Kontrrolle kritischer Berechtigunswerte, ist SAP sicher ?

Alle Fragen rund um Basisthemen
3 Beiträge • Seite 1 von 1
3 Beiträge Seite 1 von 1

Kontrrolle kritischer Berechtigunswerte, ist SAP sicher ?

Beitrag von gautschh (ForumUser / 16 / 0 / 0 ) »
S.g.Community!

Würde gerne eine Diskussion zum Thema Siccherheit anregen.

Was sind die kritischten Berechtigungsobjekte, Werte, wie können diese am einfachsten auf Lücken kontrolliert werden.

Wie sind die Erfahrungen zu Secuity Audit bzw. allgemein zu den Möglichkeiten der Kontrollen die SAP bietet.

:?:

MfG Harald

gesponsert
Stellenangebote auf ABAPforum.com schalten
kostenfrei für Ausbildungsberufe und Werksstudenten


Beitrag von Gast ( / / 0 / 3 ) »
Moin Harald,

tja security ist immer wieder gern diskutiert. In diesem Zusammenhang gibt es in dem folgenden Thread einige gute Hinweise, insbesondere der Artikel von Frank Dittrich bei it-audit:

http://www.abapforum.com/forum/viewtopi ... sicherheit

Ciao, LoLo

Beitrag von Frank Dittrich (Expert / 674 / 0 / 15 ) »
Anonymous hat geschrieben:tja security ist immer wieder gern diskutiert. In diesem Zusammenhang gibt es in dem folgenden Thread einige gute Hinweise, insbesondere der Artikel von Frank Dittrich bei it-audit:

http://www.abapforum.com/forum/viewtopi ... sicherheit

Ciao, LoLo
Zu meinem (auf Passwort-Sicherheit beschränkten) Artikel
http://www.it-audit.de/assets/download/ ... sswort.pdf
ist anzumerken, dass
1. einige Schwachstellen nicht zur Sprache kommen, weil schon ein Nennen der Schwachstelle einer Step-by-Step-Anleitung zum Angriff gleich kommt
2. die Angabe der Geschwindigkeit, mit der sich Passwort-Hashes ermitteln und mit den Hashwerten aus USR02/USH02 vergleichen lassen, veraltet sind.
Folgendes Zitat aus einer private message an Steff:
So z.B. die Angabe von 7,5 Millionen Kombinationen aus Passwort und Username, die ich pro Minute ausprobieren kann.
Mit einem veränderten ABAP-Programm habe ich es noch auf 8 Millionen Kombinationen pro Minute gebracht.
Nachdem ich aber mal 2 Wochenenden investiert habe, um herauszufinden, wie der Algorithmus funktioniert, weiß ich, dass es noch wesentlich schneller geht.
Ich habe mal eine entsprechende Erweiterung für "John the >>SPAM<<" - s. http://www.openwall.com/john/ - geschrieben und bin auf ca. 1,5 Millionen Kombinationen pro Sekunde gekommen, immer noch auf dem gleichen System mit SuSE Linux 8.1, auf dem ich auch die Zeitmessung für den Artikel vorgenommen habe:

$ cat /proc/cpuinfo
processor : 0
vendor_id : AuthenticAMD
cpu family : 6
model : 6
model name : AMD Athlon(TM) XP 2100+
stepping : 2
cpu MHz : 1724.902
cache size : 256 KB
fdiv_bug : no
hlt_bug : no
f00f_bug : no
coma_bug : no
fpu : yes
fpu_exception : yes
cpuid level : 1
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 mmx fxsr sse syscall mmxext 3dnowext 3dnow
bogomips : 3434.08

$ uname -a
Linux fd 2.4.21-198-athlon #1 Thu Mar 11 17:50:27 UTC 2004 i686 unknown




Hier das Test-Ergebnis, mit Vergleich zur Crack-Geschwindigkeit für andere Passwort-Algorithmen:

$ john --test
Benchmarking: SAP R/3 codvn B [v0.1]... DONE
Raw: 1577443 c/s real, 1577443 c/s virtual

Benchmarking: Traditional DES [64/64 BS MMX]... DONE
Many salts: 648025 c/s real, 648025 c/s virtual
Only one salt: 554432 c/s real, 554432 c/s virtual

Benchmarking: BSDI DES (x725) [64/64 BS MMX]... DONE
Many salts: 21606 c/s real, 21606 c/s virtual
Only one salt: 21196 c/s real, 21196 c/s virtual

Benchmarking: FreeBSD MD5 [32/32]... DONE
Raw: 5133 c/s real, 5133 c/s virtual

Benchmarking: OpenBSD Blowfish (x32) [32/32]... DONE
Raw: 300 c/s real, 300 c/s virtual

Benchmarking: Kerberos AFS DES [48/64 4K MMX]... DONE
Short: 128921 c/s real, 128921 c/s virtual
Long: 451481 c/s real, 451481 c/s virtual

Benchmarking: NT LM DES [64/64 BS MMX]... DONE
Raw: 3936768 c/s real, 3936768 c/s virtual




Nach mehr als 10 Jahren ABAP-Programmierung bin ich allerdings wahrlich kein guter C-Programmierer mehr.
Und mit Assembler kenne ich mich noch weniger aus.

Und wenn ich das Programm so ändere, dass ich statt für beliebige Benutzer nur die Passworte einzelner Benutzer
(z.B. DDIC oder SAP*) knacken kann, sind weitere Performance-Verbesserungen möglich.

D.h., SAP-Passworte lassen sich ca. 300 mal so schnell wie FreeBSD-Passworte und 5000 mal so schnell wie OpenBSD-Passworte knacken, und das bei einem max. 8stelligen Passwort ohne Unterscheidung von Groß- und Kleinschreibung.

Ich bin ja mal gespannt, was sich mit dem von Wolfgang Janzen im Thread
http://groups.google.com/groups?&thread ... google.com
angekündigten Umstieg auf SHA-1 ändert, umd ob diese Option mit Release 6.40 verfügbar ist.
Auch an anderer Stelle waren Sicherheitsaspekte schon mal Thema, auch wenn der Titel dieses Threads anderes vermuten lässt:

http://www.abapforum.com/forum/viewtopic.php?p=367

Und selbst wenn es keine Eigenentwicklungen und die damit verbundenen Probleme der Absicherung gegen Backdoors gibt, ist das keine Garantie, dass das System sicher ist:

http://www.forumromanum.de/member/forum ... 1074681567
(Update: Der o.g. Link funktioniert seit der Umstellung des it-audit-Forums leider nicht mehr.)

Berechtigungen sind also bei weitem nicht der einzige kritische Punkt, obwohl man auch da schon viel falsch machen kann.

Seite 1 von 1

Vergleichbare Themen

0
Antw.
1607
Views
Netweaver: Internet Adresse als sicher kennzeichnen
von Hellfire » 08.06.2012 18:55 • Verfasst in Basis
0
Antw.
1593
Views
Übersicht kritischer Berechtigungsobjekte in ECC 6.0 EHP7
von Alexander D. » 13.01.2015 14:47 • Verfasst in Basis
4
Antw.
7265
Views
Belegnummernkreise - Meldung wegen kritischer Grenze
von Matthias_L. » 14.04.2005 15:56 • Verfasst in Financials

Über diesen Beitrag


Unterstütze die Community und teile den Beitrag für mehr Leser und Austausch

Aktuelle Forenbeiträge

Zugriff auf Daten via Webdav
vor 16 Stunden von msfox 1 / 31
Interne Tabelle
vor 16 Stunden von sap_enthusiast 3 / 162
Zwischensumme Adobe Forms
vor 3 Tagen von Lucyalison 1 / 71

Newsletter Anmeldung

Keine Beiträge verpassen! Wöchentlich versenden wir lesenwerte Beiträge aus unserer Community.
Die letzte Ausgabe findest du hier.
Details zum Versandverfahren und zu Ihren Widerrufsmöglichkeiten findest du in unserer Datenschutzerklärung.

Aktuelle Forenbeiträge

Zugriff auf Daten via Webdav
vor 16 Stunden von msfox 1 / 31
Interne Tabelle
vor 16 Stunden von sap_enthusiast 3 / 162
Zwischensumme Adobe Forms
vor 3 Tagen von Lucyalison 1 / 71

Unbeantwortete Forenbeiträge

Zugriff auf Daten via Webdav
vor 16 Stunden von msfox 1 / 31
Zwischensumme Adobe Forms
vor 3 Tagen von Lucyalison 1 / 71
Group Items auf einer Filterbar
vor einer Woche von Bright4.5 1 / 111