Black Hat analizará las emergentes amenazas web esta semana en Barcelona

 Por ejemplo, Max Kelly, máximo responsable de seguridad de Facebook, realizará el miércoles por la mañana una presentación después de dos días de sesiones de entrenamiento. Los dos últimos días de la conferencia estarán dedicados a difundir los resultados de investigaciones sobre una diversidad de emergentes amenazas sobre Internet y vulnerabilidades de aplicaciones.

Una de estas presentaciones analizará la forma de insertar una puerta trasera en las aplicaciones ERP de SAP, que a menudo soportan a menudo el núcleo de las operaciones de las compañías.

El software SAP utiliza bases de datos de compañías como Oracle, según explica Mariano Núñez Di Croce, director de investigación y desarrollo de Onapsis, especializada en la realización de pruebas de penetración para sistemas SAP y otros, como las aplicaciones empresariales PeopleSoft y JD Edwards de Oracle.

“Hemos encontrado la forma de, en lugar de modificar el programa, conectarse a la base de datos y modificar directamente el código en ella”, señala Núñez Di Croce. El problema de SAP y la base de datos Oracle es conocido desde hace años, pero Núñez Di Croce ha descubierto recientemente cómo introducir una “puerta trasera” en un programa dentro de la base de datos y después enviar información a un hacker remoto. Dado que la base de datos Oracle no realiza pruebas de integridad del código fuente, tal ataque resulta difícil de detectar.

Este sistema permitiría a un atacante, por ejemplo, conseguir toda la información relacionada con una nueva cuenta de usuario, modificar órdenes de envío o acceder a detalles de autenticación cuando los empleados introducen sus credenciales para acceder al sistema SAP.

Núñez Di Croce desarrollará una presentación al respecto en Black Hat, dentro del bloque de seguridad de aplicaciones de la conferencia. Ésta estructurará sus contenidos en otros dos bloques, uno dedicado al hardware y otro cuyo fin será ofrecer una panorámica general sobre la seguridad.