Детская музыкальная школа, Москва  

Новости образования - ГОУ Детская Музыкальная Школа №86 в Олимпийской Деревне (г. Москва)
       

У нас публикуются


Наша реклама


Разделы

IT «

Пресс-релизы

Шпионаж, Саботаж и Фрод: на конференции BlackHat рассказали о атаках на ERP-системы

На прошедшей недавно конференции BlackHat DC 2011 исследователи из лаборатории DSecRG российской компании Digital Security рассказали об атаках на корпоративные бизнес - приложения, которые могут быть использованы злоумышленниками для реализации шпионажа, саботажа и мошеннических действий в отношении конкурентов. На конференции были представлены неизвестные ранее методы атак на популярные ERP-системы, такие как SAP, JD Edwards, а также на СУБД Open Edge, которая является универсальной платформой для разработки кастомизированных бизнес-приложений.

Несмотря на то, что производители, такие как SAP и Oracle, регулярно выпускают обновления безопасности в своих продуктах, компании всё-равно подвержены атакам, направленным на архитектурные уязвимости и ошибки конфигурации. В докладе Александра Полякова, технического директора Digital Security и руководителя исследовательского центра DSecRG, было уделено внимание архитектурным уязвимостям перечисленных систем, и были продемонстрированы различные методы эксплуатации этих уязвимостей. Данные уязвимости в большинстве своём просто невозможно закрыть, что влечёт за собой возможность их эксплуатации в дальнейшем.

“Очень немногие администраторы SAP-систем регулярно устанавливают обновления и крайне мало специалистов, которые глубоко разбираются в технических деталях безопасной настройки ERP-систем, в лучшем случае ограничиваясь проблемами SOD. Вот почему мы видим небезопасно настроенные системы в результате наших работ по анализу защищенности”, - отметил Александр Поляков.

В его докладе приводился пример того, как в ходе аудита была обнаружена установленная ERP-система JD Edwards версии 10-и летней давности, которая имела архитектурную уязвимость, позволяющую любому пользователю получить доступ ко всем данным. Другой пример архитектурной уязвимости был обнаружен в СУБД « Open Edge database» (Progress company), которая используется во многих компаниях из Fortune TOP 100 companies. В данном приложении была обнаружена тривиальная ошибка в процессе аутентификации. Проверка хэша пароля была реализована на клиентской части, в результате чего возможна аутентификация в систему под любым пользователем, не зная пароля и даже имени пользователя. Проблема заключается в том, что данная уязвимость так и не будет исправлена производителем по причине необходимости переписывания всей архитектуры приложения.

Ещё один пример - это система SAP SRM, используемая среди всего прочего для организации системы тендеров. В результате одной архитектурной уязвимости любой поставщик может получить доступ к тендерам других поставщиков, а также загрузить троянскую программу в сеть конкурента, например, с целью промышленного шпионажа.

“Большинство из рассмотренных в докладе примеров говорит о том, что безопасность ERP-приложений находится на уровне 10-летней давности, и с текущей тенденцией вывода бизнес-приложений в Интернет для обмена данными между филиалами компаний или взаимоотношений с поставщиками все эти системы стали доступны широкому кругу лиц, стремящихся использовать бреши приложений в корыстных целях. До сих пор компании тратили миллионы долларов, устраняя SOD конфликты, и учитывая, что это неотъемлемая часть безопасности ERP, количество уязвимостей уровня приложения все же растёт в геометрической прогрессии, как и интерес к этим системам у злоумышленников”, – отметил Александр Поляков.

Контактное лицо: Каверина Дарья (написать письмо автору)
Компания: Digital Security (все новости этой организации)
Добавлен: 11:24, 08.02.2011
Количество просмотров: 1083

«Синтерра Медиа» запустила в эфир христианский телеканал «Благая весть», Синтерра Медиа, 23:17, 20.03.2024, Россия
0
Компания «Синтерра Медиа» и АНО Телеканал «Благая весть» запустили в эфир одноименный телеканал «Благая весть».


Цифровые следы студентов привели к новым инструментам для образования, Тольяттинский государственный университет, 23:17, 20.03.2024, Россия
0
В Тольяттинском государственном университете (ТГУ) разработали методику отслеживания удовлетворённости студентов качеством и сопровождением учебного процесса.


Стартовал набор на популярные у ИТ-специалистов курсы АО «ИВК» по изучению ПАК «ИВК КРИПТО» и ПАК «ИВК КОЛЬЧУГА-К», ИВК, 19:12, 02.03.2024, Россия
0
28 февраля 2024 г., Москва


«Синтерра Медиа» запустила новые узлы для подключения к платформе «Медиалогистика 2.0», Синтерра Медиа, 20:38, 18.02.2024, Россия
0
С начала 2024 года региональные ТВ-операторы получили возможность подключиться к платформе наземной дистрибуции телеканалов «Медиалогистика 2.0» еще в 30 городах России.


Онлайн студент ТГУ выиграл международный хакатон, Тольяттинский государственный университет, 21:40, 01.12.2023, Россия
0
Сергей Борисовский, студент четвёртого курса Тольяттинского госуниверситета (ТГУ), обучающийся через систему высшего образования онлайн «Росдистант», занял первое место в международном хакатоне проекта «Цифровой прорыв. Сезон: Искусственный интеллект».



 

Релизы
Пресс релизы сегодняшнего дня
Архив пресс-релизов
Добавить пресс-релиз

Новости школы
Рассылка



Адрес школы


Москва, Олимпийская Деревня,
Мичуринский пр-т, д. 20 корп. 1

(495) 735-64-71
info@dmsh86.ru