|
Шпионаж, Саботаж и Фрод: на конференции BlackHat рассказали о атаках на ERP-системы
На прошедшей недавно конференции BlackHat DC 2011 исследователи из лаборатории DSecRG российской компании Digital Security рассказали об атаках на корпоративные бизнес - приложения, которые могут быть использованы злоумышленниками для реализации шпионажа, саботажа и мошеннических действий в отношении конкурентов. На конференции были представлены неизвестные ранее методы атак на популярные ERP-системы, такие как SAP, JD Edwards, а также на СУБД Open Edge, которая является универсальной платформой для разработки кастомизированных бизнес-приложений.
Несмотря на то, что производители, такие как SAP и Oracle, регулярно выпускают обновления безопасности в своих продуктах, компании всё-равно подвержены атакам, направленным на архитектурные уязвимости и ошибки конфигурации. В докладе Александра Полякова, технического директора Digital Security и руководителя исследовательского центра DSecRG, было уделено внимание архитектурным уязвимостям перечисленных систем, и были продемонстрированы различные методы эксплуатации этих уязвимостей. Данные уязвимости в большинстве своём просто невозможно закрыть, что влечёт за собой возможность их эксплуатации в дальнейшем.
“Очень немногие администраторы SAP-систем регулярно устанавливают обновления и крайне мало специалистов, которые глубоко разбираются в технических деталях безопасной настройки ERP-систем, в лучшем случае ограничиваясь проблемами SOD. Вот почему мы видим небезопасно настроенные системы в результате наших работ по анализу защищенности”, - отметил Александр Поляков.
В его докладе приводился пример того, как в ходе аудита была обнаружена установленная ERP-система JD Edwards версии 10-и летней давности, которая имела архитектурную уязвимость, позволяющую любому пользователю получить доступ ко всем данным. Другой пример архитектурной уязвимости был обнаружен в СУБД « Open Edge database» (Progress company), которая используется во многих компаниях из Fortune TOP 100 companies. В данном приложении была обнаружена тривиальная ошибка в процессе аутентификации. Проверка хэша пароля была реализована на клиентской части, в результате чего возможна аутентификация в систему под любым пользователем, не зная пароля и даже имени пользователя. Проблема заключается в том, что данная уязвимость так и не будет исправлена производителем по причине необходимости переписывания всей архитектуры приложения.
Ещё один пример - это система SAP SRM, используемая среди всего прочего для организации системы тендеров. В результате одной архитектурной уязвимости любой поставщик может получить доступ к тендерам других поставщиков, а также загрузить троянскую программу в сеть конкурента, например, с целью промышленного шпионажа.
“Большинство из рассмотренных в докладе примеров говорит о том, что безопасность ERP-приложений находится на уровне 10-летней давности, и с текущей тенденцией вывода бизнес-приложений в Интернет для обмена данными между филиалами компаний или взаимоотношений с поставщиками все эти системы стали доступны широкому кругу лиц, стремящихся использовать бреши приложений в корыстных целях. До сих пор компании тратили миллионы долларов, устраняя SOD конфликты, и учитывая, что это неотъемлемая часть безопасности ERP, количество уязвимостей уровня приложения все же растёт в геометрической прогрессии, как и интерес к этим системам у злоумышленников”, – отметил Александр Поляков.
Контактное лицо: Каверина Дарья
Компания: Digital Security
Добавлен: 11:24, 08.02.2011
Количество просмотров: 536
«Газинформсервис» открыл собственный Аналитический центр кибербеза, Газинформсервис, 02:42, 22.04.2024, Россия200 |
В Технологическом кластере ЛОМОНОСОВ завершился CISO-Forum 2024, в рамках которого компания «Газинформсервис», титульный партнер события, объявила об открытии собственного Аналитического центра кибербезопасности и рассказала о новом уникальном продукте Efros DefOps в разрезе сетевой безопасности. |
Банк ТКБ оптимизировал работу с документами с Dynamika Электронный архив, Dynamika, 02:37, 22.04.2024, Россия203 |
Банк ТБК внедрил новое IT-решение Dynamika Электронный архив. Решение от компании Динамика, резидента Сколково, помогает банку автоматизировать и структурировать работу с документами. Теперь сотрудники ТКБ могут оперативно искать нужные файлы, следить за их актуальностью, оперативно оповещать клиентов и обновлять данные в случае истечения срока годности. |
Телефоны ФЛАТ получили статус ТОРП, ФЛАТ, 02:24, 22.04.2024, Россия46 |
IP-телефонам ФЛАТ присвоен статус телекоммуникационного оборудования российского происхождения (ТОРП), о чем свидетельствует приказ Министерства промышленности и торговли РФ № 1476 от 5 апреля 2024 года. |
tmcqas, bayhpxe, 02:14, 22.04.2024, Россия58 |
–{Œê‚ªŠÜ禁
https://www.deezers.com/set/buy-brand-acne-pill-retino-a http://www.ff-breitenbrunn.de/rx/no-prescription-colospa http://www.ff-breitenbrunn.de/rx/buy-online-in-newark-benemid https://www.deezers.com/set/buy-sale-quibron-t https://pathsinc.org/rx/discount-card-expired-brahmi https://www.soleil-cauchois.fr/rx/purchase-samples-online-selling-triamterene http://www.ff-breitenbrunn.de/rx/can-i-buy-online-dipyridamole http://www.ff-breitenbrunn.de/rx/cheap-pharmacy-coumadin https://pathsinc.org/rx/buy-no-prescriptions-digoxin https://www.blenoir-bretagne.com/en/rx/discount-generic-version-plavix https://pathsinc.org/rx/cost-paypal-orlando-clomid http://www.ff-breitenbrunn.de/rx/discount-united-kingdom-cardizem https://www.soleil-cauchois.fr/rx/buy-no-pr-rocaltrol https://www.blenoir-bretagne.com/en/rx/cheap-online-store-exelon https://www.deezers.com/set/were-can-i-buy-abilify https://pathsinc.org/rx/buy-cheap-pills-cardura http://www.ff-breitenbrunn.de/rx/purchase-coupon-at-connecticut-lanoxin https://pathsinc.org/rx/cost-visa-internet-cheapest-geriforte http://www.ff-breitenbrunn.de/rx/get-cc-online-store-adalat https://www.soleil-cauchois.fr/rx/effect-internet-overnight-delivery-deltasone https://pathsinc.org/rx/cheap-buy-precose https://www.soleil-cauchois.fr/rx/buy-buy-generic-search-tofranil https://www.deezers.com/set/order-check-mastercard-usa-lasix https://www.soleil-cauchois.fr/rx/cheap-online-overnight-delivery-proventil https://www.soleil-cauchois.fr/rx/buying-cheap-online-hydrochlorothiazide https://pathsinc.org/rx/with-same-day-delivery-cabgolin https://www.blenoir-bretagne.com/en/rx/buy-in-hartfordlevitra-vs-toprol https://www.soleil-cauchois.fr/rx/buy-cheap-prescription-allopurinol http://www.ff-breitenbrunn.de/rx/buy-in-online-proxen-aleve http://www.ff-breitenbrunn.de/rx/purchase-drug-sale-betapace http://www.ff-breitenbrunn.de/rx/canada-price-detrol https://pathsinc.org/rx/discount-d-no-prescription-zocor http://www.ff-breitenbrunn.de/rx/buy-online-mast-glycomet https://pathsinc.org/rx/maximum-buy-real-cheap-asacol https://www.soleil-cauchois.fr/rx/best-price-discounts-internet-keppra https://www.soleil-cauchois.fr/rx/no-prescription-pills-diabecon https://www.deezers.com/set/buy-free-overnight-pharmacy-ditropan http://www.ff-breitenbrunn.de/rx/discount-cheap-tablets-amaryl https://www.soleil-cauchois.fr/rx/delivery-no-doctors-8ynwj-serevent http://www.ff-breitenbrunn.de/rx/mail-order-pillen-prinivil |
Цифровую карту ЦУПИС теперь можно токенизировать в Кошельке ЦУПИС, ЕДИНЫЙ ЦУПИС (НКО "Мобильная карта"), 23:35, 20.04.2024, Россия155 |
Держатели цифровой карты ЦУПИС платежной системы МИР теперь могут токенизировать ее в мобильном приложении Кошелек ЦУПИС. Это обеспечит более оперативный выпуск токена, благодаря которому можно расплачиваться как онлайн, так и офлайн. |
|
|