SAP Afaria. Маленькое SMS для взлома большой компании Частухин Дмитрий, Директор департамента аудита SAP, Digital Security
SAP © , Digital Security Наиболее популярное бизнес-приложение Более клиентов по всему миру 83% компаний из списка Forbes используют SAP Основная система – ERP Основные платформы – SAP NetWeaver ABAP – SAP NetWeaver J2EE – SAP BusinessObjects – SAP HANA – SAP Mobile 2
SAP Afaria © , Digital Security 3
SAP Afaria © , Digital Security 4 Control via SMS
Issue 9. Control via SMS © , Digital Security Administrators can use SMS commands to: Lock phone Wipe phone Unlock phone Request log Block user Send message Remediate Transmit location data Implement policy etc. 5
SMS command © , Digital Security 6 В прицеле - СЭД WIPEALLDATA WIPENITRODESK WIPENITRODESKSDCARD LOCKDEVICE FETCHLOG UNLOCKDEVICE USERLOCK REMEDIATE NOTIFY etc..
SMS © , Digital Security 7 Вот так выглядит SMS $\$CMD:USERLOCK – – сигнатура, управляющей SMS 64aACAhntVzjTIjhHDMGql8ldvc/8U6IlIoPU7aAOT8= – Base64 строка аутентификации $\$CMD – индикатор того, что SMS содержит команду USERLOCK – команда
SMS © , Digital Security 8 Строка аутентификации – это SHA256 хэш Содержит: + + +$\$CMD: – где: LastAdminSessionID – ID последней сессии с сервером ClientID– ID клиента TransmitterID– ID сервера
SMS © , Digital Security 9 International Mobile Station Equipment Identity IMEI? разглашение информации от других приложений уязвимости в Afaria (XSS) перебор …
IMEI © , Digital Security 10 IMEI? -IMEI catcher
© , Digital Security 11
Digital Security в Москве: (495) Digital Security в Санкт-Петербурге: (812) © , Digital Security 12 Спасибо за внимание! Вопросы?