Case Study: Automating Code Reviews for Custom SAP ABAP Applications with Vir...
Die Top 5 Mythen der SAP Sicherheit
1. Dr. Markus Schumacher, Virtual Forge GmbH
Ralf Kempf, akquinet AG
Die Top 5 Mythen der SAP Sicherheit
Vom falschen Sicherheitsbewusstsein zu
angemessenen Maßnahmen
2. 2
SAP Trends: HANA, Cloud und Mobile. Und die Sicherheit?
1. Mythos: Rollen und Berechtigungen – wir sind sicher!
2. Mythos: Wir nutzen SAP nur im Intranet
3. Mythos: Wir nutzen nur den Standard.
4. Mythos: Hacker kennen sich mit SAP nicht aus
5. Mythos: Sicherheit ist ein Problem der SAP, nicht von uns
AGENDA
6. 6
Wir haben ein Berechtigungskonzept. Deswegen sind wir sicher!
Was ist mit der Absicherung der SAP Basis, Server und Datenbank?
Kundenreports und Transaktionen prüfen meistens keine Berechtigungen!
Durch laufende SoD Analysen wird Missbrauch verhindert
Kritische Basisberechtigungen werden bei SoD Analysen oft nicht behandelt
Missbrauch durch Umgehung der Schutzmaßnahmen wird nicht erkannt
(Tabellenpflege, Transporte, Datenbankmanipulationen)
SA38 können bei uns alle Benutzer. Das ist doch unkritisch.
Aber was ist z.B. mit ABAP RS_REPAIR_SOURCE Direkte Code Manipulation in
ungepatchten Systemen (Hinweise 1167258 und 1853161)
Oder ABAP RC1TCG3Y/ RC1TCG3Z Unix File Up- und Download (Hinweise
1552798 und 1505368)
Mythos: Rollen und Berechtigungen – wir sind sicher!
7. 7
Demo: Betriebssystemzugriff durch SA38 Rechte
Step 1: rfcexec.sec
herunterladen
Step 2: Deny all durch permit
all ersetzen
Step 3: rfcexec.sec hochladen
Step 4: Unix/Windows Befehl
als SIDADM per SA38
ausführen.
9. 9
Wirklich nur im Intranet? Wir finden Dich!
Google is Hacker‘s Best Friend!
10. 10
Risiken
In vielen Fällen Sicherheistbewusstsein
nur wenig ausgeprägt.
Bedrohungen durch Innentäter
erscheinen im Unternehmen als
unvorstellbar.
Einfachste Angriffswege auf
Webservices, J2EE Systeme und
Gateways möglich.
SAPGUi Datenstrom kann abgehört
werden !
Wettbewerbsvorteile in Gefahr
Spionage, Diebstahl, Sabotage,
Korruption, oder IT-Kriminalität
Bedrohung durch Innentäter
Quelle:
13. 13
Oftmals unklar, wieviel Eigenentwicklungen im System sind
62,5 % Wahrscheinlichkeit einer ABAP Command Injection
100 % Wahrscheinlichkeit eines Berechtigungsfehlers
95,83% Wahrscheinlichkeit eines Directory Traversals
Anonymisierte Analyse von 60 Kundensystemen / Ø 1,65 Mio. Lines of Code pro Scan (Stand: Mai 2012)
~ 1 kritische
Sicherheitslücke
pro 1.000 Zeilen
ABAP™-Code
14. 14
Eigenentwicklungen
Umgehen oft Rollen- und Berechtigungen
Beispiel: Aufrufen von Transaktionen – ohne Berechtigung
Demo: Ausnutzen typischer Sicherheitslücken
15. 15
Fehlende SAP Security Notes machen es Angreifern leicht
SAP Security Notes werden monatlich am 2. Dienstag veröffentlicht
Kein Kunde spielt wirklich alle WICHTIGEN Notes ein.
Frage: Wie stellen SIE fest was für IHRE Systeme wichtig ist?
Bekannte Lücken bleiben komplett oder für lange Zeit ungepatcht
Trügerische Sicherheit, da die Mehrzahl der Angriffe von innen kommt.
Angreifer fokussieren sich auf bekannte Lücken.
Lücken in nicht verwendeten Anwendungen werden nicht gepatcht
Dem Angreifer ist es egal ob SIE die Anwendung brauchen.
Er wird immer die einfachste und mächtigste Lücke ausnutzen.
16. 16
Demo: Benutzer in J2EE per CTC Service anlegen
Lücken im J2EE CTC Framework
CTC Service für Benutzerpflege können ohne Authentifizierung gerufen werden
Beispiel: Anlage eine neuen J2EE Administrators
18. 18
Verteilung der SAP Security Notes
Betrachtung der letzten 12 Monate
Im Durchschnitt 41,2% - und das sind die Guten! Was machen die Bösen?
Immer mehr Sicherheitsexperten beschäftigen sich mit SAP
19. 19
Google: SAP SECURITY EXPLOITS Google: SAP HACKING
Immer mehr „Sicherheitsexperten“ beschäftigen sich mit SAP
20. 20
Standardvorgehen von Hackern: „Directory Traversal“.
Geht auch bei SAP Systemen
Schutz durch geeignete Validierungsfunktionen
SAP note 1497003 (“Potential directory traversals in applications”)
Funktion (FILE_VALIDATE_NAME)
Demo: Auslesen/Überschreiben von Dateien
22. 22
... der Kunde
Nicht der Hersteller (modulo Fahrlässigkeit)
Nicht der Hoster / Outsourcer
Wie geht SAP Sicherheit?
Viele, viele Leitfäden
Unzählige Tools für Administratoren / Entwickler
Hohe Komplexität!
Merke: SAP Sicherheit ist mehr als nur Berechtigungen zu verwalten !
System Hardening planen und umsetzen
SAP Systeme gesamtheitlich sehen
Audits und Pen Tests ausführen
Verantwortlich für die Sicherheit ist immer ...,