22. und 23. Februar 2012, NürnbergConvention Center

Breaking Your SAP® in 60 Seconds Sicherheitslücken und Schwachstellen erkennen & beheben 23. Februar 2012, AK Identity Management & Security

Dr. Markus Schumacher (Virtual Forge GmbH)

Ralf Kempf (akquinet enterprise solutions GmbH)

Agenda

Entwicklungen im Bereich der IT-Sicherheit

Evolution der Angreifer: vom Skriptkiddie zum Profi

Unternehmen als Ziel von IT-Angriffen

Angriffsoberfläche von SAP®-Systemen

Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen

Angriffe über das SAP-Gateway

Binary Payload Angriffe via PDF

SAP GUI Sniffing

Angriffe über Sicherheitslücken / Hintertüren im ABAPTM Code

SQL Injection

Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen

Seite 2

Agenda

Entwicklungen im Bereich der IT-Sicherheit

Evolution der Angreifer: vom Skriptkiddie zum Profi

Unternehmen als Ziel von IT-Angriffen

Angriffsoberfläche von SAP®-Systemen

Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen

Angriffe über das SAP-Gateway

Binary Payload Angriffe via PDF

SAP GUI Sniffing

Angriffe über Sicherheitslücken / Hintertüren im ABAPTM Code

SQL Injection

Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen

Seite 3

Evolution der Angreifer

Seite 4

Skriptkiddie

geringes eigenes Know-how

arbeitet mit „Copy & Paste“ und nutzt vorhandene Anleitungen, Programme, Tools etc.

um z.B. in fremde Computersysteme einzudringen oder Schaden anzurichten

beliebige Angriffsziele

Motivation: i.d.R. Anerkennung

Evolution der Angreifer

Seite 5

Professionelle Angreifer

hohe Fachkompetenz

verfügen über entsprechende Ressourcen (Zeit, Geld etc.)

gezielte Angriffe (z.B. Stuxnet)

häufig auch Innentäter

Motivation: Industriespionage, Sabotage, Verschaffung von Vorteilen

Unternehmen als Ziel von IT-Angriffen

Seite 6

Quelle: Best Practice, Das

Kundenmagazin von T-Systems,

Ausgabe 4 | 2011, S. 44.

Angriffsoberfläche von SAP®-Systemen

Seite 7

SAP ABAP System

ABAP

Code

RFC

PI

Files

JCO

BSP

SAP GUI

Web Dynpro

ABAP

Direct UIs

DB

Indirect UIs

J2EE / Portal

3rd party Java

applications

External systems

Non-SAP

System

SAP System

Web Services

Web Dynpro

Java

Integrated ITS

Stand-alone ITS

Quelle: Wiegenstein, A., Dr. Schumacher,

M., Schinzel, S. und Weidemann, F.:

Sichere ABAPTM-Programmierung, S. 57.

Agenda

Entwicklungen im Bereich der IT-Sicherheit

Evolution der Angreifer: vom Skriptkiddie zum Profi

Unternehmen als Ziel von IT-Angriffen

Angriffsoberfläche von SAP®-Systemen

Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen

Angriffe über das SAP-Gateway

Binary Payload Angriffe via PDF

SAP GUI Sniffing

Angriffe über Sicherheitslücken / Hintertüren im ABAPTM Code

SQL Injection

Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen

Seite 8

60 Seconds #1 – Angriffe über das SAP®-Gateway

Seite 9

Szenario

Angreifer startet mit einem simplen Skript als SIDADM direkt Kommandos auf einem

SAP®-Server

Manipulation von SAP-Profilen

Ausführung von SQL-Kommandos

Ursachen

Ungeschützte und / oder falsch konfigurierte SAP-Gateways

Fehlende Firewalls

Risiken

Komplette Zerstörung des angegriffenen SAP-Systems

Einbau von Hintertüren und Trojanern

60 Seconds #2 – Binary Payload Angriffe via PDF

Seite 10

Szenario

Angreifer nutzt Binary PDF Content um seine SAP® Attack Payload zu verteilen

Verteilung per Mail, Download im Web, USB etc.

Ziel: Lesen oder Änderung der saplogon.ini (für Beispiel #3)

Ursachen

Adobe PDF erlaubt im Standard das Einbetten von Programmen in PDF-Dokumenten

Warnmeldungen werden von Anwendern häufig ignoriert

Risiken

Manipulation lokaler Dateien (saplogon.ini)

RFC-Attacken auf das SAP-Gateway

Kompletter Kontrollverlust über das angegriffene SAP-System

60 Seconds #3 – SAP® GUI Sniffing

Seite 11

Szenario

Angreifer tauscht saplogon.ini aus und lässt die Daten der SAP GUI über seinen Proxy

laufen

Angreifer kann alle Daten im Proxy lesen und ändern (wie z.B. Passwort, Konto)

Ursachen

SAP GUI Datenstrom ist lediglich gepackt und nicht verschlüsselt

wenige SAP-Kunden setzen SNC-Verschlüsselung ein

Risiken

Auslesen von SAP-Kennwörtern

Manipulation von Buchungen

Kompletter Kontrollverlust über das angegriffene SAP-System

60 Seconds #4 – Angriffe über unsicheren ABAPTM-Code

Seite 12

Szenario

Entwickler und / oder Angreifer versteckt eine Hintertür in unverdächtigem ABAP-Code

(z.B. bei Eigenentwicklungen)

Backdoor enthält Editor, Programmaufruf etc.

Angreifer ändert Transaktion SU53, so dass bei sy-uname = ‚Angreifer‘ die Backdoor

aufgerufen wird

Ursachen

ABAP ist eine Interpreter-Sprache und kann nicht wirklich gegen Code-Änderungen

geschützt werden (Hard Lock)

Risiken

Datenmanipulation, Datenverlust, Sabotage

Kompletter Kontrollverlust über das angegriffene SAP®-System

60 Seconds #5 – SQL Injection

Seite 13

Szenario

Angreifer manipuliert SQL-Abfragen in Reports oder Webanwendungen durch SQL

Injection

Ursachen

Verwendung von Native SQL oder

Verwendung dynamischer WHERE-Bedingungen in OPEN SQL

Risiken

Unberechtigter Zugriff auf Daten im SAP® -System

Agenda

Entwicklungen im Bereich der IT-Sicherheit

Evolution der Angreifer: vom Skriptkiddie zum Profi

Unternehmen als Ziel von IT-Angriffen

Angriffsoberfläche von SAP®-Systemen

Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen

Angriffe über das SAP-Gateway

Binary Payload Angriffe via PDF

SAP GUI Sniffing

Angriffe über Sicherheitslücken / Hintertüren im ABAPTM Code

SQL Injection

Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen

Seite 14

Ansatzpunkte zur Verbesserung der Sicherheit

Seite 15

Technische Maßnahmen

Änderung aller Standard-Passwörter (SAP®, DB, OS)

Absicherung von SAP-Gateways und RFCs

Restriktive Vergabe von Berechtigungen (S_RFC, S_TABU_DIS etc.)

Sichere ABAPTM-Programmierung (Vorgaben, Ausbildung, Enforcement)

Sichere Transportwege

OS und DB Hardening

Ständige Aktualisierung der SAP-Software / Einspielen von SAP Security Patches

Nutzung von SNC (wird im Standard ausgeliefert) / SAP GUI Verschlüsselung

Netzwerkabsicherung

PC-Schutz

Ansatzpunkte zur Verbesserung der Sicherheit

Seite 16

Unternehmenskultur

Awareness für SAP®-Sicherheit schaffen (z.B. durch Workshops)

Training (Entscheider, Entwickler, Administratoren, Anwender)

Organisation

SAP-Sicherheit in relevante Unternehmensprozesse integrieren

Schaffung verbindlicher Unternehmensstandards

Compliance

SAP-Sicherheit zur Vorgabe in Projekten machen

Prüfung der Einhaltung der Unternehmensvorgaben (sofern möglich mit Werkzeugen)

SAP-Sicherheit in den Audit-Plan aufnehmen

Welche Fragen haben Sie?

Seite 17

Kontakt:

Dr. Markus Schumacher (markus.schumacher@virtualforge.com)

Ralf Kempf (ralf.kempf@akquinet.de)

Weitere Informationen:

www.bizec.org

www.codeprofilers.com

SAP-Whitepaper „Secure Configuration

of SAP NetWeaver AS ABAP“

SAP Security Services

Don‘t miss the latest insights into SAP®

security! Join BIZEC @ TROOPERS on

March 20, 2012 in Heidelberg.