Пресс-релизы //

Шпионаж, Саботаж и Фрод: на конференции BlackHat рассказали о атаках на ERP-системы

На прошедшей недавно конференции BlackHat DC 2011 исследователи из лаборатории DSecRG российской компании Digital Security рассказали об атаках на корпоративные бизнес - приложения, которые могут быть использованы злоумышленниками для реализации шпионажа, саботажа и мошеннических действий в отношении конкурентов. На конференции были представлены неизвестные ранее методы атак на популярные ERP-системы, такие как SAP, JD Edwards, а также на СУБД Open Edge, которая является универсальной платформой для разработки кастомизированных бизнес-приложений.

Несмотря на то, что производители, такие как SAP и Oracle, регулярно выпускают обновления безопасности в своих продуктах, компании всё-равно подвержены атакам, направленным на архитектурные уязвимости и ошибки конфигурации. В докладе Александра Полякова, технического директора Digital Security и руководителя исследовательского центра DSecRG, было уделено внимание архитектурным уязвимостям перечисленных систем, и были продемонстрированы различные методы эксплуатации этих уязвимостей. Данные уязвимости в большинстве своём просто невозможно закрыть, что влечёт за собой возможность их эксплуатации в дальнейшем.

“Очень немногие администраторы SAP-систем регулярно устанавливают обновления и крайне мало специалистов, которые глубоко разбираются в технических деталях безопасной настройки ERP-систем, в лучшем случае ограничиваясь проблемами SOD. Вот почему мы видим небезопасно настроенные системы в результате наших работ по анализу защищенности”, - отметил Александр Поляков.

В его докладе приводился пример того, как в ходе аудита была обнаружена установленная ERP-система JD Edwards версии 10-и летней давности, которая имела архитектурную уязвимость, позволяющую любому пользователю получить доступ ко всем данным. Другой пример архитектурной уязвимости был обнаружен в СУБД « Open Edge database» (Progress company), которая используется во многих компаниях из Fortune TOP 100 companies. В данном приложении была обнаружена тривиальная ошибка в процессе аутентификации. Проверка хэша пароля была реализована на клиентской части, в результате чего возможна аутентификация в систему под любым пользователем, не зная пароля и даже имени пользователя. Проблема заключается в том, что данная уязвимость так и не будет исправлена производителем по причине необходимости переписывания всей архитектуры приложения.

Ещё один пример - это система SAP SRM, используемая среди всего прочего для организации системы тендеров. В результате одной архитектурной уязвимости любой поставщик может получить доступ к тендерам других поставщиков, а также загрузить троянскую программу в сеть конкурента, например, с целью промышленного шпионажа.

“Большинство из рассмотренных в докладе примеров говорит о том, что безопасность ERP-приложений находится на уровне 10-летней давности, и с текущей тенденцией вывода бизнес-приложений в Интернет для обмена данными между филиалами компаний или взаимоотношений с поставщиками все эти системы стали доступны широкому кругу лиц, стремящихся использовать бреши приложений в корыстных целях. До сих пор компании тратили миллионы долларов, устраняя SOD конфликты, и учитывая, что это неотъемлемая часть безопасности ERP, количество уязвимостей уровня приложения все же растёт в геометрической прогрессии, как и интерес к этим системам у злоумышленников”, – отметил Александр Поляков.

Контактное лицо: Каверина Дарья
Компания: Digital Security
Добавлен: 11:24, 08.02.2011 Количество просмотров: 614

Телфин маркирует бизнес-звонки компаний, Телфин, 22:40, 01.10.2025, Россия45

Телфин вводит сервис маркировки исходящих звонков для юридических лиц и индивидуальных предпринимателей. Теперь во время звонка клиент видит название компании и категорию вызова. Это не только обеспечивает соблюдение требований Федерального закона «О связи» от 01.04.2025, но и увеличивает доверие со стороны клиентов и повышает уровень дозвона.

Ежегодная онлайн-конференция BIA Technologies: эксперты поделились инновационными практиками в сфере 1С, BIA Technologies, 22:31, 01.10.2025, Россия41

Профильное мероприятие для специалистов сферы 1С – собственная ежегодная конференция BIA Technologies - БИАТЕХ#1С собрала более 900 участников. Эксперты ИТ-компании поделились инновационной практикой в 1С проектах, обсудили методы повышения эффективности работы и карьерные треки в 1С-разработке. Мероприятие прошло 18 сентября.

Hybrid Metaverse запустил первую в России платформу для рекламы в метавселенных, Hybrid, 22:24, 01.10.2025, Россия45
Компания Hybrid Metaverse, входящая в AdTech-экосистему Hybrid, представила первую в России платформу для размещения рекламы внутри метавселенных — Hybrid Metaverse Ads

«1С ПРО Консалтинг» запускает новый поток образовательного курса по методологии и автоматизации бюджетирования компаний, 1С ПРО Консалтинг, 22:23, 01.10.2025, Россия47

Компания «1С ПРО Консалтинг», которая специализируется на системно-ориентированной методологии внедрения корпоративных решений на платформе «1С», объявляет о запуске нового потока образовательного курса, посвященного разработке методологии и автоматизации бюджетирования.

Пока 6% — для всех льготников. «Выберу.ру» составил рейтинг лучших семейных ипотек в сентябре 2025 года, Финансовый маркетплейс "Выберу.ру", 22:19, 01.10.2025, Россия48
Для того, чтобы всем заёмщикам успеть взять льготный жилкредит под 6%, «Выберу.ру» подготовил рейтинг банков с наиболее выгодными семьям с детьми программами на покупку новостроек.

BNS Group управляет посещаемостью более 100 магазинов с «1C-Рарус:Система подсчета посетителей», 1С-Рарус, 22:15, 01.10.2025, Россия39

Более 100 магазинов BNS Group используют «1С-Рарус:Система подсчёта посетителей» для анализа посещаемости торговых залов и оценки конверсии продаж. Сервис от «1С-Рарус» уже 4 года помогает BNS Group выбирать успешные локации для размещения торговых точек, управлять портфелем брендов и улучшать клиентский сервис.

«Гасзнак» автоматизировал проверку контрагентов с помощью Saby Profile, ООО "Компания "Тензор", 22:00, 01.10.2025, Россия40

Кейс «Гасзнака» — пример того, как бизнес может выстроить систему заранее продуманного контроля, а не реагировать на проблемы постфактум.

Компания «Шаклин» перевела поставки медоборудования в цифровой формат с помощью Saby Docs, ООО "Компания "Тензор", 21:54, 01.10.2025, Россия62

Компания «Шаклин», один из крупнейших российских поставщиков медицинского оборудования и расходных материалов, автоматизировала документооборот с помощью платформы Saby. Цифровизация охватила ключевые направления: поставки, взаимодействие с контрагентами, отчетность перед ФНС и маркировку продукции.

«1С-Рарус:Кассир» получил сертификат «Совместимо!», 1С-Рарус, 21:16, 01.10.2025, Россия35

«1С-Рарус:Кассир» редакции 4.0 успешно прошел ресертификацию «Совместимо! Система программ 1С:Предприятие». Фирма «1С» подтвердила высокое качество и надежность отраслевого решения разработки «1С-Рарус».

VolgaBlob и TS Solution запускают совместный обучающий проект по мониторингу данных, VolgaBlob, 18:05, 01.10.2025, Россия67

На образовательном портале TS University (образовательная платформа TS Solution) станет доступно обучение анализу и мониторингу данных. Курс от компании VolgaBlob будет размещен в открытом доступе — любой желающий сможет повысить свои компетенции в области работы с данными и научиться извлекать из них пользу для бизнеса.

SIMETRA поставила платформу RITM³ в томский «Индор-Мост», Simetra, 18:05, 01.10.2025, Россия69
Проектно-изыскательная организация «Индор-Мост» из Томска внедрила российскую платформу для транспортного планирования RITM³, разработанную группой компаний SIMETRA.

Axenix запустила цикл лекций для студентов Лаборатории ИИ в ТвГТУ, Axenix, 18:05, 01.10.2025, Россия79
Компания Axenix запустила регулярные лекции для студентов, занимающихся в Лаборатории искусственного интеллекта (ИИ), созданной на базе Тверского государственного технического университета (ТвГТУ).

Генеральный директор АО «НБИ» Богдан Шатунов выступил на Kazan Digital Week 2025 с докладом о применении ИИ в энергетике, Акционерное общество «Национальное бюро информатизации», 18:03, 01.10.2025, Россия83

Генеральный директор АО «НБИ» Богдан Шатунов принял участие в форуме Kazan Digital Week 2025, выступив в секции «Кросс-индустриальное применение технологий искусственного интеллекта». В своём докладе он рассказал о практическом применении ИИ-технологий в энергетическом секторе и представил новые решения компании.

Большие данные помогут выбрать страну на основе совпадения менталитета, Greener Relocation, 18:02, 01.10.2025, Россия90
Компания Greener Relocation выпустила бот для подбора страны для переезда, с которой совпадут менталитет и ценности. Алгоритм анализирует базу из 178000+ респондентов из десятков стран мира.

«1С-Рарус» приглашает на форум «Цифровая транспортация 2025», 1С-Рарус, 18:01, 01.10.2025, Россия74

Приглашаем вас принять участие в ключевых секциях фирмы «1С», компаний «1С‑Рарус» и «Астрал Софт» в рамках форума Цифровой транспортации 2025.