Безопасность бизнес-приложений - впервые на ZeroNights

Безопасность бизнес-приложений - впервые на ZeroNights

В рамках секции были представлены короткие доклады, посвященные уязвимостям и интересным архитектурным ошибкам в различных бизнес-приложениях. Помимо традиционных ERP-систем, были взломаны кадровые системы (HR), приложения бизнес-аналитики (BI), аккаунтинг, банковское ПО, системы разработки и многие другие приложения от ключевых производителей бизнес-систем, включая SAP, Oracle, Microsoft, 1Cи т.д.

Только здесь посетители имели уникальную возможность услышать доклады, представленные на культовой конференции BlackHat. Эксперты не только показали реальные примеры интересных атак, но и представили детальные руководства по защите. Ведущим секции был Александр Поляков, технический директор DigitalSecurity.

Алексей Тюрин, директор департамента аудита защищенности DigitalSecurity, представил доклад на тему "Accountinghacking - archbugsinMSDynamicsGP". Dynamics GP – крупное и мощное программное

accounting/ERP-решение от компании Microsoft, которое широко распространено в Серверной Америке. Алексей Тюрин рассказал об исследованиях в области защищенности этой системы. Также он показал, как на основе имеющихся архитектурных решений Dynamics GP можно атаковать

систему; как можно поднять свои привилегии от минимальных до максимальных и как захватить полный контроль над системой.

Также Алексей Тюрин выступил с темой "HRHacking - bugsinPeopleSoft", показав, как можно захватить контроль почти над любой системой на базе одного из топовых решений HRMS от PeopleSoft, используя сочетание

уязвимостей средней и низкой степени критичности. Был показан путь восхождения от анонимного пользователя до администратора системы.

Из доклада Евгения Неелова, исследователя безопасности в

DigitalSecurity, который назывался "Devsystemhacking - archbugsinSAPSDM" слушатели узнали, почему серверы развертывания приложений могут считаться идеальной целью для атак злоумышленников. Он рассказал о

наличии архитектурных уязвимостей в NetWeaver Development Infrastructure, состоящей из подсистем SDM, DTR, CBS, CMS. После внедрения вредоносного кода в приложения на продакшн-серверах, он "растекается" по любым выбранным системам, предоставляя возможность

контролировать каждую из них.

Дмитрий Частухин, директор отдела аудита SAPDigitalSecurity, представил доклад на тему: "BusinessIntelligencehacking – BreakingICCube". В данном

докладе были рассмотрены уязвимости популярного OLAP-сервера icCube и то, как атакующий используя язык запросов MDX может скомпрометировать ОС

OLAP-сервера и все бизнес данные.

В свою очередь, презентация Глеба Чербова, исследователя безопасности DigitalSecurity, называлась "DBOHacking - archbugsinBSS". Он описал особенности архитектуры банковских систем на примере ряда уязвимостей в ДБО-решениях от ведущего отечественного вендора. Особенно увлекательными оказались подробности бесполезного применения стойкой криптографии и

нюансы реализации аутентификации.

Александр Поляков в своем выступлении "EAS-SEC – руководство по безопасному внедрению бизнес-приложений" озвучил результаты проекта EAS-SEC в области защиты от основных проблем по двум направлениям: руководства по анализу защищенности критичных систем на этапе эксплуатации и руководства по безопасной разработке критичных систем с учетом специфики бизнес-приложений. Также был представлен список из ключевых недостатков разработки бизнес-приложений, аналогичный OWASP Top 10, который распространяется только на WEB-приложения. Также было представлено руководство по безопасности для платформы SAP в качестве первого шага данного проекта.

Работа секции вызвало настоящий ажиотаж и показалась интересной не только исследователям и хакерам, но и специалистам, ответственным за защиту информационных систем, включая руководителей отделов безопасности, администраторов и программистов.

ITSec.ru по материалам компании Digital Security