22. und 23. Februar 2012, NürnbergConvention Center
Breaking Your SAP® in 60 Seconds Sicherheitslücken und Schwachstellen erkennen & beheben 23. Februar 2012, AK Identity Management & Security
Dr. Markus Schumacher (Virtual Forge GmbH)
Ralf Kempf (akquinet enterprise solutions GmbH)
Agenda
Entwicklungen im Bereich der IT-Sicherheit
Evolution der Angreifer: vom Skriptkiddie zum Profi
Unternehmen als Ziel von IT-Angriffen
Angriffsoberfläche von SAP®-Systemen
Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen
Angriffe über das SAP-Gateway
Binary Payload Angriffe via PDF
SAP GUI Sniffing
Angriffe über Sicherheitslücken / Hintertüren im ABAPTM Code
SQL Injection
Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen
Seite 2
Agenda
Entwicklungen im Bereich der IT-Sicherheit
Evolution der Angreifer: vom Skriptkiddie zum Profi
Unternehmen als Ziel von IT-Angriffen
Angriffsoberfläche von SAP®-Systemen
Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen
Angriffe über das SAP-Gateway
Binary Payload Angriffe via PDF
SAP GUI Sniffing
Angriffe über Sicherheitslücken / Hintertüren im ABAPTM Code
SQL Injection
Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen
Seite 3
Evolution der Angreifer
Seite 4
Skriptkiddie
geringes eigenes Know-how
arbeitet mit „Copy & Paste“ und nutzt vorhandene Anleitungen, Programme, Tools etc.
um z.B. in fremde Computersysteme einzudringen oder Schaden anzurichten
beliebige Angriffsziele
Motivation: i.d.R. Anerkennung
Evolution der Angreifer
Seite 5
Professionelle Angreifer
hohe Fachkompetenz
verfügen über entsprechende Ressourcen (Zeit, Geld etc.)
gezielte Angriffe (z.B. Stuxnet)
häufig auch Innentäter
Motivation: Industriespionage, Sabotage, Verschaffung von Vorteilen
Unternehmen als Ziel von IT-Angriffen
Seite 6
Quelle: Best Practice, Das
Kundenmagazin von T-Systems,
Ausgabe 4 | 2011, S. 44.
Angriffsoberfläche von SAP®-Systemen
Seite 7
SAP ABAP System
ABAP
Code
RFC
PI
Files
JCO
BSP
SAP GUI
Web Dynpro
ABAP
Direct UIs
DB
Indirect UIs
J2EE / Portal
3rd party Java
applications
External systems
Non-SAP
System
SAP System
Web Services
Web Dynpro
Java
Integrated ITS
Stand-alone ITS
Quelle: Wiegenstein, A., Dr. Schumacher,
M., Schinzel, S. und Weidemann, F.:
Sichere ABAPTM-Programmierung, S. 57.
Agenda
Entwicklungen im Bereich der IT-Sicherheit
Evolution der Angreifer: vom Skriptkiddie zum Profi
Unternehmen als Ziel von IT-Angriffen
Angriffsoberfläche von SAP®-Systemen
Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen
Angriffe über das SAP-Gateway
Binary Payload Angriffe via PDF
SAP GUI Sniffing
Angriffe über Sicherheitslücken / Hintertüren im ABAPTM Code
SQL Injection
Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen
Seite 8
60 Seconds #1 – Angriffe über das SAP®-Gateway
Seite 9
Szenario
Angreifer startet mit einem simplen Skript als SIDADM direkt Kommandos auf einem
SAP®-Server
Manipulation von SAP-Profilen
Ausführung von SQL-Kommandos
Ursachen
Ungeschützte und / oder falsch konfigurierte SAP-Gateways
Fehlende Firewalls
Risiken
Komplette Zerstörung des angegriffenen SAP-Systems
Einbau von Hintertüren und Trojanern
60 Seconds #2 – Binary Payload Angriffe via PDF
Seite 10
Szenario
Angreifer nutzt Binary PDF Content um seine SAP® Attack Payload zu verteilen
Verteilung per Mail, Download im Web, USB etc.
Ziel: Lesen oder Änderung der saplogon.ini (für Beispiel #3)
Ursachen
Adobe PDF erlaubt im Standard das Einbetten von Programmen in PDF-Dokumenten
Warnmeldungen werden von Anwendern häufig ignoriert
Risiken
Manipulation lokaler Dateien (saplogon.ini)
RFC-Attacken auf das SAP-Gateway
Kompletter Kontrollverlust über das angegriffene SAP-System
60 Seconds #3 – SAP® GUI Sniffing
Seite 11
Szenario
Angreifer tauscht saplogon.ini aus und lässt die Daten der SAP GUI über seinen Proxy
laufen
Angreifer kann alle Daten im Proxy lesen und ändern (wie z.B. Passwort, Konto)
Ursachen
SAP GUI Datenstrom ist lediglich gepackt und nicht verschlüsselt
wenige SAP-Kunden setzen SNC-Verschlüsselung ein
Risiken
Auslesen von SAP-Kennwörtern
Manipulation von Buchungen
Kompletter Kontrollverlust über das angegriffene SAP-System
60 Seconds #4 – Angriffe über unsicheren ABAPTM-Code
Seite 12
Szenario
Entwickler und / oder Angreifer versteckt eine Hintertür in unverdächtigem ABAP-Code
(z.B. bei Eigenentwicklungen)
Backdoor enthält Editor, Programmaufruf etc.
Angreifer ändert Transaktion SU53, so dass bei sy-uname = ‚Angreifer‘ die Backdoor
aufgerufen wird
Ursachen
ABAP ist eine Interpreter-Sprache und kann nicht wirklich gegen Code-Änderungen
geschützt werden (Hard Lock)
Risiken
Datenmanipulation, Datenverlust, Sabotage
Kompletter Kontrollverlust über das angegriffene SAP®-System
60 Seconds #5 – SQL Injection
Seite 13
Szenario
Angreifer manipuliert SQL-Abfragen in Reports oder Webanwendungen durch SQL
Injection
Ursachen
Verwendung von Native SQL oder
Verwendung dynamischer WHERE-Bedingungen in OPEN SQL
Risiken
Unberechtigter Zugriff auf Daten im SAP® -System
Agenda
Entwicklungen im Bereich der IT-Sicherheit
Evolution der Angreifer: vom Skriptkiddie zum Profi
Unternehmen als Ziel von IT-Angriffen
Angriffsoberfläche von SAP®-Systemen
Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen
Angriffe über das SAP-Gateway
Binary Payload Angriffe via PDF
SAP GUI Sniffing
Angriffe über Sicherheitslücken / Hintertüren im ABAPTM Code
SQL Injection
Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen
Seite 14
Ansatzpunkte zur Verbesserung der Sicherheit
Seite 15
Technische Maßnahmen
Änderung aller Standard-Passwörter (SAP®, DB, OS)
Absicherung von SAP-Gateways und RFCs
Restriktive Vergabe von Berechtigungen (S_RFC, S_TABU_DIS etc.)
Sichere ABAPTM-Programmierung (Vorgaben, Ausbildung, Enforcement)
Sichere Transportwege
OS und DB Hardening
Ständige Aktualisierung der SAP-Software / Einspielen von SAP Security Patches
Nutzung von SNC (wird im Standard ausgeliefert) / SAP GUI Verschlüsselung
Netzwerkabsicherung
PC-Schutz
Ansatzpunkte zur Verbesserung der Sicherheit
Seite 16
Unternehmenskultur
Awareness für SAP®-Sicherheit schaffen (z.B. durch Workshops)
Training (Entscheider, Entwickler, Administratoren, Anwender)
Organisation
SAP-Sicherheit in relevante Unternehmensprozesse integrieren
Schaffung verbindlicher Unternehmensstandards
Compliance
SAP-Sicherheit zur Vorgabe in Projekten machen
Prüfung der Einhaltung der Unternehmensvorgaben (sofern möglich mit Werkzeugen)
SAP-Sicherheit in den Audit-Plan aufnehmen
Welche Fragen haben Sie?
Seite 17
Kontakt:
Dr. Markus Schumacher ([email protected])
Ralf Kempf ([email protected])
Weitere Informationen:
www.bizec.org
www.codeprofilers.com
SAP-Whitepaper „Secure Configuration
of SAP NetWeaver AS ABAP“
SAP Security Services
Don‘t miss the latest insights into SAP®
security! Join BIZEC @ TROOPERS on
March 20, 2012 in Heidelberg.