• Tweet

En la conferencia de seguridad Black Hat, se tratarán temas relacionados con aplicaciones empresariales, hardware y asuntos de Internet.

En la conferencia de seguridad Black Hat de la próxima semana, una presentación se centrará en la forma de insertar una puerta trasera en el ERP (Enterprise Resourcing Planning) de SAP. El software empresarial de SAP es a menudo el centro de las operaciones de la compañía y se utiliza para gestionar la facturación, recursos humanos y la contratación, entre muchas otras funciones.

El software de SAP utiliza bases de datos de compañías tales como Oracle, dijo Mariano Nuñez Di Croce, director de investigación y desarrollo de Onapsis, una compañía que se centra en las pruebas de penetración para los sistemas de SAP y otras aplicaciones empresariales tales como People Soft de Oracle y JD Edwards.

Muchas empresas no configuran la base de datos de Oracle correctamente, lo que hace que el sistema de SAP sea vulnerable a los ataques. “Lo que hemos encontrado es que resulta posible conectarte a la base de datos y modificar el código directamente en la base de datos en lugar de modificar el programa”, dijo Nuñez Di Croce.

El problema con SAP y la base de datos de Oracle se conoce desde hace unos cuantos años, aunque Nuñez Di Croce recientemente ha descubierto la manera de insertar una “puerta trasera” en un programa en la base de datos de Oracle que pueda enviar datos remotamente a un hacker. Debido a que la base de datos de Oracle no realiza ninguna comprobación de integridad del código fuente, el ataque sería difícil de detectar.

Esto permitiría a un atacante, por ejemplo, que transmita toda la información relacionada con la cuenta de un nuevo cliente. También podría permitir que un hacker modificara las órdenes de envío o almacenara los detalles de inicio de sesión en el sistema de SAP, dijo. “Es sorprendente ver cómo muchos clientes expertos de SAP no saben de esta vulnerabilidad”, dijo Nuñez Di Croce.

Para remediar esto, la empresa de Nuñez Di Croce planea a finales de este mes liberar una herramienta que verifique la seguridad de las aplicaciones que no han sido manipulados dentro de la base de datos. La herramienta crea un hash, o identificar numérico único basado en el código fuente de las aplicaciones. Si la herramienta revisa la aplicación posteriormente y obtiene un valor de hash diferente, pudo haber sido alterado indican una puerta trasera, dijo Nuñez Di Croce.

La presentación de Nuñez Di Croce estará en el tema de seguridad de aplicaciones de Black Hat. La conferencia tendrá otros dos temas más, uno centrado en el “gran esquema” de temas de seguridad y uno dedicado al hardware, de acuerdo con el calendario de conferencias.

En la ponencia del gran esquema, Stephan Chenette, investigador principal de seguridad de los laboratorios de seguridad de Websense, dará una presentación sobre un proyecto llamado Fireshark. El proyecto tiene por objeto simplificar la recopilación de información sobre las decenas de miles de sitios web que pueden contener código malicioso y están diseñados para atacar a los visitantes desprevenidos.

Fireshark “es capaz de visitar las grandes colecciones de sitios web al mismo tiempo, ejecutando, almacenando y analizando el contenido para la identificación de cientos de ambientes maliciosos”, escribió Chenette en el sitio web de Black Hat.