Привет!
Так как статей об ABAP'е на хабре совсем мало, а статьи вида «Hello, World!» совсем нету, решил немного написать об этом. Если вам интересно узнать про этот язык или же подумываете заниматься разработкой на ABAP'е, то добро пожаловать под кат. Читать полностью »
Многие из вас, возможно, слышали этот термин из новостей. Что же это значит и почему это должно быть интересно? Я постараюсь ответить на оба эти вопроса.
Читать полностью »
Я хочу написать об одной из основных вещей, которые делают мою жизнь разработчика полезной и интересной.
Я заметил, что большинство людей, с которыми я имел честь работать, были связаны обещанием, неким неписанным «кодексом чести». Он не совсем похож на самурайский Бусидо, поэтому позвольте мне вкратце описать его:
За последний месяц в области безопасности SAP произошло несколько значимых событий, о которых я хотел бы рассказать.
Во-первых, прошли две крупных конференции по безопасности, где затрагивалась тема безопасности SAP: BlackHat и Defcon. Мы (специалисты исследовательской лаборатории Digital Security) участвовали в обоих мероприятиях: с докладом о SAP на BlackHat и с докладом о VMware на Defcon. Я упоминаю здесь доклад о VMware, так как это выступление подтверждает, что защита SAP-систем заключается не только в безопасности самих приложений SAP, но и остальной инфраструктуры.
Всем привет! Тут многие просили нас писать больше; собственно, выкроив времечко между перелётами, я вспомнил про парочку старых уязвимостей в… впрочем, вы уже догадались в чём.
Прошло уже немало времени с момента первой публикации информации о данных багах. А точнее, целый год. Ровно год назад я ездил на BlackHat с докладом по теме безопасности J2EE движка SAP. Почему бы и не поведать о той баге, тем более что до сих пор не дошли руки подробно описать в рунете всё, что было представлено на BlackHat, ну не считая небольшого видео с ZeroNights, где вышло довольно сумбурно.
Исследование посвящалось платформе SAP NetWeaver J2EE Engine, о которой по сравнению с ABAP Engine существует крайне мало информации, а по ее безопасности практически не было исследований во всём мире. А ведь Digital Security Research Group хлебом не корми, только дай разломать что-нибудь, куда ещё никто не совался. В общем, сперва будет немножко общих слов о том, что такое SAP и как это важно для бизнеса, так что циники могут пролистать вниз – к кускам кода, ну а все остальные могут читать дальше.
Согласно партнерскому соглашению с SAP, мы не имеем право публиковать подробную информацию о найденных уязвимостях до выпуска патча. Поэтому в данном отчете подробно описаны только те уязвимости, информацию о которых мы имеем право раскрывать на данный момент. Однако примеры эксплуатации всех упомянутых уязвимостей, доказывающие, что они действительно существуют, можно найти на видеозаписях с конференций, а также на erpscan.ru и dsec.ru.
Также необходимо отметить, что наши исследования в области безопасности SAP вообще и сбора статистики в частности не заканчиваются на данном отчете. Мы планируем публиковать новые статистические данные как минимум ежегодно либо по мере появления новых методов атаки. Последние обновления статистики SAP-систем, присутствующих в Интернете, можно найти на sapscan.com.
Ядро каждой крупной компании – это ERP-система; в ней проходят все критичные для бизнеса процессы, начиная от закупки, оплаты и доставки и заканчивая управлением человеческими ресурсами, продуктами и финансовым планированием. Вся информация, хранящаяся в ERP-cистемах, имеет огромное значение, и любой неправомерный доступ к ней может понести за собой громадные потери вплоть до остановки бизнеса. Согласно отчету Ассоциации специалистов по расследованию хищений/мошенничества (ACFE), в период с 2006 по 2010 годы потери организаций от внутреннего фрода составили порядка 7 процентов от ежегодной выручки (!). Вот почему мы решили провести детальное исследование в области безопасности SAP с использованием ERPScan – разработанной Digital Security системы мониторинга защищенности SAP-систем.
Открытый протокол запросов OData базирующийся на REST, Atom/XML и JSON будет стандартизирован организацией OASIS, которая отвечает за утверждение промышленных стандартов в области веб-сервисов и передачи данных.
ODta — это протокол который позволяет с помощью параметров обычного запроса выбирать или модифицировать данные. Например, следующий запрос:
_http://services.odata.org/OData/OData.svc/Category(1)/Products?$top=2&$orderby=name
Просит выбрать из источника данных первые два продукта отсортированные по имени, которые принадлежат определенной категории товаров с идентификатором "1". Другой пример:
_http://services.odata.org/OData/OData.svc/ProductsByColor?color='red'
Позволяет использовать внутреннюю функцию с параметром цвета "red" для запроса необходимого списка товаров.
Протокол включает в себя огромное число параметров, которые позволяют задать сколь угодно сложный запрос к источнику данных, например:
_http://services.odata.org/Northwind/Northwind.svc/Customers?$filter=indexof(CompanyName, 'lfreds') eq 1
Вернет всех клиентов с именем компании, которая содержит подстроку "lfreds".
И так далее. Подробное описание нотаций и самого протокола можно найти по адресу http://www.odata.org/documentation.
Читать полностью »
Женщины в паранджах, мужчины в традиционных арабских одеяниях, резные стены и много-много позолоты, и всё это внутри огромного деревянного корабля. Именно так выглядит конференция по информационной безопасности в Кувейте – Kuwait Info Security 2012.
По долгу службы в Digital Security продвигая в массы безопасность SAP, да и вообще ради ярких моментов и новых знакомств, я периодически выступаю на различных международных конференциях по безопасности… хотя точнее всё же было бы называть их конференциями по опасности, так как на них ведущие исследователи рассказывают о новых интересных способах взлома информационных систем. Несмотря на два десятка выступлений на таких ивентах, как BlackHat и HITB, конференция в Кувейте всё-таки запомнилась мне как одна из самых необычных.
В этом выпуске у нас в гостях Александр Поляков (DSec). И мы его пытаем вопросами вместе с Владимиром Воронцовым (ONsec).
Компания Digital Security проводит цикл технических вебинаров по безопасности бизнес-приложений. Первый вебинар пройдёт 19 апреля 2012 года.
Мы осветим темы безопасности ДБО и мобильного банкинга, защиты систем SAP, безопасности АСУ ТП, а также систем виртуализации, таких как VMware и Citrix XenApp. Вы узнаете о брешах в безопасности, о которых вам не расскажут разработчики.
К участию в вебинарах приглашаются все желающие. Полезную для себя информацию могут получить специалисты по IT, по информационной безопасности, все, кто имеет отношение к управлению ресурсами предприятия, к промышленному и финансовому сектору.
Также совместно с порталом PCIDSS.ru проводится цикл вебинаров по особенностям внедрения стандарта безопасности платежных карт PCI DSS. Первый вебинар пройдёт 18 апреля 2012 года.
Мы расскажем о том, как соответствовать стандарту не только на бумаге, но и на практике, и как надежно взять под контроль самые сложные и деликатные элементы защиты критичных данных. Будут освещены аспекты соответствия PCI DSS, которые чаще всего вызывают затруднения у финансовых организаций, поставивших перед собой задачу обеспечения своим клиентам безопасности и конфиденциальности.
Приглашаются специалисты по IT, по информационной безопасности, сотрудники финансовых организаций и все, кому интересна тематика защиты платежных данных и соответствия стандарту PCI DSS.
Каждый вебинар проходит с 16:00 до 17:00 по московскому времени.
