Pengujian Alat yang Di-Upgrade SAP Kelemahan Keamanan

Sapyto, alat untuk menguji keamanan sistem SAP, telah ditingkatkan dengan plugin baru yang memungkinkan pengujian lebih menyeluruh, menurut pengembang alat.

Versi 0,99 dari Sapyto sekarang berjalan pada PC yang menjalankan Microsoft Windows di mana versi sebelumnya hanya berjalan di Linux, kata Mariano Nuñez Di Croce, peneliti keamanan senior dengan Cybsec Security Systems, sebuah perusahaan keamanan yang berbasis di Buenos Aires, Argentina. Dia memberikan presentasi minggu lalu di konferensi keamanan Black Hat di Amsterdam.

Versi terbaru Sapyto menambahkan plugin baru yang dapat digunakan untuk mendapatkan informasi dari router SAP jarak jauh serta secara otomatis menemukan dan kemudian menguji sistem SAP jarak jauh. Pengembang juga dapat membuat plugin sendiri.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Pengembang perangkat lunak Jerman SAP membuat sistem perangkat lunak bisnis yang mengelola rantai pasokan, masalah keuangan, dan tugas manajemen hubungan pelanggan, di antara banyak hal-hal lain. Perusahaan ini memiliki lebih dari 40.000 pelanggan di seluruh dunia, dan ada lebih dari 120.000 implementasi SAP, menurut presentasi Nuñez Di Croce.

Sistem SAP telah ditargetkan oleh peretas dan orang dalam yang berusaha merusak perusahaan karena perangkat lunak mengandung internal yang berharga informasi. Insiden itu biasanya tidak pernah menjadi publik karena perusahaan tidak mengungkapkannya, kata Nuñez Di Croce.

Tapi itu memang terjadi. Nuñez Di Croce mengetahui sebuah kasus dua tahun lalu ketika sebuah perusahaan kehilangan US $ 250.000 karena manipulasi yang tidak tepat dari sistem keuangan SAP.

Beberapa CFO masih tidak menyadari betapa pentingnya keamanan yang baik pada sistem SAP, Nuñez Di Croce mengatakan. Karena sistem SAP sangat mahal dan mengendalikan sejumlah besar proses bisnis, para eksekutif akan terus menekan dengan menempatkan sistem ke dalam produksi tanpa tinjauan keamanan yang tepat, katanya.

Nuñez Di Croce mengetahui kasus lain di mana seorang eksekutif memutuskan untuk hanya memiliki akses terbuka ke sistem SAP selama tiga bulan. Itu berbahaya, dan tidak mungkin setelah tiga bulan sistem akan dikunci, katanya. Banyak sistem SAP yang hanya tersisa di konfigurasi keamanan default, yang juga tidak aman, katanya.

"Keamanan biasanya dilihat sebagai blok di jalan," Nuñez Di Croce. "Ada banyak sistem SAP yang berjalan di luar sana oleh perusahaan-perusahaan besar yang tidak aman."

Sapyto adalah perangkat lunak open-source dan gratis. Ini dapat diunduh dari situs Web Cybsec. Versi 0.98 ada di situs Web sekarang, dan versi baru harus segera diposting. Sapyto adalah jaringan pengujian penetrasi pertama yang dibangun untuk perangkat lunak SAP.