Breaking Your SAP in 60 Seconds Sicherheitslücken und Schwachstellen erkennen & beheben

Transkript

1 22. und 23. Februar 2012, NürnbergConvention Center Breaking Your SAP in 60 Seconds Sicherheitslücken und Schwachstellen erkennen & beheben 23. Februar 2012, AK Identity Management & Security Dr. Markus Schumacher (Virtual Forge GmbH) Ralf Kempf (akquinet enterprise solutions GmbH)

2 Agenda Entwicklungen im Bereich der IT-Sicherheit Evolution der Angreifer: vom Skriptkiddie zum Profi Unternehmen als Ziel von IT-Angriffen Angriffsoberfläche von SAP -Systemen Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen Angriffe über das SAP-Gateway Binary Payload Angriffe via PDF SAP GUI Sniffing Angriffe über Sicherheitslücken / Hintertüren im ABAP TM Code SQL Injection Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen Seite 2

3 Agenda Entwicklungen im Bereich der IT-Sicherheit Evolution der Angreifer: vom Skriptkiddie zum Profi Unternehmen als Ziel von IT-Angriffen Angriffsoberfläche von SAP -Systemen Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen Angriffe über das SAP-Gateway Binary Payload Angriffe via PDF SAP GUI Sniffing Angriffe über Sicherheitslücken / Hintertüren im ABAP TM Code SQL Injection Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen Seite 3

4 Evolution der Angreifer Skriptkiddie geringes eigenes Know-how arbeitet mit Copy & Paste und nutzt vorhandene Anleitungen, Programme, Tools etc. um z.b. in fremde Computersysteme einzudringen oder Schaden anzurichten beliebige Angriffsziele Motivation: i.d.r. Anerkennung Seite 4

5 Evolution der Angreifer Professionelle Angreifer hohe Fachkompetenz verfügen über entsprechende Ressourcen (Zeit, Geld etc.) gezielte Angriffe (z.b. Stuxnet) häufig auch Innentäter Motivation: Industriespionage, Sabotage, Verschaffung von Vorteilen Seite 5

6 Unternehmen als Ziel von IT-Angriffen Quelle: Best Practice, Das Kundenmagazin von T-Systems, Ausgabe , S. 44. Seite 6

7 Angriffsoberfläche von SAP -Systemen Direct UIs SAP ABAP System Indirect UIs SAP GUI BSP Integrated ITS DB ABAP Code Files JCO 3rd party Java applications J2EE / Portal Web Dynpro ABAP PI RFC Web Dynpro Java Web Services External systems Stand-alone ITS Quelle: Wiegenstein, A., Dr. Schumacher, M., Schinzel, S. und Weidemann, F.: Sichere ABAP TM -Programmierung, S. 57. SAP System Non-SAP System Seite 7

8 Agenda Entwicklungen im Bereich der IT-Sicherheit Evolution der Angreifer: vom Skriptkiddie zum Profi Unternehmen als Ziel von IT-Angriffen Angriffsoberfläche von SAP -Systemen Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen Angriffe über das SAP-Gateway Binary Payload Angriffe via PDF SAP GUI Sniffing Angriffe über Sicherheitslücken / Hintertüren im ABAP TM Code SQL Injection Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen Seite 8

9 60 Seconds #1 Angriffe über das SAP -Gateway Szenario Angreifer startet mit einem simplen Skript als SIDADM direkt Kommandos auf einem SAP -Server Manipulation von SAP-Profilen Ausführung von SQL-Kommandos Ursachen Ungeschützte und / oder falsch konfigurierte SAP-Gateways Fehlende Firewalls Risiken Komplette Zerstörung des angegriffenen SAP-Systems Einbau von Hintertüren und Trojanern Seite 9

10 60 Seconds #2 Binary Payload Angriffe via PDF Szenario Angreifer nutzt Binary PDF Content um seine SAP Attack Payload zu verteilen Verteilung per Mail, Download im Web, USB etc. Ziel: Lesen oder Änderung der saplogon.ini (für Beispiel #3) Ursachen Adobe PDF erlaubt im Standard das Einbetten von Programmen in PDF-Dokumenten Warnmeldungen werden von Anwendern häufig ignoriert Risiken Manipulation lokaler Dateien (saplogon.ini) RFC-Attacken auf das SAP-Gateway Kompletter Kontrollverlust über das angegriffene SAP-System Seite 10

11 60 Seconds #3 SAP GUI Sniffing Szenario Angreifer tauscht saplogon.ini aus und lässt die Daten der SAP GUI über seinen Proxy laufen Angreifer kann alle Daten im Proxy lesen und ändern (wie z.b. Passwort, Konto) Ursachen SAP GUI Datenstrom ist lediglich gepackt und nicht verschlüsselt wenige SAP-Kunden setzen SNC-Verschlüsselung ein Risiken Auslesen von SAP-Kennwörtern Manipulation von Buchungen Kompletter Kontrollverlust über das angegriffene SAP-System Seite 11

12 60 Seconds #4 Angriffe über unsicheren ABAP TM -Code Szenario Entwickler und / oder Angreifer versteckt eine Hintertür in unverdächtigem ABAP-Code (z.b. bei Eigenentwicklungen) Backdoor enthält Editor, Programmaufruf etc. Angreifer ändert Transaktion SU53, so dass bei sy-uname = Angreifer die Backdoor aufgerufen wird Ursachen ABAP ist eine Interpreter-Sprache und kann nicht wirklich gegen Code-Änderungen geschützt werden (Hard Lock) Risiken Datenmanipulation, Datenverlust, Sabotage Kompletter Kontrollverlust über das angegriffene SAP -System Seite 12

13 60 Seconds #5 SQL Injection Szenario Angreifer manipuliert SQL-Abfragen in Reports oder Webanwendungen durch SQL Injection Ursachen Verwendung von Native SQL oder Verwendung dynamischer WHERE-Bedingungen in OPEN SQL Risiken Unberechtigter Zugriff auf Daten im SAP -System Seite 13

14 Agenda Entwicklungen im Bereich der IT-Sicherheit Evolution der Angreifer: vom Skriptkiddie zum Profi Unternehmen als Ziel von IT-Angriffen Angriffsoberfläche von SAP -Systemen Beispiele für Schwachstellen und Sicherheitslücken in SAP-Systemen Angriffe über das SAP-Gateway Binary Payload Angriffe via PDF SAP GUI Sniffing Angriffe über Sicherheitslücken / Hintertüren im ABAP TM Code SQL Injection Ansatzpunkte zur Verbesserung der Sicherheit von SAP-Systemen Seite 14

15 Ansatzpunkte zur Verbesserung der Sicherheit Technische Maßnahmen Änderung aller Standard-Passwörter (SAP, DB, OS) Absicherung von SAP-Gateways und RFCs Restriktive Vergabe von Berechtigungen (S_RFC, S_TABU_DIS etc.) Sichere ABAP TM -Programmierung (Vorgaben, Ausbildung, Enforcement) Sichere Transportwege OS und DB Hardening Ständige Aktualisierung der SAP-Software / Einspielen von SAP Security Patches Nutzung von SNC (wird im Standard ausgeliefert) / SAP GUI Verschlüsselung Netzwerkabsicherung PC-Schutz Seite 15

16 Ansatzpunkte zur Verbesserung der Sicherheit Unternehmenskultur Awareness für SAP -Sicherheit schaffen (z.b. durch Workshops) Training (Entscheider, Entwickler, Administratoren, Anwender) Organisation SAP-Sicherheit in relevante Unternehmensprozesse integrieren Schaffung verbindlicher Unternehmensstandards Compliance SAP-Sicherheit zur Vorgabe in Projekten machen Prüfung der Einhaltung der Unternehmensvorgaben (sofern möglich mit Werkzeugen) SAP-Sicherheit in den Audit-Plan aufnehmen Seite 16

17 Welche Fragen haben Sie? Kontakt: Dr. Markus Schumacher Ralf Kempf Weitere Informationen: SAP-Whitepaper Secure Configuration of SAP NetWeaver AS ABAP SAP Security Services Don t miss the latest insights into SAP security! Join TROOPERS on March 20, 2012 in Heidelberg. Seite 17