Dr. Markus Schumacher, Virtual Forge GmbH
Ralf Kempf, akquinet AG
Die Top 5 Mythen der SAP Sicherheit
Vom falschen Sicherh...
2
SAP Trends: HANA, Cloud und Mobile. Und die Sicherheit?
1. Mythos: Rollen und Berechtigungen – wir sind sicher!
2. Mytho...
SAP Trends: HANA, Cloud und Mobile.
Und die Sicherheit?
4
Evolution der SAP Landschaft
Früher Heute Morgen
• Isolierte Systeme
• Lange Release-Zyklen
• Geringe Angriffsfläche
• S...
1. Mythos
Rollen und Berechtigungen – wir sind sicher!
6
Wir haben ein Berechtigungskonzept. Deswegen sind wir sicher!
 Was ist mit der Absicherung der SAP Basis, Server und Da...
7
Demo: Betriebssystemzugriff durch SA38 Rechte
Step 1: rfcexec.sec
herunterladen
Step 2: Deny all durch permit
all ersetz...
2. Mythos
Wir nutzen SAP nur im Intranet
9
Wirklich nur im Intranet? Wir finden Dich!
Google is Hacker‘s Best Friend!
10
Risiken
 In vielen Fällen Sicherheistbewusstsein
nur wenig ausgeprägt.
 Bedrohungen durch Innentäter
erscheinen im Un...
11
Demo: Datenklau durch die Hintertür ...
3. Mythos
Wir nutzen nur den Standard
13
Oftmals unklar, wieviel Eigenentwicklungen im System sind
 62,5 % Wahrscheinlichkeit einer ABAP Command Injection
 10...
14
Eigenentwicklungen
 Umgehen oft Rollen- und Berechtigungen
 Beispiel: Aufrufen von Transaktionen – ohne Berechtigung
...
15
Fehlende SAP Security Notes machen es Angreifern leicht
SAP Security Notes werden monatlich am 2. Dienstag veröffentlic...
16
Demo: Benutzer in J2EE per CTC Service anlegen
Lücken im J2EE CTC Framework
 CTC Service für Benutzerpflege können ohn...
4. Mythos
Hacker kennen sich mit SAP nicht aus
18
Verteilung der SAP Security Notes
 Betrachtung der letzten 12 Monate
 Im Durchschnitt 41,2% - und das sind die Guten!...
19
Google: SAP SECURITY EXPLOITS Google: SAP HACKING
Immer mehr „Sicherheitsexperten“ beschäftigen sich mit SAP
20
Standardvorgehen von Hackern: „Directory Traversal“.
Geht auch bei SAP Systemen
Schutz durch geeignete Validierungsfunk...
5. Mythos
Sicherheit ist ein Problem der SAP, nicht von uns
22
... der Kunde
 Nicht der Hersteller (modulo Fahrlässigkeit)
 Nicht der Hoster / Outsourcer
Wie geht SAP Sicherheit?
...
Dr. Markus Schumacher
markus.schumacher@virtualforge.com
Twitter: @virtual_forge / @codeprofiler
Blog: https://www.virtual...
Upcoming SlideShare
Loading in …5
×

Die Top 5 Mythen der SAP Sicherheit

1,572 views
1,394 views

Published on

Vom falschen Sicherheitsbewusstsein zu angemessenen Maßnahmen
SAP Security - DSAG Jahreskonferenz 2013

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,572
On SlideShare
0
From Embeds
0
Number of Embeds
15
Actions
Shares
0
Downloads
19
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Die Top 5 Mythen der SAP Sicherheit

  1. 1. Dr. Markus Schumacher, Virtual Forge GmbH Ralf Kempf, akquinet AG Die Top 5 Mythen der SAP Sicherheit Vom falschen Sicherheitsbewusstsein zu angemessenen Maßnahmen
  2. 2. 2 SAP Trends: HANA, Cloud und Mobile. Und die Sicherheit? 1. Mythos: Rollen und Berechtigungen – wir sind sicher! 2. Mythos: Wir nutzen SAP nur im Intranet 3. Mythos: Wir nutzen nur den Standard. 4. Mythos: Hacker kennen sich mit SAP nicht aus 5. Mythos: Sicherheit ist ein Problem der SAP, nicht von uns AGENDA
  3. 3. SAP Trends: HANA, Cloud und Mobile. Und die Sicherheit?
  4. 4. 4 Evolution der SAP Landschaft Früher Heute Morgen • Isolierte Systeme • Lange Release-Zyklen • Geringe Angriffsfläche • Security durch Firewalls • Offene Systeme • Erhöhte Release-Zyklen • Netzwerkgrenzen verschwinden • Cloud-basierte Anwendungen • Hacker Angriffe (s. Nachrichten) • Weiter Öffnung d. Systeme • Sehr hohe Release-Zyklen • Verbundene Netze • IT-basierte Spionage (PRISM, etc.) • Cyber Attacks & Wirtschaftsspionage
  5. 5. 1. Mythos Rollen und Berechtigungen – wir sind sicher!
  6. 6. 6 Wir haben ein Berechtigungskonzept. Deswegen sind wir sicher!  Was ist mit der Absicherung der SAP Basis, Server und Datenbank?  Kundenreports und Transaktionen prüfen meistens keine Berechtigungen! Durch laufende SoD Analysen wird Missbrauch verhindert  Kritische Basisberechtigungen werden bei SoD Analysen oft nicht behandelt  Missbrauch durch Umgehung der Schutzmaßnahmen wird nicht erkannt (Tabellenpflege, Transporte, Datenbankmanipulationen) SA38 können bei uns alle Benutzer. Das ist doch unkritisch.  Aber was ist z.B. mit ABAP RS_REPAIR_SOURCE  Direkte Code Manipulation in ungepatchten Systemen (Hinweise 1167258 und 1853161)  Oder ABAP RC1TCG3Y/ RC1TCG3Z  Unix File Up- und Download (Hinweise 1552798 und 1505368) Mythos: Rollen und Berechtigungen – wir sind sicher!
  7. 7. 7 Demo: Betriebssystemzugriff durch SA38 Rechte Step 1: rfcexec.sec herunterladen Step 2: Deny all durch permit all ersetzen Step 3: rfcexec.sec hochladen Step 4: Unix/Windows Befehl als SIDADM per SA38 ausführen.
  8. 8. 2. Mythos Wir nutzen SAP nur im Intranet
  9. 9. 9 Wirklich nur im Intranet? Wir finden Dich! Google is Hacker‘s Best Friend!
  10. 10. 10 Risiken  In vielen Fällen Sicherheistbewusstsein nur wenig ausgeprägt.  Bedrohungen durch Innentäter erscheinen im Unternehmen als unvorstellbar.  Einfachste Angriffswege auf Webservices, J2EE Systeme und Gateways möglich.  SAPGUi Datenstrom kann abgehört werden ! Wettbewerbsvorteile in Gefahr  Spionage, Diebstahl, Sabotage, Korruption, oder IT-Kriminalität Bedrohung durch Innentäter Quelle:
  11. 11. 11 Demo: Datenklau durch die Hintertür ...
  12. 12. 3. Mythos Wir nutzen nur den Standard
  13. 13. 13 Oftmals unklar, wieviel Eigenentwicklungen im System sind  62,5 % Wahrscheinlichkeit einer ABAP Command Injection  100 % Wahrscheinlichkeit eines Berechtigungsfehlers  95,83% Wahrscheinlichkeit eines Directory Traversals Anonymisierte Analyse von 60 Kundensystemen / Ø 1,65 Mio. Lines of Code pro Scan (Stand: Mai 2012) ~ 1 kritische Sicherheitslücke pro 1.000 Zeilen ABAP™-Code
  14. 14. 14 Eigenentwicklungen  Umgehen oft Rollen- und Berechtigungen  Beispiel: Aufrufen von Transaktionen – ohne Berechtigung Demo: Ausnutzen typischer Sicherheitslücken
  15. 15. 15 Fehlende SAP Security Notes machen es Angreifern leicht SAP Security Notes werden monatlich am 2. Dienstag veröffentlicht  Kein Kunde spielt wirklich alle WICHTIGEN Notes ein.  Frage: Wie stellen SIE fest was für IHRE Systeme wichtig ist? Bekannte Lücken bleiben komplett oder für lange Zeit ungepatcht  Trügerische Sicherheit, da die Mehrzahl der Angriffe von innen kommt.  Angreifer fokussieren sich auf bekannte Lücken. Lücken in nicht verwendeten Anwendungen werden nicht gepatcht  Dem Angreifer ist es egal ob SIE die Anwendung brauchen.  Er wird immer die einfachste und mächtigste Lücke ausnutzen.
  16. 16. 16 Demo: Benutzer in J2EE per CTC Service anlegen Lücken im J2EE CTC Framework  CTC Service für Benutzerpflege können ohne Authentifizierung gerufen werden  Beispiel: Anlage eine neuen J2EE Administrators
  17. 17. 4. Mythos Hacker kennen sich mit SAP nicht aus
  18. 18. 18 Verteilung der SAP Security Notes  Betrachtung der letzten 12 Monate  Im Durchschnitt 41,2% - und das sind die Guten! Was machen die Bösen? Immer mehr Sicherheitsexperten beschäftigen sich mit SAP
  19. 19. 19 Google: SAP SECURITY EXPLOITS Google: SAP HACKING Immer mehr „Sicherheitsexperten“ beschäftigen sich mit SAP
  20. 20. 20 Standardvorgehen von Hackern: „Directory Traversal“. Geht auch bei SAP Systemen Schutz durch geeignete Validierungsfunktionen  SAP note 1497003 (“Potential directory traversals in applications”)  Funktion (FILE_VALIDATE_NAME) Demo: Auslesen/Überschreiben von Dateien
  21. 21. 5. Mythos Sicherheit ist ein Problem der SAP, nicht von uns
  22. 22. 22 ... der Kunde  Nicht der Hersteller (modulo Fahrlässigkeit)  Nicht der Hoster / Outsourcer Wie geht SAP Sicherheit?  Viele, viele Leitfäden  Unzählige Tools für Administratoren / Entwickler  Hohe Komplexität! Merke: SAP Sicherheit ist mehr als nur Berechtigungen zu verwalten !  System Hardening planen und umsetzen  SAP Systeme gesamtheitlich sehen  Audits und Pen Tests ausführen Verantwortlich für die Sicherheit ist immer ...,
  23. 23. Dr. Markus Schumacher markus.schumacher@virtualforge.com Twitter: @virtual_forge / @codeprofiler Blog: https://www.virtualforge.com/de/blog.html Ralf Kempf ralf.kempf@akquinet.de

×