Dr. Markus Schumacher, Virtual Forge GmbH

Ralf Kempf, akquinet AG

Die Top 5 Mythen der SAP Sicherheit Vom falschen Sicherheitsbewusstsein zu angemessenen Maßnahmen

2

SAP Trends: HANA, Cloud und Mobile. Und die Sicherheit?

1. Mythos: Rollen und Berechtigungen – wir sind sicher!

2. Mythos: Wir nutzen SAP nur im Intranet

3. Mythos: Wir nutzen nur den Standard.

4. Mythos: Hacker kennen sich mit SAP nicht aus

5. Mythos: Sicherheit ist ein Problem der SAP, nicht von uns

AGENDA

SAP Trends: HANA, Cloud und Mobile. Und die Sicherheit?

4

Evolution der SAP Landschaft

Früher Heute Morgen

• Isolierte Systeme

• Lange Release-Zyklen

• Geringe Angriffsfläche

• Security durch Firewalls

• Offene Systeme

• Erhöhte Release-Zyklen

• Netzwerkgrenzen

verschwinden

• Cloud-basierte Anwendungen

• Hacker Angriffe (s.

Nachrichten)

• Weiter Öffnung d. Systeme

• Sehr hohe Release-Zyklen

• Verbundene Netze

• IT-basierte Spionage (PRISM,

etc.)

• Cyber Attacks &

Wirtschaftsspionage

1. Mythos Rollen und Berechtigungen – wir sind sicher!

6

Wir haben ein Berechtigungskonzept. Deswegen sind wir sicher!

Was ist mit der Absicherung der SAP Basis, Server und Datenbank?

Kundenreports und Transaktionen prüfen meistens keine Berechtigungen!

Durch laufende SoD Analysen wird Missbrauch verhindert

Kritische Basisberechtigungen werden bei SoD Analysen oft nicht behandelt

Missbrauch durch Umgehung der Schutzmaßnahmen wird nicht erkannt

(Tabellenpflege, Transporte, Datenbankmanipulationen)

SA38 können bei uns alle Benutzer. Das ist doch unkritisch.

Aber was ist z.B. mit ABAP RS_REPAIR_SOURCE Direkte Code Manipulation in

ungepatchten Systemen (Hinweise 1167258 und 1853161)

Oder ABAP RC1TCG3Y/ RC1TCG3Z Unix File Up- und Download (Hinweise

1552798 und 1505368)

Mythos: Rollen und Berechtigungen – wir sind sicher!

7

Demo: Betriebssystemzugriff durch SA38 Rechte

Step 1: rfcexec.sec

herunterladen

Step 2: Deny all durch permit

all ersetzen

Step 3: rfcexec.sec hochladen

Step 4: Unix/Windows Befehl

als SIDADM per SA38

ausführen.

2. Mythos Wir nutzen SAP nur im Intranet

9

Wirklich nur im Intranet? Wir finden Dich!

Google is Hacker‘s Best Friend!

10

Risiken

In vielen Fällen Sicherheistbewusstsein

nur wenig ausgeprägt.

Bedrohungen durch Innentäter

erscheinen im Unternehmen als

unvorstellbar.

Einfachste Angriffswege auf

Webservices, J2EE Systeme und

Gateways möglich.

SAPGUi Datenstrom kann abgehört

werden !

Wettbewerbsvorteile in Gefahr

Spionage, Diebstahl, Sabotage,

Korruption, oder IT-Kriminalität

Bedrohung durch Innentäter

Quelle:

11

Demo: Datenklau durch die Hintertür ...

3. Mythos Wir nutzen nur den Standard

13

Oftmals unklar, wieviel Eigenentwicklungen im System sind

62,5 % Wahrscheinlichkeit einer ABAP Command Injection

100 % Wahrscheinlichkeit eines Berechtigungsfehlers

95,83% Wahrscheinlichkeit eines Directory Traversals Anonymisierte Analyse von 60 Kundensystemen / Ø 1,65 Mio. Lines of Code pro Scan (Stand: Mai 2012)

~ 1 kritische Sicherheitslücke pro 1.000 Zeilen ABAP™-Code

14

Eigenentwicklungen

Umgehen oft Rollen- und Berechtigungen

Beispiel: Aufrufen von Transaktionen – ohne Berechtigung

Demo: Ausnutzen typischer Sicherheitslücken

15

Fehlende SAP Security Notes machen es Angreifern leicht

SAP Security Notes werden monatlich am 2. Dienstag veröffentlicht

Kein Kunde spielt wirklich alle WICHTIGEN Notes ein.

Frage: Wie stellen SIE fest was für IHRE Systeme wichtig ist?

Bekannte Lücken bleiben komplett oder für lange Zeit ungepatcht

Trügerische Sicherheit, da die Mehrzahl der Angriffe von innen kommt.

Angreifer fokussieren sich auf bekannte Lücken.

Lücken in nicht verwendeten Anwendungen werden nicht gepatcht

Dem Angreifer ist es egal ob SIE die Anwendung brauchen.

Er wird immer die einfachste und mächtigste Lücke ausnutzen.

16

Demo: Benutzer in J2EE per CTC Service anlegen

Lücken im J2EE CTC Framework

CTC Service für Benutzerpflege können ohne Authentifizierung gerufen werden

Beispiel: Anlage eine neuen J2EE Administrators

4. Mythos Hacker kennen sich mit SAP nicht aus

18

Verteilung der SAP Security Notes

Betrachtung der letzten 12 Monate

Im Durchschnitt 41,2% - und das sind die Guten! Was machen die Bösen?

Immer mehr Sicherheitsexperten beschäftigen sich mit SAP

19

Google: SAP SECURITY EXPLOITS Google: SAP HACKING

Immer mehr „Sicherheitsexperten“ beschäftigen sich mit SAP

20

Standardvorgehen von Hackern: „Directory Traversal“.

Geht auch bei SAP Systemen

Schutz durch geeignete Validierungsfunktionen

SAP note 1497003 (“Potential directory traversals in applications”)

Funktion (FILE_VALIDATE_NAME)

Demo: Auslesen/Überschreiben von Dateien

5. Mythos Sicherheit ist ein Problem der SAP, nicht von uns

22

... der Kunde

Nicht der Hersteller (modulo Fahrlässigkeit)

Nicht der Hoster / Outsourcer

Wie geht SAP Sicherheit?

Viele, viele Leitfäden

Unzählige Tools für Administratoren / Entwickler

Hohe Komplexität!

Merke: SAP Sicherheit ist mehr als nur Berechtigungen zu verwalten !

System Hardening planen und umsetzen

SAP Systeme gesamtheitlich sehen

Audits und Pen Tests ausführen

Verantwortlich für die Sicherheit ist immer ...,

Dr. Markus Schumacher markus.schumacher@virtualforge.com Twitter: @virtual_forge / @codeprofiler Blog: https://www.virtualforge.com/de/blog.html

Ralf Kempf ralf.kempf@akquinet.de