SAP HACKING - 4process.de · SAP HACKING –SO SICHER IST IHR SAP SYSTEM Dateien reginfo/secinfo...

10
© 4process AG 2017 Seite 1 © 4process AG 2015 WEITBLICK.LEIDENSCHAFT.WENDIGKEIT. VORSPRUNG. 4process Hausmesse 2017 Klaus Omasmeier SAP HACKING SO SICHER IST IHR SAP SYSTEM

Transcript of SAP HACKING - 4process.de · SAP HACKING –SO SICHER IST IHR SAP SYSTEM Dateien reginfo/secinfo...

Page 1: SAP HACKING - 4process.de · SAP HACKING –SO SICHER IST IHR SAP SYSTEM Dateien reginfo/secinfo pflegen SAP-Systeme aktuell halten Security Patch Day jeden 2. Dienstag im Monat internen

© 4process AG 2017Seite 1 © 4process AG 2015

W E I T B L I C K . L E I D E N S C H A F T . W E N D I G K E I T .

V O R S P R U N G .

4process Hausmesse 2017Klaus Omasmeier

SAP HACKING

SO SICHER IST IHR SAP SYSTEM

Page 2: SAP HACKING - 4process.de · SAP HACKING –SO SICHER IST IHR SAP SYSTEM Dateien reginfo/secinfo pflegen SAP-Systeme aktuell halten Security Patch Day jeden 2. Dienstag im Monat internen

© 4process AG 2017Seite 2

WARUM?

SAP HACKING – SO SICHER IST IHR SAP SYSTEM

http://breachlevelindex.com/assets/Breach-Level-Index-Annual-Report-2015.pdf

Page 3: SAP HACKING - 4process.de · SAP HACKING –SO SICHER IST IHR SAP SYSTEM Dateien reginfo/secinfo pflegen SAP-Systeme aktuell halten Security Patch Day jeden 2. Dienstag im Monat internen

© 4process AG 2017Seite 3

AGENDA

SAP HACKING – SO SICHER IST IHR SAP SYSTEM

1. Art der Angriffe

2. Sicherheitslücken in Bezug auf SAP

3. Hacking Tools

4. Live Demo

5. Abhilfe

6. Fragen

Page 4: SAP HACKING - 4process.de · SAP HACKING –SO SICHER IST IHR SAP SYSTEM Dateien reginfo/secinfo pflegen SAP-Systeme aktuell halten Security Patch Day jeden 2. Dienstag im Monat internen

© 4process AG 2017Seite 4

ART DER ANGRIFFE

SAP HACKING – SO SICHER IST IHR SAP SYSTEM

http://breachlevelindex.com

Page 5: SAP HACKING - 4process.de · SAP HACKING –SO SICHER IST IHR SAP SYSTEM Dateien reginfo/secinfo pflegen SAP-Systeme aktuell halten Security Patch Day jeden 2. Dienstag im Monat internen

© 4process AG 2017Seite 5

SECURITY NOTES 09/16-02/17

SAP HACKING – SO SICHER IST IHR SAP SYSTEM

https://blogs.sap.com/2017/02/14/sap-security-patch-day-february-2017

Page 6: SAP HACKING - 4process.de · SAP HACKING –SO SICHER IST IHR SAP SYSTEM Dateien reginfo/secinfo pflegen SAP-Systeme aktuell halten Security Patch Day jeden 2. Dienstag im Monat internen

© 4process AG 2017Seite 6

SECURITY NOTES 02/17

SAP HACKING – SO SICHER IST IHR SAP SYSTEM

https://blogs.sap.com/2017/02/14/sap-security-patch-day-february-2017

Page 7: SAP HACKING - 4process.de · SAP HACKING –SO SICHER IST IHR SAP SYSTEM Dateien reginfo/secinfo pflegen SAP-Systeme aktuell halten Security Patch Day jeden 2. Dienstag im Monat internen

© 4process AG 2017Seite 7

WIE?

SAP HACKING – SO SICHER IST IHR SAP SYSTEM

wie werde ich zum Hacker für SAP-Systeme?

Sie brauchen natürlich ein unschlagbares Hacking Tool

Page 8: SAP HACKING - 4process.de · SAP HACKING –SO SICHER IST IHR SAP SYSTEM Dateien reginfo/secinfo pflegen SAP-Systeme aktuell halten Security Patch Day jeden 2. Dienstag im Monat internen

© 4process AG 2017Seite 8

Demo

LIVE DEMO

SAP HACKING – SO SICHER IST IHR SAP SYSTEM

FPT

Produktivsystem

FP6

Testsystem

System auf dem ich SAP_ALL habe

eigenes System (SAP_ALL)

Entwicklungs-/Testsystem

keinen User + keine Rechte

Produktivsystem

HR-System

Angriff

Page 9: SAP HACKING - 4process.de · SAP HACKING –SO SICHER IST IHR SAP SYSTEM Dateien reginfo/secinfo pflegen SAP-Systeme aktuell halten Security Patch Day jeden 2. Dienstag im Monat internen

© 4process AG 2017Seite 9

ABHILFE

SAP HACKING – SO SICHER IST IHR SAP SYSTEM

Dateien reginfo/secinfo pflegen

SAP-Systeme aktuell halten

Security Patch Day jeden 2. Dienstag im Monat

internen Zugriff auf SAP-Systeme auf das nötigste beschränken

Ports wie RDP, SSH für User nicht zugänglich machen

Berechtigungen sorgfältig pflegen und restriktiv vergeben

Vorsicht auch im Testsystem

Tabellenprotokollierung für kritische Tabellen aktivieren

kein Zugriff auf Tabellen wie USR02 (enthält Passwort-Hash)

Profilparameter auf iterated salted Hash ändern

Page 10: SAP HACKING - 4process.de · SAP HACKING –SO SICHER IST IHR SAP SYSTEM Dateien reginfo/secinfo pflegen SAP-Systeme aktuell halten Security Patch Day jeden 2. Dienstag im Monat internen

© 4process AG 2017Seite 10

KONTAKT

SAP HACKING – SO SICHER IST IHR SAP SYSTEM


Mobile Hacking Android · 2020. 1. 17. · – Intern – Marko Winkler / Mobile Hacking - Android 15.02.2017 11 Android Manifest system must know that the component exists by reading

Mobile Hacking Android · 2020. 1. 17. · – Intern – Marko Winkler / Mobile Hacking - Android 15.02.2017 11 Android Manifest system must know that the component exists by reading

SAP Fiori - 4process.de · Agenda • Was ist SAP Fiori? - Ein Überblick • Fiori Launchpad und App Library • Systemdemo • Deploymentoptionen • Voraussetzungen für den ...

SAP Fiori - 4process.de · Agenda • Was ist SAP Fiori? - Ein Überblick • Fiori Launchpad und App Library • Systemdemo • Deploymentoptionen • Voraussetzungen für den ...

Network Hacking 3. Auflage - Leseprobe - ciando.com · Network Hacking Professionelle ... benötigter Dienste auf Windows-PCs. ... Security-Tools und für das Erstellen wirksamer

Network Hacking 3. Auflage - Leseprobe - ciando.com · Network Hacking Professionelle ... benötigter Dienste auf Windows-PCs. ... Security-Tools und für das Erstellen wirksamer

Anfänger Anleitung fürs Hacking

Anfänger Anleitung fürs Hacking

Mobile Hacking Android - OWASP · – Intern – Marko Winkler / Mobile Hacking - Android 15.02.2017 11 Android Manifest system must know that the component exists by reading the

Mobile Hacking Android - OWASP · – Intern – Marko Winkler / Mobile Hacking - Android 15.02.2017 11 Android Manifest system must know that the component exists by reading the

Hacking into TomTom GO - events.ccc.de · Hacking into TomTom GO Vortrags-Abschnitte Geschichte des Hacks Überblick über die Hardware Umgang mit Treibern im GO-Kernel Thomas Kleffel

Hacking into TomTom GO - events.ccc.de · Hacking into TomTom GO Vortrags-Abschnitte Geschichte des Hacks Überblick über die Hardware Umgang mit Treibern im GO-Kernel Thomas Kleffel

Hacking - wr. · PDF file03.06.11 Hacking in C 4/36 Hacker Gebräuchliche Definition Jemand, der über das Netzwerk in ein Computersystem eindringt (um sich ggf. Informationen zu

Hacking - wr. · PDF file03.06.11 Hacking in C 4/36 Hacker Gebräuchliche Definition Jemand, der über das Netzwerk in ein Computersystem eindringt (um sich ggf. Informationen zu

Hacking & Security – Das umfassende Handbuch

Hacking & Security – Das umfassende Handbuch

Google Hacking by SkyOut

Google Hacking by SkyOut

Live Hacking - Durch Refactoring zu sauberem Code

Live Hacking - Durch Refactoring zu sauberem Code

CERT - das wirklich wahre Leben · Kontakt: sax.cert@cert.sachsen.de Vielen Dank für Ihr Interesse! | 23. Oktober 2018 | Christoph Damm Live Hacking Tour: lsnq.de/hacking 15 . Erfahren

CERT - das wirklich wahre Leben · Kontakt: [email protected] Vielen Dank für Ihr Interesse! | 23. Oktober 2018 | Christoph Damm Live Hacking Tour: lsnq.de/hacking 15 . Erfahren

Der Tastatur-Hacking-Workshop - bakera.de · Der Tastatur-Hacking-Workshop Tastaturen sind langweilig. Tastaturen sind langweilig? Keineswegs. Wenn du sie auf-schraubst und das Innenleben

Der Tastatur-Hacking-Workshop - bakera.de · Der Tastatur-Hacking-Workshop Tastaturen sind langweilig. Tastaturen sind langweilig? Keineswegs. Wenn du sie auf-schraubst und das Innenleben

Cybercrime! vor Phishing, Hacking, Sex- tortion oder Romance … · 2019-10-07 · Wie schützen Sie sich vor Phishing, Hacking, Sex-tortion oder Romance Scam? Öffentliche Informationsveranstaltungen

Cybercrime! vor Phishing, Hacking, Sex- tortion oder Romance … · 2019-10-07 · Wie schützen Sie sich vor Phishing, Hacking, Sex-tortion oder Romance Scam? Öffentliche Informationsveranstaltungen

Hacking Day 2011 - Oneconsult

Hacking Day 2011 - Oneconsult

Growth hacking Eine Einführung von Stefan Frisch

Growth hacking Eine Einführung von Stefan Frisch

Hacking Alfresco - eigene Dokumententypen und ...kivitendo.net/vortraege/Hacking Alfresco.pdf · OPEN RHEIN RUHR 2014 Hacking Alfresco - eigene Dokumententypen und Schnittstellenprogrammierung

Hacking Alfresco - eigene Dokumententypen und ...kivitendo.net/vortraege/Hacking Alfresco.pdf · OPEN RHEIN RUHR 2014 Hacking Alfresco - eigene Dokumententypen und Schnittstellenprogrammierung

Hacking InfoPoint 07.12.2005 Jörg Wüthrich. 07.12.2005 Infopoint - Hacking - Jörg Wüthrich 2/26 Inhalte Rund um das Thema Hacking Angriffs-Techniken Session.

Hacking InfoPoint 07.12.2005 Jörg Wüthrich. 07.12.2005 Infopoint - Hacking - Jörg Wüthrich 2/26 Inhalte Rund um das Thema Hacking Angriffs-Techniken Session.

SAP HANA MIGRATION MIT DMO - 4process.de€¦ · kann nicht nein sagen ... SAP HANA MIGRATION MIT DMO Vgl. DENSBORN. Migration nach SAP S/4HANA. Seite 330 Vorbereitungs-/Planungsphase

SAP HANA MIGRATION MIT DMO - 4process.de€¦ · kann nicht nein sagen ... SAP HANA MIGRATION MIT DMO Vgl. DENSBORN. Migration nach SAP S/4HANA. Seite 330 Vorbereitungs-/Planungsphase

Hacking - FRANZIS |  · Enrico Perla / Massimiliano Oldani Kernel Hacking Exploits verstehen, schreiben und abwehren: Schwachstellen in Kernel-Architekturen erkennen und ...

Hacking - FRANZIS |  · Enrico Perla / Massimiliano Oldani Kernel Hacking Exploits verstehen, schreiben und abwehren: Schwachstellen in Kernel-Architekturen erkennen und ...

Amateurfunk: Radio-Hacking gestern – heute – morgen

Amateurfunk: Radio-Hacking gestern – heute – morgen