Mit CodeProfiler effizient und schnell Qualitätsdefizite in Ihrem ABAP Code aufdecken

Transkript

1 Dr. Markus Schumacher Dr. Markus Schumacher Mit CodeProfiler effizient und schnell Qualitätsdefizite in Ihrem ABAP Code aufdecken

2 INHALT SAP Anwendungen im Visier von Hackern 1. Schutz der Kronjuwelen SAP Systeme steuern kritische Unternehmensprozesse 2. Angriffsvektoren Cross-Site Scripting, SQL Injection und Co. 3. Wie Sie ihr SAP System sicher machen Prozess für Governance und Compliance in der ABAP Programmierung 4. Herausforderungen im täglichen Betrieb Wie Sie sicher bleiben 5. Fazit

3 Über die Virtual Forge GmbH Wir sichern Ihre SAP Systeme Gegründet 2001, Firmensitz Heidelberg Langjährige Beratungserfahrung: SAP Sicherheitsaudits, SAP Design und Code Reviews, SAP Penetration Testing SAP Security made in Germany: Team ausgewiesener Experten im Bereich SAP und Softwaresicherheit Bereitstellung des einzigartigen Know-hows in einem Testwerkzeug: Virtual Forge CodeProfiler ist der erste Scanner mit Daten- und Kontrollflusstechniken für ABAP, ABAP Objects, Business Server Pages und WebDynpro ABAP für Tests in den Bereich Security, Compliance, Performance, Robustheit und Wartbarkeit. CodeProfiler wird von unseren Kunden auf der ganzen Welt eingesetzt - von der Verteidigungsindustrie über Pharmabranche, Bankenwesen, Automobilindustrie, Öl & Gas, Maschinenbau, Gesundheitswesen und Versicherungen bis hin zur Landwirtschaft. Virtual Forge unterhält zudem Kooperationen mit renommierten unabhängigen Softwareherstellern.

4 1. Schutz der Kronjuwelen SAP Systeme steuern kritische Unternehmensprozesse Die Daten in einem SAP System sind in hohem Maße schützenswert SAP Systeme sind das Rückgrat unserer hochautomatisierten Wirtschaft. In nahezu jedem Unternehmen steuern SAP Anwendungen die kritischen Unternehmensprozesse: Fertigung, Kunden- und Lieferantenmanagement, Personalplanung, Finanzen und Controlling, etc. Sie enthalten und verarbeiten die sensitiven Daten - die Kronjuwelen des Unternehmens.

5 Komplexität und Sicherheit Von der Burg zur Metropolis

6 Sicherheitsrelevante Fragestellungen Aus Sicht des Risikomanagements Sind Compliance- Richtlinien durch Sicherheitslücken im Quelltext verletzt? Liegen Verstöße gegen Datenschutzbestimmungen/ regeln vor? Wie ist die Qualiltät von ABAP-Eigenentwicklungen unter Sicherheitsaspekten einzustufen? Sind kritische geschäftskritische Prozesse und Vorgänge ausreichend durch Berechtigungsprüfungen abgesichert? Kunden- System Gibt es Schadcode oder Hintertüren in kundeneigenen Entwicklungen?

7 Schutzbedarf in SAP Szenarien Technische Übersicht Business Security Initiative

8 2. Angriffsvektoren Cross-Site Scripting, SQL Injection und Co. Ein SAP System ist angreifbar, wenn Sie nicht von Anfang an auch Sicherheit achten Keine Software ist automatisch sicher. Die SAP bietet sehr umfassende Sicherheitsmaßnahmen im Standard an. Es liegt aber vor allem am Kunden, diese richtig zu nutzen, zu aktivieren und regelmäßig zu kontrollieren. Wird das nicht gemacht, kann es zu Sicherheitslücken kommen, die auch in anderen IT Umgebungen bekannt sind. Beim SAP Betrieb gelten als ähnliche Gesetze wie bei jeder anderen Unternehmenssoftware

9 Sicherheits- und Compliancelücken (#1) Umgehen der Mandantentrennung Bypassing 'mandt' SELECT FROM... CLIENT SPECIFIED EXEC SQL. ADBC

10 Sicherheits- und Compliancelücken (#2) Ausführen von Betriebssystemkommandos Bypassing SM49 / SM69 restrictions CALL 'SYSTEM'... OPEN DATASET... FILTER 'format c:'

11 Standardlisten für Schwachstellen Wie häufig treten die Probleme auf? OWASP Top 10 A1 - Cross Site Scripting (XSS) A2 - Injection Flaws A3 - Malicious File Execution A4 - Insecure Direct Object Reference A5 - Cross Site Request Forgery (CSRF) A6 - Information Leakage and Improper Error Handling Potentiell anfällig? Ja Ja Ja Ja Ja Ja A7 - Broken Authentication and Session Management - A8 - Insecure Cryptographic Storage A9 - Insecure Communications A10 - Failure to Restrict URL Access Ja Ja Ja

12 Angriffsbeispiel SQL Injection und deren Auswirkung In einem Sicherheitsprojekt wurden in einem SUS (Supplier Selfservice) System eines Auftraggebers in der Maschinenbaubranche eine SQL Injection Schwachstellen gefunden. In dem System sind vertrauliche Lieferantendaten hinterlegt: Angebote, Kontaktdaten, technische Details. SQL Injection: Es ist möglich, beliebige Tabelleninhalte auszulesen Sämtliche Prüfmechanismen für den Zugriff auf Tabellen werden umgangen Der Aufruf erscheint wie ein regulärer Datenbankzugriff Auf diese Weise war es jedem Nutzer des SUS Systems möglich alle Tabelleninhalte auszulesen und damit vertrauliche Angebots- und Abrechnungsinformationen einzusehen (und nicht nur seine eigenen) dem Kunden war nicht bewusst, dass diese Lücke von außen ausnutzbar war.

13 Angriffsbeispiel 1 SQL Injection und deren Auswirkung Technische Risiken Lesende und schreibende Datenbankzugriffe sind unprotokolliert möglich Die Identifikation und Behebung der Sicherheitslücken durch Tools konnte in kurzer Zeit erfolgen. Der Kunde konnte so mit wenig Aufwand ein großes Risiko ausschließen. Geschäftliche Konsequenzen Der Kunde hat vertragliche und gesetzliche Anforderungen an Datenschutz und Vertraulichkeit nicht eingehalten. Im Schadensfall wirkt sich dies auf die Reputation des Herstellers aus, da Anbieter nicht davon ausgehen können, dass Ihre Daten geschützt sind. Durch eine SQL Injection können auch Daten geändert werden, d.h. der Lieferantenprozess und damit die Produktion kann empfindlich gestört werden.

14 SAP Web Technologien Beispiel: Business Server Pages

15 Angriffsbeispiel 1 SQL Injection und deren Auswirkung

16 Angriffsbeispiel 1 SQL Injection und deren Auswirkung

17 Angriffsbeispiel 1 SQL Injection und deren Auswirkung

18 Angriffsbeispiel 1 SQL Injection und deren Auswirkung

19 Angriffsbeispiel 2 ABAP Command Injection Durch eine Untersuchung mit dem Virtual Forge CodeProfiler wurden in einem SAP- System mit produktiven Finanzdaten Code Injection Probleme gefunden Code Injection: Es ist möglich, dynamisch ABAP Quellcode in das System einzuschleusen Sämtliche Prüfmechanismen für die Erstellung neuen Quellcodes werden umgangen Die neu erstellten Programme werden nicht in gewohnter Weise im SAP- System protokolliert, es gibt keine Einträge über das Datum der Erstellung sowie den Nutzer Die gefundenen Programme konnten auch dazu genutzt werden, den Code wieder zu entfernen Auf diese Weise war es jedem Mitarbeiter mit einem Nutzer in besagtem SAP- System möglich, eigene Programme beliebigen Inhalts in das System hochzuladen, diese auszuführen und danach wieder zu löschen, ohne dass diese Manipulationen bemerkt würden

20 Angriffsbeispiel 2 ABAP Command Injection Technische Risiken Sämtliche SAP-Systeme mussten auf die Existenz der entsprechenden Programme hin untersucht werden Prüfungen notwendig, um nachzuweisen, dass die entsprechenden Programme nicht aufgerufen wurden Die Programme mussten gelöscht werden; zusätzliche Tests waren notwendig, um sicherzustellen, dass die Löschung von Programmen nicht zum Ausfall von Funktionalität führte Geschäftliche Konsequenzen Durch die Möglichkeit finanzieller Manipulationen stand die Zuverlässigkeit des Jahresabschlusses in Frage Die Zustimmung des Wirtschaftsprüfers zu den Finanzdaten war gefährdet

21 Angriffsbeispiel 2 ABAP Command Injection

22 3. Wie Sie ihr SAP System sicher machen Sichere ABAP Programmierung: Governance & Compliance auf Prozessebene Ein SAP ist angreifbar, wenn Sie nicht von Anfang an auch Sicherheit achten Keine Software ist automatisch sicher. Die SAP bietet sehr umfassende Sicherheitsmaßnahmen im Standard an. Es liegt aber vor allem am Kunden, diese richtig zu nutzen, zu aktivieren und regelmäßig zu kontrollieren. Wird das nicht gemacht, kann es zu Sicherheitslücken kommen, die auch in anderen IT Umgebungen bekannt sind. Beim SAP Betrieb gelten als ähnliche Gesetze wie bei jeder anderen Unternehmenssoftware. Prüfen Sie ihre Eigenentwicklung und stellen Sie sicher, dass Ihre (und gesetzliche) Vorgaben eingehalten werden.

23 SAP Security Solution Map Wo besteht Handlungsbedarf?

24 Mit CodeProfiler Risiken entdecken Kundenbeispiel einer Executive Summary

25 Umfassender Schutz durch CodeProfiler Hochkritische Bereiche in Ihrer SAP Landschaft schützen

26 CodeProfiler - TMS / ChaRM Integration Gesicherte Qualität und Governance auf Prozessebene Requirements- Paper Development CodeProfiler Test/QA Production TMS-gatekeeper SICHERE SAP PROGRAMMIERUNG Java Guideline Interne Entwicklung ABAP Guideline Java Spezifikation Generelle Guideline Externe Entwicklung ABAP Spezifikation D60 EhP4 Q60 EhP4 P60 EhP4 Exception via QA

27 CodeProfiler Integration Customize your Approval-Level Test-Groups System-Integration (TMS) Check your Development

28 Testcase Group Customizing Test Group Testcase

29 Approval Customizing Approval-Level TMS Result

30 Workflow: Integration in Prozess QA / PL Reject Review Developer Develop Release Review Request Approve Change CodeProfiler Parse Okay False TMS Transp.

31 Developer Task

32 Approval Task (QA / PL)

33 Kundenbeispiel Directory Traversal (Write Access) Überschreiben beliebiger Dateien auf dem Server (/usr/sap/<sid>/sys/profile/default.pfl)

34 4. Herausforderungen im täglichen Betrieb Wie Sie sicher bleiben SAP Sicherheit ist ein dauerhafter Prozess Es gilt wie bei allen IT Systemen, dass Sicherheit nicht eine einmalige Aufgabe ist. Sie müssen sich kontinuierlich darum kümmern, dass das Sicherheitsniveau hoch genug bleibt und Ihre Kronjuwelen gegen neuartige Risiken geschützt sind.

35 SAP Patch Day Immer auf dem neuesten Stand sein SAP hat im September 2011 einen regelmäßigen Patch Day eingeführt Parallel zu Microsoft s Patch Day am jedem 2. Dienstag im Monat Die Updates werden über den SAP Service Marktplatz bereitgestellt (Kundenzugang erforderlich) SAP hat Kunden empfohlen, die Patches schnellstmöglich herunterzuladen und zu installieren sowie die Konfiguration zu überprüfen. Denken Sie auch über einen eignen Patch Day nach und befragen Sie Ihre Lieferanten zu dem Thema

36 SAP Sicherheit als Prozess Regelmäßige Tests Specification Design Coding Test Betrieb Tools

37 5. Fazit Worauf Sie besonders achten sollten Schützen Sie Ihre Kronjuwelen SAP Sicherheit ist sehr wichtig denn eine Sicherheitslücke kann schwerwiegende Konsequenzen haben. Die Aufgabe ist sehr facetten- und umfangreich genau wie Ihre Geschäftsprozesse. Alle Beteiligten müssen zusammenarbeiten, damit das Ziel SAP Sicherheit erreicht werden kann.

38 Zusammenfassung Der Weg zum Ziel in drei Schritten mit CodeProfiler 1. Regelwerk: Machen Sie Sicherheit und Qualität zur Regel Worauf muss bei der Entwicklung geachtet werden? Was darf sein? Was ist verboten? 2. Planung: prüfen Sie Ihren ABAP Code Planen Sie regelmäßige Prüfungen ein Bei allen Szenarien ( Innentäter, Spionage!) Automatisieren Sie, wo immer möglich 3. Umsetzung: Enforcement und Governance Prüfprofil festlegen und schrittweise schärfen Verpflichtende Prüfung bei jedem Transport Dokumentation der Ausnahmen Erfolg messen ( Business Case )

39 Vielen Dank für Ihre Aufmerksamkeit! VIRTUALFORGE GMBH Ansprechpartner: Thomas Kastner Speyerer Straße Heidelberg Germany Phone: +49 (0) thomas.kastner@virtualforge.com