SAP Live Hack Vortrag

 

 

Halten Sie es für möglich, das man in 2 Stunden ein komplettes SAP-System kompromittieren kann? Wir halten es in 90% aller Fälle für möglich.

Live Hack ist mittlerweile in vielen Unternehmen präsent. Es ist nicht nur unterhaltsam, sondern soll vor allem alle Teilnehmer sensibilisieren im Umgang mit Technologie und Sicherheit. Angriffe werden heute hauptsächlich nichtmehr auf die Infrastruktur gemacht, sondern gegen Menschen. WiFI Hacks, Passwort-Klau und email-Spearfisihing sind nur einige der Methoden dazu.

Das SAP Umfeld bei einem Live Hack

In den vergangenen Jahren war die Sichtweise auf SAP Security eine Insel-Sicht: Ähnlich wie in der US-Fernsehserie „Lost" war die allgemeine Risiko-Einschätzung, das SAP-Systeme innerhalb eines Unternehmens hinreichend isoliert und nicht wahrnehmbar waren, um für Angreifer interessant zu sein. „Bis so ein Hacker-Kid einmal SAP kann, ist er selber ABAP-Prgrammierer geworden“ war die Meinung der meisten IT-Verantwortlichen. Und es war ja auch eine gewisse Wahrheit daran.

Im ersten Teil des Live-Hacks wollen wir zeigen, das dem nicht so ist. Wir zeigen, was das "World Wide Web" so alles für technische und menschliche Informationen liefert. Alleine der Detailierungsgrad eines einzelnen, oberflächlichen Scans von Google&Co zeigen oft erstaunliche Resultate. Danach wird kaum einer noch mit Sicherheit behaupten, das er nicht schon einmal Ziel eines Hacks war.

Wifi Hacks

WiFi und Handy haben nichts mit SAP Sicherheit zu tun? Es ist erstaunlich,was man mit WiFi Hacks für Informationen von Geschäftsreisenden bekommen kann. Und gepaart mit einem USB-Angriff auf die Laptops kann man die Geräte von Beratern, Admins und Geschäftspartnern dann fernsteuern.

USB hack

Was kann man mit einem USB-Port alles anstellen? Nach diesem Attacken werden oft die Flachbildschirme in Konferenzräumen und die USP-Ports am Laptop ausgeschaltet. Hier ist inzwischen eine hohe ANzahl von Angriffsmethoden möglich.

SAP Hacks

Von RFC über die Manipulation von ABAPS in Tabellen und Transporten bis zum Diebstahl der Passwörter aus der Datenbank reichen die einfachen Hacks von SAP. Weitergehende Angriffe bis hin zu Cross Site Scripting auf Portal-und Java Servern werden gezeigt. Hier ist dann der Kern, der Angriff auf die "Kronjuwelen"

Die ernste Seite der Live Hacks

Der SAP-Bereich ist vielleicht der kritischste im Bereich Live Hack und Penetration Test. Hier laufen in der Regel alle Unternehmensprozesse bzw. alle kritischen Unternehmensprozesse. SAP Sicherheitsexperten müssen ein in vielen Jahren praktischer SAP-Arbeit erworbenes Wissen SAP-Umgebungen vorhanden sein. Im kritischen Betriebsumfeld eines professionell geführten SAP-Systems haben Web-Entwickler, Internet-Quereinsteiger und Neulinge keinen Erfolg. Denn alles, was in diesem Bereich stattfindet, ist zu kritisch und muss sich nahtlos in einen komplexen SAP-Betrieb einfügen, ohne ihn zu zerstören. Es ist wichtig, eine Vertrauensbasis mit allen Beteiligten aufzubauen. Ein Live Hacker oder ein Pen-Tester sind keine Helden, die alles durchbrechen und sich dann feiern lassen. Sie sollen dem Kunden die Sicherheitslücken aufzeigen, die unternehmenskritisch sind.

Die andere Seite der Live Hacks

Und trotzdem: Technologie hat nicht nur eine ernsthafte Dimension. Auch Sicherheit hat immer eine lebendige Komponente. Den Spaß sollte man am Ende immer haben.

Interessiert an einem Termin?

Security
for a smarter planet

Live Hack bei Ihnen vor Ort

„Sie müssen sich den Cyberspace als die neue Welt vorstellen. Denken sie nicht in Bandbreite oder Kostenstelle – das Militär sieht es als physischen Raum.”

„Wenn Sie nur irgend etwas von Wert haben, wurde bei Ihnen bereits eingedrungen“

Michael Hayden, US-General, ex-Direktor der NSA

Sie wollen diese Aussage überprüfen, die General Hayden auf einer SAP-Veranstaltuzng zu Kunden sagte? Wir halten gerne bei Ihnen einen kostenfreien Workshop ab

mehr info

Unsere Partner für Penetration Test Software

Penetration Testing benötigt Werkzeuge, die immer aktuell sind. Manchmal sogar tagesaktuell. In der deutschen Werth IT haben wir einen Partner gefunden, der, wie wir, auf nationaler und internationaler Ebene aktiv ist und als Partner uns bei großen Kunden immer unterstützt. Intensive Arbeit im Sicherheitsbereich bedeutet auch, vertrauenswürdig und in jeder Situation professionell zu sein. Das schätzen wir an unserem Partner, gerade über Landesgrenzen hinweg.

SAP unterstützt uns bei der ABAP Code Analyse mit dem Werkzeug "Code Vulnerabilty Analyse" und dem "Code Inspector"

Und nicht zu vergessen die KALI-Distribution von "Offensive Security"