View
1.519
Download
4
Category
Preview:
DESCRIPTION
Vom falschen Sicherheitsbewusstsein zu angemessenen Maßnahmen SAP Security - DSAG Jahreskonferenz 2013
Citation preview
Dr. Markus Schumacher, Virtual Forge GmbH
Ralf Kempf, akquinet AG
Die Top 5 Mythen der SAP Sicherheit Vom falschen Sicherheitsbewusstsein zu angemessenen Maßnahmen
2
SAP Trends: HANA, Cloud und Mobile. Und die Sicherheit?
1. Mythos: Rollen und Berechtigungen – wir sind sicher!
2. Mythos: Wir nutzen SAP nur im Intranet
3. Mythos: Wir nutzen nur den Standard.
4. Mythos: Hacker kennen sich mit SAP nicht aus
5. Mythos: Sicherheit ist ein Problem der SAP, nicht von uns
AGENDA
SAP Trends: HANA, Cloud und Mobile. Und die Sicherheit?
4
Evolution der SAP Landschaft
Früher Heute Morgen
• Isolierte Systeme
• Lange Release-Zyklen
• Geringe Angriffsfläche
• Security durch Firewalls
• Offene Systeme
• Erhöhte Release-Zyklen
• Netzwerkgrenzen
verschwinden
• Cloud-basierte Anwendungen
• Hacker Angriffe (s.
Nachrichten)
• Weiter Öffnung d. Systeme
• Sehr hohe Release-Zyklen
• Verbundene Netze
• IT-basierte Spionage (PRISM,
etc.)
• Cyber Attacks &
Wirtschaftsspionage
1. Mythos Rollen und Berechtigungen – wir sind sicher!
6
Wir haben ein Berechtigungskonzept. Deswegen sind wir sicher!
Was ist mit der Absicherung der SAP Basis, Server und Datenbank?
Kundenreports und Transaktionen prüfen meistens keine Berechtigungen!
Durch laufende SoD Analysen wird Missbrauch verhindert
Kritische Basisberechtigungen werden bei SoD Analysen oft nicht behandelt
Missbrauch durch Umgehung der Schutzmaßnahmen wird nicht erkannt
(Tabellenpflege, Transporte, Datenbankmanipulationen)
SA38 können bei uns alle Benutzer. Das ist doch unkritisch.
Aber was ist z.B. mit ABAP RS_REPAIR_SOURCE Direkte Code Manipulation in
ungepatchten Systemen (Hinweise 1167258 und 1853161)
Oder ABAP RC1TCG3Y/ RC1TCG3Z Unix File Up- und Download (Hinweise
1552798 und 1505368)
Mythos: Rollen und Berechtigungen – wir sind sicher!
7
Demo: Betriebssystemzugriff durch SA38 Rechte
Step 1: rfcexec.sec
herunterladen
Step 2: Deny all durch permit
all ersetzen
Step 3: rfcexec.sec hochladen
Step 4: Unix/Windows Befehl
als SIDADM per SA38
ausführen.
2. Mythos Wir nutzen SAP nur im Intranet
9
Wirklich nur im Intranet? Wir finden Dich!
Google is Hacker‘s Best Friend!
10
Risiken
In vielen Fällen Sicherheistbewusstsein
nur wenig ausgeprägt.
Bedrohungen durch Innentäter
erscheinen im Unternehmen als
unvorstellbar.
Einfachste Angriffswege auf
Webservices, J2EE Systeme und
Gateways möglich.
SAPGUi Datenstrom kann abgehört
werden !
Wettbewerbsvorteile in Gefahr
Spionage, Diebstahl, Sabotage,
Korruption, oder IT-Kriminalität
Bedrohung durch Innentäter
Quelle:
11
Demo: Datenklau durch die Hintertür ...
3. Mythos Wir nutzen nur den Standard
13
Oftmals unklar, wieviel Eigenentwicklungen im System sind
62,5 % Wahrscheinlichkeit einer ABAP Command Injection
100 % Wahrscheinlichkeit eines Berechtigungsfehlers
95,83% Wahrscheinlichkeit eines Directory Traversals Anonymisierte Analyse von 60 Kundensystemen / Ø 1,65 Mio. Lines of Code pro Scan (Stand: Mai 2012)
~ 1 kritische Sicherheitslücke pro 1.000 Zeilen ABAP™-Code
14
Eigenentwicklungen
Umgehen oft Rollen- und Berechtigungen
Beispiel: Aufrufen von Transaktionen – ohne Berechtigung
Demo: Ausnutzen typischer Sicherheitslücken
15
Fehlende SAP Security Notes machen es Angreifern leicht
SAP Security Notes werden monatlich am 2. Dienstag veröffentlicht
Kein Kunde spielt wirklich alle WICHTIGEN Notes ein.
Frage: Wie stellen SIE fest was für IHRE Systeme wichtig ist?
Bekannte Lücken bleiben komplett oder für lange Zeit ungepatcht
Trügerische Sicherheit, da die Mehrzahl der Angriffe von innen kommt.
Angreifer fokussieren sich auf bekannte Lücken.
Lücken in nicht verwendeten Anwendungen werden nicht gepatcht
Dem Angreifer ist es egal ob SIE die Anwendung brauchen.
Er wird immer die einfachste und mächtigste Lücke ausnutzen.
16
Demo: Benutzer in J2EE per CTC Service anlegen
Lücken im J2EE CTC Framework
CTC Service für Benutzerpflege können ohne Authentifizierung gerufen werden
Beispiel: Anlage eine neuen J2EE Administrators
4. Mythos Hacker kennen sich mit SAP nicht aus
18
Verteilung der SAP Security Notes
Betrachtung der letzten 12 Monate
Im Durchschnitt 41,2% - und das sind die Guten! Was machen die Bösen?
Immer mehr Sicherheitsexperten beschäftigen sich mit SAP
19
Google: SAP SECURITY EXPLOITS Google: SAP HACKING
Immer mehr „Sicherheitsexperten“ beschäftigen sich mit SAP
20
Standardvorgehen von Hackern: „Directory Traversal“.
Geht auch bei SAP Systemen
Schutz durch geeignete Validierungsfunktionen
SAP note 1497003 (“Potential directory traversals in applications”)
Funktion (FILE_VALIDATE_NAME)
Demo: Auslesen/Überschreiben von Dateien
5. Mythos Sicherheit ist ein Problem der SAP, nicht von uns
22
... der Kunde
Nicht der Hersteller (modulo Fahrlässigkeit)
Nicht der Hoster / Outsourcer
Wie geht SAP Sicherheit?
Viele, viele Leitfäden
Unzählige Tools für Administratoren / Entwickler
Hohe Komplexität!
Merke: SAP Sicherheit ist mehr als nur Berechtigungen zu verwalten !
System Hardening planen und umsetzen
SAP Systeme gesamtheitlich sehen
Audits und Pen Tests ausführen
Verantwortlich für die Sicherheit ist immer ...,
Dr. Markus Schumacher markus.schumacher@virtualforge.com Twitter: @virtual_forge / @codeprofiler Blog: https://www.virtualforge.com/de/blog.html
Ralf Kempf ralf.kempf@akquinet.de
Recommended