Ulepszone testy narzędzi Słabe strony zabezpieczeń systemu SAP

Sapyto, narzędzie do przetestuj bezpieczeństwo systemów SAP, uaktualniono je za pomocą nowych wtyczek, które pozwalają na dokładniejsze testowanie, według twórcy narzędzia.

Wersja 0.99 Sapyto działa teraz na komputerach z systemem Microsoft Windows, gdzie poprzednia wersja działała tylko na Linuksie, powiedział Mariano Nuñez Di Croce, starszy analityk ds. Bezpieczeństwa w Cybsec Security Systems, firmie ochroniarskiej z siedzibą w Buenos Aires w Argentynie. W zeszłym tygodniu wygłosił prezentację na konferencji bezpieczeństwa Black Hat w Amsterdamie.

Najnowsza wersja Sapyto dodaje nowe wtyczki, które mogą być używane do uzyskiwania informacji od zdalnych routerów SAP, a także automatycznie wykrywać, a następnie testować zdalne systemy SAP. Programiści mogą również tworzyć własne wtyczki.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Niemiecki programista SAP tworzy systemy oprogramowania biznesowego, które zarządzają łańcuchami dostaw, kwestiami finansowymi i zadaniami zarządzania relacjami z klientami, między innymi inne rzeczy. Firma ma ponad 40 000 klientów na całym świecie, a według prezentacji Nuñeza Di Croce ponad 120 000 wdrożeń SAP.

Hakerzy i osoby mające na celu wyrządzenie szkód firmie SAP były celem ataków na systemy SAP, ponieważ oprogramowanie zawiera cenne zasoby wewnętrzne Informacja. Zdarzenia te nigdy nie zostały upublicznione, ponieważ firmy ich nie ujawniają, powiedział Nuñez Di Croce.

Ale tak się stało. Nuñez Di Croce zna przypadek sprzed dwóch lat, kiedy firma straciła 250 000 USD z powodu niewłaściwej manipulacji systemem finansowym SAP.

Niektórzy dyrektorzy finansowi wciąż nie są świadomi, jak ważne są dobre zabezpieczenia w systemach SAP, powiedział Nuñez Di Croce. Ponieważ systemy SAP są bardzo drogie i kontrolują ogromną liczbę procesów biznesowych, kierownictwo będzie naciskać na wprowadzenie systemów do produkcji bez odpowiedniego przeglądu bezpieczeństwa, powiedział.

Nuñez Di Croce wiedział o innej sprawie, w której dyrektor wykonawczy zdecydował się właśnie mieć otwarty dostęp do systemu SAP przez trzy miesiące. To niebezpieczne i jest mało prawdopodobne, że po trzech miesiącach system zostanie zamknięty, powiedział. Wiele systemów SAP jest po prostu pozostawionych w domyślnych konfiguracjach bezpieczeństwa, co także jest niebezpieczne, powiedział.

"Bezpieczeństwo jest zwykle postrzegane jako blok w drodze" - Nuñez Di Croce. "Wiele dużych systemów SAP jest niedostępnych dla dużych firm, które nie są bezpieczne."

Sapyto jest oprogramowaniem typu open source i jest bezpłatne. Można go pobrać z witryny internetowej Cybsec. Wersja 0.98 znajduje się teraz na stronie internetowej, a nowa wersja powinna zostać wkrótce opublikowana. Sapyto była pierwszą siecią testową do penetracji zbudowaną dla oprogramowania SAP.