - বিশ্বের প্রায় 220 বিলিয়ন Line COBOL Code Production-এ চলছে।

z/OS-এর Security Architecture কয়েকটি Layer-এ বিভক্ত। সবচেয়ে নিচে রয়েছে Hardware-Level Storage Protection, যা Storage Key এবং PSW (Program Status Word) ব্যবহার করে। প্রতিটি 4 KB Storage Block-এর একটি Key থাকে, এবং প্রতিটি Running Program-এর PSW-তে একটি Key থাকে। Key Mismatch হলে Hardware Exception ঘটে।

দ্বিতীয় Layer হলো Authorized Program Facility বা APF। শুধুমাত্র APF-Authorized Library-তে থাকা Program SVC (Supervisor Call) Instruction-এর মাধ্যমে Privileged Operation চালাতে পারে। APF Authorization-এর Misconfiguration Mainframe-এ Privilege Escalation-এর সবচেয়ে সাধারণ কারণ।

তৃতীয় Layer হলো External Security Manager বা ESM, যা User এবং Resource Access নিয়ন্ত্রণ করে। প্রধান তিনটি ESM হলো IBM-এর RACF (Resource Access Control Facility), Broadcom-এর ACF2 (Access Control Facility 2), এবং Top Secret। RACF সবচেয়ে ব্যাপক, প্রায় 70% Mainframe Installation-এ এটি ব্যবহৃত হয়।

চতুর্থ Layer হলো Transaction-Level Security, যা CICS এবং IMS-এর মতো Transaction Manager-এ প্রয়োগ করা হয়। প্রতিটি Transaction একটি User ID-এর অধীনে চলে এবং তার Permission ESM দ্বারা যাচাই করা হয়।

RACF বা Resource Access Control Facility z/OS-এর সবচেয়ে জনপ্রিয় ESM। এটি User, Group, এবং Resource Profile-এর একটি Database রক্ষণাবেক্ষণ করে। প্রতিটি User-এর একটি Unique User ID থাকে, যা সাধারণত 1 থেকে 7 অক্ষরের। User-গুলো Group-এ সংযুক্ত হয় এবং তাদের Permission Profile-এর মাধ্যমে দেওয়া হয়।

RACF Resource-গুলোকে Class-এ Categorize করে। DATASET Class Dataset Access নিয়ন্ত্রণ করে, FACILITY Class বিভিন্ন System Function-এর জন্য, OPERCMDS Operator Command-এর জন্য, এবং TSOAUTH TSO User-এর Authority-এর জন্য। প্রতিটি Resource-এর একটি Universal Access Authority বা UACC থাকে এবং নির্দিষ্ট User/Group-এর জন্য Access List থাকে।

RACF-এ বিশেষ Privileged Attribute রয়েছে - SPECIAL, OPERATIONS, AUDITOR, এবং ROAUDIT। SPECIAL User RACF সম্পূর্ণভাবে Manage করতে পারে। OPERATIONS User যেকোনো Dataset Access করতে পারে যদি না Resource Profile-এ স্পষ্ট Deny থাকে। এই Privileged ID-গুলো আক্রমণকারীদের প্রধান লক্ষ্য।

RACF Database (যা DSNAME ICHRACF নামে পরিচিত) যদি Compromise হয়, পুরো Mainframe Security শেষ। এই Database-এর Backup এবং Access Control অত্যন্ত গুরুত্বপূর্ণ। RACF Database-এর Offline Analysis-এর জন্য IRRDBU00 Utility ব্যবহার করা হয়।

Mainframe-এ Initial Access অর্জনের সবচেয়ে সাধারণ পদ্ধতি হলো Credential-Based Attack। TSO (Time Sharing Option) এবং VTAM Application-এ TN3270 Protocol-এর মাধ্যমে Login সম্ভব। Default এবং Weak Password এখনও বহু Mainframe-এ বিদ্যমান। IBMUSER, SYSADM, RACFADM-এর মতো Default ID-এর Default Password চেষ্টা করা একটি ক্লাসিক প্রবেশদ্বার।

Password Cracking-এর জন্য John the Ripper এবং Hashcat উভয়ই RACF Database-এর Format সমর্থন করে। RACF DES-Based Password Hash ব্যবহার করে (যদিও Modern RACF KDFAES সমর্থন করে), যা Modern Hardware-এ দ্রুত Crack করা যায়।

দ্বিতীয় Vector হলো Surrogate User Logon, যা TSO LOGON Command-এ অন্য User-এর User ID দিয়ে নিজের Password ব্যবহার করার ক্ষমতা। যদি Surrogate Relationship Misconfigured হয়, একজন Standard User Privileged User-এর Identity Assume করতে পারে।

তৃতীয় Vector হলো Default-Off Audit এবং Logging। অনেক Legacy Mainframe-এ পর্যাপ্ত Logging নেই, যা আক্রমণকারীদের জন্য Stealth সরবরাহ করে। RACF Audit Class এবং SMF (System Management Facilities) Type 80 Record এই Logging সরবরাহ করে।

চতুর্থ Vector হলো Network Service Exploit। FTP, Telnet, JES2 NJE (Network Job Entry), এবং অন্যান্য Network Service-গুলো প্রায়ই Outdated Configuration-এ চলে। Mainframer থেকে Direct Network Path-এ এই Service-গুলো Exposed থাকলে Remote Exploitation সম্ভব।

Network Job Entry বা NJE একটি Legacy Protocol যা Mainframe-গুলোর মধ্যে Job এবং Data Transfer-এর জন্য ব্যবহৃত হয়। NJE-এর Trust Model অত্যন্ত দুর্বল - একটি NJE Node সাধারণত অন্য Trusted Node-এর Job বিশ্বাস করে। আক্রমণকারী যদি একটি NJE Node-এ Access পায় বা একটি Rogue Node Inject করতে পারে, তাহলে অন্যান্য Node-এ Job Submit করা সম্ভব।

NJURF Tool (NJE Unencrypted Remote File transfer) এই Vulnerability প্রদর্শন করে। Logica-এর Phil Young এবং অন্যান্য গবেষকরা NJE-এর বিরুদ্ধে একাধিক Attack প্রকাশ করেছেন। DEFCON এবং BlackHat-এ Mainframe Hacking নিয়ে বহু Presentation হয়েছে যা এই Vulnerability প্রদর্শন করেছে।

আধুনিক IBM Recommendation হলো NJE-এর জন্য NJE Sysplex Authentication ব্যবহার করা এবং Encrypted Communication Enforce করা। তবে অনেক Legacy Installation এই Recommendation Implement করেনি।

Mainframe Penetration Testing-এর জন্য বিশেষায়িত Tool উপলব্ধ। Nmap-এ NSE Script আছে যা Mainframe Service Detect করতে পারে - tn3270-screen, ibm-mq-channels ইত্যাদি। Mainframe-পরিচিত Pentester-দের কাছে x3270 Emulator একটি অপরিহার্য Tool, যা Linux/macOS-এ TN3270 Connection প্রদান করে।

Nettitude-এর Mainframe Pentest Toolkit (MPT) এবং Phil Young-এর কাজের ফসল কিছু Open Source Tool যেমন CICSpwn, BIRP (Beating IBM RACF Password), এবং Mainframe Penetration Testing Toolkit (MPTK) এই বিশেষায়িত Pentesting সহজ করেছে।

Listing-এর জন্য Tn3270 Connection-এ User ID Enumeration, Dataset Enumeration, এবং Command Injection Testing করা হয়। CICS Transaction-এর মধ্যে CECI (Command Level Interpreter) এবং CEDA (Resource Definition) দিয়ে Privilege Escalation চেষ্টা করা যায়। JCL Injection-ও একটি বাস্তব Attack Vector।

Wireshark-এর TN3270 Protocol Dissector Mainframe Communication Inspect করতে সাহায্য করে। Mainframe-এর সাথে যুক্ত REST API এবং Modern Z/OS Connect Enterprise Edition-এর মাধ্যমে নতুন Attack Surface তৈরি হয়েছে, যা Standard Web Application Pentest পদ্ধতিতে Test করা যায়।

CICS (Customer Information Control System) Mainframe-এর প্রধান Online Transaction Processing System। এটি প্রতি সেকেন্ডে লক্ষ লক্ষ Transaction প্রক্রিয়া করে। প্রতিটি CICS Transaction একটি 4-Character Code দ্বারা চিহ্নিত (যেমন CESN, CEDA, CEMT)। User Transaction Invoke করার আগে RACF Permission Check হয়।

CICS-এ বহু Sensitive Transaction রয়েছে যা সঠিকভাবে Lock করা না থাকলে বিপজ্জনক। CECI সরাসরি API Call চালাতে দেয়, CEMT সিস্টেম পরিচালনার Function, এবং CEDA Resource Definition পরিবর্তন করতে দেয়। এগুলোতে Standard User-এর Access থাকা উচিত নয়।

CICS-এ Surrogate User Definition এবং Bind Security Misconfiguration আক্রমণ-যোগ্য। Legacy CICS Region-এ প্রায়ই Security Disabled (SEC=NO) থাকত, যা Catastrophic। আধুনিক CICS Version-এ এটি Default-এ Enabled কিন্তু পুরানো Migration-এ এই সমস্যা থেকে যেতে পারে।

z/OS Encryption Readiness Technology বা zERT z/OS-এ Network Communication-এর Encryption Status পর্যবেক্ষণ করে। Modern Mainframe-এ প্রায় সব External Communication-এ TLS/SSH ব্যবহার করা বাধ্যতামূলক হওয়া উচিত।

Ransomware-এর হুমকি Mainframe-এও পৌঁছেছে। যদিও Mainframe-এ সরাসরি Encryption-Based Ransomware দুর্লভ, Data Exfiltration এবং Extortion সম্ভব। Lockbit এবং অন্যান্য Group ব্যাংক এবং বীমা কোম্পানিকে আক্রমণ করেছে, যেখানে Mainframe-এ থাকা Customer Data প্রভাবিত হয়েছে।

Insider Threat Mainframe-এর সবচেয়ে গুরুতর হুমকি। Mainframe System Programmer-এর Knowledge এতটাই গভীর যে তারা Detection এড়িয়ে কাজ করতে পারেন। 2014 সালের Korean Bureau of Credit-এর Insider Theft Mainframe Data Theft-এর একটি ক্লাসিক উদাহরণ।

Mainframe Security শক্তিশালী করার জন্য কয়েকটি Best Practice অপরিহার্য। প্রথমত, RACF Healthcheck পরিচালনা করা। IBM Health Checker for z/OS এবং Third-Party Tool যেমন Vanguard Configuration Manager এবং BMC Mainview স্বয়ংক্রিয়ভাবে Misconfiguration শনাক্ত করে।

দ্বিতীয়ত, Privileged ID-এর সংখ্যা কঠোরভাবে সীমিত করা। SPECIAL এবং OPERATIONS Attribute-এর User সংখ্যা গণনাযোগ্য থাকা উচিত। Just-in-Time Elevation মডেল Implement করা - IBM Z Multi-Factor Authentication এবং CA Privileged Access Manager এই কাজে সহায়ক।

তৃতীয়ত, SMF Audit Log-কে SIEM-এ Forward করা। IBM-এর Common Data Provider বা CDP এবং Splunk, QRadar, Microsoft Sentinel-এর Mainframe Integration এই কাজ সহজ করে। Type 80 Record (RACF Event), Type 30 Record (Job Termination), এবং Type 119 Record (TCP/IP) বিশেষভাবে গুরুত্বপূর্ণ।

চতুর্থত, Network Segmentation - Mainframe সরাসরি Internet-এ Exposed হওয়া উচিত নয়। Jump Host, Bastion, এবং Strict Firewall Rule ব্যবহার করা। Encrypted Protocol (TLS 1.2+, SSH) Enforce করা এবং Plaintext FTP/Telnet Disable করা।

পঞ্চমত, Mainframe Pentesting-কে নিয়মিত Practice-এ পরিণত করা। বছরে অন্তত একবার বিশেষায়িত Mainframe Pentest Firm দিয়ে Assessment করানো। Internal Red Team-এও Mainframe Skill যুক্ত করা।