Хакер #305. Многошаговые SQL-инъекции
В этом году впервые на ZeroNighs будет представлена отдельная секция, посвященная безопасности бизнес-приложений. Это событие приурочено к обновлению проекта EAS-SEC (Enterprise Application Systems Security), который получит теперь новую жизнь. До недавнего времени он был частью консорциума OWASP и назывался OWASP-EAS. Поскольку безопасность бизнес-приложений уже вышла за рамки WEB, было решено выделить это направление в самостоятельный проект.
Итак, во время работы секции будут представлены короткие доклады, посвященные уязвимостям и интересным архитектурным ошибкам в различных бизнес-приложениях. Помимо традиционных ERP-систем, будут взломаны кадровые системы (HR), приложения бизнес-аналитики (BI), аккаунтинг, банковское ПО, системы разработки и многие другие приложения от ключевых производителей бизнес-систем, включая SAP, Oracle, Microsoft, 1C и т.д. Только на этой секции будет уникальная возможность услышать доклады, представленные на культовой конференции BlackHat.
Здесь же будут представлены результаты проекта EAS-SEC в области защиты от перечисленных проблем по двум направлениям: руководства по анализу защищенности критичных систем на этапе эксплуатации и руководства по безопасной разработке критичных систем с учетом специфики бизнес-приложений. Также будет представлен список из ключевых недостатков разработки бизнес-приложений, аналогичный OWASP Top 10, который распространяется только на WEB-приложения.
Мы не сомневаемся, что это уникальное мероприятие будет интересно как исследователям и хакерам, так и специалистам, ответственным за защиту информационных систем, включая руководителей отделов безопасности, администраторов и программистов. Мы не только покажем реальные примеры интересных атак, но и представим детальные руководства по защите.
Ведущий секции – Александр Поляков.
Доклады секции:
Алексей Тюрин «Accounting hacking - arch bugs in MS Dynamics GP»
Dynamics GP – крупное и мощное программное accounting/ERP-решение от компании Microsoft, которое широко распространено в Серверной Америке. В докладе будет рассказано про то, как оно было проанализировано в рамках проекта EAS-SEC, а так же о том, какие результаты были достигнуты. Будут показаны примеры того, как на основе имеющихся архитектурных решений Dynamics GP можно атаковать систему; как можно поднять свои привилегии от минимальных до максимальных и как захватить полный контроль над системой.
Евгений Неелов «Dev system hacking - arch bugs in SAP SDM»
Зачем взламывать сами критичные системы, если можно атаковать серверы развёртывания приложений, откуда исходный код растекается по всем системам? В ERP SAP эту задачу включает NetWeaver Development Infrastructure, состоящая из подсистем SDM, DTR, CBS, CMS.
Не идеальная ли это цель для атаки? Кого заботит безопасность сервера развёртывания приложений при десятках серверов и тысячах клиентских машин? Вот почему в таких решениях есть архитектурные уязвимости, позволяющие анонимно внедрить свой код в приложения на продакшн-серверах. В результате, вредоносный код атакующего растекается по любым выбранным системам, предоставляя возможность контролировать каждую из них.
Алексей Тюрин «HR Hacking - bugs in PeopleSoft»
В данном докладе раскрываются подробности анализа одного из топовых решений HRMS от компании Oracle – PeopleSoft, имеющей тысячи и тысячи внедрений по всему миру в рамках проекта EAS-SEC. На примере данного продукта и выявленных в нём уязвимостей будет показана важность комплексного подхода к безопасности. Будет продемонстрировано, как на основе смешения уязвимостей средней и низкой критичности каких-то полгода назад можно было захватить контроль почти над любой системой на базе PeopleSoft. Будет показан путь восхождения от анонимного пользователя до администратора системы.
Глеб Чербов «DBO Hacking - arch bugs in BSS»
Время банковской магии. Будут представлены особенности архитектуры банковских систем на примере ряда уязвимостей в ДБО-решениях от ведущего отечественного вендора.
Увлекательные подробности бесполезного применения стойкой криптографии и нюансы реализации аутентификации. Таинственные исчезновения и преумножения клиентских капиталов прилагаются.
Дмитрий Частухин «Business Intelligence hacking – Breaking ICCube»
Вариант 1
Бизнес- аналитика - жизненно необходимый процесс любой крупной компании, который базируется на большом количестве данных, собранных, как правило, за длительный промежуток времени. Результаты данной аналитики, позволяют принимать разного рода управленческие решения менеджерам компании, от которых напрямую зависит ее дальнейшая судьба. Стоит ли беспокоиться о безопасности этих данных? Несомненно, да. Безопасны ли технологии, которые используются для построения систем бизнес-аналитики?
В данном докладе будут рассмотрены уязвимости популярного OLAP-сервера icCube и как атакующий используя язык запросов MDX может скомпрометировать ОС OLAP-сервера и все бизнес данные.
Вариант 2
Пацаны! Пацаныыы!! Я узнал новую аббревиатуру! MDX. Слышали о такой? Нет? А OLAP? Вот и я не слышал. Так может надо похакать эту непонятную штуковину? Ведь люди любят доклады связанные со взломом непонятных им аббревиатур. Так ведь и на конференцию можно будет какую-нибудь съездить типа BlackHat или на ZeroNights выступить (хотя бы на фаст треке). Расскажу что-нибудь про OLAP и MDX и покажу парочку багов на примере icCube, а меня за это покормят на конфе. Ну круто же, да?
Александр Поляков «EAS-SEC – руководство по безопасному внедрению бизнес-приложений»
В докладе будет представлен результат проекта EAS-SEC. Проект имеет два направления: руководства по анализу защищённости критичных систем на этапе эксплуатации и руководства по безопасной разработке критичных систем с учетом специфики бизнес-приложений. Данный доклад затронет область анализа бизнес-приложений на этапе внедрения и эксплуатации. Как следствие, будет представлен список из ключевых проблем безопасности бизнес-приложений на всех уровнях: от сетевого до конкретных проблем приложений. Будет также представлено руководство по безопасности для платформы SAP в качестве первого шага данного проекта.
Александр Миноженко «EAS-SEC – руководство по безопасной разработке бизнес приложений»
Доклад о последних результатах работы проекта EAS-SEC (Enterprise Application Systems Security). Проект, бывший в течении 3-х лет частью консорциума OWASP и называвшийся OWASP-EAS, теперь получил новую жизнь, и избавился от рамок исключительно WEB. В данном докладе будет представлено руководство по безопасной разработке и список из девяти ключевых недостатков, встречаемых при разработке бизнес-приложений, от инъекций кода до скрытых каналов утечки данных. Самое главное, увидите примеры реальных уязвимостей, обнаруженных в ходе использования ручного анализа и автоматизированных средств применимо к SAP-системам, и, конечно, способы их устранения.