Red Seguridad 081

70 red seguridad segundo trimestre 2018 vulnerabilidades opinión Las vías de acceso a los datos de un sistema SAP son como un gran centro logístico en el que confluyen una enorme cantidad de autopistas. aún, tampoco se controlan los gru- pos de tablas a los que se accede, ni el nombre de las tablas (este caso puede parecer disparatado pero es uno de los habituales). 1. El usuario accede de manera legal a tablas con los datos de nego- cio, los consulta, los puede descar- gar, y los extrae del sistema. Una vez fuera del sistema, ese fichero puede ser utilizado para actividades perjudi- ciales para la empresa. 2. Otro caso típico de fraude: el usuario accede de manera legal a tablas del sistema donde se guarda la información de otros usuarios, extrae los datos cifrados de las contraseñas, los descarga y los descifra gracias a un programa de rotura de contraseñas mediante fuerza bruta en otro ordenador. Gracias a un buen diccionario y un equipo con buen rendimiento de CPU o GPU pueden descifrar- se millones de contraseñas por segundo. Una contraseña de ocho caracteres podría obtenerse en un intervalo de pocos segundos, y en el peor de los casos, no más de 10 horas. Finalmente, puede acceder- se de manera legal con el usuario y contraseña de un empleado reco- nocido y de amplios privilegios (por ejemplo un directivo) al que se la ha robado la contraseña y realizar actividades ilícitas en su nombre (robo de datos, pagos fraudulen- tos, etc.). Los dos ejemplos anteriores son relativamente primitivos y hasta tos- cos, pero muy efectivos. Existen métodos más sutiles y difíciles de detectar, porque utilizan técnicas poco invasivas y combinadas en las diferentes capas de software del sistema (sistema operativo, base de datos, middleware y aplicación). Es complicado detectarlos a tiempo. A menudo se detecta un fraude meses después de que se haya producido y, en ocasiones, solo se detectan en las auditorías financieras correspon- dientes. ¿Qué se puede hacer? La buena noticia es que hay formas de proteger los sistemas. La mala, si se puede considerar como tal, es que requieren atención y dedicación. de otros servicios y protocolos que no añadiré por cuestiones de espacio y brevedad). Si hiciéramos una representación gráfica de las vías de acceso a los datos de un sistema SAP, podría- mos dibujarlo como un gran centro logístico en el que confluyen una enorme cantidad de autopistas. De hecho es un gran centro logístico en términos de software. La pregunta sincera que hace falta realizar es si todas esas auto- pistas están siendo controladas de la manera adecuada. Y más aún, si estamos seguros de que no existen atajos o combinaciones de rutas aparentemente seguras que puedan llevar a accesos no deseados por parte de atacantes. Por hacer un símil biológico, podríamos llamar a esos atajos las "rutas metabólicas del ciberataque", en las que, al igual que en biología, unos sustratos se convierten en productos median- te su combinación con metabolitos para producir energía. En este caso un acceso legal al sistema se com- bina con un elemento simple y apa- rentemente inocuo para dar lugar a un producto más "energético", es decir, un ataque exitoso. Un par de ejemplos A) Es una práctica habitual que los usuarios de los sistemas SAP ten- gan acceso a subir y bajar ficheros en ciertos directorios del servidor SAP (locales o montados desde otra máquina). Este uso no es esencial- mente peligroso, pero combinado con otras autorizaciones y permisos puede suponer uno de los mencio- nados atajos para conseguir privile- gios o ejecutar código malicioso. Sin ánimo de dar ideas o de ser catas- trofista, sirva este ejemplo: 1. El usuario inserta desde su PC un fichero que en lugar de contener datos, contiene código (por ejemplo, shell script ). 2. El usuario solicita al departamen- to de explotación la ejecución de un job con determinados pasos. En uno de ellos, mezclados con pasos lícitos para la actividad, se inserta la ejecu- ción del fichero ejecutable subido por el usuario. 3. El código se ejecuta con los permisos del usuario <sid>adm a nivel de sistema operativo y puede realizar tareas con altos privilegios, como acceder a tablas de la base de datos directamente, descargar datos a fichero, introducir en el sistema operativo cierto malware , etc. B) Debido a habituales urgencias a la hora de prestar funcionalidad al usuario, a menudo los accesos a los datos se proporcionan asignando directamente el uso de transaccio- nes de consulta a la base de datos (SE16 por ejemplo), en lugar de pro- gramar una transacción controlada por objetos de autorización. Más