// // 1 comentario

Seguridad en SAP Gui

Siguiendo el tema de la introducción a SAP, cuando los usuarios nuevos (y también los clientes nuevos) de SAP toman contacto con este programa por primera vez, el primer contacto es con SAP GUI (clic aquí si aun no has leído sobre SAP GUI).

Muy pocas empresas y usuarios de SAP conocen acerca de las medidas de seguridad que traen activadas por defecto la ultima versión de SAP GUI (actualmente la versión 7.20). A continuación mencionaré los aspectos clave, y citaremos enlaces para ampliar vuestros conocimientos sobre este tema, y dejaremos el enlace directo al manual oficial de SAP: "Security Guide - SAP GUI for Windows".




Por otro lado, y para agregarle un condimento extra a nuestro artículo -para el deleite de nuestros lectores- sumo un aporte de Andreas Wiegenstein con Virtual Forge GmbH. Estas personas crearon en el 2011 una presentación (que a mi entender es más una crítica) que demuestra que la mayoría de los clientes se "confían" en el poder de SAP para no brindar seguridad adicional al sistema.

Para explicar mejor esto que digo, creo que la imágen habla por si sola:
Seguridad SAP
Ellos afirman que la idea de que el sistema SAP sea "seguro" está muy verde si creemos que todo lo que es seguridad pasa unicamente por:
  • Roles y Autorizaciones
  • La seguridad Basis
  • Encriptación
  • La seguridad en la estructura de redes
  • Politicas de contraseñas
  • Gestión de Parches SAP
  • Gestión de Identidad del usuario SAP
  • Single Sign-On (que sería el acceso único al sistema, o acceso no recurrente)


Ellos analisan la seguridad de SAP desde ABAP y el GUI. Afirman que hay ataques todo el tiempo, y que tranquilamente un usuario malintencionado podría ingresar a un sistema SAP donde las cuestiones de seguridad sean pobres.
Por ejemplo, los ataques desde ABAP al SAP GUI más comunes incluyen:
  • Function Module WS_EXECUTE
    Executes an operating system command on the client
  • Function Module GUI_UPLOAD
    Uploads a file from the Client to the Server
  • Function Module GUI_DOWNLOAD
    Downloads a file from the Server to the Client
  • Class CL_GUI_FRONTEND_SERVICES
    Provides various other functions
    Directory listing, access to clipboard, etc
  • Underlying ABAP Commands
    CALL METHOD OF
    CALL cfunc


Afirman que los ataques pueden ser realizados desde el mismo cliente SAP GUI:
  • Forceful Browsing in SAP GUI !
    Manipulate disabled fields and buttons
  • Cross-Site Scripting in SAP GUI applications !!!
    Not nice, but rare
  • SAP GUI scripting
    Scripting of SAP GUI events


Por supuesto que puede haber ataques desde Internet, que son los que debemos cubrir a través de un firewall.
Es muy interesante la presentación... aunque muy breve; por supuesto sigue la idea de "presentación comercial" y nos dejan sus email, e info de contacto para que los llamemos si queremos asegurar nuestro sistema SAP con ellos ;)


Respecto al documento que les hablé al comienzo de este artículo: "Security Guide - SAP GUI for Windows" es interesante cómo SAP va creando medidas de seguridad con las versiones del GUI que lanza, y va atajandose a los potenciales ataques.
Ustedes creen que SAP es vulnerable?
Si saben ingles, les recomiendo leer el documento entero. El mismo SAP acepta que ha sido vulnerable cuando la PC donde está instalado el acceso al sistema puede ser infectada por un virus o troyano que "tome" la información privada y la envíe a internet a un servidor del atacante.

Si tenemos el GUI 7.20 veremos que en las reglas de seguridad, vienen por defecto algunas nuevas que son importantes. Esto lo encontraremos dentro de la carpeta "Seguridad" del SAP GUI.

Algunas palabras clave para encontrar:
  • REG_EXPAND_SZ
  • SecurityLevel
  • REG_DWORD
  • Strict Deny mode
  • ActivateLogging
  • LoggingDestinationDir
  • InitSaveDir
  • %APPDATA%\SAP\Common
  • saprules.xml
  • Killbits prevent the execution of ActiveX controls from within Microsoft Internet Explorer (more information: http://support.microsoft.com/kb/240797).

Fuentes consultadas y enlaces de interés:
  • SAP GUI Hacking (V1.0) - Troopers Conference 2011, Heidelberg
  • Note 1483525 - New security center in SAP GUI for Windows 7.20
  • An attacker can theoretically abuse an SAP shortcut created to let the victim of the attack execute a function in an SAP system without the user initially being aware of this. An attack of this type can happen under various circumstances. The risk of this kind of attack depends on the nature of the application that is executed. More information: SAP Note 1397000.
    Note 1397000 - SAP GUI for Windows Security: Execution of SAPShortcuts
  • Note 1526048 - SAP GUI Security: Enhancements for patch 4
  • "Secure Configuration SAP Netweaver Application Server ABAP" (Excelente artículo en ingles, oficial de SAP - Requiere tener SID-User).
  • "SAP GUI Scripting Security Guide"
  • "SAP GUI for Windows 7.20 Security Guide"
  • SAP GUI for Windows stores input typed by the user in a local history database (Access database) that is secured by a password not known to the user or the administrator. If critical information is typed, the input history can be either completely deactivated or deactivated on an input field level by the administrator (more information: SAP Notes 925639 and 924376). Passwords typed in password fields are never stored in the history database.
  • Note 925639 - History: disable via registry key - Note 924376 - History: disable history for specific fields in registry
  • Note 1442303 - SAP GUI 7.20 - replacement of SAPWORKDIR
  • SAP Security (https://service.sap.com/security)
  • SAP Security Guides (https://service.sap.com/securityguide)
  • SAP Security Notes (https://service.sap.com/securitynotes)
  • SAP Security Optimization Service (https://service.sap.com/sos)
  • Run SAP Methodology (https://service.sap.com/runsap)
Creo que les será de utilidad.
Saludos!

1 comentario:

Nota Importante: los comentarios son para agradecer, comentar o sugerir cambios (o hacer preguntas) sobre el artículo de arriba.


SAP y el logotipo de SAP son marcas comerciales registradas de SAP AG en Alemania y en varios otros países. No estamos afiliados ni relacionados con ninguna división o subsidiaria de SAP AG.