SAP Afaria. Маленькое SMS для взлома большой компании Частухин Дмитрий, Директор департамента аудита SAP, Digital Security

SAP © , Digital Security Наиболее популярное бизнес-приложение Более клиентов по всему миру 83% компаний из списка Forbes используют SAP Основная система – ERP Основные платформы – SAP NetWeaver ABAP – SAP NetWeaver J2EE – SAP BusinessObjects – SAP HANA – SAP Mobile 2

SAP Afaria © , Digital Security 3

SAP Afaria © , Digital Security 4 Control via SMS

Issue 9. Control via SMS © , Digital Security Administrators can use SMS commands to: Lock phone Wipe phone Unlock phone Request log Block user Send message Remediate Transmit location data Implement policy etc. 5

SMS command © , Digital Security 6 В прицеле - СЭД WIPEALLDATA WIPENITRODESK WIPENITRODESKSDCARD LOCKDEVICE FETCHLOG UNLOCKDEVICE USERLOCK REMEDIATE NOTIFY etc..

SMS © , Digital Security 7 Вот так выглядит SMS $\$CMD:USERLOCK – – сигнатура, управляющей SMS 64aACAhntVzjTIjhHDMGql8ldvc/8U6IlIoPU7aAOT8= – Base64 строка аутентификации $\$CMD – индикатор того, что SMS содержит команду USERLOCK – команда

SMS © , Digital Security 8 Строка аутентификации – это SHA256 хэш Содержит: + + +$\$CMD: – где: LastAdminSessionID – ID последней сессии с сервером ClientID– ID клиента TransmitterID– ID сервера

SMS © , Digital Security 9 International Mobile Station Equipment Identity IMEI? разглашение информации от других приложений уязвимости в Afaria (XSS) перебор …

IMEI © , Digital Security 10 IMEI? -IMEI catcher

© , Digital Security 11

Digital Security в Москве: (495) Digital Security в Санкт-Петербурге: (812) © , Digital Security 12 Спасибо за внимание! Вопросы?