Рубрика «sap» - 13

Я хочу написать об одной из основных вещей, которые делают мою жизнь разработчика полезной и интересной.
Я заметил, что большинство людей, с которыми я имел честь работать, были связаны обещанием, неким неписанным «кодексом чести». Он не совсем похож на самурайский Бусидо, поэтому позвольте мне вкратце описать его:

Кодекс и долг

  • Моя работа — отражение моего мастерства. Лично я отождествляю это с качеством.
  • Если я возложил на себя обязательства касательно проекта и сроков сдачи, то я сделаю всё возможное, чтобы сдержать своё слово.
  • Это дело чести — выполнять свои обещания. Я готов идти на личные жертвы, чтобы сдержать свое слово.
  • Обязательства и жертвы сугубо добровольны и руководствуются лишь внутренней мотивацией. Дополнительное внешнее давление рассматривается как нарушение Кодекса: я уже выполняю свою работу настолько хорошо, насколько могу.
Общение

  • Я открыто признаюсь, если я чего-то не понимаю.
  • Субординация не важна в обсуждении технических деталей. Имеет значение убедительность аргумента, а не должность говорящего.

Читать полностью »

За последний месяц в области безопасности SAP произошло несколько значимых событий, о которых я хотел бы рассказать.

Во-первых, прошли две крупных конференции по безопасности, где затрагивалась тема безопасности SAP: BlackHat и Defcon. Мы (специалисты исследовательской лаборатории Digital Security) участвовали в обоих мероприятиях: с докладом о SAP на BlackHat и с докладом о VMware на Defcon. Я упоминаю здесь доклад о VMware, так как это выступление подтверждает, что защита SAP-систем заключается не только в безопасности самих приложений SAP, но и остальной инфраструктуры.

Читать полностью »

Всем привет! Тут многие просили нас писать больше; собственно, выкроив времечко между перелётами, я вспомнил про парочку старых уязвимостей в… впрочем, вы уже догадались в чём.

Прошло уже немало времени с момента первой публикации информации о данных багах. А точнее, целый год. Ровно год назад я ездил на BlackHat с докладом по теме безопасности J2EE движка SAP. Почему бы и не поведать о той баге, тем более что до сих пор не дошли руки подробно описать в рунете всё, что было представлено на BlackHat, ну не считая небольшого видео с ZeroNights, где вышло довольно сумбурно.

Исследование посвящалось платформе SAP NetWeaver J2EE Engine, о которой по сравнению с ABAP Engine существует крайне мало информации, а по ее безопасности практически не было исследований во всём мире. А ведь Digital Security Research Group хлебом не корми, только дай разломать что-нибудь, куда ещё никто не совался. В общем, сперва будет немножко общих слов о том, что такое SAP и как это важно для бизнеса, так что циники могут пролистать вниз – к кускам кода, ну а все остальные могут читать дальше.

Читать полностью »

Примечания

Согласно партнерскому соглашению с SAP, мы не имеем право публиковать подробную информацию о найденных уязвимостях до выпуска патча. Поэтому в данном отчете подробно описаны только те уязвимости, информацию о которых мы имеем право раскрывать на данный момент. Однако примеры эксплуатации всех упомянутых уязвимостей, доказывающие, что они действительно существуют, можно найти на видеозаписях с конференций, а также на erpscan.ru и dsec.ru.

Также необходимо отметить, что наши исследования в области безопасности SAP вообще и сбора статистики в частности не заканчиваются на данном отчете. Мы планируем публиковать новые статистические данные как минимум ежегодно либо по мере появления новых методов атаки. Последние обновления статистики SAP-систем, присутствующих в Интернете, можно найти на sapscan.com.

1. Введение

Ядро каждой крупной компании – это ERP-система; в ней проходят все критичные для бизнеса процессы, начиная от закупки, оплаты и доставки и заканчивая управлением человеческими ресурсами, продуктами и финансовым планированием. Вся информация, хранящаяся в ERP-cистемах, имеет огромное значение, и любой неправомерный доступ к ней может понести за собой громадные потери вплоть до остановки бизнеса. Согласно отчету Ассоциации специалистов по расследованию хищений/мошенничества (ACFE), в период с 2006 по 2010 годы потери организаций от внутреннего фрода составили порядка 7 процентов от ежегодной выручки (!). Вот почему мы решили провести детальное исследование в области безопасности SAP с использованием ERPScan – разработанной Digital Security системы мониторинга защищенности SAP-систем.

Читать полностью »

odata

Открытый протокол запросов OData базирующийся на REST, Atom/XML и JSON будет стандартизирован организацией OASIS, которая отвечает за утверждение промышленных стандартов в области веб-сервисов и передачи данных.

ODta — это протокол который позволяет с помощью параметров обычного запроса выбирать или модифицировать данные. Например, следующий запрос:

_http://services.odata.org/OData/OData.svc/Category(1)/Products?$top=2&$orderby=name

Просит выбрать из источника данных первые два продукта отсортированные по имени, которые принадлежат определенной категории товаров с идентификатором "1". Другой пример:

_http://services.odata.org/OData/OData.svc/ProductsByColor?color='red'

Позволяет использовать внутреннюю функцию с параметром цвета "red" для запроса необходимого списка товаров.

Протокол включает в себя огромное число параметров, которые позволяют задать сколь угодно сложный запрос к источнику данных, например:

_http://services.odata.org/Northwind/Northwind.svc/Customers?$filter=indexof(CompanyName, 'lfreds') eq 1

Вернет всех клиентов с именем компании, которая содержит подстроку "lfreds".

И так далее. Подробное описание нотаций и самого протокола можно найти по адресу http://www.odata.org/documentation.
Читать полностью »

Женщины в паранджах, мужчины в традиционных арабских одеяниях, резные стены и много-много позолоты, и всё это внутри огромного деревянного корабля. Именно так выглядит конференция по информационной безопасности в Кувейте – Kuwait Info Security 2012.

Как я учил арабских шейхов ломать SAP

По долгу службы в Digital Security продвигая в массы безопасность SAP, да и вообще ради ярких моментов и новых знакомств, я периодически выступаю на различных международных конференциях по безопасности… хотя точнее всё же было бы называть их конференциями по опасности, так как на них ведущие исследователи рассказывают о новых интересных способах взлома информационных систем. Несмотря на два десятка выступлений на таких ивентах, как BlackHat и HITB, конференция в Кувейте всё-таки запомнилась мне как одна из самых необычных.

Читать полностью »

image

В этом выпуске у нас в гостях Александр Поляков (DSec). И мы его пытаем вопросами вместе с Владимиром Воронцовым (ONsec).

  • почему нужно защищать SAP
  • какие уязвимости существуют в SAP приложениях и их последствия
  • эволюция продукта ERPscan
  • международные практические конференции в сфере ИБ и что происходит у нас
  • что будет дальше с конференцией ZeroNights

Читать полностью »

Компания Digital Security проводит цикл технических вебинаров по безопасности бизнес-приложений. Первый вебинар пройдёт 19 апреля 2012 года.

Мы осветим темы безопасности ДБО и мобильного банкинга, защиты систем SAP, безопасности АСУ ТП, а также систем виртуализации, таких как VMware и Citrix XenApp. Вы узнаете о брешах в безопасности, о которых вам не расскажут разработчики.

К участию в вебинарах приглашаются все желающие. Полезную для себя информацию могут получить специалисты по IT, по информационной безопасности, все, кто имеет отношение к управлению ресурсами предприятия, к промышленному и финансовому сектору.

Также совместно с порталом PCIDSS.ru проводится цикл вебинаров по особенностям внедрения стандарта безопасности платежных карт PCI DSS. Первый вебинар пройдёт 18 апреля 2012 года.

Мы расскажем о том, как соответствовать стандарту не только на бумаге, но и на практике, и как надежно взять под контроль самые сложные и деликатные элементы защиты критичных данных. Будут освещены аспекты соответствия PCI DSS, которые чаще всего вызывают затруднения у финансовых организаций, поставивших перед собой задачу обеспечения своим клиентам безопасности и конфиденциальности.

Приглашаются специалисты по IT, по информационной безопасности, сотрудники финансовых организаций и все, кому интересна тематика защиты платежных данных и соответствия стандарту PCI DSS.

Каждый вебинар проходит с 16:00 до 17:00 по московскому времени.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js