Команда ERPScan, дочерней международной компании Digital Security, которая специализируется на разработке программного обеспечения анализа кода и мониторинга защищенности SAP, вновь приняла участие в конференции Troopers в отдельном треке для специалистов по безопасности SAP. Для нас это мероприятие имеет особое значение, поскольку в 2010 году с Troopers начался долгий путь ERPScan к мировой известности в качестве разработчика специализированного ПО мониторинга защищенности SAP. И тогда именно наша компания выступила на этой конференции первой с докладом о безопасности SAP.
Актуальность проблем безопасности SAP сегодня ни у кого не вызывает сомнений. Достаточно сказать, что более 30 презентаций на мероприятиях по ИБ во всем мире посвящается ежегодно этой теме. Тем более закономерен особый интерес к безопасности SAP на конференции Troopers, которая традиционно проходит в Гейдельберге, недалеко от штаб-квартиры SAP AG в Вальдорфе. В 2014 году восемь экспертов из четырех компаний обнародовали свежие данные о проблемах защиты SAP, а перед основной программой был даже представлен специализированный воркшоп. Исследователи безопасности SAP из ERPScan выступили с докладом под названием «Внедрение вредоносного кода в ваши системы SAP J2EE: безопасность сервера развертывания приложений SAP» ("Injecting Evil Code in Your SAP J2EE systems – Security of SAP Software Deployment Server").
«Зачем взламывать сами критичные системы, если можно атаковать сердце SAP-ландшафта, откуда исходный код растекается по всем системам? Речь идет о сервере SAP SDM, состоящем из множества подсистем: SDM, DTR, CMS. У SAP есть своя собственная подсистема, аналогичная SVN, и платформа для сборки. Никого особенно не заботит безопасность сервера развертывания приложений, поэтому он кишит уязвимостями, позволяющими анонимно внедрить свой код без доступа к NWDS, используя архитектурные проблемы. В результате вредоносный код атакующего расходится по любым выбранным системам, предоставляя возможность контролировать каждую из них. Эти схемы были применены на практике Дмитрием Частухиным и его подразделением в ходе тестов на проникновение», – так Александр Поляков, сооснователь и технический директор ERPScan, говорит о проблемах, вдохновивших его на новый доклад.
Troopers – площадка для специалистов со всего мира, интересующихся взломом и защитой, где безопасники из коммерческих предприятий, научной сферы и исследовательского сообщества могут обмениваться знаниями и обсуждать свою работу. С 2007 года эта конференция – одно из самых значимых событий отрасли.
«Наша цель – делиться глубокими знаниями о разных аспектах взлома и защиты ИТ-инфраструктуры и приложений. Представленные презентации и практические демонстрации познакомят вас с последними открытиями и событиями на мировой хакерской арене, а корпоративные безопасники-практики поделятся ценными прикладными приемами. Мы хотим, чтобы вы развивали свои навыки. Мы хотим, чтобы вы в полной мере осознали, какие возможности для будущего развития вам может предоставить благотворная среда единомышленников. Знания – ваше единственное оружие против привычных и новых вызовов в нашей профессиональной области», – комментарий команды Troopers.
