Безопасность как искусство
166,87
рейтинг
5 июня 2013 в 08:13

Разработка → Как я учил Африканцев из ЮАР защищать SAP

Открываем рубрику Infosectravel, — будем писать заметки о поездках на конференции и выставки по ИБ по всему миру таких как Кувейт, Африка, Австралия и т.д. Хотя и европейские и американские ивенты такие как BlackHat и Confidence и прочие тоже без внимания не оставим.

Приветствуем пожелания и замечания. Формат совсем новый, хотя пара попыток уже была (Кувейт, BlackHat, Confidence) и сами не знаем пока, что получится в итоге.

Случилось так, что на майские праздники я поехал отнюдь не отдыхать в Турцию, а работать в Африку :)
В двух словах, с 7 по 9 мая в Йоханнесбурге — столице ЮАР — проходила международная выставка-конференция по безопасности ITWEB. В этом году мы решили принять в ней активное участие, выступить с докладом да и пообщаться с клиентами, которых не часто увидишь воочию. Поездка казалась тем более заманчивой, что мои коллеги по причине повышенной криминальной обстановки региона ехать отказались.

Первые впечатления

Первое, что я увидел, заселившись в гостиницу, было ЭТО. Простите за качество фотографии — использовал для съемки то, что было под рукой.
image

Отлично, новый маклерен. А я слышал, в Африке дети голодают… Потом были мазератти и бентли, но это было уже не так эпично.

Первое впечатление от ЮАР — с виду ничем не отличается от Америки, те же шопинг-молы, такие же здания и дороги, примерно столько же афро-африканцев. Но мне все же предстояло два дня не слоняться по улицам, а защищать на выставке стенд от нашествия зомби-мутантов рассказывать о преимуществах нашего продукта.

ITWEB — довольно крупный ивент. Конечно, это не RSA или BlackHat и даже не Infosecurity, но своих 50 экспонентов на ней наберётся. По этому показателю выставка значительно крупнее средних европейских аналогов. Хотя если учесть, что конференция рассчитана в большей степени на бизнес, понятно, откуда столько стендов. Примерно половина экспонентов — известные международные бренды (RSA, Splunk, IBM, Kaspersky) а другая местные компании — консультанты и реселлеры. Кстати, был приятно удивлен, что компания Sensepost, известная своими техническими рисёрчами, имеет штаб-квартиру в ЮАР и успешно развивает второй офис в Англии.
К сожалению, по программе ничего внятного сказать не могу, так как ни на одном выступлении, кроме своего собственного, не присутствовал, да и ничего сверхъестественного не ожидалось, ну разве что The Grugq, который, кстати, родом из ЮАР.

День два
На второй день выставки я был приятно удивлён новостью о том, что наша компания и я, в частности, удостоились наград Hot Companies And Best Products Award, которые в это время вручались в Лас-Вегасе.

image

Мне достался золотой приз в номинации R&D профессионал года, а наш продукт получил бронзу в категориях “Information Security and Risk Management” и “Security Software", — неплохо, особенно учитывая, что конкурентами были Net Optics, Cenzic, RedSeal, Norman, Application Security Inc и даже SAP с платформой Afaria.
Дабы отпраздновать данное событие, я угощал посетителей выставки Белугой. Народ сперва слегка удивился, но потом охотно присоединился к празднику.
image
В целом выставка особо не впечатлила: как и везде, среди представленных решений преобладали SIEM и различные магические «prevention from cyber attacks and APT». Приятно поэтому было услышать от одного посетителя такой отзыв про нас: «ну вот, хоть что-то интересное, а то везде cyber-что-то-там,- одно и тоже".

Доклад

Настало время рассказать про доклад. В этот раз он был не очень техническим, так как публика была соответствующая. Да и область, которую мы исследуем в последнее время — расследование инцидентов и анализ атак в SAP — в общем-то, совсем не про уязвимости, а как раз наоборот: о том, как обнаруживать следы использования этих уязвимостей, применяя различные файлы логов, трассировки и прочие специфические вещи. Расскажу про доклад в общем.
Так как тема безопасности SAP пока для региона новая, половину выступления пришлось посвятить общим вещам, правда, с учетом южноафриканской специфики. К примеру, были представлены отдельные цифры по результатам сканирования Интернета на наличие открытых SAP-портов в этом году. В ЮАР, как оказалось, довольно много угроз ИБ, связанных с роутерами: порядка 20% этих устройств уязвимо к разглашению информации, а 5% — к обходу аутентификации. Что касается других сервисов, то, в среднем, ситуация выглядит хуже общемировой статистики примерно в 2-3 раза (речь идет о предлагаемых через Интернет небезопасных сервисах).

Собственно, основным тезисом доклада был такой: «от всего не защитишься, однако необходимо анализировать системные события с тем, чтобы оперативно обнаруживать атаки и по возможности быстро реагировать на них».
Почему это важно для SAP-систем? Во-первых, тезис применим к любым системам. Во-вторых, где-то полгода назад прошумела новость о том, как Анонимусы взломали греческое Министерство финансов через 0-day уязвимость в SAP и опубликовали секретную информацию в Интернете. Несмотря на то, что официальных подтверждений факта взлома ни от организации, ни от SAP не получено, могу смело утверждать, что такой сценарий более чем вероятен. И, наконец, в третьих, как много компаний реально могут утверждать, что не подвергались атакам из SAP-системы?
С одной стороны, даже если событие имело место, вряд ли оно будет предано огласке. С другой, результаты наших аудитов демонстрируют, что очень маленький процент компаний имеет возможность обнаружить факт атаки. Даже такую простую вещь, как ведение логов мало кто включает. Мы провели небольшое исследование, и вот результаты: порядка 70% компаний имеет настроенный HTTP-лог для SAP, и то только потому, что он настроен по умолчанию. Что же касается других журналов, то там все намного печальнее. Процентное соотношение различных логов, соответственно: Security audit log in ABAP — 10%, Table access logging — 4%, Message Server log — 2%, SAP Gateway access log — 2%.
Глядя на эти цифры, понимаешь, что вряд ли все могут получить ясную картину о возможных попытках взлома. Что еще более важно, это то, что даже при наличии настроенного логирования лишь малый процент централизованно собирает информацию в недоступном для модификации месте, а также обрабатывает события и имеет возможность проводить корреляцию.

Атаки на SAP Portal и J2EE приложения

Теперь относительно частных случаев. Мы рассматривали в данном докладе детально только атаки на SAP Portal, поскольку это приложение критично по причине своей доступности из Интернет и имеет соединения с другими системами. По сути, оно является первым звеном в цепочке возможной атаки на внутренние SAP-ресурсы.
В целом, атаки сводятся к двум типам по способу обнаружения. Первый — простые атакаи, которые можно отследить в стандартном логе HTTP-запросов, где хранятся заголовки. Второй — более продвинутые атаки, которые содержатся в POST-запросах и не попадают в стандартный лог.

Для анализа атак второго типа самый простой вариант — настроить расширенное логирование всех запросов. Однако, в таком случае будет писаться огромное количество лишней информации, включая поля Cookie и Jsessionid и пароли, передаваемые в формах. Кроме того, это небезопасно. Естественно, существуют настройки, позволяющие не сохранять данные поля, о чем детальнее можно посмотреть в докладе, но все равно данное решение — не лучший вариант, если нет соответствующих дополнительных средств, позволяющих анализировать весь этот поток POST запросов.

Но если не анализировать POST-запрос, то что же тогда? Было показано несколько альтернативных методов, которые также сложно назвать идеальными. К примеру, можно использовать анализ косвенных событий.
В SAP Portal И WebDynpro-приложениях все данные передаются в огромной «простыне» POST—запросов, достигающей сотни параметров, а в логах любое действие выглядит как обращение к одному и тому же сервису со ссылкой на его URL. То есть в общем случае понять, что происходило, не представляется возможным без анализа POST-запросов.
На ум приходят различные ухищрения, например такое. В интерфейсе портала есть различные иконки, которые часто встречаются рядом с критичными действиями, включая изменение уровня протоколирования событий или отключение логов, или загрузку файлов на сервер. И то, и другое может быть использовано злоумышленником для таких атак, как загрузка HTML-файла со скриптом угона COOKIE в общую директорию или попытка отключения ведения логов. Подобные действия создают запрос на веб-сервер для подгрузки соответствующей иконки, что четко отображается в лог-файлах и даёт возможность косвенно обнаружить факт атаки.
Характерно, что обычные пользователи при выполнении таких действий картинки не подгружают, так как они уже загружены в кэш браузера (за исключением первого раза), благодаря чему мы увидим только нелегитимные обращения, что позволит нам говорить о возможном факте атаки.

Естественно, есть куча нюансов и ложных срабатываний, а также способов обойти такой механизм, но, во-первых, не зная, что он есть, вы вряд ли бы догадались его обойти, а, во-вторых, при грамотном комбинировании с другими деталями, можно настроить вполне неплохую систему, альтернативную полному логированию или комбинировать запись полных логов только при наличии таких событий, чтобы не хранить все данные.
В общем, поскольку тема довольно новая, применительно к SAP вариантов куча, и я изложил только базовые вещи, ну а о других, возможно, расскажут мои коллеги во время презентации на Confidence.

P.S.
После конференции я решил немного отдохнуть, посетив прекрасный пляж J-Bay — один из лучших в мире сёрфинг-спотов, с идеально долгими волнами, где можно посёрфить вместе с дельфинами, пока их не съели альбатросы. Снимать меня было некому, такчто только пустой пляж с небольшими волнами, так как в нормальное время было не до съемок.
image

image
На побережье атмосфера очень дружелюбная и расслабленная, а еда очень вкусная и дешёвая, так что я не понимаю, зачем ездить в Египет и подобные места, когда в мире столько прекрасного.
Естественно, в ЮАР есть криминал. К примеру, центр Йоханнесбурга в принципе не рекомендуется к посещению, так как там отсутствует полиция, людей попросту убивают без всяких вопросов. В лучшем случае, останешься без одежды с ножевым ранением и будешь всю жизнь рассказывать, каких добрых грабителей тебе довелось встретить.
Всем спасибо, доклады с конференции можно скачать тут, ждите следующий пост из Австралии.
Автор: @AlexandrPolyakov
Digital Security
рейтинг 166,87
Безопасность как искусство

Комментарии (61)

  • +36
    Дельфинчика жалко ;(
    • +14
      Вот и я прочитал весь пост, а в голове только дельфин.
    • 0
      под фото дельфинчика автор пишет
      атмосфера очень дружелюбная и расслабленная, а еда очень вкусная и дешёвая
  • –16
    А что особенного в машине на фотографии? Она сама ездит?
    • +11
      за такую цену могла бы и сама)
      • –17
        Если она сама не ездит, то что в ней интересного? Вон весь город набит миллионами таких же.

        Вот если бы с полным автопилотом…
        • +19
          А где у нас город, в котором миллион маклеренов?
          • –5
            Автомобилей с двигателем внутреннего сгорания с ручным управлением? Или важной является торговая марка? Извините, в марках не очень разбираюсь. Машина и машина.
        • +4
          Это своеобразное произведение искусства
          en.wikipedia.org/wiki/McLaren_MP4-12C
          spider.mclaren.com/
    • +2
      Это — макларен. Вот в чем особенность. Кажется разгон до 100км/ч за 3.1 секунды. Только кенегсиг быстрее.
      • –3
        Nissan GTR в полном тюнинге, 1300 л/с, менее 2.5 до 100 км/ч
        • +1
          McLaren F1 — серийная модель спортивного автомобиля британской фирмы McLaren, суперкар. С 1993 по 2005 годы считался самым быстрым в мире. Всего было выпущено 106 машин.

          Отсек двигателя вместе с крышкой покрыты чистым золотом для теплоизоляции, потому что золото — один из лучших отражателей инфракрасного излучения.

          Для автомобиля пришлось изготавливать оригинальную коробку передач, потому что все существующие не выдерживали подобные нагрузки. Но даже с ней у мотора еще остается потенциал, который нельзя реализовать без разрушения КПП.

          В одной из серий популярной передачи про автомобили Top Gear, McLaren F1 соревнуется с Bugatti Veyron в драг-рейсинге. В передаче показано, что Bugatti оказался быстрее, но как потом признались создатели передачи, Bugatti смог обогнать McLaren F1 лишь с десятой попытки!
          • 0
            Поддержу Nissan GT-R! Особенно с тюнинг-комплектом Switzer P800.

            Bugatti vs Nissan GT-R 35:
            www.youtube.com/watch?v=s8O5ncJWWao

            Nissan GT-R Switzer P800 vs Suzuki Hayabusa (0-300 Kmh):
            www.youtube.com/watch?v=LTm8alJ4bFM

            Так что не надо там про раскрученный McLaren, Ferararri и прочий дорогой «хлам» ;)
            • 0
              Вам об искусстве, о истории, о шедевре, а вы нам о прокаченном «тазе» ;)
            • 0
              Поручик, вы отстали от жизни, киты Alpha для них дают где-то 1200 л.с. Другой вопрос, что даже после установки Свитцера это уже не эвридей ведро, а корч.
              Автору топика: чем беднее страна, тем проще встретить вот такое.
      • –2
        В mythbusters показывали и более быстрый разгон автомобиля, с использованием двухступенчатого двигателя из твердотопливных ракет.

        А в чём смысл такого двигателя в реальных условиях?
        • 0
          В чем захочешь. Как вариант: это круто и дорого.
        • 0
          Да, но это серийная (мелкосерийная) машина «гражданского» назначения. На твердотопливном движке ехать можно пусть и с ветерком, но недолго.

          Машина поражает в первую очередь ценой, она стоит как внешний долг небольшой страны :)
    • +1
      Если б не ваши посты про датацентр, ей-богу, подумал бы, что этот комментарий принадлежит 16-летнему подростку, натужно желающему казаться «не таким как все».
      Особенного в этой машине то, что она стоит очень больших денег и автор вполне резонно удивляется тому факту, что он обнаружил её не на стоянке у Госдумы или в Калифорнии, а в Африке. Один из распространенных стереотипов — там тотальная и непостижимая беднота населения.
      Ну, примерно как увидеть комбайнера в деревне Кукуево, работающего в костюме от Бриони.
      Но вы, я думаю, и так все сами поняли, только зачем-то пытаетесь доказать обратное.
      • 0
        Натужно пытаюсь казаться не как все и не понимаю что такого в комбайнере в костюме от Бриони (кто бы это ни был, подозреваю, что имеется в виду «дорогой»). Если человеку нравится — что в этом странного? Ну купил и купил.
        • 0
          Ну окей, допустим вам не нравиться конкретно эта модель. Но вы можете себе позволить купить из того же ценового диапазона любую другую? Если можете — вам нас никогда не понять, если нет — извольте восхищаться с нами ;)
          • +1
            Я должен восхищаться каждой вещью, которую я не могу купить? Давайте начнём с 30-тонного мусоровоза. И движок покруче, и ценник тоже немалый, а уж сколько там лошадей…
      • 0
        Как мне кажется, наличие таких машин никаким образом не опровергает тотальную бедность, даже наоборот — меня вот удивляет удивление автора.
    • 0
      особенность макларена в африке в том, что сиденья обшиты кожей голодающих детей
  • 0
    Дельфинчика жалко, Макларен классный, за гранницей хорошо!
    • –9
      А писать с ошибками — плохо! :)
  • +45
    Извиняюсь за офтоп, но тут прям пост для MDK получился.)
    П.С.: и да, я прочитал, что это альбатросы сделали.

    • +2
      Простите, альбатросы так аккуратно клювами работают? Мне кажется это ножичком порезано.
      • 0
        Я не знаю. Спросите у автора. Но над фотографией написано, что это сделали именно альбатросы. Кто его знает какие они альбатросы в ЮАР?
        UPD: habrahabr.ru/company/dsec/blog/182180/#comment_6328894
  • 0
    Увидев дельфина забыл про пост… За что? и кто его так?
    • +1
      Альбатросы. Они тоже есть хотят, этож Африка) посмотрите Battle of Kruger
      • +1
        Да ладно, какие альбатросы? Так аккуратно и чисто отрезать с одного бока?
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Ну, во первых, они часто выпригивают из воды, во вторых этот совсем маленький, наверно метр от силы длинной, а альбатросы хоть и птицы но давольно внушительные. Как он попал на берег гадать не буду, может о рифы волной ударило.
          • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Когда и где будете в Австралии?
    • 0
      Только вчера оттуда улеел :( сейчас в Сингапуре.
      • +3
        Жаль, мы бы вас угостили шотами русского стандарта. Надеюсь в отчете не будет фото мертвыз коал и валлаби =)
        • 0
          Только Таз :)
        • 0
          Я как-то на easter long weekend поехал в Канберру. Сбитые воллаби через каждые 5 километров, не шучу. Ошметки, многометровые кровавые разводы на дороге — хорошо, что хоть детишки спали.

          После третьего десятка я перестал считать — видно соответствующие службы, в связи с выходным, трассу пару дней не чистили.

          Фото не делал, ну его нафиг.
  • 0
    Если центр города не рекомендуется к посещению, где же там тогда ходить?
    • +3
      Прям параллельная вселенная какая-то. В центре — убивают и грабят, на окраинах — смотрят достопримечательности.
      • +8
        Так это же южное полушарие, там все наоборот, бедняки на макларен ездят, в центре города нет полиции, и люди кверх ногами ходят
    • 0
      Там есть районы для богатых/белых такие как Sandton. Там в основном все живут, там есть виллы огороженные огромными заборами и через каждые 500 метров висит реклама какого-нибудь security-агенства.
    • +1
      Мы спокойно ходили по центру Йоханнесбурга, Кейптауна и Найроби. В том числе ночью. Но нас была толпа русских 7 человек :)
      • 0
        пока вы ходили, бандиты собирали силы, чтобы эффективно отразить вторжение «банды конкурентов». просто не успели)
      • 0
        Оукей, проверю в следущий раз )
  • 0
    Очень жду пост из Австралии!
  • +1
    Yesterday we WON!
    Join this both to celebrate...
    Простите, join ЧТО? Забавно, сколько же там всего могло быть опечаток, если на единственную фотографию и то одна пробралась?
    • 0
      booth, видимо.

      зы. ниже водку критикуют, а я считаю — отличный ход.
      • +1
        скорей всего booth, да. мой второй вариант был BoF.
        Идея с водкой мне тоже понравилась, почему бы не обыграть стереотип?
  • 0
    Отличная статья, но дельфин — это что-то. Он просто не выходит из головы. Уже 30 минут как. И с этим ничего не поделаешь. Спасибо, но читать комментарии не могу, тк в голове только дельфин.
    • 0
      Почитайте об охоте на дельфинов загоном и это покажется ерундой. Хотя, если вы так сопереживаете животным, то может и не стоит.
  • 0
    Оффтоп:

    Опять Водка.
    Вот так русских и ассоциируют «Медвед и Водка»

    За статью респект.

    P.S. Дельфина жалко, надеюсь не его готоволи
    • 0
      вот, например, у французов на стенде будет шампанское или коньяк, у немцев — пиво или какой-нибудь гевюрцтраминер, у шотландцев — виски, у американцев — бурбон, а у нас — водка. всё логично.
      • +1
        Мне на самом деле постоянно взрывают голову когда я заказываю Текилу из серии «Почему не водка». А последнее время когда отказываюсь пить в принципе начинают свои басни про Русских, уже подустал порядком )
        • 0
          А последнее время когда отказываюсь пить в принципе начинают свои басни про Русских, уже подустал порядком

          Welcome bro, стериотипы...)
  • 0
    Сэндтон нормальное место, главное в район напротив не заглядывать :)
  • 0
    так что я не понимаю, зачем ездить в Египет и подобные места, когда в мире столько прекрасного.

    Сори за оффтоп, но наверное по-тому что Египет и подобные стоят намного дешевле чем ЮАР (в частности если отталкиваться от стоимости перелета).

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка