sap hacking - 4process.de · sap hacking –so sicher ist ihr sap system dateien reginfo/secinfo...
TRANSCRIPT
© 4process AG 2017Seite 1 © 4process AG 2015
W E I T B L I C K . L E I D E N S C H A F T . W E N D I G K E I T .
V O R S P R U N G .
4process Hausmesse 2017Klaus Omasmeier
SAP HACKING
SO SICHER IST IHR SAP SYSTEM
© 4process AG 2017Seite 2
WARUM?
SAP HACKING – SO SICHER IST IHR SAP SYSTEM
http://breachlevelindex.com/assets/Breach-Level-Index-Annual-Report-2015.pdf
© 4process AG 2017Seite 3
AGENDA
SAP HACKING – SO SICHER IST IHR SAP SYSTEM
1. Art der Angriffe
2. Sicherheitslücken in Bezug auf SAP
3. Hacking Tools
4. Live Demo
5. Abhilfe
6. Fragen
© 4process AG 2017Seite 4
ART DER ANGRIFFE
SAP HACKING – SO SICHER IST IHR SAP SYSTEM
http://breachlevelindex.com
© 4process AG 2017Seite 5
SECURITY NOTES 09/16-02/17
SAP HACKING – SO SICHER IST IHR SAP SYSTEM
https://blogs.sap.com/2017/02/14/sap-security-patch-day-february-2017
© 4process AG 2017Seite 6
SECURITY NOTES 02/17
SAP HACKING – SO SICHER IST IHR SAP SYSTEM
https://blogs.sap.com/2017/02/14/sap-security-patch-day-february-2017
© 4process AG 2017Seite 7
WIE?
SAP HACKING – SO SICHER IST IHR SAP SYSTEM
wie werde ich zum Hacker für SAP-Systeme?
Sie brauchen natürlich ein unschlagbares Hacking Tool
© 4process AG 2017Seite 8
Demo
LIVE DEMO
SAP HACKING – SO SICHER IST IHR SAP SYSTEM
FPT
Produktivsystem
FP6
Testsystem
System auf dem ich SAP_ALL habe
eigenes System (SAP_ALL)
Entwicklungs-/Testsystem
keinen User + keine Rechte
Produktivsystem
HR-System
Angriff
© 4process AG 2017Seite 9
ABHILFE
SAP HACKING – SO SICHER IST IHR SAP SYSTEM
Dateien reginfo/secinfo pflegen
SAP-Systeme aktuell halten
Security Patch Day jeden 2. Dienstag im Monat
internen Zugriff auf SAP-Systeme auf das nötigste beschränken
Ports wie RDP, SSH für User nicht zugänglich machen
Berechtigungen sorgfältig pflegen und restriktiv vergeben
Vorsicht auch im Testsystem
Tabellenprotokollierung für kritische Tabellen aktivieren
kein Zugriff auf Tabellen wie USR02 (enthält Passwort-Hash)
Profilparameter auf iterated salted Hash ändern
© 4process AG 2017Seite 10
KONTAKT
SAP HACKING – SO SICHER IST IHR SAP SYSTEM