Das Dokument befasst sich mit den fünf verbreiteten Mythen der SAP-Sicherheit, darunter falsche Annahmen über die Sicherheit durch Rollen und Berechtigungen sowie die Gefahren von Internen und externen Angriffen. Es wird darauf hingewiesen, dass die Sicherheitslage durch die zunehmende Nutzung von Cloud und mobilen Anwendungen komplexer geworden ist und dass Betrüger oft die einfachsten und bekanntesten Sicherheitslücken ausnutzen. Schließlich wird betont, dass die Verantwortung für Sicherheit nicht nur beim Hersteller, sondern auch beim Kunden liegt, und dass eine umfassende Sicherheitsstrategie notwendig ist.

1. Dr. Markus Schumacher, Virtual Forge GmbH
Ralf Kempf, akquinet AG
Die Top 5 Mythen der SAP Sicherheit
Vom falschen Sicherheitsbewusstsein zu
angemessenen Maßnahmen

2. 2
SAP Trends: HANA, Cloud und Mobile. Und die Sicherheit?
1. Mythos: Rollen und Berechtigungen – wir sind sicher!
2. Mythos: Wir nutzen SAP nur im Intranet
3. Mythos: Wir nutzen nur den Standard.
4. Mythos: Hacker kennen sich mit SAP nicht aus
5. Mythos: Sicherheit ist ein Problem der SAP, nicht von uns
AGENDA

3. SAP Trends: HANA, Cloud und Mobile.
Und die Sicherheit?

4. 4
Evolution der SAP Landschaft
Früher Heute Morgen
• Isolierte Systeme
• Lange Release-Zyklen
• Geringe Angriffsfläche
• Security durch Firewalls
• Offene Systeme
• Erhöhte Release-Zyklen
• Netzwerkgrenzen
verschwinden
• Cloud-basierte Anwendungen
• Hacker Angriffe (s.
Nachrichten)
• Weiter Öffnung d. Systeme
• Sehr hohe Release-Zyklen
• Verbundene Netze
• IT-basierte Spionage (PRISM,
etc.)
• Cyber Attacks &
Wirtschaftsspionage

5. 1. Mythos
Rollen und Berechtigungen – wir sind sicher!

6. 6
Wir haben ein Berechtigungskonzept. Deswegen sind wir sicher!
 Was ist mit der Absicherung der SAP Basis, Server und Datenbank?
 Kundenreports und Transaktionen prüfen meistens keine Berechtigungen!
Durch laufende SoD Analysen wird Missbrauch verhindert
 Kritische Basisberechtigungen werden bei SoD Analysen oft nicht behandelt
 Missbrauch durch Umgehung der Schutzmaßnahmen wird nicht erkannt
(Tabellenpflege, Transporte, Datenbankmanipulationen)
SA38 können bei uns alle Benutzer. Das ist doch unkritisch.
 Aber was ist z.B. mit ABAP RS_REPAIR_SOURCE  Direkte Code Manipulation in
ungepatchten Systemen (Hinweise 1167258 und 1853161)
 Oder ABAP RC1TCG3Y/ RC1TCG3Z  Unix File Up- und Download (Hinweise
1552798 und 1505368)
Mythos: Rollen und Berechtigungen – wir sind sicher!

7. 7
Demo: Betriebssystemzugriff durch SA38 Rechte
Step 1: rfcexec.sec
herunterladen
Step 2: Deny all durch permit
all ersetzen
Step 3: rfcexec.sec hochladen
Step 4: Unix/Windows Befehl
als SIDADM per SA38
ausführen.

8. 2. Mythos
Wir nutzen SAP nur im Intranet

9. 9
Wirklich nur im Intranet? Wir finden Dich!
Google is Hacker‘s Best Friend!

10. 10
Risiken
 In vielen Fällen Sicherheistbewusstsein
nur wenig ausgeprägt.
 Bedrohungen durch Innentäter
erscheinen im Unternehmen als
unvorstellbar.
 Einfachste Angriffswege auf
Webservices, J2EE Systeme und
Gateways möglich.
 SAPGUi Datenstrom kann abgehört
werden !
Wettbewerbsvorteile in Gefahr
 Spionage, Diebstahl, Sabotage,
Korruption, oder IT-Kriminalität
Bedrohung durch Innentäter
Quelle:

11. 11
Demo: Datenklau durch die Hintertür ...

12. 3. Mythos
Wir nutzen nur den Standard

13. 13
Oftmals unklar, wieviel Eigenentwicklungen im System sind
 62,5 % Wahrscheinlichkeit einer ABAP Command Injection
 100 % Wahrscheinlichkeit eines Berechtigungsfehlers
 95,83% Wahrscheinlichkeit eines Directory Traversals
Anonymisierte Analyse von 60 Kundensystemen / Ø 1,65 Mio. Lines of Code pro Scan (Stand: Mai 2012)
~ 1 kritische
Sicherheitslücke
pro 1.000 Zeilen
ABAP™-Code

14. 14
Eigenentwicklungen
 Umgehen oft Rollen- und Berechtigungen
 Beispiel: Aufrufen von Transaktionen – ohne Berechtigung
Demo: Ausnutzen typischer Sicherheitslücken

15. 15
Fehlende SAP Security Notes machen es Angreifern leicht
SAP Security Notes werden monatlich am 2. Dienstag veröffentlicht
 Kein Kunde spielt wirklich alle WICHTIGEN Notes ein.
 Frage: Wie stellen SIE fest was für IHRE Systeme wichtig ist?
Bekannte Lücken bleiben komplett oder für lange Zeit ungepatcht
 Trügerische Sicherheit, da die Mehrzahl der Angriffe von innen kommt.
 Angreifer fokussieren sich auf bekannte Lücken.
Lücken in nicht verwendeten Anwendungen werden nicht gepatcht
 Dem Angreifer ist es egal ob SIE die Anwendung brauchen.
 Er wird immer die einfachste und mächtigste Lücke ausnutzen.

16. 16
Demo: Benutzer in J2EE per CTC Service anlegen
Lücken im J2EE CTC Framework
 CTC Service für Benutzerpflege können ohne Authentifizierung gerufen werden
 Beispiel: Anlage eine neuen J2EE Administrators

17. 4. Mythos
Hacker kennen sich mit SAP nicht aus

18. 18
Verteilung der SAP Security Notes
 Betrachtung der letzten 12 Monate
 Im Durchschnitt 41,2% - und das sind die Guten! Was machen die Bösen?
Immer mehr Sicherheitsexperten beschäftigen sich mit SAP

19. 19
Google: SAP SECURITY EXPLOITS Google: SAP HACKING
Immer mehr „Sicherheitsexperten“ beschäftigen sich mit SAP

20. 20
Standardvorgehen von Hackern: „Directory Traversal“.
Geht auch bei SAP Systemen
Schutz durch geeignete Validierungsfunktionen
 SAP note 1497003 (“Potential directory traversals in applications”)
 Funktion (FILE_VALIDATE_NAME)
Demo: Auslesen/Überschreiben von Dateien

21. 5. Mythos
Sicherheit ist ein Problem der SAP, nicht von uns

22. 22
... der Kunde
 Nicht der Hersteller (modulo Fahrlässigkeit)
 Nicht der Hoster / Outsourcer
Wie geht SAP Sicherheit?
 Viele, viele Leitfäden
 Unzählige Tools für Administratoren / Entwickler
 Hohe Komplexität!
Merke: SAP Sicherheit ist mehr als nur Berechtigungen zu verwalten !
 System Hardening planen und umsetzen
 SAP Systeme gesamtheitlich sehen
 Audits und Pen Tests ausführen
Verantwortlich für die Sicherheit ist immer ...,

23. Dr. Markus Schumacher
markus.schumacher@virtualforge.com
Twitter: @virtual_forge / @codeprofiler
Blog: https://www.virtualforge.com/de/blog.html
Ralf Kempf
ralf.kempf@akquinet.de