Hacking von SAP Systemen Schwachstellen, Angriffsszenarien, Gegenmassnahmen

Transkript

1 Hacking von SAP Systemen Schwachstellen, Angriffsszenarien, Gegenmassnahmen 3. IT-Sicherheitstagung für Fortgeschrittene Datenschutz & Datensicherheit von der Awareness bis zum Datenklau/ zur Katastrophe Priska Altorfer, Managing Partner Christian Schmid, Consultant wikima4 AG Zug Vevey Scottsdale

2 Agenda Einführung Prozess Kontrollen Sniffing Zugriff zu sensitiven Information Login & Password Cracking RFC Verbindungen Datenbank Hacking SAPLogon Cracker

3 Kurzvorstellung wikima4 AG Hauptsitz wikima4 AG Bahnhofstrasse 28, 6304 Zug Entwicklungszentrum wikima4 SA Rue du Torrent Vevey Representative wikima4 Ltd. Scottsdale AZ/US wikima4, gegründet 2001, ist ein führendes Schweizer Beratungs- und Softwareunternehmen im Bereich SAP Sicherheit, Compliance, Prozessoptimierung und Identity Management. SAP Special Expertise in ESOA NetWeaver/Identity Management SAP Special Expertise in Governance, Risk & Compliance (GRC) Mitglied der SAP Global Security Alliance Certified for SAP NetWeaver: mesaforte Your SAP Security Management in a mouse click Leitung IGSAP der ISACA Switzerland Chapter Leitung SAP Roundtable Switzerland Chances and Risks in SAP Systems Leitung IT-Governance Interest Group der SwissICT Verschiedene Lehraufträge an Schweizer und Deutschen Hochschulen für dei Bereiche SAP Compliance, Security & Process Management (C) wikima4 2010

4 Compliance & Sicherheits Lösungen für SAP Secure Software Development, Secure Change Configuration Management Inter-Company Communication, Digital Signatures Security Reviews, Security Concepts Services & Products Authentication & SSO, Public Key Infrastructure, Trust Centre Services Risk Management, Regulatory Compliance, Roles and Authorizations Secure Network Architecture

5 Abhängigkeiten Business Continuity Planning Operation & Maintenance Non System Non System Availability Non System Recovery Authentication Identity Identity Theft OpRisks Network Communication Unautho- Unauthorized rized Access System System Damage Access Control Policy Framework Non Audit Ability Non-React- Ability Software Life Cycle Inflexibility Audit Trail Security Organisation Incident Monitoring

6 Sensible Daten sind wertvoll Birth certificate $147 $490 Credit Card Number with PIN $78-$294 Billing data $98 Social Security card $6-$24 Credit card number Driver's license $147 $6 PayPal account logon and password

7 Agenda Einführung Prozess Kontrollen Sniffing Zugriff zu sensitiven Information Login & Password Cracking RFC Verbindungen Datenbank Hacking SAPLogon Cracker

8 Prozess Kontrollen - Die verbreiteten Gebiete von Hinterziehung und Betrug Stammdaten Lieferant Kunde Preis Material Verkäufer Kunde Bank Mehrzahlung Rabatt Zahlungsbedingungen Mengenquoten Kredit Limitten Transport Schäden Retour Sendungen Beanstandungen Konditionen Abläufe Wechselkurs Finanzen Lager Zahlungslauf Konfiguration Perioden Buchungen Buchungsdatum Vermögens Registrierung Buchungen Lager Bewertung Lager Verschiebungen Inventar Zählung Spesen Gradierung Bonus Kategorie Basis Einstellungen Genehmigungs- Matrix Toleranz Werte

9 Prozess Kontrollen- Ein praktisches Beispiel Eine Kreditoren Buchhalterin gerät in Konflikt mit ihrem Ehemann, der in der Einkaufsabteilung in der gleichen Firma arbeitet. Er möchte, dass sie eine Rechnung an einen Lieferanten zahlt, obwohl diese nicht dem vereinbarten Rabatt beinhaltet. Der fehlende Rabatt auf der Rechnung wird von beiden als gerechtfertigt angesehen, weil der Lieferant eine nicht voraussehbare Kostenexplosion im Rohmaterialbereich alleine tragen musste. Die Unterstützung durch den Abnehmer wurde dem Lieferanten verweigert. Ziel des Ehemannes ist es die gute Beziehung zum Lieferanten nicht zu gefährden dies im Hinblick auf weitere Vereinbarungen. Insbesondere zählt der Ehemann darauf, dass dieses Entgegenkommen ihm seinen eigenen Bonus der vom Erfolg von Lieferanten Verhandlungen abhängig ist, auch in Zukunft gewährleistet bleibt. Betroffenes Betrugs Gebiet -> Lieferant, Finanzabteilung, Zahlungslauf

10 Prozess Kontrolle Ein praktisches Beispiel (Ablauf) Der Lieferant schickt die Rechnung ohne den vereinbarten Rabatt; Die Kreditoren-Buchhalterin erfasst die Rechnung im SAP System; Die Rechnung wird wegen dem fehlenden Rabatt automatisch vom System blockiert; Die Kreditoren-Buchhalterin gibt die blockierte Rechnung zur Zahlung frei; Das Geld wird auf die Bank des Lieferanten überwiesen.

11 Prozess Kontrolle - Ein Praktisches Beispiel (IKS Report) Die Prozess Kontrolle Freigabe von gesperrten Rechnungen läuft wöchentlich automatisch durch und wird dem Internen Verantwortlichen gemeldet:

12 Prozess Kontrolle - Nicht wahr nehmen von Indizien

13 Agenda Einführung Prozess Kontrollen Sniffing Zugriff zu sensitiven Information Login & Password Cracking RFC Verbindungen Datenbank Hacking SAPLogon Cracker

14 Sniffing

15 Ausgangslage Ziel: Ein Buchhalter verfügt über eingeschränkte Berechtigungen (SOD Konflikte aufgelöst). Er kann Rechnungen erfassen, aber nicht freigeben. Prämisse: Er weiss, welche Mitarbeiter Rechnungen freigeben dürfen und kennt das Netzwerk und das SAP-System. Vorgehen: Er schliesst seinen privaten Laptop ans Netzwerk an und zeichnet den Datenverkehr auf.

16 Vorgehen: Sniffing der Daten Der Buchhalter hat sämtlichen Datenverkehr im Netzwerk aufgezeichnet und filtert die SAP- Verbindungen heraus Die Business-Daten sind nur schwer auswertbar, da sie in einer komplexen Struktur vorliegen, zudem möchte er Daten ändern, nicht lesen Der Hacker kann durch die Suche des Benutzernamens die Login-Sequenz auswerten

17 Folgen der Aktion Das Opfer merkt vom Sniffing nichts Der Angreifer muss lediglich nach dem Benutzernamen des Chefbuchhalters suchen und kann sein Passwort danach auslesen Mit dem Passwort des Chefbuchhalters kann er seine fiktive Rechnung freigeben und sich bereichern In den Protokollen wird der Benutzername des Chefbuchhalters auftauchen

18 Agenda Einführung Prozess Kontrollen Sniffing Zugriff zu sensitiven Information Login & Password Cracking RFC Verbindungen Datenbank Hacking SAPLogon Cracker

19 Weiteres Vorgehen Der Buchhalter analysiert die Berechtigungen des Chefbuchhalters weiter Er erkennt, dass dieser, für den Export der ESR- Zahlungen auf die Kommandozeile vom SAP Server zugreifen darf Es ist möglich Benutzer auf dem lokalen SAP-Server zu erstellen Damit installiert er Programme auf dem Server um die Passwörter zu knacken

20 Vorgehen: Ausführen von Kommandos Der Angreifer erstellt sich einen lokalen Benutzer auf dem SAP-Server und vergibt diesem lokale Administratorenrechte. Er loggt sich auf der Konsole des SAP-Servers ein Er kann ganze SAP Systeme löschen, kopieren, Tabellen ausspionieren usw. Der Hacker hofft, dass Windows-Passwörter auch auf den SAP-Systemen verwendet werden

21 Agenda Einführung Prozess Kontrollen Sniffing Access to sensitive Information Login & Password Cracking RFC Verbindungen Datenbank Hacking SAPLogon Cracker

22 Vorgehen: Cracking der Passwörter Die verschlüsselten Passwörter werden lokal auf den Laptop des Hackers kopiert Die Passwörter sind innerhalb weniger Minuten geknackt und im Klartext ersichtlich Es handelt sich um die Windows-Passwörter, diese sind aber oft mit SAP-Passwörtern identisch

23 Agenda Einführung Prozess Kontrollen Sniffing Access to sensitive Information Login & Password Cracking RFC Verbindungen Datenbank Hacking SAPLogon Cracker

24 Szeanario 2: RFC Hacking RFC Verbindung SAP DEV System SAP PRD System

25 Ausgangslage Ein Entwickler verfügt über volle Rechte auf dem HR-Entwicklungssystem, darf sich aber nicht am produktiven System anmelden. Das Entwicklungssystem enthält keine kritischen HR-Daten, an welchen er interessiert ist Er sucht sich einen Zugang zum produktiven System

26 RFC Benutzer RFC Benutzer dienen zum Austausch von Daten zwischen zwei SAP-Systemen Diese führen auf dem Zielsystem gewissen Funktionen aus (Remote Function Call) Normalerweise verfügen sie über eingeschränkte Berechtigungen und dürfen sich nicht via SAPGUI einloggen Temporär werden manchmal höhere Rechte vergeben (z.b. bei einer Migration)

27 RFC User als Dialog

28 Szenario: Kopieren der Daten Der Hacker meldet sich mit einem der geknackten Passwörter an. Dieser Account verfügt über vollen Zugriff, inklusive Gehaltsdaten (Kundendaten, Materialstamm).

29 Agenda Einführung Prozess Kontrollen Sniffing Zugriff auf sensitive Daten Login & Password Cracking RFC Verbindungen Datenbank Hacking SAPLogon Cracker

30 Datenbank

31 Ausgangslage Ziel: Ein Datenbank-Administrator möchte Daten aus einem SAP-System kopieren, auf welches er keinen Zugriff hat. Vorgehen: Er kann die Daten entweder direkt aus dem einzelnen Tabellen auslesen oder sich interaktiv am System anmelden.

32 Berechtigungen für Datenbanken SAP greift mit einem dedizierten Benutzer auf die Datenbank zu, welche volle Berechtigungen besitzt. Die Rechte auf dem Datenbankserver werden nicht im SAP-System angezeigt. Änderungen auf Ebene Datenbank erscheinen ebenfalls nicht in den Logs von SAP. MS SQL und Oracle: Berechtigungen durch zugewiesene Gruppen (Lokal oder AD)

33 Möglichkeiten Lesen und Ändern von beliebigen Daten ohne Protokolle auf dem Server Temporäre Änderungen von Passwörtern Ausschalten des Audit Trails Löschen oder Manipulation der Protokolle Datenbank herunterfahren

34 Berechtigungen für Datenbanken SAP greift mit einem dedizierten Datenbank- Benutzer auf diese zu. Dieser Benutzer kann alle Tabellen lesen und ändern. Die Rechte auf dem Datenbankserver werden nicht im SAP-System verwaltet. Änderungen auf Ebene Datenbank erscheinen ebenfalls nicht in den Logs von SAP. Das Logging auf der Datenbank muss explizit eingeschaltet werden. MS SQL und Oracle: Berechtigungen durch zugewiesene Gruppen (Lokal oder AD)

35 Lesen von Daten Die Namen der Tabellen müssen bekannt sein, sind aber mit SAP Kenntnissen einfach zu erfahren. Mehrere Tabellen sind nötig, um ein vollständiges Bild zu erhalten (Fremdschlüssel) -> Feld BVTYP SAP sieht keine Verschlüsselung (Gehaltsdaten) vor

36 Temporäre Änderung von Passwörtern Passwort eines Benutzers wird temporär geändert. Kein Eintrag in den SAP Logfiles (Audit Log, Tabellenlog) Benutzername des «Opfers» erscheint in den Logfiles

37 Ausschalten des Audit Trails Audit Log kann mit einem Tool ausgeschaltet werden, um keine Spuren während den böswilligen Aktionen zu hinterlassen. Kein interaktives Login am System nötig.

38 Manipulation der Änderungsbelege Kritische Änderungen werden im SAP-System protokolliert (z.b. Änderung Kontodaten) Werden die richtigen Daten auf dem SQL-Server geändert, können die Protokolle gefälscht werden. Änderungen sind mit einem Risiko verbunden, da Fehler die Stabilität des SAP-System gefährden können.

39 Agenda Einführung Prozess Kontrollen Sniffing Access to sensitive Information Login & Password Cracking RFC Connections Database Hacking SAPLogon Cracker

40 SAPLogon Cracker Single Sign on für jeden Benutzer

41 Gegenmassnahmen Verschlüsselung des Datenstroms zwischen SAPGUI und SAP-Server (SNC) mit z.b AdNovum SecStack Sichere Konfiguration des SAP-Servers, inklusive Betriebssystem Implementierung eines Berechtigungskonzepts Monitoring mit mesaforte TM Zugangskontrolle für Gebäude einführen und Mitarbeiter entsprechend schulen

42 Zusammenfassung Wichtig für die Geschäftsleitung Daten in müssen in ERP Systeme aktiv geschützt werden Kontinuierliches Monitoring versus jährliche Überprüfung ERP Schutz Möglichkeiten nutzen, einstellen und pflegen Wichtig für die IT Komplexe ERP Systeme verlangen einen integrierten Ansatz Flexibilität geht auch mit Sicherheit und Compliance Stufenweises Vorgehen versus Big Bang Wichtig für die Benutzer Schutz der Mitarbeiter durch weniger Rechte Automatisieren der manuellen Kontrollen Missbraucht werden können auch Benutzer Id s

43 Fragen Herzlichen Dank Priska Altorfer Managing Partner Christian Schmid Consultant wikima4 AG Bahnhofstrasse 28 / 6304 Zug / Switzerland T: +41 (0) / F: +41 (0) mail@wikima4.com / Copyright 2010 wikima4 AG. All rights reserved. All product and service names mentioned are the trademarks of their respective companies. No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of wikima4 AG. The information contained herein may be changed without prior notice. SAP and other named SAP products and associated logos are brand names or registered trademarks of SAP AG in Germany and other countries in the world.