SAP Afaria. Маленькое SMS для взлома большой компании Частухин Дмитрий, Директор департамента аудита SAP, Digital Security. - презентация

1 SAP Afaria. Маленькое SMS для взлома большой компании Частухин Дмитрий, Директор департамента аудита SAP, Digital Security

2 SAP © , Digital Security Наиболее популярное бизнес-приложение Более клиентов по всему миру 83% компаний из списка Forbes используют SAP Основная система – ERP Основные платформы – SAP NetWeaver ABAP – SAP NetWeaver J2EE – SAP BusinessObjects – SAP HANA – SAP Mobile 2

3 SAP Afaria © , Digital Security 3

4 SAP Afaria © , Digital Security 4 Control via SMS

5 Issue 9. Control via SMS © , Digital Security Administrators can use SMS commands to: Lock phone Wipe phone Unlock phone Request log Block user Send message Remediate Transmit location data Implement policy etc. 5

6 SMS command © , Digital Security 6 В прицеле - СЭД WIPEALLDATA WIPENITRODESK WIPENITRODESKSDCARD LOCKDEVICE FETCHLOG UNLOCKDEVICE USERLOCK REMEDIATE NOTIFY etc..

7 SMS © , Digital Security 7 Вот так выглядит SMS $\$CMD:USERLOCK – – сигнатура, управляющей SMS 64aACAhntVzjTIjhHDMGql8ldvc/8U6IlIoPU7aAOT8= – Base64 строка аутентификации $\$CMD – индикатор того, что SMS содержит команду USERLOCK – команда

8 SMS © , Digital Security 8 Строка аутентификации – это SHA256 хэш Содержит: + + +$\$CMD: – где: LastAdminSessionID – ID последней сессии с сервером ClientID– ID клиента TransmitterID– ID сервера

9 SMS © , Digital Security 9 International Mobile Station Equipment Identity IMEI? разглашение информации от других приложений уязвимости в Afaria (XSS) перебор …

10 IMEI © , Digital Security 10 IMEI? -IMEI catcher

11 © , Digital Security 11

12 Digital Security в Москве: (495) Digital Security в Санкт-Петербурге: (812) © , Digital Security 12 Спасибо за внимание! Вопросы?