Upgraded Tool Tests SAP Security Svagheder

Sapyto, et værktøj til test sikkerheden for SAP-systemer, er blevet opgraderet med nye plugins, der muliggør mere grundig test, ifølge værktøjets udvikler.

Version 0.99 af Sapyto kører nu på pc'er, der kører Microsoft Windows, hvor den tidligere version kun kørte på Linux, sagde Mariano Nuñez Di Croce, senior sikkerhedsforsker hos Cybsec Security Systems, et sikkerhedsselskab baseret i Buenos Aires, Argentina. Han præsenterede i sidste uge på Black Hat-sikkerhedskonferencen i Amsterdam.

Den nyeste version af Sapyto tilføjer nye plugins, som kan bruges til at få information fra eksterne SAP-routere, samt automatisk at opdage og derefter teste remote SAP-systemer. Udviklere kan også oprette deres egne plugins.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Tysk softwareudvikler SAP laver forretningssoftwaresystemer, der styrer forsyningskæder, finansieringsproblemer og opgaver vedrørende kundeforbindelse blandt mange andet. Virksomheden har mere end 40.000 kunder over hele verden, og der er mere end 120.000 SAP implementeringer, ifølge Nuñez Di Croces præsentation.

SAP-systemer er blevet målrettet af hackere og insidere, der søger at skade et firma, da softwaren indeholder værdifulde interne Information. Hændelserne bliver typisk aldrig offentlige, fordi virksomheder ikke afslører dem, siger Nuñez Di Croce. Men det sker. Nuñez Di Croce kender til en sag for to år siden, hvor et firma tabte US $ 250.000 på grund af den uhensigtsmæssige manipulation af et SAP finanssystem.

Nogle økonomidirektører er stadig ikke opmærksomme på, hvor vigtig god sikkerhed er på SAP-systemer, sagde Nuñez Di Croce. Da SAP-systemer er meget dyre og styrer en lang række forretningsprocesser, vil ledere fortsætte med at sætte systemerne i produktion uden en ordentlig sikkerhedsundersøgelse, sagde han.

Nuñez Di Croce vidste om et andet tilfælde, hvor en direktør besluttede at bare har åben adgang til et SAP-system i tre måneder. Det er farligt, og det er usandsynligt, at systemet efter tre måneder vil blive låst ned, sagde han. Mange SAP-systemer er simpelthen efterladt i standard sikkerhedskonfigurationer, hvilket også er usikkert, sagde han.

"Sikkerhed ses normalt som en blok i vejen" Nuñez Di Croce. "Der er mange SAP-systemer, der løber derude af større virksomheder, der ikke er sikre."

Sapyto er open source-software og er gratis. Den kan downloades fra Cybsecs hjemmeside. Version 0.98 er på webstedet nu, og den nye version skal straks offentliggøres. Sapyto var det første penetrationstestnetværk bygget til SAP-software.