WWW.KONFERENCIYA.SELUK.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА - Конференции, лекции

 

Безопасность SAP

в цифрах

Результаты глобального исследования

за период 2007–2011

Авторы:

Александр Поляков

Алексей Тюрин

Также участвовали:

Дмитрий Частухин

Дмитрий Евдокимов

Евгений Неёлов

Алина Оприско Безопасность SAP в цифрах Результаты глобального исследования за период 2007–2011 Оглавление Примечания

1. Введение

1.1. Новые тенденции корпоративной безопасности

2. Статистика уязвимостей

2.1. Количество уведомлений о безопасности SAP

2.2. Уведомления о безопасности SAP по критичности

2.3. Уведомления о безопасности SAP по типу

2.4. Количество благодарностей сторонним исследователям

2.5. Количество публично доступной информации

2.6. Топ-5 самых важных уязвимостей в 2011 году

3. Возрастающий интерес

3.1. Количество докладов по безопасности на технических конференциях

4. SAP в Интернете

4.1. Результаты поиска через Google по странам

4.2. Результаты поиска в Shodan по странам

4.3. Результаты сканирования портов по странам

5. Версии SAP

5.1. Версии движка ABAP

5.2. Версии движка J2EE

5.3. Популярные ОС для SAP

5.4. Популярные СУБД для SAP Backend

6. Критичные сервисы в Интернете

6.1. Сервис WebRFC в составе NetWeaver ABAP

6.2. Сервис CTC в составе NetWeaver J2EE

6.3. SAP Message Server HTTP

6.4. Консоль SAP Management

6.5. Сервис SAP Dispatcher

7. Выводы

О компании

Ссылки и дополнительная информация

Контактная информация

http://www.dsec.ru http://www.erpscan.ru Безопасность SAP в цифрах Результаты глобального исследования за период 2007– Примечания Согласно партнерскому соглашению с SAP, мы не имеем право публиковать подробную информацию о найденных уязвимостях до выпуска патча. Поэтому в данном отчете подробно описаны только те уязвимости, информацию о которых мы имеем право раскрывать на данный момент. Однако примеры эксплуатации всех упомянутых уязвимостей, доказывающие, что они действительно существуют, можно найти на видеозаписях с конференций, а также на erpscan.ru [1] и dsec.ru.

Также необходимо отметить, что наши исследования в области безопасности SAP вообще и сбора статистики в частности не заканчиваются на данном отчете. Мы планируем публиковать новые статистические данные как минимум ежегодно либо по мере появления новых методов атаки.

Последние обновления статистики SAP-систем, присутствующих в Интернете, можно найти на sapscan.com [2].

Этот документ, так же как отдельные его части, запрещено копировать и распространять без прямого письменного разрешения Digital Security. Компания SAP AG не является ни автором, ни издателем этого документа и не несет за него никакой ответственности. Digital Security не несет ответственности за ущерб, нанесенный кем бы то ни было кому бы то ни было при попытке эксплуатации описанных здесь уязвимостей. В этой публикации содержатся отсылки к продуктам SAP AG. SAP NetWeaver и другие продукты SAP, упомянутые далее, являются торговыми марками или зарегистрированными торговыми марками SAP AG, Германия.

http://www.dsec.ru http://www.erpscan.ru Безопасность SAP в цифрах Результаты глобального исследования за период 2007– Ядро каждой крупной компании – это ERP-система; в ней проходят все критичные для бизнеса процессы, начиная от закупки, оплаты и доставки и заканчивая управлением человеческими ресурсами, продуктами и финансовым планированием. Вся информация, хранящаяся в ERPcистемах, имеет огромное значение, и любой неправомерный доступ к ней может понести за собой громадные потери вплоть до остановки бизнеса. Согласно отчету Ассоциации специалистов по расследованию хищений/мошенничества (ACFE), в период с 2006 по 2010 годы потери организаций от внутреннего фрода составили [3] порядка 7 процентов от ежегодной выручки (!).

Вот почему мы решили провести детальное исследование в области безопасности SAP с использованием ERPScan – разработанной Digital Security системы мониторинга защищенности Потери организаций от внутреннего фрода составили порядка 7 процентов от Распространенный миф о том, что безопасность ERP – это только матрица SOD, за последние 5 лет исчерпал себя и уже кажется многим историей давно минувших дней. В течение последних 5 лет специалистами в области безопасности SAP было представлено множество докладов, рассказывающих в подробностях о различных атаках на внутренние подсистемы SAP, как то:

протокол обмена данными RFC, систему разграничения доступа – SAP ROUTER, на веб-приложения SAP и на клиентские рабочие станции под управлением SAP GUI [4]. Каждый год интерес к теме возрастает в геометрической прогрессии: если в 2007 году на специализированных технических конференциях по взлому и защите был всего 1 доклад про SAP [5], то в 2011 году их было более 20. За последнее время был выпущен ряд утилит для взлома, подтверждающих возможность осуществления атак на SAP [6], [7], [8].



Согласно статистике уязвимостей в бизнес-приложениях, за 2009 год было устранено более уязвимостей в продуктах SAP, тогда как за 2010 год их было уже более 500. А всего на март года насчитывается более 2000 SAP security notes — уведомлений об уязвимостях в тех или иных компонентах SAP.

Большинство из этих уязвимостей позволяет неавторизированному пользователю получить доступ ко всем критичным для бизнеса компании данным, что вынуждает задуматься о применении тех или иных решений, направленных на http://www.dsec.ru http://www.erpscan.ru 1.1. Новые тенденции корпоративной безопасности Тенденции развития инфраструктуры компаний в последнее время движутся от децентрализованной модели к интеграции всех бизнес-процессов в единые системы. Если раньше в компании было множество серверов, таких как почтовый, файловый, контроллер домена и прочие, то сейчас все эти функции интегрируются в единое бизнес-приложение, чем обеспечивают, с одной стороны, удобство доступа, а с другой, единую точку отказа. В бизнесприложениях и в ERP-системах хранятся все критичные данные компании, начиная от финансовой отчетности и персональных данных, и заканчивая списками контрагентов и объектами корпоративной тайны. Для внешнего злоумышленника или инсайдера такая система представляет собой основную мишень, и его конечная цель – это отнюдь не права администратора на контроллере домена.

Тем не менее, сейчас многие специалисты по безопасности, к сожалению, крайне поверхностно осведомлены о защите таких бизнес-приложений, как SAP. Проблема также состоит в том, что функции обеспечения безопасности лежат не на CISO, а на владельцах системы, которые фактически контролируют сами себя. В итоге за безопасность наиболее критичных элементов системы никто не отвечает.

Из менее глобальных проблем также стоит отметить:

Отсутствие квалифицированных специалистов. В большинстве компаний безопасность SAP со стороны SAP-специалистов воспринимается только как проблема SOD, со стороны же службы безопасности понимание угроз SAP в лучшем случае поверхностно, не говоря Огромное количество тонких настроек. В стандартных настройках системы существует более 1000 параметров, а также огромная масса тонких настроек, не говоря уже о разграничении прав к различным объектам, таким как транзакции, таблицы, RFCпроцедуры и прочие – к примеру, одних только веб-интерфейсов для доступа к системе может быть несколько тысяч. Во всей этой массе настроек задача по обеспечению безопасности даже одной системы может быть непростой задачей.

Кастомизируемые настройки. Вряд ли найдутся две одинаковые SAP-системы, поскольку большая часть настроек так или иначе затачивается под заказчика, и кроме того, разрабатываются свои программы, безопасность которых также следует учитывать при Автоматизация. Наличие большого количества систем с постоянно изменяемыми конфигурациями также вносит дополнительные проблемы.

Цель данного отчета – представить высокоуровневый обзор безопасности SAP в цифрах, чтобы вывести данную проблему с теоретического уровня на практический, основанный на реальных данных и измерениях: начиная от информации о количестве обнаруженных проблем и их популярности и заканчивая количеством уязвимых систем. Для этого мы реализовали глобальный проект по сканированию SAP-систем, доступных из сети Интернет [2].

http://www.dsec.ru http://www.erpscan.ru 2. Статистика уязвимостей В данном отчете содержится информация об уязвимостях в SAP, ранжированных по таким критериям, как популярность, критичность и наиболее уязвимые системы. Также представлен топсамых важных публично доступных уязвимостей, опубликованных в 2012 году.

2.1. Количество уведомлений о безопасности SAP Периодически компания SAP выпускает внутренний документ, который называется «уведомление о безопасности» (SAP Security note). В нем, как правило, хранится информация об одной или более уязвимостях в продуктах SAP или ошибках конфигурации, которые представляют риск для систем SAP. Первое такое уведомление было опубликовано в 2001 году. Начиная с 2007 года, их количество растет в геометрической прогрессии.

По данным на 26 апреля 2012, опубликовано более 2000 уведомлений о В течение 2011 года в День Критических Патчей (каждый второй вторник) обычно публиковалось примерно 65 уведомлений о безопасности SAP. Если сравнивать с другими производителями, то это больше, чем у Microsoft, Oracle и Cisco. Стоит отметить, что всего 3 года назад их было намного * Информация актуальна на 26 апреля 2012. К тому моменту было опубликовано уведомлений о безопасности.

http://www.dsec.ru http://www.erpscan.ru 2.2. Уведомления о безопасности SAP по критичности SAP использует 5 уровней критичности для своих уведомлений:

2 – Высокий приоритет 3 – Средний приоритет 4 – Низкий приоритет 5 – Рекомендации/дополнительная информация Большинство проблем (69%) имеют высокий приоритет, а это означает, что около 2/3 публикуемых уязвимостей необходимо исправлять быстро.

5 – Рекомендации/дополнительная информация Рис. 2.2-1 Количество уведомлений о безопасности SAP по уровню критичности http://www.dsec.ru http://www.erpscan.ru Мы проанализировали все опубликованные уведомления о безопасности SAP по типу. Самые популярные проблемы представлены на графике:

3 - Отсутствие проверки авторизации 5 - Неавторизованное использование… 6 - Стандартные пользовательские данные Стоит отметить, что новый тип уязвимости, который называется Verb Tampering [9], стал одним из самых популярных. Эта уязвимость класса «обход аутентификации» была впервые обнаружена Digital Security, а впоследствии было найдено целых 18 проблем этого типа.





Около 20% уязвимостей не вошли в этот рейтинг, так как в системах SAP присутствует значительное количество уникальных проблем. Некоторые из них описаны в нашей презентации «Топ-10 наиболее интересных уязвимостей в SAP» [10].

* Информация актуальна на 26 апреля 2012. К тому моменту было опубликовано уведомлений о безопасности.

http://www.dsec.ru http://www.erpscan.ru 2.4. Количество благодарностей сторонним исследователям В 2010 году SAP приняла решение благодарить сторонних исследователей безопасности за уязвимости, найденные в их продуктах. На диаграмме можно увидеть количество уязвимостей, обнаруженных сторонними исследователями с 2010 года. Половина уязвимостей была найдена и успешно исправлена компанией SAP с помощью Digital Security (50 уязвимостей и 26% от общего количества) и VirtualForge (44 уязвимостей, то есть 23%). Вторая половина была обнаружена двумя десятками других компаний, и их количество растет, что доказывает рост популярности данной 2.5. Количество публично доступной информации Наибольшую опасность представляют уязвимости, информация об эксплуатировании которых (подробное описание уязвимости, PoC-эксплойты или полноценные эксплойты) доступна онлайн.

Мы собрали информацию из следующих популярных источников:

http://www.dsec.ru http://www.erpscan.ru SecurityFocus [13] – здесь можно найти детальное описание, иногда PoC-эксплойт. Все уязвимости в этой базе имеют высокую вероятность эксплуатации. Здесь были найдены подробности о уязвимостях (6% от общего количества).

Exploit-DB [14] – здесь расположены готовые эксплойты, которыми можно пользоваться, не внося изменений и не имея никаких знаний об эксплуатировании соответствующей системы. Все уязвимости в этой базе имеют критичную вероятность эксплуатации. Здесь были найдены эксплойта (1% от общего количества уязвимостей).

http://www.dsec.ru http://www.erpscan.ru На графике ниже уязвимости отсортированы по вероятности и простоте эксплуатации, согласно количеству информации, которая доступна хакерам в публичных источниках, а не в закрытых уведомлениях о безопасности SAP.

Уведомление о Частичная информация Детали эксплуатации Рабочий эксплойт http://www.dsec.ru http://www.erpscan.ru Из множества опубликованных уязвимостей мы выбрали топ-5 проблем, представляющих наибольшую угрозу:

Обход аутентификации с помощью Verb Tampering [15] Обход аутентификации с помощью Invoker Servlet [16], [17] Переполнение буфера в вызове ядра ABAP [18] Удаленное выполнение кода через TH_GREP [19] Раскрытие JSESSIONID с помощью консоли SAP Management [20] 1. Обход аутентификации с помощью Verb Tampering Эта уязвимость была обнаружена в движке J2EE SAP NetWeaver. Она позволяет анонимному хакеру полностью скомпрометировать SAP-систему. Было обнаружено около 40 приложений, уязвимых к данной атаке. В наиболее критичном случае можно было создать любого пользователя, приписать ему любую роль в системе и выполнить любую команду в ОС.

Легкость эксплуатации: Высокая Описание: http://erpscan.com/advisories/dsecrg-11-041-sap-netweaverauthentication-bypass-verb-tampering/ 2. Обход аутентификации с помощью Invoker Servlet Эта уязвимость была обнаружена в движке J2EE SAP NetWeaver. Она позволяет анонимному хакеру обойти ограничения безопасности веб-сервисов SAP и напрямую вызывать критичные функции по наименованиям их классов. Около 30 приложений уязвимы к данной атаке. В зависимости от конкретного приложения можно добавлять в систему новых пользователей, читать системные файлы, в том числе файлы базы данных, или раскрывать критичную http://www.dsec.ru http://www.erpscan.ru Риск мошенничества: Критичный Легкость эксплуатации: Высокая Описание: http://help.sap.com/saphelp_nw70ehp2/helpdata/en/bb/f2b9d88ba4e 3. Переполнение буфера в вызове ядра ABAP В вызове ядра ABAP была обнаружена уязвимость переполнения буфера. Ее можно эксплуатировать путем вызова отчета ABAP, который использует уязвимый вызов ядра и передает в него данные, введенные пользователем. Эта уязвимость позволяет пользователю с правами BASIS скомпрометировать ОС и выполнять любые команды с правами пользователя adm.

Сейчас публично доступен только PoC-эксплойт, однако существует и рабочий эксплойт, созданный в нашей лаборатории.

Риск мошенничества: Критичный Доступность: Необходим пользователь с правами BASIS Легкость эксплуатации: Средняя. Необходимо хорошо знать технологию написания Описание: http://virtualforge.com/tl_files/Theme/whitepapers/BlackHat_EU_ 4. Удаленное выполнение кода через TH_GREP Уязвимости удаленного выполнения команд в ABAP приобрели популярность в 2011 году. Одна из наиболее известных таких уязвимостей была найдена в функциональном модуле TH_GREP. Что интересно, Джорис нашел эту уязвимость еще в 2010 году, она была исправлена, но наш исследователь Алексей Тюрин проанализировал патч и обнаружил, что он не полностью решал http://www.dsec.ru http://www.erpscan.ru проблему: в ОС Windows патч можно было обойти. И только тогда эта уязвимость была окончательно исправлена. Она позволяет авторизованному пользователю с правами BASIS скомпрометировать ОС и выполнять любые команды с правами пользователя adm.

Риск мошенничества: Критичный Доступность: Необходим пользователь с правами BASIS Легкость эксплуатации: Высокая.

Описание: http://erpscan.ru/advisories/dsecrg-11-039-sap-netweaver-th_grepmodule-code-injection-vulnerability-new/ 5. Раскрытие JSESSIONID с помощью консоли SAP Management Мариано Нуньес (Mariano Nunez) нашел в сервисе SAP MMC уязвимость, позволявшую анонимно читать любой лог-файл в SAP-системе. В свою очередь, в ходе тестирования SAP-систем на проникновение, мы обнаружили, что в лог-файлах иногда хранится значение JSESSIONID, если установлен максимальный уровень трассировки. А доступ к JSESSIONID означает возможность вставить его значение в файл cookie и войти в SAP-систему под видом существующего пользователя.

Риск мошенничества: Высокий Доступность: Средняя. Необходим удаленный доступ к MMC Легкость эксплуатации: Средняя. Должна быть включена трассировка Описание: http://erpscan.com/wp-content/uploads/2012/06/Top-10-mostinteresting-vulnerabilities-and-attacks-in-SAP-2012-InfoSecurityKuwait.pdf Автор: Впервые обнаружена Мариано Нуньесом (Mariano Nunez); новый http://www.dsec.ru http://www.erpscan.ru 3. Возрастающий интерес Тенденции информационной безопасности в настоящее время фокусируются в основном на мобильных приложениях, облачных сервисах, социальных сетях и критичных объектах инфраструктуры, которые, возможно, станут целью злоумышленников в ближайшем будущем.

Однако существует и такая область, как безопасность ERP-систем, и эти системы находятся под угрозой уже сейчас. Поэтому растет число компаний, которые занимаются безопасностью ERPсистем и разрабатывают ПО для аудита их безопасности. В то же время постоянно появляются новые компании, которые предлагают специализированные консалтинговые услуги в области безопасности ERP-систем.

С 2006 года безопасность SAP получает все больше внимания на технических конференциях по безопасности, таких как BlackHat, HITB и.т.п. С 2010 года эта тенденция распространилась и на другие конференции. Все больше компаний и исследователей публикуют исследования в области безопасности SAP. С 2006 по 2009 годы большая часть докладов была посвящена классическим угрозам ИБ в ландшафте SAP: безопасности веб-приложений SAP, безопасности клиентской части SAP, бэкдорам и троянам под SAP. В последний же год фокус внимания сместился на узкоспециализированные исследования различных типов уязвимостей в SAP, в коде ABAP и в SAP Kernel, таких как SQL-инъекции [21], переполнение буфера [18], уязвимости в движке J2EE.

Наиболее яркие примеры – Verb Tampering [15], Session Fixation [22], Invoker Servlet [9], а также уязвимости в собственных протоколах SAP – DIAG [23] и P4 [9].

Рис. 3.1-1 Количество докладов по безопасности SAP на различных конференциях по годам Количество докладов по безопасности SAP, представляемых на различных конференциях каждый год, показано на графике. Для 2012 года рассчитано примерное количество на основании данных * Данные получены с веб-сайтов различных конференций и актуальны на 26 апреля 2012 года http://www.dsec.ru http://www.erpscan.ru Среди множества людей, работающих с SAP, бытует миф, что SAP-системы изолированы от сети Интернет, поэтому все уязвимости в SAP могут эксплуатироваться только инсайдерами.

Из интервью с Саккаром Паулюсом (Sachar Paulus, старший вице-президент по защите продукта и безопасности в SAP) для журнала CIO [24]:

CIO: Каковы, на Ваш взгляд, важнейшие угрозы безопасности SAP? Какие аспекты обеспечения безопасности продуктов SAP Вы считаете наиболее сложными?

Саккар: Другая угроза – это люди, которые подключают свои SAP-системы к Интернету, чтобы усилить поддержку логистической цепи в системе или чтобы путем добавления нового функционала облегчить жизнь работникам. Проблема здесь в том, что классические, хорошо изученные сетевые угрозы плохо понятны ERP-сообществу. Люди, которые отвечают за ERPсистемы, понимают угрозу инсайдерской атаки, ведь они имели с ней дело много лет, но когда требования бизнеса диктуют необходимость подключения системы к Интернету, эти люди не думают о таких угрозах, как межсайтовый скриптинг. Могут появиться вирусы или черви под ERP-платформы, в то время как эти люди недостаточно понимают важность патчей. Это тяжелейший вызов для организаций. Чтобы принять этот вызов, необходимо сотрудничество между людьми, которые разбираются в безопасности ERP-систем, и людьми, которые разбираются в безопасности Интернета, электронной почты и веб-сервисов.

Бизнес-приложения доступны не только из внутренней сети; это миф, который был реальностью десять лет назад, когда вся информация о компании обычно хранилась на одном сервере. Бизнес меняется, и компаниям необходимы сетевые соединения между различными приложениями. Им необходимо иметь связь с филиалами по всему миру, обмениваться данными с клиентами через веб-порталы, системы SRM и CRM, иметь доступ к информации из любой точки мира посредством мобильных решений.

Почти все бизнес-приложения сейчас имеют доступ к Интернету.

Цель этой части отчета – разрушить упомянутый миф. Для этого мы продемонстрируем, какие сервисы доступны удаленно, каким компаниям они принадлежат и в каком плане эти сервисы уязвимы для современных угроз.

http://www.dsec.ru http://www.erpscan.ru 4.1. Результаты поиска через Google по странам Эта статистика была собрана с помощью несложных запросов в хорошо известной поисковой системе Google [25].

В результате сканирования было обнаружено около 610 уникальных серверов с различными вебприложениями SAP. Очевидно, что самая популярная платформа – J2EE. К сожалению, такие серверы более уязвимы, чем движок ABAP, так как в этой платформе как минимум 3 разных уязвимостей, которые могут эксплуатироваться анонимно и предоставляют полный доступ к системе. С другой стороны, в движке ABAP множество предустановленных пользовательских учетных записей со стандартными логинами и паролями [26], и хакеры могут этим воспользоваться. А у SAP BusinessObjects имеются обе эти проблемы.

http://www.dsec.ru http://www.erpscan.ru http://www.dsec.ru http://www.erpscan.ru

UNITED STATES

GERMANY

UNITED KINGDOM

NETHERLANDS

SWITZERLAND

BRAZIL

CANADA

FRANCE

BELGIUM

NORWAY

MEXICO

DENMARK

AUSTRIA

RUSSIA

FINLAND

Рис. 4.1-3 Общее количество серверов приложений SAP, найденных с помощью Google, http://www.dsec.ru http://www.erpscan.ru

UNITED STATES

GERMANY

UNITED KINGDOM

SWITZERLAND

FRANCE

BRAZIL

NETHERLANDS

CANADA

Рис. 4.1-4 Общее количество серверов SAP NetWeaver J2EE, найденных с помощью Google,

UNITED STATES

GERMANY

DENMARK

HUNGARY

AUSTRIA

CANADA

UNITED KINGDOM

Рис. 4.1-5 Общее количество серверов SAP NetWeaver ABAP, найденных с помощью Google, http://www.dsec.ru http://www.erpscan.ru

UNITED STATES

GERMANY

NETHERLANDS

BELGIUM

NORWAY

UNITED KINGDOM

FRANCE

Рис. 4.1-6 Общее количество серверов SAP Web Application Server, найденных с помощью Google, В качестве второго ресурса для поиска веб-интерфейсов SAP в сети Интернет был выбран www.shodanhq.com. Особенность этого сервиса в том, что он не только находит приложения, которые были индексированы поисковыми роботами, а сканирует весь Интернет на наличие открытого 80-го порта (и других), поэтому он использовался для дополнительного поиска SAPсистем.

В целом мы нашли 2677 серверов с разнообразными веб-приложениями SAP. Это в Рис. 4.2-1 Общее количество серверов приложений SAP, найденных через Shodan, http://www.dsec.ru http://www.erpscan.ru

UNITED STATES

GERMANY

BRAZIL

BELGIUM

FRANCE

UNITED KINGDOM

SWITZERLAND

CANADA

TURKEY

NETHERLANDS

DENMARK

MEXICO

TAIWAN

AUSTRALIA

Рис. 4.2-1 Общее количество серверов приложений SAP, найденных через Shodan, http://www.dsec.ru http://www.erpscan.ru 4.3. Результаты сканирования портов по странам Самая интересная и сложная часть данного исследования – сканирование Интернета не только на наличие веб-сервисов, но и сервисов, которые вообще не должны быть доступны через Интернет.

На данной стадии эта задача выполнялась посредством простого алгоритма, который сканировал только подсети серверов, которые были найдены через Google и Shodanhq (это около подсетей). Мы нашли большое количество портов, которые прослушиваются такими сервисами SAP, как Message Server HTTP, SAP Gateway, SAP HostControl. Количество открытых портов будет обновляться онлайн на www.sapscan.com – официальном сайте проекта.

Другой проект, который еще не завершен – глобальное сканирование Интернета на наличие открытых портов. На данный момент полностью просканирован лишь ряд крупнейших стран.

В качестве примера ниже приведены результаты сканирования России. Всего было обнаружено SAP-роутеров, установленных по умолчанию на порте 3299. После получения списка SAP-роутеров по всем подсетям, где были обнаружены SAP-роутеры, было запущено сканирование на наличие запрещенных для внешнего использования сервисов, таких как SAP Hostcontrol, SAP Dispatcher, SAP Message Server, SAP Management console.

10% российских компаний, которые используют SAP, открывают для сервиса SAP На диаграмме ниже показан процент компаний, которые открывают доступ в Интернет для тех или иных критичных SAP-сервисы.

SAP Dispatcher SAP Message SAP Message SAP HostControl SAP ITS Agate SAP MMC Рис. 4.3-1 Процент компаний в России, имеющих открытые порты тех или иных сервисов http://www.dsec.ru http://www.erpscan.ru Мы проверили, какие версии движков ABAP и J2EE чаще всего присутствуют в Интернете, чтобы понять жизненный цикл продуктов SAP и выяснить, какие версии продуктов популярны сейчас.

Мы также проверили, какие ОС и СУРБД используются совместно с системами SAP чаще всего.

Чтобы узнать версии ABAP, мы подключались к корню сервера приложений и анализировали HTTP-ответы. Мы также воспользовались уязвимостью раскрытия информации. Версию же SAP NetWeaver можно легко узнать, если приложение настроено небезопасно и позволяет атакующему извлекать информацию из /sap/public/info.

После сканирования всех доступных серверов SAP NetWeaver ABAP было обнаружено, что 59% из них уязвимы к раскрытию информации.

Лучшие настройки безопасности, такие как отключение доступа ко всем BSP, доступны по умолчанию в обновлении EHP 2, но EHP 2 установлена только на 11% серверов. Это означает, что, даже несмотря на заботу самой компании SAP о безопасности ее систем, без участия системных администраторов усилия разработчиков бесполезны.

Самая популярная версия (45%) – NetWeaver 7.0, а ведь она была выпущена в http://www.dsec.ru http://www.erpscan.ru Информацию о версии движка J2EE легко можно найти, прочитав отклик HTTP. Однако подробная информация о версии патча доступна, если сервер приложений настроен некорректно и позволяет атакующему просматривать информацию с некоторых страниц. Например, эти две страницы раскрывают информацию о движке J2EE: /rep/build_info.jsp и /bcb/bcbadmSystemInfo.jsp После сканирования всех доступных серверов SAP NetWeaver J2EE оказалось, что 62% из них уязвимы к раскрытию информации через страницу /rep/build_info.jsp и Подробная информация о версиях продуктов представлена ниже.

Используя страницу /sap/public/info, можно получить информацию о версиях ОС, где развернут ABAP. Анализ результатов поиска по SAP-системам, которые имеют выход в Интернет, показал, что самые популярные ОС – Windows NT (28%) и AIX (25%). Наша статистика, собранная в процессе внутренних аудитов SAP, показывает большую популярность систем *.NIX, хотя в системах, подключенных к Интернету, лидирует Windows.

http://www.dsec.ru http://www.erpscan.ru Самой популярной СУБД до сих пор является Oracle – 59%. Другие СУБД перечислены ниже.

Стоит отметить, что СУБД Oracle, установленная вместе с SAP, уязвима к очень опасной атаке, где обходится авторизация и неавторизованный пользователь получает прямой доступ к базе данных без каких-либо аутентификационных данных, из-за некорректного использования параметра REMOTE_OS_AUTHENT. Это очень старая проблема, опубликованная еще в 2002 году, но она все еще актуальна [29].

http://www.dsec.ru http://www.erpscan.ru 6. Критичные сервисы в Интернете Помимо веб-интерфейсов, которые должны быть доступны в Интернете из-за различных бизнестребований, таких как решения SAP Portal, SAP SRM или SAP CRM, существуют сервисы, которые вообще не должны быть доступны извне. Они не только несут потенциальный риск, но и имеют настоящие уязвимости и ошибки конфигурации, хорошо известные и хорошо описанные в публичных источниках. Конечно, мы не приводим полный список критичных сервисов SAP, только самые популярные из них. Были просканированы порядка 1000 подсетей компаний, использующих SAP. На графике показан процент компаний, где критичные SAP-сервисы оказались открытыми для удаленного доступа.

SAP MMC

SAP Message Server httpd Легко заметить, что самый популярный сервис – SAP Router, и это нормально, ведь его предназначение – быть открытым для удаленных подключений. Но как же остальные сервисы?

Они не должны быть доступны через Интернет, однако доступны. И количество их не так мало, как мы предполагали до начала проекта.

Такие сервисы, как SAP Dispatcher, SAP Message Server, SAP HostControl и другие, не должны быть доступными через Интернет, но на графике видно, что это не так.

WebRFC – это веб-сервис, по умолчанию доступный на платформе SAP NetWeaver ABAP. Он позволяет выполнять опасные функции RFC с помощью HTTP-запросов на порт NetWeaver ABAP и к странице /sap/bs/web/rfc. Некоторые из этих функций критичны, например:

http://www.dsec.ru http://www.erpscan.ru По умолчанию у любого пользователя есть доступ к этому интерфейсу и возможность выполнить команду RFC_PING, отправив XML-пакет. Для выполнения других функций необходимы дополнительные авторизации. Таким образом, существуют два основных риска:

Если в системе есть пользователь по умолчанию с предустановленным паролем, атакующий может выполнить многочисленные опасные RFC-функции, потому что у пользователей по умолчанию довольно опасные права.

Если хакер удаленно выяснит аутентификационные данные любого существующего пользователя, он сможет выполнить атаку типа «отказ в обслуживании», отправив запрос RFC_PING с видоизмененным XML-пакетом [30], [31].

Обнаружилось, что сервис WebRFC включен в 40% систем ABAP.

Мы не проверяли, используются ли в этих системах стандартные пароли, но в соответствии с разнообразной статистикой, собранной в процессе наших исследований и исследований коллег, одна или более учетная запись по умолчанию есть в 95% систем.

CTC, или ConfigTool – это веб-сервис, установленный по умолчанию на движке NetWeaver J2EE. Он позволяет удаленно контролировать движок J2EE. Этот веб-сервис можно найти через Google, и он часто находится в системах SAP Portal. Возможно выполнение таких функций, как:

Назначение пользователям ролей Удаленное включение и выключение движка J2EE Исследователи Digital Security обнаружили в этом сервисе уязвимость [9], которая называется Verb Tampering. Она позволяет обходить проверки авторизации при удаленном доступе к сервису CTC.

Это значит, что любой человек может удаленно получить полный неавторизованный доступ ко всей критичной для бизнеса информации, расположенной в движке J2EE.

Было обнаружено, что в 61% систем J2EE в Интернете включен сервис CTC.

Мы не проверяли, уязвимы ли эти системы, но наш опыт проведения тестов на проникновение показывает, что около 50% систем потенциально уязвимы.

SAP Message Server HTTP – это HTTP-порт сервиса SAP Message Server, который позволяет балансировать нагрузку на серверы приложений SAP. Обычно этот сервис доступен только внутри компании, однако в некоторых системах были обнаружены внешние IP-адреса, которые, как правило, не нужны для выполнения бизнес-задач и в то же время могут привести к выполнению критичных действий в системе. По умолчанию SAP Message Server прослушивает порт 80NN, где http://www.dsec.ru http://www.erpscan.ru NN – номер системы [32]. Одна из проблем SAP Message Server HTTP – возможность получить значения конфигурационных параметров SAP-системы удаленно без авторизации. Их можно использовать для дальнейших атак.

Сканирование выборки из 1000 подсетей компаний, использующих SAP, обнаружило 98 открытых для доступа систем Message Server HTTP.

Примерно каждая 10-я компания уязвима к неавторизованному сбору системных параметров удаленно через Интернет; большинство из них расположена в Китае SAP HostControl – это сервис, позволяющий удаленно контролировать системы SAP. Основные его функции – удаленное включение и выключение, для их использования необходимо знать логин и пароль. Помимо функций, требующих авторизации, существуют некоторые функции, доступные удаленно без авторизации. В основном они позволяют читать различные системные журналы, данные трассировки и иногда системные параметры. Такие функции и связанные с ними проблемы достаточно хорошо изучены Крисом Джоном Райли (Chris John Riley), независимым исследователем [33].

Гораздо более опасное открытие исследователей Digital Security связано с возможностью найти в файлах системных журналов значение JSESSIONID [10]. JSESSIONID – это идентификатор, контролирующий сессии HTTP. В ходе одной из возможных атак злоумышленник может вставить значение JSESSIONID в файл cookie веб-браузера и получить неавторизованный доступ к сессии пользователя.

То же самое сканирование, о котором шла речь в предыдущих пунктах, показало, что в 9% подсетей сервисы SAP Management открыты для доступа. Всего их оказалось 548.

Примерно каждая 11-я компания уязвима к атакам, позволяющим удаленно получить файлы системных журналов или значения системных параметров.

http://www.dsec.ru http://www.erpscan.ru SAP Dispatcher – это основной сервис клиент-серверных коммуникаций в SAP. Он позволяет подключаться к SAP NetWeaver с помощью приложения SAP GUI по протоколу DIAG. Порт SAP Dispatcher не должен быть напрямую доступен через Интернет, и даже доступ внутри сети должен быть предоставлен строго определенным пользователям или группам пользователей.

Примечание: речь идет о Dispatcher, а не о WEB Dispatcher, который, разумеется, должен быть доступен из Интернета.

Тем не менее, просканировав 1000 подсетей, мы обнаружили 832 сервиса SAP Dispatcher, доступных через сеть Интернет, в 15% сетей.

Каждая 6-я компания уязвима к DoS-атакам и к неавторизованному доступу со Почему это опасно?

Во-первых, этот сервис позволяет напрямую подключаться к SAP- системе с использованием SAP GUI, где злоумышленнику не нужно ничего, кроме действующего логина и пароля. А в SAP множество стандартных паролей, и наш опыт проведения тестов на проникновение показывает, что они актуальны в 95% систем.

Другая проблема, обнаруженная некоторое время назад компанией Core Security, заключается в том, что сервис SAP Dispatcher имеет множественные уязвимости переполнения буфера, которые могут привести к атаке типа «отказ в обслуживании», а одна из них к тому же позволяет выполнение кода [34]. 9 мая был опубликован код эксплойта, и теперь неавторизованный злоумышленник может эксплуатировать уязвимость без каких-либо прав в системе. Хорошая новость, правда, в том, что уязвимость работает только при условии включенной трассировки DIAG на уровне 2 или 3 – по умолчанию значение другое. В этом сервисе могут быть и другие проблемы, поэтому он не должен быть доступен удаленно.

http://www.dsec.ru http://www.erpscan.ru Можно сделать вывод, что интерес к безопасности SAP растет в геометрической прогрессии.

Учитывая растущее количество уязвимостей и огромное количество систем SAP, доступных через Интернет, мы предсказываем, что системы SAP могут стать мишенью не только для прямых направленных атак (так называемых APT), но и для массовой эксплуатации посредством «червей», в том числе использующих множество уязвимостей одновременно.

На данный момент мы тесно сотрудничаем с SAP Security Response Team в области поиска новых уязвимостей и методов атак, а также защиты от них, проводя обучающие семинары. Компания SAP регулярно публикует новые документы по безопасной конфигурации SAP-систем, тем самым обучая администраторов методам защиты от новых угроз. На данный момент основная миссия по защите SAP систем возложена на службу безопасности и администраторов, которым необходимо защищать свои системы, изучая руководства, настраивая безопасные конфигурации, устанавливая последние обновления и проводя аудит кода ABAP программ на постоянной основе.

http://www.dsec.ru http://www.erpscan.ru Digital Security — одна из ведущих российских консалтинговых компаний в области информационной безопасности, предоставляющая полный спектр услуг, в том числе проведение аудитов ИБ и тестов на проникновение, подготовку и сертификацию по PCI и PA-DSS, СТО БР ИББС, аудит защищенности систем ДБО, SCADA, ERP-, бизнес-приложений, web-приложений и платформ виртуализации.

Ключевым направлением деятельности компании являются исследования в области безопасности SAP-систем и разработка системы мониторинга безопасности SAP ERPScan — инновационного продукта по комплексной оценке защищенности и проверке соответствия стандартам для платформы SAP. Помимо этого, компания занимается консалтингом, тестами на проникновение и аудитом кода ABAP для SAP систем.

Digital Security является ведущим в мире партнером SAP AG по обнаружению и устранению уязвимостей в приложениях и системах SAP.

В основе опыта компании лежит исследовательская деятельность подразделения Digital Security Research Group, занимающегося поиском и анализом уязвимостей в критичных для бизнеса приложениях таких компаний, как Oracle, SAP, VMware, IBM, 1С и прочие. За время своей деятельности специалистами Digital Security Research Group было получено множество благодарностей от перечисленных компаний более чем за 200 обнаруженных уязвимостей.

Специалисты исследовательской лаборатории возглавляют проект OWASP-EAS и являются постоянными докладчиками международных конференций по практической безопасности, таких как BlackHat, HackInTheBox, Confidence и многих других.

http://www.dsec.ru http://www.erpscan.ru Ссылки и дополнительная информация 1. http://erpscan.ru – подразделение Digital Security, занимающееся разработкой решений для безопасности SAP 2. http://sapscan.com – веб-сайт проекта, посвященного глобальному сканированию портов SAP 3. http://www.lasvegassun.com/news/2009/nov/06/managing-fraud-lesson-recession/ 4. http://erpscan.com/publications/sap-security-attacking-sap-clients/ 5. http://cansecwest.com/slides06/csw06-lord.ppt 6. http://erpscan.com/products/erpscan-pentesting-tool/ 7. http://erpscan.com/products/erpscan-webxml-checker/ 8. http://www.cybsec.com/EN/research/sapyto.php 9. http://erpscan.com/wp-content/uploads/2011/08/A-crushing-blow-at-the-heart-SAPJ2EEengine_whitepaper.pdf 10. http://erpscan.com/wp-content/uploads/2012/06/Top-10-most-interesting-vulnerabilities-andattacksin-SAP-2012-InfoSecurity-Kuwait.pdf 11. http://scn.sap.com/docs/DOC-8218 – благодарности сторонним исследователям 12. http://cve.mitre.org – Common Vulnerabilities and Exposures 13. http://securityfocus.com – база данных об уязвимостях 14. http://exploit-db.com – база данных об эксплойтах от Offensive Security 15. http://erpscan.com/advisories/dsecrg-11-041-sap-netweaver-authentication-bypass-verbtampering/ http://virtualforge.com/tl_files/Theme/whitepapers/201106_SAP_Security_Recommendations_Protecti ng_JAVA_ABAP.pdf http://help.sap.com/saphelp_nw70ehp2/helpdata/en/bb/f2b9d88ba4e8459e5a69cb513597ec/framese 18. http://virtualforge.com/tl_files/Theme/whitepapers/BlackHat_EU_ 2011_Wiegenstein_The_ABAP_Underverse-WP.pdf 19. http://erpscan.ru/advisories/dsecrg-11-039-sap-netweaver-th_grep-module-codeinjectionvulnerability-new/ 20. http://www.onapsis.com/resources/get.php?resid=adv_onapsis-2011- http://www.dsec.ru http://www.erpscan.ru 21. http://virtualforge.com/tl_files/Theme/Presentations/HITB2011.pdf 22. http://www.taddong.com/docs/BlackHat_EU_2011_Siles_SAP_Session-Slides.pdf 23. http://www.sensepost.com/cms/resources/labs/tools/poc/sapcap/44con_2011_release.pdf 24. http://www.cio.com/article/216940/The_ERP_Security_Challenge 25. http://erpscan.com/press-center/blog/sap-infrastructure-security-internals-google-andshodanhacking-for-sap/ 26. http://erpscan.com/press-center/blog/sap-application-server-security-essentials-default-passwords/ 27. http://erpscan.com/advisories/dsecrg-11-023-sap-netweaver-sld-information-disclosure/ 28. http://erpscan.com/advisories/dsecrg-11-027-netweaver-bcb-%E2%80%93-missingauthorizationinformation-disclosure/ 29. http://www.lan-ks.de/~jochen/sap-r3/ora-hack-en.html 30. http://erpscan.com/advisories/dsecrg-11-029-sap-netweaver-soap-rfc-%E2%80%93-denial-ofserviceinteger-overflow/ 31. http://erpscan.com/advisories/dsecrg-10-005-sap-netweaver-xrfc-%E2%80%94-stack-overflow/ 32. http://www.sdn.sap.com/irj/scn/go/portal/prtroot/docs/library/uuid/4e515a43-0e01-0010-2da1bcc452c280b?QuickLink=index&overridelayout=true& 33. http://www.slideshare.net/ChrisJohnRiley/sap-insecurity-scrubbing-sap-clean-with-soap 34. http://blog.coresecurity.com/2012/05/09/core-labs-discovery-of-six-vulnerabilities-withinsapnetweaver/ http://www.dsec.ru http://www.erpscan.ru Контактная информация OOO «Диджитал Секьюрити»

115054, г. Москва, ул. Дубининская, д.57, стр. 197183, г. Санкт-Петербург, ул. Сабировская, д. тел. в Москве: +7 (495) 287- тел. в Санкт-Петербурге: +7 (812) 703-1547, 430- info@dsec.ru sales@dsec.ru www.erpscan.ru http://www.dsec.ru http://www.erpscan.ru

Похожие работы:

«VI международная конференция молодых ученых и специалистов, ВНИИМК, 20 11 г. РАЗРАБОТКА ТЕХНОЛОГИИ ПОЛУЧЕНИЯ НЕТОКСИЧНОГО КЛЕЕВОГО СОСТАВА ИЗ БЕЛКОВ СЕМЯН КЛЕЩЕВИНЫ Ольховатов Е.А. 350044, Краснодар, ул. Калинина, 13 ФГОУ ВПО Кубанский государственный аграрный университет olhovatov_e@inbox.ru Проведн обзор существующих традиционных способов получения клеевого состава (растительного казеина) из семян клещевины; рассмотрены недостатки этих способов для производства клеевого состава с высокими...»

«МИНИСТЕРСТВО КУЛЬТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ РОССИЙСКАЯ БИБЛИОТЕЧНАЯ АССОЦИАЦИЯ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ КУЛЬТУРЫ РОССИЙСКАЯ ГОСУДАРСТВЕННАЯ ДЕТСКАЯ БИБЛИОТЕКА КОНЦЕПЦИЯ БИБЛИОТЕЧНОГО ОБСЛУЖИВАНИЯ ДЕТЕЙ В РОССИИ на 2014 – 2020 гг. Принята Конференцией Российской библиотечной ассоциации, XIX Ежегодная сессия, 22 мая 2014 года, город Рязань Москва 2014 СОДЕРЖАНИЕ Преамбула 1. Общие положения 2. Миссия, цели и задачи библиотечного обслуживания детей 3. Современная система...»

«Межбанковская конференция Актуальные вопросы обеспечения информационной безопасности банков и защиты информации при осуществлении перевода денежных средств в национальной платежной системе Российской Федерации Сбор и анализ сведений о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств Толстая Светлана Александровна главный экономист Департамент регулирования расчетов 29 мая 2013 года Отчетность по форме 0403203...»

«Министерство сельского хозяйства Российской Федерации Федеральное государственное научное учреждение РОССИЙСКИЙ НАУЧНО-ИССЛЕДОВАТЕЛЬСКИЙ ИНСТИТУТ ПРОБЛЕМ МЕЛИОРАЦИИ (ФГНУ РосНИИПМ) ПУТИ ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ ОРОШАЕМОГО ЗЕМЛЕДЕЛИЯ Сборник научных статей Выпуск 44 Новочеркасск 2010 УДК 631.587 ББК 41.9 П 78 РЕДАКЦИОННАЯ КОЛЛЕГИЯ: В. Н. Щедрин (ответственный редактор), Ю. М. Косиченко, С. М. Васильев, Г. А. Сенчуков, Т. П. Андреева (секретарь). РЕЦЕНЗЕНТЫ: В. И. Ольгаренко – заведующий кафедрой...»

«Новые технологии 14. Гирина О. А., Ушаков С. В., Демянчук Ю. В. Пароксизмальное извержение вулкана Молодой Шивелуч, Камчатка, 9 мая 2004 г. // Вестник КРАУНЦ. Науки о Земле. – Петропавловск-Камчатский, 2007. № 2 (10). C. 65–73. 15. Гирина О. А., Ушаков С. В., Малик Н. А. и др. Действующие вулканы Камчатки и о. Парамушир Северных Курил в 2007 г. // Вулканология и сейсмология, 2009. № 1. С. 3–20. 16. Мельников Д. В. Анализ деформаций земной поверхности в районе Ключевской группы вулканов на...»

«Доклад о деятельности Football Supporters Europe В период Июль 2011-Июнь 2012 Заседания/Мероприятия Август 2011 Белград, Сербия: Участие в семинаре “Stronger together – Football Unites”, организованным балканским проектом FSE Alpe Adria, партнеров Fair Play-презентация межкультурной работы сторонников. Париж, Франция: Встреча с болельщиками Paris Saint-Germain на тему поддержки FSE и их отношениях с клубом Сентябрь 2011 Вена, Австрия: Участие двух членов комитета FSE в конференции по...»

«VI международная конференция молодых ученых и специалистов, ВНИИМК, 20 11 г. БИОЛОГИЧЕСКАЯ ЭФФЕКТИВНОСТЬ ПОЧВЕННЫХ ГЕРБИЦИДОВ НА ПОСЕВАХ ПОДСОЛНЕЧНИКА Ишкибаев К.С. 070512, Казахстан, г. Усть-Каменогорск, п. Опытное поле, ул. Нагорная, 3 ТОО Восточно-Казахстанский научно-исследовательский институт сельского хозяйства vkniish@ukg.kz В статье указаны биологические эффективности почвенных гербицидов применяемых до посева и до всходов подсолнечника и их баковые смеси. Известно, что обилие видов...»

«Информационный бюллетень 5 февраля 2011г. № 10 Полвека формируем мировую элиту Анонсы Экскурсии для студентов РУДН в период каникул 1, 3 и 5 февраля для всех студентов РУДН будут организованы бесплатные автобусные экскурсии в г. Звенигород, Владимир и Переяславль-Залесский. Запись в группу может быть произведена в главном здании РУДН (цокольный этаж, каб. №2). Профессора из Португалии в гостях у РУДН С 2 по 6 февраля в соответствии с Соглашениями о сотрудничестве в РУДН будут находиться проф....»

«№ 3(6), осень 2004 ГЛОБАЛЬНОЕ ПАРТНЕРСТВО СТРАН БОЛЬШОЙ ВОСЬМЕРКИ ПРОТИВ РАСПРОСТРАНЕНИЯ ОРУЖИЯ И МАТЕРИАЛОВ МАССОВОГО УНИЧТОЖЕНИЯ Саммит Большой восьмерки, прошедший на американском курорте Си Айленд (о. Морской) 8–10 июня 2004 г., перевер нул очередную страницу в истории Глобального партнерства (ГП), подведя итог второму году функционирования этой программы. Проблемы международной безопасности и не распространения играли одну из ключевых ролей в повестке дня саммита. Лидерами стран восьмерки...»

«Атом для мира Генеральная конференция GC(56)/OR.9 Выпущено в декабре 2012 года Общее распространение Русский Язык оригинала: английский Пятьдесят шестая очередная сессия Пленарное заседание Протокол девятого заседания Центральные учреждения, Вена, пятница, 21 сентября 2012 года, 21 час. 45 мин. Председатель: г-н БАРРОС ОРЕЙРО (Уругвай) Содержание Пункт повестки Пункты дня 23 Проверка полномочий делегатов (возобновление) 18 Осуществление соглашения между Агентством и Корейской 2–...»

«Созинов П.А., Соломенцев В.В., Король В.М., Велькович М.А., Бабуров В.И., Иванов В.П. Комплекс средств навигации, посадки и управления воздушным движением (УВД) для малой авиации Доклад на Международной конференции Восстановление региональной и малой авиации России – стратегическая задача национальной политики Международный салон гражданской авиации и воздухоплавания ИнтерАэроКом, СанктПетербург, 12-15 августа 2010 г. 1. Введение. Воздушный транспорт является практически безальтернативным...»

«АНАЛИТИЧЕСКАЯ ЗАПИСКА Будущее создаём ВСЕ МЫ: вопрос — какое? 1. Настоящее Публикация “К 2050 году население России сократится на треть и составит 100 млн человек”, размещённая на сайте www.newsru.com 13 января 2005 г., сообщает: Население России сократится на треть к середине этого столетия, в самой большой стране мира1 к 2050 году будут проживать около 100 миллионов человек. Это меньше, чем в Египте, Вьетнаме или Уганде. Об этом во вторник2 сообщает Reuters со ссылкой на материалы Совета...»

«СИСТЕМA СТАТИСТИКИ КУЛЬТУРЫ ЮНЕСКО 2009 СИСТЕМА СТАТИСТИКИ КУЛЬТУРЫ ЮНЕСКО – 2009 (ССК) ЮНЕСКО Решение о создании Организации Объединённых Наций по вопросам образования, наук и и культуры (ЮНЕСКО) было утверждено 20 странами на Лондонской конференции в ноябре 1945 г. Оно вступило в силу 4 ноября 1946 г. В настоящее время в Организацию входит 193 страны-члена и 7 ассоциированных членов. Главной целью ЮНЕСКО является укрепление мира и безопасности на земле путем развития сотрудничества между...»

«Жизнь в гармонии с природой Конвенция о биологическом разнообразии Конвенция о биологическом разнообразии (КБР) представляет собой международный юридически обязательный договор, три основные цели которого заключаются в сохранении биоразнообразия, устойчивом использовании биоразнообразия и совместном получении на справедливой и равной основе выгод, связанных с использованием генетических ресурсов. Ее общей задачей является стимулирование деятельности, ведущей к созданию устойчивого будущего....»

«БЕЗОПАСНОСТЬ SAP В ЦИФРАХ ЗА 12 ЛЕТ РЕЗУЛЬТАТЫ ГЛОБАЛЬНОГО ИССЛЕДОВАНИЯ 2001–2013 ГГ. Авторы: Александр Поляков Алексей Тюрин Также участвовали: Кирилл Никитенков Евгений Неёлов Алина Оприско Александр Круглов Результаты глобального исследования 2001-2013 0 Оглавление Оглавление Примечание 1. Введение 1.1. Новые тенденции корпоративной безопасности 2. Краткие результаты 3. Статистика уязвимостей 3.1. Количество уведомлений о безопасности SAP 3.2. Уведомления о безопасности SAP по критичности...»

«Вступительный доклад (введение в дискуссию) Международной организации труда на XVII Всемирном конгрессе по охране труда (Орландо, Флорида, США, 18 22 сентября 2005 г.) ДОСТОЙНЫЙ ТРУД – БЕЗОПАСНЫЙ ТРУД Докладчик – д р Юкка Такала, директор Целевой программы МОТ За безопасный труд, Международное бюро труда, Женева Над докладом также работали эксперты: Г. Альбрахт, П. Байчу, М. Гиффорд, Д. Голд, Дж. Кабори, Т. Каваками, В. Ким, А. Лопес Валкарсел, С. Мачида, Ф. Мучири, И. Кристенсен, М. Намиас, Ш....»

«Биоразнообразие - это жизнь Биоразнообразие - это наша жизнь Конвенция о биологическом разнообразии Конвенция о биологическом разнообразии представляет собой международный юридически обязательный договор, три основные цели которого заключаются в сохранении биоразнообразия, устойчивом использовании биоразнообразия и совместном получении на справедливой и равной основе выгод, связанных с использованием генетических ресурсов. Ее общей задачей является стимулирование деятельности, ведущей к...»

«т./ф.: (+7 495) 22-900-22 Россия, 123022, Москва 2-ая Звенигородская ул., д. 13, стр. 41 www.infowatch.ru Наталья Касперская: DLP –больше, чем защита от утечек 17/09/2012, Cnews Василий Прозоровский В ожидании очередной, пятой по счету отраслевой конференции DLP-Russia, CNews беседует с Натальей Касперской, руководителем InfoWatch. Компания Натальи стояла у истоков направления DLP (защита от утечек информации) в России. Потому мы не могли не поинтересоваться ее видением перспектив рынка DLP в...»

«Анализ текущего положения дел в сфере борьбы с торговлей людьми в Казахстане Доклад к третьей сессии Обзорной Конференции ОБСЕ 2010 года Астана, 26-28 ноября 2010 г. Общественный Фонд Международная Правовая Инициатива (г. Алматы) Женский ресурсный центр (г. Шымкент) Международное партнерство по правам человека (г. Брюссель) Общественный Фонд Международная Правовая Инициатива (МПИ) (г. Алматы) является некоммерческой неправительственной организацией, зарегистрированной в 2010 г. с целью...»

«ИТОГИ ПРОВЕДЕНИЯ I МЕЖДУНАРОДНОЙ НАУЧНО-ПРАКТИЧЕСКОЙ КОНФЕРЕНЦИИ ПЕРСПЕКТИВЫ РАЗВИТИЯ И БЕЗОПАСНОСТЬ АВТОТРАНСПОРТНОГО КОМПЛЕКСА 25-26 ноября в филиале КузГТУ в г. Новокузнецке прошла I Международная научнопрактическая конференция Перспективы развития и безопасность автотранспортного комплекса. Конференция проводилась при поддержке: ДЕПАРТАМЕНТ ОБРАЗОВАНИЯ И НАУКИ КЕМЕРОВСКОЙ ОБЛАСТИ КОМИТЕТ ОБРАЗОВАНИЯ И НАУКИ АДМИНИСТРАЦИИ Г. НОВОКУЗНЕЦКА МЕЖДУНАРОДНОЙ АССОЦИАЦИИ АВТОМОБИЛЬНОГО И ДОРОЖНОГО...»









 
2014 www.konferenciya.seluk.ru - «Бесплатная электронная библиотека - Конференции, лекции»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.