Oppgraderte Tool Tests SAP Security Svakheter

Sapyto, et verktøy for å test sikkerheten til SAP-systemene, har blitt oppgradert med nye plugins som tillater mer grundig testing, ifølge verktøyets utvikler.

Versjon 0.99 av Sapyto kjører nå på PCer som kjører Microsoft Windows, hvor den forrige versjonen bare kjørte på Linux, sa Mariano Nuñez Di Croce, senior sikkerhetsforsker med Cybsec Security Systems, et sikkerhetsselskap basert i Buenos Aires, Argentina. Han ga en presentasjon i forrige uke på Black Hat-sikkerhetskonferansen i Amsterdam.

Den nyeste versjonen av Sapyto legger til nye plugins som kan brukes til å få informasjon fra eksterne SAP-rutere, samt automatisk oppdage og deretter teste eksterne SAP-systemer. Utviklere kan også lage egne plugins.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Tysk programvareutvikler SAP lager forretningssystemer som styrer forsyningskjeder, finansieringsproblemer og oppdrag for kundeforhold, blant mange annet. Selskapet har over 40 000 kunder over hele verden, og det er over 120 000 SAP-implementeringer, ifølge Nuñez Di Croces presentasjon.

SAP-systemer har blitt målrettet av hackere og innsidere som søker å skade et selskap siden programvaren inneholder verdifulle interne informasjon. Hendelsene blir vanligvis ikke offentlige fordi selskaper ikke avslører dem, sa Nuñez Di Croce.

Men det skjer. Nuñez Di Croce vet om et tilfelle for to år siden hvor et selskap mistet US $ 250 000 på grunn av feil manipulering av et SAP finanssystem.

Noen finansdirektører er fortsatt ikke kjent med hvor viktig god sikkerhet er på SAP-systemer, sa Nuñez Di Croce. Siden SAP-systemene er svært dyre og kontrollerer en lang rekke forretningsprosesser, vil ledere presse på for å sette systemene i produksjon uten en skikkelig sikkerhetsvurdering, sa han.

Nuñez Di Croce visste om et annet tilfelle der en leder bestemte seg for å bare har åpen tilgang til et SAP-system i tre måneder. Det er farlig, og det er usannsynlig at systemet etter tre måneder vil bli låst, sa han. Mange SAP-systemer er ganske enkelt igjen i standard sikkerhetskonfigurasjoner, som også er usikre, sa han.

"Sikkerhet er vanligvis sett som en blokk i veien", Nuñez Di Croce. "Det er mange SAP-systemer som går der ute av store selskaper som ikke er sikre."

Sapyto er åpen programvare og er gratis. Den kan lastes ned fra Cybsecs nettsted. Versjon 0.98 er på nettstedet nå, og den nye versjonen skal bli lagt ut snart. Sapyto var det første penetrasjonstestnettverket bygget for SAP-programvare.