Безопасность SAP: конференция DEEPSEC 2010

Специалисты исследовательского центра компании Digital Security (DSecRG) выступили на конференции DEEPSEC 2010, которая прошла 25-26 ноября в Вене.

Александр Поляков, руководитель исследовательского центра DSecRG, представил обновленную версию доклада "Attacking SAP Users Using sapsploit extended 1.1".

Доклад был посвящен различным методикам получения неавторизированного доступа к компонентам SAP-систем через уязвимости и ошибки конфигурации SAP Frontend. Также на конференции был продемонстрирован сценарий возможности создания червя, аналогичного Stuxnet, предназначенного не для автоматизированных систем, а бизнес-приложений, например, SAP.

В завершение доклада была приведена краткая статистика тестовой работы нового онлайн-сервиса ERPSCAN Online, разработанного специалистами DSecRG, который призван оценивать защищенность клиентского ПО SAP Frontend и повышать осведомленность пользователей в вопросах ИБ, финальный релиз которого планируется в ближайшее время.

В результате работы сервиса была собрана информация о версиях программного обеспечения SAP Frontend, используемых пользователями. Только 30% рабочих станций имели необходимые обновления безопасности.