WWW.KONFERENCIYA.SELUK.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА - Конференции, лекции

 

Pages:   || 2 |

«Также участвовали: Кирилл Никитенков Евгений Неёлов Алина Оприско Александр Круглов Результаты глобального исследования 2001-2013 0 Оглавление Оглавление Примечание 1. Введение 1.1. ...»

-- [ Страница 1 ] --

БЕЗОПАСНОСТЬ SAP

В ЦИФРАХ ЗА 12 ЛЕТ

РЕЗУЛЬТАТЫ

ГЛОБАЛЬНОГО

ИССЛЕДОВАНИЯ

2001–2013 ГГ.

Авторы:

Александр Поляков

Алексей Тюрин

Также участвовали:

Кирилл Никитенков

Евгений Неёлов Алина Оприско Александр Круглов Результаты глобального исследования 2001-2013 0 Оглавление Оглавление Примечание

1. Введение

1.1. Новые тенденции корпоративной безопасности

2. Краткие результаты

3. Статистика уязвимостей

3.1. Количество уведомлений о безопасности SAP

3.2. Уведомления о безопасности SAP по критичности

3.3. Уведомления о безопасности SAP по типу

3.4. Количество благодарностей сторонним исследователям

3.5. Количество информации, доступной публично

3.6. Топ-5 самых важных уязвимостей в 2012 году

4. Рост интереса

4.1 Количество докладов по безопасности на конференциях

5. SAP в Интернете

5.1. Результаты поиска через Google по странам

5.2. Результаты поиска в Shodan по странам

5.3. Сетевой сканер Census

5.4. Результаты сканирования портов по странам

6. Версии SAP

6.1 Версии движка ABAP

6.2 Версии движка J2EE

6.3 Популярные ОС для SAP

6.4 Популярные СУБД для SAP Backend

7. Критичные сервисы в Интернете

7.1 SAProuter

7.2 Сервис WebRFC в составе NetWeaver ABAP

7.3 Сервис CTC в составе NetWeaver J2EE

7.4 SAP Message Server HTTP

7.5 Консоль SAP Management

7.6 SAP Host Control

7.7 Сервис SAP Dispatcher

8. Прогнозы на будущее и тренды

8.1 Внутренняя угроза

8.2 Внешние угрозы

8.3 SAP и расследование инцидентов

www.erpscan.ru•www.eas-sec.org Безопасность SAP в цифрах за 12 лет 8.4 К чему это может привести?

8.4.1 Autocad-вирус

8.4.2 Вирус интернет-торговли

8.4.3 Атака на новостные ресурсы (саботаж)

9. Выводы

О компании ERPScan

О EAS -SEC

Проект

Цели проекта

Ссылки и дополнительная информация

Наши контакты

Результаты глобального исследования 2001-2013 0 Примечание Примечание Согласно партнерскому соглашению с SAP, мы не имеем право публиковать подробную информацию о найденных уязвимостях до выпуска патчей. Поэтому в данном отчете подробно описаны только те уязвимости, информацию о которых мы имеем право раскрывать на данный момент. Однако дополнительные примеры эксплуатации, доказывающие существование описанных уязвимостей, доступны в презентациях с конференций, а также на сайте ERPScan.ru [ 1].

Наши исследования безопасности SAP, в том числе статистические, не ограничиваются этим отчетом. Новые статистические данные о SAP-сервисах в Интернете и другие начинания в рамках проекта EAS-SEC [2] доступны на SAPScan.com [3].

Это исследование было проведено ERPScan, дочерней международной компанией Digital Security, ведущего партнера SAP AG по обнаружению и закрытию уязвимостей.

Работа велась в рамках некоммерческого проекта EAS-SEC, созданного для повышения осведомленности в области защиты бизнес-приложений (Enterprise Application Security).

Этот документ в целом и отдельные его части запрещено копировать и распространять без прямого письменного разрешения Digital Security. Компания SAP AG не является ни автором, ни издателем этого документа и не несет за него никакой ответственности. Digital Security не несет ответственности за ущерб, нанесенный кем бы то ни было кому бы то ни было при попытке эксплуатации описанных здесь уязвимостей. В этой публикации содержатся отсылки к продуктам SAP AG. SAP NetWeaver и другие продукты SAP, упомянутые далее, являются торговыми марками или зарегистрированными торговыми марками SAP AG, Германия.

1. Введение Ядро каждой крупной компании – это ее ERP-система. В ней проходят все критичные для бизнеса процессы, начиная от закупки, оплаты и доставки и заканчивая управлением человеческими ресурсами, продуктами и финансами. Вся информация, хранящаяся в ERP-cистемах, имеет огромное значение, и неправомерный доступ к ней может повлечь за собой громадные потери вплоть до остановки бизнеса. Согласно отчету Ассоциации специалистов по расследованию хищений (ACFE), в 2012 году потери организаций от внутреннего фрода составили порядка процентов от ежегодной выручки [4]. Мировые потери от мошенничества оцениваются более чем в 3,5 трлн долларов в 2010–2012 гг. [5] Таким образом, в среднем организация теряет 5% годового дохода из-за мошенничества. Среднее значение за 4 года составляет 6 %. Вот почему мы решили провести детальное исследование в области безопасности SAP.

Потери от внутреннего мошенничества в среднем составляют 6% от годовой прибыли Когда-то распространенный миф о том, что безопасность ERP – это только матрица SoD, исчерпал себя и уже кажется историей давно минувших дней. В течение последних 7 лет специалистами в области безопасности SAP было представлено множество подробных докладов о различных атаках на внутренние подсистемы SAP: на протокол обмена данными RFC, на систему разграничения доступа SAProuter, на веб-приложения SAP и на клиентские рабочие станции под управлением SAP GUI [6]. Интерес к этой теме растет экспоненциально: в 2006 году был представлен всего 1 доклад [7] о SAP на технической конференции по взлому и безопасности, в то время как в 2011 году их было уже более 20. В 2013 году популярность этой темы вдохновила исследователей более чем на 30 различных отчетов и статей. Кроме того, выпускаются разнообразные инструменты для взлома, что доказывает возможность атак на SAP [8], [9], [10].



Согласно статистике уязвимостей в бизнес-приложениях, за 2009 год было устранено более уязвимостей в продуктах SAP, тогда как за 2010 год их было уже более 500. А всего на конец года насчитывается более 2800 SAP Security Notes – уведомлений об уязвимостях в тех или иных компонентах SAP.

Большинство уязвимостей в SAP позволяет неавторизованному пользователю получить доступ ко всем критическим бизнес-данным, поэтому необходим обзор основных направлений атак и способов обеспечения безопасности этих систем 1.1. Новые тенденции корпоративной безопасности Тенденции развития инфраструктуры компаний в последнее время движутся от децентрализованной модели к интеграции всех бизнес-процессов в одно целое. Если раньше в компании было множество серверов, таких как почтовый, файловый, контроллер домена и прочие, то сейчас все эти функции интегрируются в единое бизнес-приложение, чем обеспечивают, с одной стороны, удобство доступа, а с другой, единую точку отказа. В бизнесприложениях и в ERP-системах хранятся все критичные данные компании, начиная от финансовой отчетности и персональных данных и заканчивая списками контрагентов и объектами корпоративной тайны. Для внешнего злоумышленника или инсайдера такая система представляет собой основную мишень, и его конечная цель – это отнюдь не права администратора на контроллере домена.

Тем не менее, сейчас многие специалисты по безопасности, к сожалению, крайне поверхностно осведомлены о защите таких бизнес-приложений, как SAP. Другая проблема состоит в том, что функции обеспечения безопасности лежат не на CISO, а на владельцах системы, которые фактически контролируют сами себя. В итоге за безопасность наиболее критичных элементов системы никто не отвечает.

Из других значимых проблем также стоит отметить:

• Отсутствие квалифицированных специалистов SAP-специалисты большинства компаний считают безопасность SAP только проблемой разграничения доступа, со стороны же службы безопасности понимание угроз SAP в лучшем случае поверхностно, и тем более отсутствует представление о тонкой настройке системы.

• Огромное количество настроек В стандартных настройках системы более 1000 параметров, а также масса тонких настроек, не говоря уже о разграничении прав к различным объектам, включая транзакции, таблицы, RFCпроцедуры и прочее. Например, одних только веб-интерфейсов для доступа к системе может быть несколько тысяч. Задача обеспечения безопасности даже одной такой системы может быть непростой.

• Кастомизируемые настройки Вряд ли найдутся две одинаковые SAP-системы, поскольку большая часть настроек адаптируется под заказчика. Кроме того, разрабатываются свои программы, безопасность которых также следует учитывать при комплексной оценке.

Цель данного отчета – представить высокоуровневый обзор безопасности SAP в цифрах, чтобы вывести данную проблему с теоретического уровня на практический, основываясь на реальных данных и измерениях: начиная от информации о количестве обнаруженных проблем и их популярности и заканчивая количеством уязвимых систем, согласно результатам сканирования всей Сети [3].

Результаты глобального исследования 2001-2013 2 Краткие результаты 2. Краткие результаты Уязвимости Известные уязвимости постепенно исправляются, но появляются новые проблемы. SAP приобретает компании и разрабатывает новые технологии быстрее, чем исследователи Количество уязвимостей, обнаруживаемых за год, снижается по сравнению с пиком в 2010 г., но они становятся более критичными 69 % проблем, закрываемых SAP, помечены как критические Топ-5 уязвимостей этого года более критичны, чем топ-5 2012 г. Почти все они имеют CVSS, равный 10 (самый высокий показатель) Интерес Число компаний, обнаруживающих проблемы в SAP, растет (в 2 раза по сравнению с исследователей, становится все выше Интерес к безопасности платформы SAP растет экспоненциально, и не только среди whitehats – «этичных хакеров». Системы SAP могут стать мишенью как для прямого нападения (например, т.н. APT, Advanced Persistent Threat), так и для массовых атак благодаря целому ряду легко эксплуатируемых и повсеместно установленных SAP-служб и приложений, доступных из Интернета.

Внешние проблемы безопасности Было обнаружено почти 5000 систем SAProuter, и 85 % из них уязвимы к удаленному выполнению кода Почти на 30 % больше интернет-решений SAP (на 90 % больше систем SAP Portal) Резкий рост доли стран Латинской Америки и Азии в интернет-решениях SAP Самая популярная версия (35 %) – по-прежнему NetWeaver 7.0, выпущенная в 2005 году Треть веб-служб SAP, доступных из Интернета, вовсе не использует SSL Число разнообразных административных SAP-сервисов, доступных из Интернета, снизилось в 3–5 раз (в зависимости от конкретного сервиса), но по-прежнему велико Внутренние проблемы безопасности Число административных сервисов с критическими уязвимостями, доступными изнутри компании, чрезвычайно велико (30–95 % в зависимости от сервиса) Только в 10 % систем включены журналы аудита безопасности Внутреннее мошенничество и бэкдоры, написанные на языке ABAP, набирают большую популярность





Защита [+] Безопасность SAP в конфигурации по умолчанию становится намного лучше [+] SAP вкладывает деньги и ресурсы в безопасность, разрабатывает руководства и организует конференции безопасности Прогноз В безопасности SAP в ближайшее время будет оставаться много неохваченных областей SAP Forensics (расследование инцидентов) может стать новой исследовательской областью, так как сейчас обнаружить свидетельства инцидента в системе нелегко, даже если таковые присутствуют Новые типы целевого кибероружия, направленные на ERP-системы, могут появиться в Результаты глобального исследования 2001-2013 3 Статистика уязвимостей 3. Статистика уязвимостей В данном разделе содержится информация об уязвимостях в SAP, ранжированных по таким критериям, как популярность, критичность и наиболее уязвимые системы. Также представлен топсамых важных из доступных публично уязвимостей.

3.1. Количество уведомлений о безопасности SAP Каждый месяц в День критических патчей SAP (второй вторник месяца), выпускается в среднем около 30 так называемых уведомлений безопасности SAP (SAP Security Notes). В них, как правило, хранится информация об одной или более уязвимостях в продуктах SAP или ошибках конфигурации, которые представляют риск для систем SAP. Первое уведомление безопасности SAP было опубликовано в 2001 году. В 2007 году количество опубликованных уведомлений начало расти экспоненциально.

На 1 сентября 2013 г. опубликовано 2718 уведомлений безопасности SAP * Информация актуальна на 1 сентября 2013. К тому моменту было опубликовано В течение 2011 года в День критических патчей обычно публиковалось примерно 61 уведомление безопасности SAP. В 2012 году их число уменьшилось до 54 и к середине 2013 года достигало в среднем 29 в месяц. Если сравнивать с другими производителями, то это больше, чем у Microsoft, Oracle и Cisco. Стоит отметить, что всего 4 года назад (в 2009 г.) их было намного меньше (примерно в 6 раз).

Рис. 3.1–2 Среднее количество уведомлений безопасности, выпускаемых каждый месяц в разные Из этих двух графиков можно сделать вывод, что количество уведомлений безопасности снижается после пика в 2010 году. Тем не менее, их количество по-прежнему огромно, и, как можно увидеть ниже, процент критических уязвимостей растет.

3.2. Уведомления о безопасности SAP по критичности SAP использует 5 уровней критичности для своих уведомлений:

1 – Сенсация 2 – Высокий приоритет 3 – Средний приоритет 4 – Низкий приоритет 5 – Рекомендации/дополнительная информация Большинство проблем (69 %) имеют высокий приоритет, а это означает, что около 2/3 публикуемых уязвимостей необходимо исправлять быстро Результаты глобального исследования 2001-2013 3 Статистика уязвимостей Рис. 3.2–1 Количество уведомлений о безопасности SAP по уровню критичности Рис. 3.2–2 Количество высокоприоритетных уведомлений безопасности SAP по годам Рис. 3.2–3 Количество низкоприоритетных уведомлений безопасности SAP по годам Можно заметить, что общее количество уязвимостей, найденных в SAP, снижается, но исследователи переключились на поиск критичных уязвимостей.

3.3. Уведомления о безопасности SAP по типу Мы проанализировали все опубликованные уведомления о безопасности SAP по популярности.

Самые популярные проблемы представлены на графике:

3 наиболее распространенных типа уязвимостей охватывают 42 % (было 41 %) всех Топ-10 типов охватывают 63 % (было так же) всех уязвимостей Результаты глобального исследования 2001-2013 3 Статистика уязвимостей Около 20 % уязвимостей не вошли в этот рейтинг, так как в системах SAP много уникальных проблем. Некоторые из них описаны в нашей презентации «Топ-10 наиболее интересных уязвимостей в SAP» [10].

Кроме того, мы сравнили списки популярных уязвимостей в SAP для 2012 и 2013 года с OWASP Top 10. Есть ли различия между уязвимостями веб-систем и бизнес-приложений, и есть ли какая-либо динамика?

авторизации пользовательские данные кода Как видно, положение несколько изменилось. Мы можем только гадать, какова основная причина этих изменений, поскольку к ним могли привести много разных факторов, и числа могут быть не очень репрезентативны. Но есть несколько предположений.

Основными факторами, которые могут оказывать влияние на эти числа, являются:

Растущее число веб-приложений и, таким образом, все большее число веб-уязвимостей Усовершенствование инструментов статического анализа кода программного обеспечения, благодаря которому снижается количество проблем, которые можно легко найти с помощью простых регулярных выражений. С другой стороны, растет количество проблем, требующих более точного статического анализа кода, включая анализ потока Вывод:

Рост количества XSS-уязвимостей предсказуем из-за популярности веб-приложений, особенно приложений J2EE-стека, а также из-за усовершенствования инструментов статического анализа кода Снижение количества уязвимостей обхода каталога предсказуемо из-за того, что их легко найти и большинство из них уже найдены. Кроме того, компания SAP добавила некоторые новые механизмы и дополнительные проверки авторизации в новые версии продуктов, чтобы повысить защищенность от уязвимостей обхода каталога Количество SQL-инъекций растет из-за высокой степени их опасности. Кроме того, любые инъекции легче обнаруживаются более развитыми инструментами статического анализа С другой стороны, такая проблема, как предопределенные аутентификационные данные, еще долго не потеряет актуальности. Большое число уязвимостей этого типа уже найдено с помощью простых регулярных выражений, а другие будут «жить» необнаруженными в системах годами Некоторые области безопасности веб-приложений и ERP-систем сильно отличаются. Это служит еще одним доказательством того, что бизнес-приложениям нужен особый подход и особые приоритеты в выстраивании процессов SDLC 3.4. Количество благодарностей сторонним исследователям В 2010 году компания SAP приняла решение благодарить сторонних исследователей безопасности за уязвимости, найденные в ее продуктах [12]. На рисунке показано количество уязвимостей, обнаруженных внешними исследователями с 2010 года.

Рис. 3.4–1 Количество благодарностей сторонним исследователям по годам В 2010 году было всего 16 компаний, которые получили благодарности от SAP, но к середине года мы насчитали 46 различных компаний и 3 независимых исследователей, что в 3 раза больше.

Результаты глобального исследования 2001-2013 3 Статистика уязвимостей SAP уже поблагодарила внешние компании и исследователей за помощь в обнаружении уязвимостей в продуктах SAP. Большинство компаний нашли по одной уязвимости, тогда как специалистами компании ERPScan была найдена почти четверть всех уязвимостей, а точнее, (намного больше, чем у любой другой команды исследователей).

Правило 80/20 работает почти идеально. 80 % уязвимостей были обнаружены 17, Растет соотношение числа уязвимостей, найденных внешними исследователями, и уязвимостей, обнаруженных силами SAP. Также увеличивается количество внешних исследователей.

О чем еще здесь стоит упомянуть? В последнее время мы стали все чаще получать от SAP PSRT в ответ на информацию об очередной уязвимости сообщение, что она уже исправлена. Этому есть два возможных объяснения, и каждое из них является хорошей новостью для пользователей SAP.

Во-первых, SAP AG существенно улучшила свой внутренний цикл безопасной разработки (SDLC) и процесс исследования уязвимостей, поэтому некоторые проблемы SAP находит самостоятельно.

Во-вторых, иногда два разных исследователя одновременно открывают новую уязвимость, и это означает, что число исследователей активно растет.

Рекордное количество уязвимостей было обнаружено внешними исследователями Результаты глобального исследования 2001-2013 3 Статистика уязвимостей Рис. 3.4–5 Количество дублирующихся проблем, обнаруженных исследователями из ERPScan, по 3.5. Количество информации, доступной публично Наибольшую опасность представляют уязвимости, информация об эксплуатации которых (подробное описание уязвимости, PoC-эксплойты или полноценные эксплойты) доступна онлайн.

Мы собрали информацию из следующих популярных источников:

SecurityFocus [13] – здесь можно найти детальное описание, иногда PoC-эксплойт. Все уязвимости в этой базе имеют высокую вероятность эксплуатации. По состоянию на 1 сентября 2013 г., здесь были найдены подробности о 149 уязвимостях (5,5 % от общего количества).

Exploit-DB [16] – здесь расположены готовые эксплойты, которыми можно пользоваться, не внося изменений и не имея никаких знаний об эксплуатации соответствующей системы. Все уязвимости в этой базе имеют критичную вероятность использования. По состоянию на 1 сентября 2013 г., здесь были найдены 49 эксплойтов (1,8 % от общего количества уязвимостей).

На графике ниже уязвимости отсортированы по вероятности и простоте эксплуатации, согласно количеству информации, которая доступна хакерам в публичных источниках, а не в закрытых уведомлениях безопасности SAP.

Рис. 3.5–3 Уязвимости в SAP по вероятности и простоте эксплуатации (по состоянию на Результаты глобального исследования 2001-2013 3 Статистика уязвимостей 3.6. Топ-5 самых важных уязвимостей в 2012 году Из множества опубликованных уязвимостей мы выбрали Топ-5 проблем, представляющих наибольшую угрозу:

• SAP NetWeaver J2EE – SSRF в DilbertMSG [17] • SAP Host Control – Инъекция кода [18] • SAP NetWeaver J2EE – Чтение/запись файлов [19] • SAP Message Server – Переполнение буфера [20] • SAP Dispatcher – Переполнение буфера в протоколе DIAG [21] Мы выбрали 2 основных фактора среди прочих, позволяющих понять ценность уязвимостей, обнаруженных в 2012 году:

• Доступность – один из основных факторов. Означает, можно ли эксплуатировать уязвимость из Интернета без пользовательской авторизации.

• Критичность – насколько критичен будет вред, причиненный системе.

1. SAP NetWeaver J2EE – SSRF в DilbertMSG Уязвимость была найдена в XML-парсере движка SAP NetWeaver J2EE. Фактически, это несколько уязвимостей, которые ведут к атаке типа SSRF (Server Side Request Forgery, подделка запросов на стороне сервера), позволяющей анонимному злоумышленнику из сети Интернет отправлять любые TCP-пакеты в любую внутреннюю сеть, а также читать файлы ОС, минуя защиту сервера сообщений, проводить атаки типа «отказ в обслуживании» и многое другое. Этот тип атаки, возможно, не так критичен, как другие, которые будут представлены ниже, но ее открытие знаменует собой актуализацию нового типа проблем, и аналогичные бреши в безопасности могут появиться в будущем.

Мошенничество: Средний риск Доступность: Анонимно через Интернет эксплуатации:

Влияние в будущем: Высокое (новый тип атаки) Рекомендации: http://erpscan.com/advisories/dsecrg-12-036-sap-xi-authentication-bypass/ Исправление: Уведомление безопасности SAP Авторы: Александр Поляков, Алексей Тюрин, Александр Миноженко (ERPScan) 2. SAP Host Control – Инъекция кода Эта уязвимость была обнаружена в сервисе SAP Host Control движка ABAP SAP NetWeaver. Этот сервис по умолчанию слушает TCP-порт 1128. Данная уязвимость позволяет анонимному злоумышленнику выполнить любую команду операционной системы путем инъекции в пакет SOAP. Таким образом, данная уязвимость может быть использована только в случае, если SAP установлен поверх базы данных MaxDB. Данная уязвимость занимает второе место в нашем списке по следующим причинам: простота использования, возможность эксплуатации через Интернет, огромное количество видимых и доступных через интернет сервисов Host Control.

Мошенничество: Критический риск Доступность: Анонимно через Интернет Легкость Легко (существует модуль Metasploit) эксплуатации:

Влияние в Незначительное (единственный зафиксированный пример проблемы) будущем:

http://www.contextis.com/research/blog/sap-parameter-injection-no-spaceРекомендации:

Исправление: Уведомление безопасности SAP Результаты глобального исследования 2001-2013 3 Статистика уязвимостей 3. SAP NetWeaver J2EE – Чтение/запись файлов Данная уязвимость была найдена в стеке SAP NetWeaver J2EE и позволяет анонимному злоумышленнику получить права доступа к чтению и записи любого файла в операционной системе. Критичность данной уязвимости – 10 баллов по шкале CVSS. И только по двум причинам мы помещаем эту уязвимость лишь на третье место в нашем списке. Во-первых, уязвимый сервис доступен только внутренним службам, а во-вторых, в сети нет официальных опубликованных данных на тему того, как можно воспользоваться данной уязвимостью.

Мошенничество: Критический риск Доступность: Анонимно эксплуатации:

будущем:

Рекомендации: https://service.sap.com/sap/support/notes/ Исправление: Уведомление безопасности SAP 4. SAP Message Server – Переполнение буфера Уязвимость, найденная в сервисе SAP Message Server, основана на удаленном переполнении буфера и дает возможность исполнения любого кода на уровне операционной системы с правами администратора. Уязвимость была продана в Zero Days Initiative, а ее критичность оценивается в 10 балов из 10 по шкале CVSS. Еще одним критическим моментом является то, что данные об этой уязвимость могут легко утечь в сеть и распространится по всему Интернету.

Шпионаж: Критический риск Саботаж: Критический риск Мошенничеств Критический риск Доступность: Анонимно Легкость Средняя. Необходимо хорошее знание написания эксплойтов для различных эксплуатации: платформ Рекомендации: http://www.sensepost.com/cms/resources/labs/tools/poc/sapcap/44con_2011_rele Исправление: Уведомления безопасности SAP 1649840 и 5. SAP Dispatcher – Переполнение буфера в протоколе DIAG SAP Dispatcher – это основной сервис клиент-серверных коммуникаций в SAP. Он позволяет подключаться к SAP NetWeaver с помощью приложения SAP GUI по протоколу DIAG. Другая проблема, обнаруженная некоторое время назад компанией Core Security, заключается в том, что сервис SAP Dispatcher имеет множественные уязвимости переполнения буфера, которые могут привести к атаке типа «отказ в обслуживании», а одна из них к тому же позволяет выполнение кода [22].

9 мая был опубликован код эксплойта, и теперь неавторизованный злоумышленник может эксплуатировать уязвимость без каких-либо прав в системе. Хорошая новость состоит в том, что уязвимость работает только при условии включенной трассировки DIAG на уровне 2 или 3 – по умолчанию значение другое.

Мошенничество: Критический риск Доступность: Низкая. Должна быть подключена трассировка Легкость эксплуатации: Средняя http://www.coresecurity.com/content/sap-netweaver-dispatcherРекомендации:

4. Рост интереса Тенденции информационной безопасности в настоящее время фокусируются в основном на мобильных приложениях, облачных сервисах, социальных сетях и критичных объектах инфраструктуры, которые, возможно, станут целью злоумышленников в ближайшем будущем.

Однако существует и такая область, как безопасность ERP-систем, и эти системы находятся под угрозой уже сейчас. Поэтому неудивительно, что растет число компаний, которые занимаются безопасностью ERP-систем и разрабатывают ПО для аудита их безопасности. В то же время постоянно появляются новые компании, которые предлагают специализированные консалтинговые услуги в области безопасности ERP-систем.

4.1 Количество докладов по безопасности на конференциях узкоспециализированных конференциях по ИБ, включая BlackHat, HITB и т. п. Уже в 2004 году в некоторых докладах, например от Phonoelit, шла речь об исследованиях, затрагивающих безопасность SAP.ИБ, включая BlackHat, HITB и т. п. С 2010 года эта тенденция распространилась и на другие конференции; все больше компаний и исследователей стали проявлять интерес и публиковать свои открытия в области безопасности SAP. С 2006 по 2009 годы большая часть докладов фокусировалась на классических угрозах информационной безопасности в SAPландшафтах, таких как безопасность веб-приложений SAP, безопасность клиентской части SAP, описание бэкдоров и троянов, написанных специально под SAP. В последнее же время фокус конференций все больше смещается в сторону ретроспективных обзоров и таких направлений защиты SAP, как расследование инцидентов (Forensics).

В течении последних десяти лет практически не осталось ни одного компонента SAP, которую не взламывали или не пытались взломать. Исследователи успели обсудить защищенность почти каждой области SAP.

Начиная с 2003 г. практически все части SAP находились под угрозой атак, и каждый такой случай был поводом для обсуждения на технических конференциях Типовые направления: бэкдоры для SAP, руткиты под SAP, расследование инцидентов в Сервисы: SAP Gateway, SAProuter, SAP NetWeaver, SAP GUI, SAP Portal, SAP Solution Manager, SAP TMS, SAP Management Console [23], SAP ICM/ITS Протоколы: DIAG[24], RFC, SOAP (MMC), Message Server, P4[25] Языки и технологии: переполнение буфера в ABAP [26], SQL-инъекции в ABAP [27], J2EE Verb Tampering [28], J2EE Invoker Servlet [25] [29] [30] Обобщающие доклады: кибератаки на SAP, топ-10 интересных проблем, мифы о ERP Рис. 4.1–1 Количество докладов по безопасности SAP на различных конференциях по годам (Данные получены с веб-сайтов различных конференций и актуальны на 15 августа 2013 года) 5. SAP в Интернете Среди людей, работающих с SAP, бытует мнение, что SAP-системы существуют отдельно и изолированы от Сети, поэтому все уязвимости в SAP могут эксплуатироваться только инсайдерами.

Однако бизнес-приложения доступны не только из внутренней сети – это миф, который был реальностью десять лет назад, когда вся информация о компании могла храниться на одном отдельном сервере. Бизнес не стоит на месте, и компаниям жизненно необходимы сетевые соединения между различными приложениями. Крупным корпорациям нужно быть на связи через глобальную сеть с филиалами по всему миру, обмениваться данными с клиентами посредством веб-порталов, систем SRM и CRM, иметь доступ к информации из любой точки мира, используя мобильные решения.

Компании устанавливают SAP Portal, SAP SRM, SAP CRM, доступные удаленно Компании устанавливают соединения между различными офисами (возможно при Компании подключаются к SAP посредством SAProuter Пользователи SAP GUI подключены к Интернету Администраторы открывают доступ к Интернету для интерфейсов управления, чтобы иметь возможность работать с ними удаленно Практически все бизнес-приложения подключены к сети Цель, которую мы ставим перед собой в этой части отчета, – разрушить упомянутый миф. Для этого мы продемонстрируем, какие сервисы доступны удаленно, каким компаниям они принадлежат и насколько они уязвимы.

5.1. Результаты поиска через Google по странам Эта статистика была собрана с помощью несложных запросов в поисковой системе Google [31].

В результате сканирования было обнаружено 695 (ранее 610) уникальных серверов с различными веб-приложениями SAP. Это на 14 % больше, чем в 2011 г., принимая во внимание тот факт, что 22 % сервисов, созданных в 2011 г., недоступны на данный момент, и в то же время появилось порядка 35% новых сервисов. Очевидно, что самая популярная платформа – J2EE. К сожалению, такие серверы более уязвимы, чем движок ABAP, так как на данной платформе существуют как минимум 3 разных уязвимости, которые могут быть использованы анонимно и предоставить полный доступ к системе. Однако не стоит забывать, что в движке ABAP по умолчанию предустановлено множество пользовательских учетных записей со стандартными логинами и паролями [32], что предоставляет хакерам широкие возможности. В то же время, для SAP BusinessObjects актуальны обе из вышеописанных проблем.

Рис. 5.1–3 Общее количество серверов приложений SAP, найденных с помощью Google, 5.2. Результаты поиска в Shodan по странам В качестве второго ресурса для поиска веб-интерфейсов SAP в сети Интернет был выбран www.shodanhq.com. Особенность этого сервиса состоит в том, что он не только находит приложения, которые были проиндексированы поисковыми роботами, но также сканирует всю Сеть на наличие открытого 80-го (и не только) порта, что делает его весьма полезным для дополнительного поиска SAP-систем.

В результате сканирования было обнаружено около 610 уникальных серверов с Платформа SAP NetWeaver J2EE на данный момент, без сомнений, является наиболее популярной в Сети и продолжает набирать обороты. В соответствии со статистикой сервиса ShodanHQ, количество расположенных в Сети систем SAP Portal удвоилось всего за год.

Рис. 5.2–4 Общее количество серверов приложений SAP, найденных с помощью ShodanHQ, Статистика, собранная по странам, использующим веб-приложения SAP, также дает нам весьма интересную картину, особенно если сравнить ее с цифрами прошлого года. В соответствии с этими данными, наибольший рост количества веб-серверов SAP наблюдается в странах Латинской Америки и Азии.

5.3. Сетевой сканер Census В 2012 году неким анонимным исследователем был запущен весьма интересный проект – Census.

При помощи, в том числе, нелегальных технологий, таких как устройства для эксплуатации уязвимостей, он просканировал самые популярные порты по всей Сети. Вся информация, собранная сканером, была выложена в открытый доступ. Применительно к предмету нашего исследования, сканер был полезен для 80 порта. Итак, Census нашел 3326 IP-адресов с установленными веб-приложениями SAP, что примерно соответствует цифре, полученной от сервиса ShodanHQ. Также зафиксированная при помощи Census информация позволяет нам делать выводы об использовании SSL. Итак, в соответствии с этими данными, порядка трети приложений SAP, взаимодействующих с Интернетом, вообще не используют протокол SSL.

5.4. Результаты сканирования портов по странам Самая интересная и сложная часть нашего исследования посвящена сканированию Сети не только на наличие веб-сервисов, но и сервисов, которые вообще не должны быть доступны через Интернет.

На данной стадии эта задача выполнялась посредством простого алгоритма, который сканировал только подсети серверов, найденных через Google и ShodanHQ (что составило около подсетей). Мы нашли большое количество портов, которые прослушиваются такими сервисами SAP, как Message Server HTTP, SAP Gateway и SAP Host Control. В процессе сканирования была собрана информация по SAP-сервисам, находящимся в открытом доступе, включая SAP Host Control, SAP Dispatcher, SAP Message Server и SAP Management Console.

Рис. 5.4–1 Данные о количестве серверов приложений SAP по странам (сканирование портов с На диаграмме показан процент компаний, которые открывают доступ к Сети для различных некритичных SAP-сервисов. Данные о количестве открытых портов периодически обновляются на sapscan.com [3] – официальном сайте данного проекта.

10 % компаний, использующих SAP, делают доступными непосредственно в Сети такие критичные сервисы, как Gateway или Dispatcher, обходя защиту SAProuter Рис. 5.4–2 Процент компаний, открывающих доступ в Сеть для SAP-сервисов 6. Версии SAP Мы проверили, какие версии движков ABAP и J2EE чаще всего присутствуют в Интернете, чтобы получить представление о жизненном цикле продуктов SAP и выяснить, какие версии продуктов популярны сейчас. Мы также оценили, какие ОС и СУБД используются совместно с системами SAP чаще всего.

6.1 Версии движка ABAP Чтобы узнать версии ABAP, мы подключались к корневой директории сервера приложений и анализировали HTTP-ответы. Мы также воспользовались уязвимостью раскрытия информации.

Версию же SAP NetWeaver можно легко узнать, если приложение настроено небезопасно и позволяет атакующему извлекать информацию из URL запроса /sap/public/info. На данном этапе мы можем с удовлетворением констатировать, что, по сравнению с прошлым годом, значительно снизилось количество подключенных к Сети SAP-приложений с уязвимостями разглашения информации.

После сканирования всех доступных серверов SAP NetWeaver ABAP удалось выяснить, что 6 % (ранее 59 %) уязвимы для атак на раскрытие информации Использование актуальных версий жизненно важно для ИБ. Например, лучшие настройки безопасности, такие как отключение доступа ко всем веб-сервисам, доступны по умолчанию в обновлении EHP 2. Но EHP 2 установлена только на 23 % (ранее 11 %) от всех серверов. Это означает, что, даже несмотря на заботу компании SAP о безопасности своих систем, усилия разработчиков зачастую оказываются напрасны, если в процесс по улучшению безопасности SAP не включаются администраторы.

На данный момент наиболее популярной версией NetWeaver (35 % от общего числа, ранее 45 %) является версия 7.0, выпущенная еще в 2005 году!

Если мы сравним эти данные с 2012 годом, мы можем констатировать положительную динамику в увеличении количества установленных версий 7.3 и 7.2, что, однако, пока что является лишь каплей в море на общем фоне используемых версий.

6.2 Версии движка J2EE Информацию о версии движка J2EE можно легко найти, прочитав отклик HTTP. Однако подробная информация о версии патча также становится доступной, если сервер приложений настроен некорректно и позволяет атакующему просматривать информацию с некоторых страниц.

Например, как минимум эти три страницы раскрывают информацию о движке J2EE:

/rep/build_info.jsp и /bcb/bcbadmSystemInfo.jsp 2,6 % (ранее 61) [27], [33].

/rep/build_info.jsp и /bcb/bcbadmSystemInfo.jsp 1,5 % ранее (17 %) [27], [34].

/AdapterFramework/version/version.jsp[35] 2,7 % (новая уязвимость) Подробная информация о версиях продуктов представлена ниже.

Опять-таки, если сравнивать эти данные с 2012 годом, можно отметить ряд позитивных изменений. Так, самые новые версии, такие как 7.31 и 7.3, представлены на 12 % от всех серверов.

Детали в таблице:

6.3 Популярные ОС для SAP Используя URL /sap/public/info, можно получить информацию о версиях ОС, где развернут ABAP.

Анализ результатов поиска по SAP-системам, которые имеют выход в Интернет, показал, что самые популярные ОС – Windows NT (28%) и AIX (25%). Наша статистика, собранная в процессе внутренних аудитов SAP, показывает большую популярность систем *.NIX, хотя в системах, имеющих подключение к Сети, лидирует Windows.

Наиболее популярными ОС для SAP являются Windows NT (28 %) и AIX (25 %) 6.4 Популярные СУБД для SAP Backend Самой популярной СУБД до сих пор является Oracle – порядка 59 % от общего количества. Другие СУБД перечислены ниже:

Нельзя не обратить внимания на то, что СУБД Oracle, установленная вместе с SAP, уязвима к очень опасной атаке, где обходится авторизация и неавторизованный пользователь получает прямой доступ к базе данных без каких-либо аутентификационных данных, из-за некорректного использования параметра REMOTE_OS_AUTHENT. Это очень старая проблема, детали которой были опубликованы еще в 2002 году, но она продолжает оставаться актуальной и по сей день [36].

7. Критичные сервисы в Интернете Помимо веб-интерфейсов, которые должны быть доступны в Сети из-за различных бизнестребований (решения SAP Portal, SAP SRM или SAP CRM), существуют сервисы, которые вообще не должны быть доступны извне. Более того, их использование опасно, поскольку они имеют уязвимости и ошибки конфигурации, хорошо известные и описанные в открытых источниках.

Конечно, мы не приводим полный список критичных сервисов SAP, ограничиваясь только самыми популярными из них. Для данного исследования было просканировано порядка 1000 подсетей компаний, использующих SAP.

Сервисы наподобие SAP Dispatcher, SAP Message Server, SAP Host Control и другие, о которых пойдет речь дальше, не должны быть открыты для доступа через Сеть!

SAProuter – это специальный сервис, созданный SAP для различных целей, среди которых:

Обеспечение передачи запросов из SAP в Сеть и обратно (и не только);

Соединение разных систем SAP, расположенных в разных местах;

Соединение систем разных компаний, например компаний заказчиков и партнеров.

Основной целью данного сервиса является получение новейших обновлений для SAP и их удаленная установка. Помимо этого, он также обеспечивает доступ к сервисам Earlywatch. Таким образом, каждая компания, использующая SAP, должна установить SAProuter. Существует несколько способов его инсталляции, включая настройку доступа к SAP через VPN или открытие удаленного доступа SAProuter в Сеть, по умолчанию – к известному всем порту 3299. Больше об этом можно прочесть на Easy Service Marketplace [37].

Как показывает анализ систем SAProuter, сконфигурированных путем открытия порта на SAPроутеров, 99 из 1000 участвовавших в исследовании были подключены через порт, используемый по умолчанию. Что составляет 10% от общего числа (раньше этот процент достигал 32).

Данные, полученные в процессе этого исследования, показались нам недостаточными, поэтому мы запустили новый проект с целью выяснить, сколько всего систем SAProuter доступно в Сети. В первую очередь нас интересовало, какой процент из них был уязвим для существующих проблем и в особенности для одной крайне критичной уязвимости, найденной командой исследовательской лаборатории ERPScan. Данная уязвимость позволяет захватить полный контроль над SAProuter при помощи одного TCP-пакета и, таким образом, получить доступ к внутренней корпоративной сети. Проблема была закрыта в мае 2013 года, а детали есть в уведомлении безопасности SAP № 1820666. Мы решили подсчитать количество маршрутизаторов SAProuter, так и оставшихся уязвимыми через 6 месяцев после выпуска патча.

Результаты глобального исследования 2001-2013 7 Критичные сервисы в Интернете Итак, вот о чем свидетельствуют результаты сканирования:

В Сети было найдено порядка 4600 SAProuter;

В 15% случаев на роутерах отсутствовал ACL. Их можно было использовать для следующих o Сканировать внутреннюю сеть;

o В случае обнаружения чего-либо отправить проксированный запрос на внутренний На 19 % роутеров была определена уязвимость разглашения информации, относящаяся ко внутренним системам, которую можно использовать для реализации следующих схем o Вызвать отказ в обслуживании сервиса SAProuter установкой множества подключений на любой из списка SAP-серверов (по умолчанию установлен предел o Отправить любой запрос на любой из внутренних адресов SAP или другой бизнессистемы, если на роутере не настроен ACL.

В 5 % случаев у роутеров была установлена небезопасная настройка, обход аутентификации которой могла приводить к изменению настроек SAProuter удаленно без прохождения аутентификации;

И наконец, 85 % роутеров до сих пор подвержены уязвимости класса Heap Overflow, закрытой почти полгода назад. Уязвимость позволяет получить административный доступ к серверу, на котором установлен SAProuter, и, например, подменять на лету обновления, идущие на SAP-серверы. С помощью этой уязвимости можно получить доступ во внутренние сети порядка 4600 мировых компаний Существует отдельное уведомление безопасности, относящееся к SAProuter, – 1895350.

85 % из порядка 5000 систем SAProuter в Сети оказались уязвимыми 7.2 Сервис WebRFC в составе NetWeaver ABAP WebRFC – это веб-сервис, по умолчанию доступный на платформе SAP NetWeaver ABAP. Он позволяет выполнять опасные функции RFC с помощью HTTP-запросов на порт NetWeaver ABAP и к странице /sap/bs/web/rfc. Некоторые из этих функций критичны, например:

Чтение данных из таблиц SAP;

Создание пользователей SAP;

Выполнение команд ОС;

Финансовые транзакции и т.д.

По умолчанию у любого пользователя есть доступ к этому интерфейсу и возможность выполнить команду RFC_PING, отправив XML-пакет. Для выполнения других функций необходимы дополнительные авторизации. Таким образом, существует два основных риска:

Если в системе есть пользователь по умолчанию с предустановленным паролем, атакующий может выполнить многочисленные опасные RFC-функции;

Если хакер удаленно выяснит аутентификационные данные любого существующего пользователя, он сможет выполнить атаку типа «отказ в обслуживании», отправив запрос RFC_PING с видоизмененным XML-пакетом [38], [39].

Было обнаружено, что 6 % (ранее – порядка 40 %) из ABAP систем, представленных Мы не проверяли, используются ли в этих системах стандартные пароли, но в соответствии с разнообразной статистикой, собранной в процессе наших исследований и исследований коллег, одна или более предустановленная учетная запись есть в 95 % систем.

7.3 Сервис CTC в составе NetWeaver J2EE CTC, или ConfigTool, – это веб-сервис, установленный по умолчанию на движке NetWeaver J2EE. Он позволяет удаленно контролировать движок J2EE. Этот веб-сервис можно найти через Google, и он часто находится в системах SAP Portal. Возможно выполнение таких функций, как:

* Создание пользователей;

* Назначение пользователям ролей;

* Выполнение команд ОС;

* Удаленное включение и выключение движка J2EE.

Исследователи Digital Security обнаружили в этом сервисе уязвимость [25], которая называется Verb Tampering. Она позволяет обходить проверки авторизации при удаленном доступе к сервису CTC. Это значит, что любой человек может удаленно получить полный неавторизованный доступ ко всей критичной для бизнеса информации, расположенной в движке J2EE.

По статистике, в 50 % (ранее – порядка 61 %) J2EE-систем, имеющих подключение к К сожалению, вынуждены констатировать, что ситуация с доступностью через сеть CTC-сервисов, установленных на J2EE системах за последний год, практически не изменилась, что является плохим знаком и свидетельствует, что большая часть из них продолжает оставаться уязвимой.

Мы не проверяли, уязвимы ли эти системы, но наш опыт проведения тестов на проникновение показывает, что около 50% систем продолжают оставаться потенциально уязвимыми для атак. Так, недавно компания Nvidia отключила корпоративный портал поддержки, основанный на SAP Portal, из-за публикации об обнаруженной там уязвимости в сервисе CTC и, как следствие, потенциальном взломе и утечке данных [57].

Результаты глобального исследования 2001-2013 7 Критичные сервисы в Интернете 7.4 SAP Message Server HTTP SAP Message Server HTTP – это HTTP-порт сервиса SAP Message Server, который позволяет балансировать нагрузку на серверы приложений SAP. Обычно этот сервис доступен только внутри компании, однако в некоторых системах данный сервис был обнаружен и на внешних IP-адресах.

По умолчанию SAP Message Server прослушивает порт 80NN, где NN – номер системы [40]. Одна из проблем SAP Message Server HTTP – возможность получить значения конфигурационных параметров SAP-системы удаленно без авторизации. Их можно использовать для дальнейших атак.

Сканирование выборки из 1000 подсетей компаний, использующих SAP, обнаружило 29 открытых для доступа систем Message Server HTTP.

Примерно 2 % (по сравнению с 11% раньше) компаний оставляют доступ в Интернет для Message Server HTTP, что может приводить к удаленному несанкционированному сбору сведений о системе 7.5 Консоль SAP Management SAP Management Console, или SAPControl, – это сервис, позволяющий удаленно контролировать системы SAP. Основные его функции – удаленное включение и выключение, для их использования необходимо знать логин и пароль.

Помимо функций, требующих авторизации, существуют некоторые функции, доступные удаленно без авторизации. В основном они позволяют читать различные системные журналы, данные трассировки и системные параметры. Такие функции и связанные с ними проблемы достаточно хорошо изучены Крисом Джоном Райли (Chris John Riley), независимым исследователем [33].

Гораздо более опасное открытие исследователей Digital Security связано с возможностью найти в файлах системных журналов значение JSESSIONID [11]. JSESSIONID – это идентификатор, контролирующий сессии HTTP. В ходе одной из возможных атак злоумышленник может вставить значение JSESSIONID в файл cookie веб-браузера и получить неавторизованный доступ к сессии пользователя.

То же самое сканирование, о котором шла речь в предыдущих пунктах, показало, что в 2% подсетей сервисы SAP Management открыты для доступа.

Во время наших собственных тестов на проникновение мы имели возможность видеть, что процент уязвимых систем несравненно больше. Приблизительно 80 % из 250 сканированных серверов компаний, согласившихся принять участие в данном исследовании, оказались подвержены риску из-за описываемой проблемы.

Около 2 % (раньше 9 %) используют сервис SAP MMC, подключенный к Сети, что делает возможным неавторизованный доступ к системным журналам SAP Host Control – это сервис, позволяющий удаленно контролировать системы SAP. Он может быть установлен вручную на любом хосте для удаленного сбора данных с системы SAP. Сервис обычно работает на порте 1128. Основные его функции требуют знания логина и пароля. Помимо функций, требующих авторизации, существуют некоторые функции, доступные удаленно без нее.

Первая – это возможность читать файлы трассировки, не будучи авторизованным. Зачастую в такой документации могут храниться данные о паролях и другая, не менее интересная информация. Вторая уязвимость является куда более опасной и уже была описана в Топ-листе пяти самых критичных уязвимостей 2012 года. Она позволяет делать удаленную инъекцию команд ОС для последующего выполнения на стороне сервера [41].

То же самое сканирование, о котором шла речь в предыдущих пунктах, показало, что в 0,6 % (ранее 2,6 %) подсетей сервисы SAP Host Control открыты для доступа. На самом деле это немного, так как сервис является дополнительным и устанавливается по мере надобности вручную.

Во время внутренних тестов на проникновение мы заметили, что уязвимость сохраняется на большем количестве систем. Примерно 30 % из отсканированных 250 серверов компаний – участников исследования оказались уязвимы к данной проблеме.

Приблизительно 1 % (ранее – порядка 2 %) компаний используют сервис SAP Host Control, доступный через Интернет, что означает опасность неавторизованного 7.7 Сервис SAP Dispatcher SAP Dispatcher – это основной сервис клиент-серверных коммуникаций в SAP. Он позволяет подключаться к SAP NetWeaver с помощью приложения SAP GUI по протоколу DIAG. Порт SAP Dispatcher не должен быть напрямую доступен через Интернет, и даже доступ внутри сети должен быть предоставлен строго определенным пользователям или группам пользователей.

Примечание: речь идет о Dispatcher, а не о WEB Dispatcher, который, разумеется, должен быть доступен из Интернета.

Тем не менее, просканировав 1000 подсетей, мы обнаружили 0,6 % (ранее 15 %) подсетей с открытым SAP Dispatcher.

Результаты глобального исследования 2001-2013 7 Критичные сервисы в Интернете Каждая 160-я компания в мире уязвима для DoS-атак и неавторизованного проникновения по установленному по умолчанию паролю к SAP Dispatcher Почему это опасно?

Во-первых, этот сервис позволяет напрямую подключаться к SAP- системе с использованием SAP GUI, где злоумышленнику не нужно ничего, кроме действующего логина и пароля. А в SAP множество стандартных паролей, и наш опыт проведения тестов на проникновение показывает, что они актуальны в 95% систем.

Другая проблема, найденная Core Security и описанная в Топ-5 самых опасных SAP уязвимостей 2012 года, состоит в том, что сервис SAP Dispatcher содержит множество уязвимостей переполнения буфера, что может приводить к атакам на отказ в обслуживании, а в некоторых случаях к исполнению кода [42]. Код эксплойта был опубликован еще в мае 2013 года, и теперь неавторизованный злоумышленник может эксплуатировать уязвимость без каких-либо прав в системе. Хорошая новость, правда, состоит в том, что уязвимость работает только при условии включенной трассировки DIAG на уровне 2 или 3 – по умолчанию значение другое.

В этом сервисе могут быть и другие проблемы, поэтому он не должен быть доступен удаленно.

8. Прогнозы на будущее и тренды Несмотря на обилие проблем с безопасностью SAP, до сих пор новостей о реальных взломах с использованием уязвимостей в SAP было немного. В то время как в прошлом отчете реальных примеров не было вообще, сейчас мы имеем три примера.

В ноябре 2012 года Infosecurity Magazine опубликовал статью об атаке на министерство финансов Греции хакерской группировкой Anonymous, где якобы был использован SAP-эксплойт, что спровоцировало утечку критичных документов, порочащих компанию-жертву. Информация, с одной стороны, не была подтверждена SAP AG или другими официальными источниками, с другой стороны, не было и официального опровержения. Однако сама по себе статья на данную тему – знак пробуждения интереса к безопасности SAP в будущем.

В ноябре 2013 года, когда данный отчет был практически завершен, коллеги из компании Dr. Web поделились с нами примером банковского трояна. Более поздние версии этого трояна имели функции поиска и проверки наличия SAP GUI на рабочей станции. Это, без сомнения, является одним из первых признаков возрастающего интереса к бизнес-приложениям. Детали можно просмотреть в пресс-релизе [40]. Как выяснилось позднее, троянская программа не только проверяла факт наличия SAP-клиента на рабочей станции, но и выполняла полноценный функционал специализированного трояна: перехват логинов и паролей для подключения к SAP, создание скриншотов работы с SAP.

В январе 2014 года появилась новость о том, что компания Nvidia отключила корпоративный портал поддержки из-за публикации об обнаруженной там уязвимости в SAP Portal и, как следствие, потенциальном взломе и утечке данных. Данную уязвимость обнаружили специалисты компании ERPScan три года назад. Несмотря на многократные предупреждения, специалисты Nvidia не установили обновления и не закрыли брешь в безопасности [57].

Причина, почему взлом SAP нечасто освещается в открытой печати, во-первых, в том, что никто не хочет делиться информацией о несанкционированных проникновениях в систему, особенно внутренних. Внешнее же проникновение, в случае с ERP-системами, в большинстве случаев означат промышленный шпионаж, поэтому по определению не может получить огласку (за исключением, возможно, трояна из предыдущего примера). Во-вторых, как ни шокирующе это звучит, многие компании вовсе не следят за активностью SAP-системах и не протоколируют события. Как же можно быть уверенными в том, что не было проникновения в систему, не зная, что в ней происходит? Может быть, оно все-таки было?

Результаты глобального исследования 2001-2013 8 Прогнозы на будущее и тренды Внутренние атаки, предпринимаемые инсайдерами, становятся все более вероятными в наше время,. Более того, согласно отчету Ассоциации специалистов по расследованию хищений/мошенничества (ACFE), в 2012 г. потери организаций от внутреннего фрода составили [3] порядка 5 % от ежегодной выручки (!). Что можно добавить? 45 % организаций, занимающихся финансами, пострадали от фрода за последние 12 месяцев, что на 30 % больше по сравнению с другими отраслями (если судить по последнему отчету PWC [43]). Киберпреступления составляют 38 % от всех преступлений, которые происходят в финансовых организациях. И это число будет только расти вместе с развитием ИТ-индустрии. Участникам данного исследования в свое время была предоставлена возможность увидеть несколько примеров того, какие проблемы могут возникать из-за незащищенности внутренней сети. Их можно разделить на три категории:

манипуляции с зарплатами, манипуляции с имуществом и ошибки, допущенные вследствие неправильного использования прав и паролей.

Не только хакеры-одиночки, но и крупные компании зачастую могут быть заинтересованы в атаках на ERP-системы, воровстве корпоративных данных или DoS-атаках на инфраструктуру компанийконкурентов.

У нас была возможность побеседовать с коммерческими организациями, занимающимися продажей и покупкой эксплойтов в среде частных и государственных компаний (услуги по разведке безопасности) и спросить, существует ли спрос на эксплойты в области ERP-систем. Как оказалось, он огромен. Такая известная компания, как Zero Day Initiative, только в 2012 году купила пять эксплойтов для SAP, настолько критичных, что они попали в наш топ-5 критичных проблем для SAP в 2012 году.

Помимо этого, существуют специализированные форумы по продаже доступа в ботнеты с диапазоном IP-адресов определенных компаний. В наши дни крупные компании и корпорации зачастую обладают большей силой, чем некоторые правительства, поэтому в будущем вполне возможны крупные корпоративные войны, в которых наиболее интересными целями могут стать системы, критичные для бизнеса.

8.3 SAP и расследование инцидентов Не много примеров попало в открытый доступ на данный момент. В большинстве случаев так происходит потому, что очень мало организаций устанавливают инструменты, позволяющие отследить вредоносную активность. Поэтому даже если их система была подвержена атаке, они зачастую оказываются не готовы к расследованию инцидентов, поскольку не в состоянии зафиксировать или доказать факт атаки. Компании оказываются неспособны идентифицировать атаку. Основываясь на наших выводах, сделанных в процессе исследования 250 серверов компаний, давших свое согласие на публикацию результата, можно сделать весьма печальные выводы.

Оказалось, что только 10 % серверов компаний используют журналы аудита SAP, и в то же время лишь 2 % системных логов подвергаются хоть какому-нибудь системному анализу. Что еще хуже – лишь 1 % компаний проводят комплексный анализ событий безопасности SAP и учитывают их корреляцию. Никто не может утверждать с уверенностью, подвергались ли компании какомулибо риску или нет.

Детальное изучение системных журналов, учет которых ведется в разнообразных системах, дает нам следующую картину:

Столь большая разница между HTTP-логами и другими логами объясняется тем, что первые включены по умолчанию.

Результаты глобального исследования 2001-2013 8 Прогнозы на будущее и тренды 8.4 К чему это может привести?

Так как в данном исследовании мы не ограничивались описанием текущего состояния дел, но и пытались давать какие-либо прогнозы, было принято решение взглянуть на существующие вредоносные программы и выяснить, что же может готовить для нас ближайшее будущее в плане угроз безопасности бизнес-приложениям. На основании рассмотрения трех различных примеров недавно найденных вредоносных программ можно выделить три типа различных атак, которые могут послужить началом новой эры в развитии направленных атак на корпорации и их ERPсистемы.

Этот пример промышленного шпионажа довольно интересен. Мы считаем его одним из первых примеров направленного корпоративного шпионажа, сфокусированного на определенной цели. Основываясь на исследованиях данного вируса, можно прийти к заключению, что его создали в Китае с целью воровства секретных производственных документов. Если развивать данную идею, можно было бы предположить, что с целью воровства определенного вида данных у конкурентов гораздо большее количество узкоспециализированных вирусов было разработано. Некоторых знаний об устройстве SAP или подобных бизнес-приложений вполне достаточно для того, чтобы создать вирус, который, например, сможет атаковать SAP PLM (Product Lifecycle Management – управление жизненным циклом продукта) при помощи определенной уязвимости и знания того, где система хранит релевантную информацию [44].

Другой интересный пример – вирус Ranbys и его модификация для платформы QUICK, созданная для интернет-трейдинга. Данный вирус вполне может совершить кражу аккаунтов, но, что гораздо страшнее, – если вы дадите ему возможность делать что-то автоматически, например покупку определенных акций, их стоимость будет автоматически расти, что даст сигнал на покупку торговым роботам и биржевым «быкам». Таким образом можно повысить стоимость акций на несколько процентов, что с учетом большого количества акций может привести к колоссальным прибылям.

Обратные же действия по продаже определенных акций в конечном итоге могут привести к коллапсу всей системы, не менее опасному, чем во время кризиса. Что касается SAP, ни для кого из нас не секрет, что номера банковских счетов хранятся в определенной таблице, и, если будет существовать червь, способный изменять эти данные, вполне возможно будет совместить силу компьютерного червя с возможностями фрода, переводя значительные суммы денег, вплоть до попыток нарушения экономики страны [45].

8.4.3 Атака на новостные ресурсы (саботаж) Этот пример также представляет несомненный интерес и показывает нам, насколько легко обмануть рынок при помощи фальшивых новостей. Сама идея может быть также использована путем взлома портала организации, основанного на SAP и публикацию там неверной информации, провоцируя, таким образом, манипуляции [46].

Итак, надеемся, нам удалось показать пару пугающих примеров развития событий в случае взлома такой критичной системы, как SAP. Представьте себе, насколько опасная ситуация может сложиться, если кто-то получит контроль над SAP-системами целой страны.

9. Выводы Старые проблемы постепенно исправляются, но множество появляющихся новых систем также остается уязвимым. И если количество уязвимостей постепенно сокращается по сравнению с годом, они со временем становятся намного критичнее. Растет количество компаний, находящих проблемы в SAP, на основании чего мы можем заключить, что интерес к безопасности SAPплатформ растет по экспоненте. У этого, в свою очередь, также есть положительные стороны: в частности, каждый новый выходящий продукт SAP по умолчанию гораздо безопаснее, чем раньше.

Учитывая растущее количество уязвимостей и огромное количество систем SAP, доступных через Интернет, мы предсказываем, что системы SAP могут стать мишенью не только для прямых направленных атак (так называемых APT), но и для массовой эксплуатации посредством «червей», в том числе использующих множество уязвимостей одновременно, что уже было продемонстрировано трояном Shiz. И несмотря на то, что множество проблем было закрыто за последнее время, все еще остается множество областей, до которых у исследователей не успели дойти руки, а там, в свою очередь, может скрываться большое число пока еще не известных уязвимостей. На данный момент мы тесно сотрудничаем с SAP Product Security Response Team в области поиска новых уязвимостей и методов атак, а также защиты от них, проводя обучающие семинары. За последний год многое изменилось, представители SAP теперь вкладывают огромное количество ресурсов во внутренние SDLC-процессы и внутренние конференции по безопасности.

К сожалению, как и год назад, большая часть ответственности за обеспечение безопасности до сих пор лежит на плечах администраторов, которым следует защищать свои SAP-системы за счет изучения руководств, усиления безопасности конфигурации, управления обновлениями, проверок исходного кода и постоянного мониторинга. Кроме того, нам кажется, что расследования инцидентов в SAP вполне могут стать новой областью исследований, поскольку не так-то просто найти какие-либо улики в сложной разветвленной системе журналов системного аудита SAP, даже если они ведутся. И чем больше атак будет совершаться на SAP, тем больше необходимости возникнет в расследованиях инцидентов и мониторинге безопасности.

О компании ERPScan ERPScan, дочерняя международная компания Digital Security, была основана в 2010 году, и за три года добилась признания на мировом рынке. На ее счету – благодарности от крупнейших вендоров (SAP, Oracle, HP, IBM, Apache и других) за обнаруженные уязвимости. ERPScan является ведущим партнером SAP AG по обнаружению и закрытию уязвимостей, и признается Global Excellence Awards одной из самых инновационных компаний на рынке информационной безопасности.

ERPScan занимается исследованиями безопасности ERP-систем и бизнес-приложений, в частности, SAP. Именно поэтому программным флагманом компании является – система мониторинга безопасности SAP, инновационный продукт для комплексной оценки защищенности и проверки соответствия стандартам.

Это ПО является единственным решением на рынке для оценки и анализа четырех уровней безопасности SAP: оценки уязвимостей, анализа исходного кода, SoD-конфликтов, управления информацией о безопасности и событиях и расследовании инцидентов безопасности. Данное решение используется влиятельными компаниями из разных секторов экономики, включая крупнейшие в мире ядерные, нефтяные, газовые и логистические корпорации, контролирующие параллельно десятки систем SAP. Помимо этого, компания ERPScan занимается консалтингом, тестами на проникновение и аудитом кода ABAP для SAP-систем.

ERPScan удостоена множества международных наград. В 2013 году компания получила статус наиболее яркой из быстроразвивающихся компаний (Hot Companies) в Лас-Вегасе, США, от Network Products Guide. Система ERPScan Security Monitoring Suite была удостоена бронзовой медали и премии в категории Information Security and Risk Management и в категории Security Software (New or Upgrade version). Александр Поляков, технический директор ERPScan, получил золотую награду и звание лучшего профессионала в области исследований и разработок года (R & D Professional of the Year).

EAS-SEC (ранее был частью глобальной стратегической группы OWASP Projects ) [47] – всемирная некоммерческая организация, цель которой – улучшение безопасности бизнес-приложений.

EAS-SEC является превосходным решением для людей, вовлеченных в процесс приобретения, разработки и внедрения крупномасштабных решений – так называемых бизнес-приложений.

Безопасность корпоративных приложений является наиболее распространенной темой для дискуссий в широкой теме корпоративных приложений, поскольку они контролируют ресурсы организации, включая фонды, которые вполне можно потерять в результате взлома системы.

Целью проекта EAS-SEC, запущенного еще в 2010 г., является повышение осведомленности о проблемах безопасности корпоративных и бизнес-приложений среди пользователей, администраторов и разработчиков, а также создание руководств и инструментов, призванных способствовать безопасности, сохранности настроек и защищенности разработки корпоративных приложений. Проводится общий анализ основных бизнес-приложений, а также собираются данные о ключевых областях безопасности, на которые необходимо обращать внимание при разработке и установке. Также проводились исследования «Безопасность SAP в цифрах 2011» [48] и «The state of SAP security 2013: Vulnerabilities, threats and trends» [49]. Результаты данных исследований были представлены на ключевых конференциях, таких как RSA, а также получили огласку в прессе [50].

Вот список основных задач EAS-SEC, на основе которых основывались подпроекты:

1.Уведомление широкой публики об уязвимостях безопасности корпоративных приложений посредством ежегодных статистических отчетов по уязвимостям безопасности корпоративных приложений.

Подпроект: Статистика уязвимостей корпоративных бизнес-приложений [51].

2. Помощь компаниям, занятым в разработке ПО, повышение безопасности их решений.

Подпроект: Enterprise Business Application Security Vulnerability Testing Guide [52].

3. Развитие свободных расширенных инструментов, как для оценки безопасности корпоративных приложений [53].

4. Помощь компаниям в оценке безопасности корпоративных приложений на начальных этапах.

Подпроект: Enterprise Business Application Security Implementation Assessment Guide [54].

Ссылки и дополнительная информация [1] ERPScan – Ведущий партнер SAP AG по обнаружению и закрытию уязвимостей, http://erpscan.ru/ [2] OWASP-EAS, http://eas-sec.org/ [3] Публичная мировая статистика SAP-систем, http://sapscan.com/ [4] ACFE Report to the Nations, http://www.acfe.com/uploadedFiles/ACFE_Website/Content/rttn/2012-report-to-nations.pdf [5] SAP Security: attacking SAP clients, http://erpscan.com/publications/sap-security-attacking-sapclients/ [6] Отчет Steve Lord с конференции CanSecWest, http://cansecwest.com/slides06/csw06-lord.ppt [7] ERPScan’s SAP Pentesting Tool, http://erpscan.com/products/erpscan-pentesting-tool/ [8] ERPScan WEBXML Checker, http://erpscan.com/products/erpscan-webxml-checker/ [9] Sapyto – SAP Penetration Testing Framework, http://cybsec.com/EN/research/sapyto.php [10] Top 10 most interesting SAP vulnerabilities and attacks, http://erpscan.com/wpcontent/uploads/2012/06/Top-10-most-interesting-vulnerabilities-and-attacks-in-SAP-2012InfoSecurity-Kuwait.pdf [11] Благодарности SAP сторонним исследователям, http://scn.sap.com/docs/DOC- [12] База данных об уязвимостях Security Focus, http://securityfocus.com [13] База эксплойтов Offensive Security, http://exploit-db.com [14] SAP NetWeaver J2EE – DilbertMSG SSRF, http://www.lan-ks.de/~jochen/sap-r3/ora-hack-en.html [15] SAP Host Control – Command injection, http://contextis.com/research/blog/sap-parameterinjection-no-space-arguments/ [16] SAP NetWeaver J2EE – File Read/Write, https://service.sap.com/sap/support/notes/ [17] SAP Message Server – Buffer Overflow, http://www.zerodayinitiative.com/advisories/ZDI-12-112/ [18] SAP Dispatcher – Diag protocol Buffer Overflow, http://www.coresecurity.com/content/sapnetweaver-dispatcher-multiple-vulnerabilities [19] Uncovering SAP vulnerabilities: Reversing and breaking the Diag protocol, http://corelabs.coresecurity.com/index.php?module=Wiki&action=attachment&type=publication& page=Uncovering_SAP_vulnerabilities_reversing_and_breaking_the_Diag_protocol&file=Slides.pdf [20] SAP Management Console Information Disclosure, Результаты глобального исследования 2001-2013 0 Ссылки и дополнительная информация http://www.onapsis.com/get.php?resid=adv_onapsis-2011- [21] Systems Applications Proxy Pwnage, http://www.sensepost.com/cms/resources/labs/tools/poc/sapcap/44con_2011_release.pdf [22] Architecture and program vulnerabilities in SAP’s J2EE engine, http://erpscan.com/wpcontent/uploads/2011/08/A-crushing-blow-at-the-heart-SAP-J2EE-engine_whitepaper.pdf.



Pages:   || 2 |
Похожие работы:

«РУКОВОДСТВО ПО СТОЙКИМ ОРГАНИЧЕСКИМ ЗАГРЯЗНИТЕЛЯМ ДЛЯ НПО Структура действий для защиты здоровья человека и окружающей cреды от стойких органических загрязнителей (СОЗ) Подготовлено Джеком Вайнбергом Старшим советником по политике Международной сети по ликвидации СОЗ Перевод Эко-Согласия Это Руководство может быть воcпроизведено только в некоммерческих целях с разрешения IPEN 1 List of Abbreviations and Acronyms BAT наилучшие имеющиеся методы BEP наилучшие виды природоохранной деятельности КАС...»

«ДИПЛОМАТИЯ ТАДЖИКИСТАНА (к 50-летию создания Министерства иностранных дел Республики Таджикистан) Душанбе 1994 г. Три вещи недолговечны: товар без торговли, наук а без споров и государство без политики СААДИ ВМЕСТО ПРЕДИСЛОВИЯ Уверенны шаги дипломатии независимого суверенного Таджикистана на мировой арене. Не более чем за два года республику признали более ста государств. Со многими из них установлены дипломатические отношения. Таджикистан вошел равноправным членом в Организацию Объединенных...»

«НАНОТЕХНОЛОГИИ – ПРОИЗВОДСТВУ 2014 X-я Международная юбилейная научно-практическая конференция НАНОТЕХНОЛОГИИ – ПРОИЗВОДСТВУ 2014 состоялась 2-4 апреля 2014 года в культурном центре Факел Наукограда Фрязино Московской области. Организаторы мероприятия: Министерство инвестиций и инноваций Московской области, Министерство наук и и образования РФ, Торговопромышленная палата РФ, Венчурная компания Центр инновационных технологий ЕврАзЭС, ОАО Российская промышленная коллегия, Администрация Наукограда...»

«АКАДЕМИЯ НАУК РЕСПУБЛИКИ ТАТАРСТАН ИНСТИТУТ ЭКОНОМИКИ, УПРАВЛЕНИЯ И ПРАВА (г. КАЗАНЬ) СОЦИАЛЬНО-ПСИХОЛОГИЧЕСКАЯ БЕЗОПАСНОСТЬ НАРОДОВ ПОВОЛЖЬЯ Материалы Международной научной конференции 22 июня 2009 г. Казань 2009 2 УДК 159.9.:39: 316.7 ББК 88 С 69 Печатается по рекомендации Академии наук Республики Татарстан и решению Ученого совета Института экономики, управления и права (г. Казань) Рецензенты: доктор психологических наук А.Н. Грязнов; доктор философских наук, профессор М.Д. Щелкунов; доктор...»

«ЦЕНТРАЛЬНАЯ КОМИССИЯ СУДОХОДСТВА ПО РЕЙНУ ДУНАЙСКАЯ КОМИССИЯ ЕВРОПЕЙСКАЯ ЭКОНОМИЧЕСКАЯ КОМИССИЯ CMNI/CONF (99) 2/FINAL ECE/TRANS/CMNI/CONF/2/FINAL 3 октября 2000 г. Дипломатическая конференция, организованная совместно ЦКСР, Дунайской Комиссией и ЕЭК ООН для принятия Будапештской конвенции о договоре перевозки грузов по внутренним водным путям (Будапешт, 25 сентября - 3 октября 2000 года) БУДАПЕШТСКАЯ КОНВЕНЦИЯ О ДОГОВОРЕ ПЕРЕВОЗКИ ГРУЗОВ ПО ВНУТРЕННИМ ВОДНЫМ ПУТЯМ (КПГВ) -2Государства -...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ Правительство Иркутской области НП Союз предприятий пищевой и перерабатывающей промышленности Иркутский государственный технический университет Биотехнология растительного сырья, качество и безопасность продуктов питания Материалы докладов Всероссийской научно-практической конференции, посвященной 80-летию ИрГТУ Иркутск, 28 – 30 октября 2010 г ИЗДАТЕЛЬСТВО Иркутского государственного технического университета 2010 УДК 620.3:664 (082) Биотехнология...»

«Использование водно-земельных ресурсов и экологические проблемы в регионе ВЕКЦА в свете изменения климата Ташкент 2011 Научно-информационный центр МКВК Проект Региональная информационная база водного сектора Центральной Азии (CAREWIB) Использование водно-земельных ресурсов и экологические проблемы в регионе ВЕКЦА в свете изменения климата Сборник научных трудов Под редакцией д.т.н., профессора В.А. Духовного Ташкент - 2011 г. УДК 556 ББК 26.222 И 88 Использование водно-земельных ресурсов и...»

«С 24 по 28 июня 2013 года в Москве на базе Московского -результаты эксперимента и молекулярно-термодинамического Российская академия наук государственного университета тонких химических технологий моделирования свойств молекулярных растворов, растворов Министерство образования и науки РФ имени М.В.Ломоносова (МИТХТ) будет проходить XIX электролитов и ионных жидкостей, включая системы с International Union of Pure and Applied Chemistry химическими превращениями; термодинамические свойства...»

«Труды преподавателей, поступившие в мае 2014 г. 1. Баранова, М. С. Возможности использования ГИС для мониторинга процесса переформирования берегов Волгоградского водохранилища / М. С. Баранова, Е. С. Филиппова // Проблемы устойчивого развития и эколого-экономической безопасности региона : материалы докладов X Региональной научно-практической конференции, г. Волжский, 28 ноября 2013 г. - Краснодар : Парабеллум, 2014. - С. 64-67. - Библиогр.: с. 67. - 2 табл. 2. Баранова, М. С. Применение...»

«Дата: 21 сентября 2012 Паспорт безопасности 1. Идентификация Наименование продукта: Ultra-Ever Dry™ SE (Top Coat) Использование вещества: Покрытие для различных поверхностей, которым необходимы супергидрофобные свойства Поставщик: UltraTech International, Inc. редст витель в оссии +7(812) 318 33 12 www.ultra-ever-dry.info vk.com/ultraeverdryrus info@ultra-ever-dry.info 2. Виды опасного воздействия Основные пути попадания в организм: дыхание, контакт с кожей, глаза Воздействие на здоровье...»

«Ежедневные новости ООН • Для обновления сводки новостей, посетите Центр новостей ООН www.un.org/russian/news Ежедневные новости 25 АПРЕЛЯ 2014 ГОДА, ПЯТНИЦА Заголовки дня, пятница Генеральный секретарь ООН призвал 25 апреля - Всемирный день борьбы с малярией международное сообщество продолжать Совет Безопасности ООН решительно осудил поддержку пострадавших в связи с аварией на террористический акт в Алжире ЧАЭС В ООН вновь призвали Беларусь ввести Прокурор МУС начинает предварительное мораторий...»

«Конференции 2010 Вне СК ГМИ (ГТУ) Всего преп дата МК ВС межвуз ГГФ Кожиев Х.Х. докл асп Математика Григорович Г.А. Владикавказ 19.07.20010 2 2 1 МНК порядковый анализ и смежные вопросы математического моделирования Владикавказ 18.-4.20010 1 1 1 1 Региональная междисциплинарная конференция молодых ученых Наука- обществу 2 МНПК Опасные природные и техногенные геологические процессы горных и предгорных территориях Севергого Кавказа Владикавказ 08.10.2010 2 2 ТРМ Габараев О.З. 5 МК Горное, нефтяное...»

«16 – 21 сентября 2013 г. VII Научно-практическая конференция с международным участием Сверхкритические флюиды: фундаментальные основы, технологии, инновации г. Зеленоградск, Калининградская обл. Web-site http://conf.scftec.ru/ Информационная поддержка – портал СКФТ- Институт химии растворов РАН (Иваново) ИНФОРМАЦИОННОЕ СООБЩЕНИЕ № 1 ПРИГЛАШЕНИЕ VII Научно-практическая конференция Сверхкритические флюиды (СКФ): фундаментальные основы, технологии, инновации продолжает начатый в 2004 году в г....»

«IT Security for the Next Generation V Международная студенческая конференция по проблемам информационной безопасности Тур Россия и СНГ Положение о конференции Содержание 1 Основная информация 1.1 Организатор 3 1.2 Цели конференции 3 1.3 Рабочий язык конференции 3 1.4 География конференции 1.5 Заочный тур 1.6 Очный тур 2 Темы конференции 3 Условия участия 4 Критерии оценки 5 Возможности конференции 6 Программный комитет 7 Организационный комитет 8 Требования к оформлению работы 8.1 Титульный...»

«Федеральное государственное автономное образовательное учреждение высшего профессионального образования Уральский федеральный университет имени первого Президента России Б.Н.Ельцина СБОРНИК МАТЕРИАЛОВ НАУЧНО-ПРАКТИЧЕСКОЙ КОНФЕРЕНЦИИ ИНСТИТУТА ВОЕННО-ТЕХНИЧЕСКОГО ОБРАЗОВАНИЯ И БЕЗОПАСНОСТИ ПРОБЛЕМЫ ПОЖАРНОЙ БЕЗОПАСНОСТИ: ПУТИ ИХ РЕШЕНИЯ И СОВЕРШЕНСТВОВАНИЕ ПРОТИВОПОЖАРНОЙ ЗАЩИТЫ (27 апреля 2012 года) Екатеринбург 2012 УДК 614.84 (075.8) ББК 38.69я73 П 46 Проблемы пожарной безопасности: пути их...»

«Международная организация труда Международная организация труда была основана в 1919 году с целью со­ дей­ствия социальной­ справедливости и, следовательно, всеобщему и проч­ ному миру. Ее трехсторонняя структура уникальна среди всех учреждений­ системы Организации Объединенных Наций­: Административный­ совет МОТ включает представителей­ правительств, организаций­ трудящихся и работо­ дателей­. Эти три партнера — активные участники региональных и других орга­ низуемых МОТ встреч, а также...»

«ЯДЕРНОЕ ТОПЛИВО ДЛЯ АЭС с ВВЭР: СОСТОЯНИЕ И ОСНОВНЫЕ НАПРАВЛЕНИЯ РАЗРАБОТОК. В.Л. Молчанов Заместитель исполнительного директора Международная научно-техническая конференция Обеспечение безопасности АЭС с ВВЭР Россия, ОКБ ГИДРОПРЕСС, 17-20 мая 2011 года 1 Топливная компания Росатома ОАО ТВЭЛ Сегодня: 2009 год •17% мирового рынка ядерного топлива для реакторов АЭС •45% мирового рынка обогащения урана Научно- Фабрикация Конверсия и Изготовление технический ЯТ обогащение ГЦ блок ТВЭЛ НЗХК МСЗ ЧМЗ...»

«УЧРЕЖДЕНИЕ РОССИЙСКОЙ АКАДЕМИИ НАУК ИНСТИТУТ МИРОВОЙ ЭКОНОМИКИ И МЕЖДУНАРОДНЫХ ОТНОШЕНИЙ РАН ФОНД ПЕРСПЕКТИВНЫХ ИССЛЕДОВАНИЙ И ИНИЦИАТИВ ФОНД РУССКИЙ МИР РОССИЯ-2020 ГЛАЗАМИ СОСЕДЕЙ В ЦЕНТРАЛЬНО-ВОСТОЧНОЙ ЕВРОПЕ, БАЛТИИ И СНГ МОСКВА ИМЭМО РАН 2011 УДК 327(470) ББК 66.4(2Рос) Росс 76 Сборник Россия-2020 глазами соседей в Центрально-восточной Европе, Балтии и СНГ подготовлен ФПИИ и ИМЭМО РАН при поддержке Фонда Русский мир Руководитель проекта и научный редактор – В.Г. Барановский Авторский...»

«ИНФОРМАЦИЯ ДЛЯ ПРЕПОДАВАТЕЛЕЙ Видовое разнообразие во всем мире Страница 1/8 © 2008 Федеральное министерство экологии, охраны природы и безопасности ядерных установок Модуль биологическое разнообразие преследует цель, показать с помощью рассмотрения естественнонаучных вопросов и проблем, ВИДОВОЕ какую пользу приносит человеку Природа во всем ее многообразии, РАЗНООБРАЗИЕ чему можно у нее поучиться, как можно защитить биологическое ВО ВСЕМ МИРЕ разнообразие и почему стоит его защищать....»

«Министерство образования и наук и РФ Российский фонд фундаментальных исследований Российская академия наук Факультет фундаментальной медицины МГУ имени М.В. Ломоносова Стволовые клетки и регенеративная медицина IV Всероссийская научная школа-конференция 24-27 октября 2011 года Москва Данное издание представляет собой сборник тезисов ежегодно проводящейся на базе факультета фундаментальной медицины МГУ имени М. В. Ломоносова IV Всероссийской научной школы-конференции Стволовые клетки и...»









 
2014 www.konferenciya.seluk.ru - «Бесплатная электронная библиотека - Конференции, лекции»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.