понедельник, 31 октября 2011 г.

Вскрываем пароли SAP

Недавно парнями из нашего исследовательского центра Positive Research было тихо опубликовано расширение для Whireshark, позволяющее раскодировать трафик SAP DIAG (протокол, используемый клиентом SAP GUI для работы с системой). Протокол, как известно работает практически plain-text, но слегка закодирован. С помощью утилиты можно анализировать трафик и, в том числе, "выдергивать" пароли пользователей.

Примечательна история публикации. Мы раскодировали SAP DIAG (а так же как и SAP CODVN A-G) и успешно встроили их в MaxPatrol, для проверки стойкости паролей (offline и online, в режимах Audit и Pentest соответственно).



 Однако, по причине того, что текущая реализация содержит ряд ошибок уровня проектирования - отписали в SAP и решили не разглашать. Однако в сентябре парни из SensePost опубликовали SAP DIAG Proxy SAPProx и security by obscurity опять дала течь.
В результате решили опубликовать и свои результаты.
Прошу любить и жаловать.
http://ptresearch.blogspot.com/2011/10/sap-diag-decompress-plugin-for.html


Естественно - утилита только для демонстрационных целей и легального использования.

Еще события от Positive Research:
http://sgordey.blogspot.com/search/label/research

2 комментария:

Анонимный комментирует...

http://dl.packetstormsecurity.net/papers/general/sniffing_diag.pdf

2009 год, дексомпресс диага)

Сергей Гордейчик комментирует...

"Теоретически, разницы между теорией и практикой нет" :)

С другой стороны, цитируя коллег из DSec

"Теоретическая возможность декодирования данных была известна в узких кругах давно, но практических примеров, кроме перехвата паролей, не было в публичном доступе."

http://erpscan.ru/press-center/press-release/erpscan-warns-about-new-vulnerabilities-of-diag-protocol-in-sap/