Emerge il primo virus per SAP R/3

Gli esperti di sicurezza hanno scoperto il primo virus scritto per infettare la nota e diffusa piattaforma industriale

Roma - Pare che ultimamente alcuni creatori di virus, forse stanchi di produrre in serie worm per Windows, abbiano focalizzato le loro attenzioni verso altre piattaforme, fra cui software specializzati come la pi¨ nota piattaforma industriale: SAP R/3.

In questi giorni Ŕ infatti passato alle cronache quello che gli esperti considerano il primo virus capace di infettare programmi e report utilizzati in SAP R/3. Il virus, chiamato SAPvir, contiene appena 24 linee di codice e, nonostante si tratti al momento solo di un esperimento, dimostra come sia possibile creare, sfruttando l'Advanced Business Application Programming (ABAP), il linguaggio integrato in SAP R/3, vermicelli in grado di diffondersi attraverso programmi e documenti che girano sotto questa diffusissima piattaforma gestionale.

SAP, il colosso tedesco del software che sviluppa R/3, sostiene che ad oggi non si ha segnalazione di infezioni dovute a questo virus e che, in ogni caso, "i nostri clienti sono protetti dalla profonda sicurezza e dalle severe restrizioni di accesso tipiche dei sistemi mission-critical".
"ABAP - ha poi sottolineato Bill Wall, un portavoce di SAP - richiede un livello d'esperienza che va al di lÓ di quello in possesso della maggior parte degli hacker" (termine usato da Wall, ndr).

A quanto pare il virus, che non sembra in grado di causare danni o diffondersi attraverso le reti, non Ŕ un parto recente: il codice sorgente di SAPvir, pubblicato su questa pagina, riporta infatti la scritta "ViriiWare 2000" e l'home page Ŕ stata aggiornata, l'ultima volta, l'ottobre scorso. Pericolo scampato?
13 Commenti alla Notizia Emerge il primo virus per SAP R/3
Ordina
  • Programmo in abap da 3 anni.

    Credo che SAP sia abbastanza al riparo dalla cagata mostrata dal tizio spagnolo...

    - Chi ha SAP ha almeno tre sistemi (sviluppo, test e produzione).

    - Chi modifica/crea un programma abap e' sempre facilmente individuabile;
    non+autenticato
  • > - Chi modifica/crea un programma abap e'
    > sempre facilmente individuabile;
    ah bhe...
    Occhiolino
    ora mi sento piu tranquillo...
    Occhiolino
    non+autenticato
  • "ABAP - ha poi sottolineato Bill Wall, un portavoce di SAP - richiede un livello d'esperienza che va al di là di quello in possesso della maggior parte degli hacker" (termine usato da Wall, ndr).


    ehehhehehehhehe!

    Bisogna spiegare a questi che la sicurezza non sta' nella "non conoscenza" del processo. E poi quella frase mi sembra un attimino rischiosa!
    buon inizio settimana a tutti
    non+autenticato

  • - Scritto da: Cr0ss0vEr
    > Bisogna spiegare a questi che la sicurezza
    > non sta' nella "non conoscenza" del
    > processo.

    Questa è solo una convinzione di qualcuno, non è vero in assoluto e se ne discute molto seriamente nella comunità scientifica (a prescindere da quella degli esaltati).

    Al crescere della complessità del sistema, e della impossibilità di procurarsene uno identico (HW + SW) per smanacciare indisturbati con debugger, disassembler e perfino emulatori ICE, la "non conoscenza" inizia a richiedere doti divinatorie, più che bravura. Questo è verissimo, ad esempio, per i controlli industriali complessi...
    non+autenticato
  • > > Bisogna spiegare a questi che la sicurezza
    > > non sta' nella "non conoscenza" del
    > > processo.
    > Questa è solo una convinzione di qualcuno,
    > non è vero in assoluto
    non e nemmeno falsa in assoluto...

    > Al crescere della complessità del sistema, e
    > della impossibilità di procurarsene uno
    > identico (HW + SW) per smanacciare
    > indisturbati con debugger, disassembler e
    > perfino emulatori ICE, la "non conoscenza"
    > inizia a richiedere doti divinatorie, più
    > che bravura. Questo è verissimo, ad esempio,
    > per i controlli industriali complessi...
    insomma alla fine e sempre la solita cosa del chi c'e la piu grande...
    ho sempre pensato che tutto e solo questione di risorse (economiche, umane e di tempo)...
    quindi niente e impossibile...c'e sempre un modo...
    non+autenticato

  • - Scritto da: blah
    > > > Bisogna spiegare a questi che la
    > sicurezza
    > > > non sta' nella "non conoscenza" del
    > > > processo.
    > > Questa è solo una convinzione di qualcuno,
    > > non è vero in assoluto
    > non e nemmeno falsa in assoluto...
    Ovvio, ma ha i suoi ambiti: PC, serverini di rete, sistemi "ben noti" a tutti i livelli.

    > > Al crescere della complessità del
    > sistema, e
    > > della impossibilità di procurarsene uno
    > > identico (HW + SW) per smanacciare
    > > indisturbati con debugger, disassembler e
    > > perfino emulatori ICE, la "non conoscenza"
    > > inizia a richiedere doti divinatorie, più
    > > che bravura. Questo è verissimo, ad
    > esempio,
    > > per i controlli industriali complessi...
    > insomma alla fine e sempre la solita cosa
    > del chi c'e la piu grande...
    Esattamente: è una questione squisitamente quantitativa, oltre che architetturale.
    E' sbagliatissimo pensare che tutto il mondo della ICT sia modellato ad immagine e somiglianza dei pc e dei serverini web, magari solo un pò più grande. Ci sono hardware realmente inaccessibili, resine a prova di qualsiasi solvente e firmware che non possono lasciare il loro supporto nativo, senza distruggere l'uno e l'altro. E magari, alla fine, scopri che hai davanti un sistema Harvard, con memorie dati non eseguibili separate FISICAMENTE dalle ROM del codice, inalterabili... onestamente la vedo un pò dura, dare in pasto dati sballati ad un sistema senza MMI che abbia passato le MIL-STD o le RTCS/DO (es. 178B, level A) con il 100% di code coverage. Certo, se ogni tanto qualcuno trova il modo di violare in garage i principi della termodinamica, come si legge un mese sì e uno no sulle rivistine di energie alternative newage, e se i dipartimenti di matematica di mezzo mondo continuano a ricevere mirabolanti dimostrazioni sulla quadratura del cerchio e la trisezione dell'angolo con riga e squadra (per non parlare delle presunte dimostrazioni puramente algebriche dell'Ultimo di Fermat o della congettura di Goldbach o della Zeta di Riemann), magari ci sarà anche qualcuno capace di far inchiodare a distanza uno scheduler EDF ridondato, non mettiamo limiti alla provvidenza... Sorride

    Passando ai sistemoni, se ci metti sette anni a tracciare a mano un software, che gira su un sistema che non conosci, su un hardware che non conosci, l'espressione "esiste un modo per craccare..." sembra piuttosto una barzelletta.

    > ho sempre pensato che tutto e solo questione
    > di risorse (economiche, umane e di tempo)...
    > quindi niente e impossibile...c'e sempre un
    > modo...
    Certo, certo. Oltre certi limiti, ce ne sbattiamo dell'impossibilità dimostrata matematicamente, quella statistica è più che sufficiente, quando gli ordini di grandezza sono elevati.
    Bisogna vedere se "il modo" è anche praticabile, oltre ad esistere: il che non è propriamente banale, spesso per "stupidissime" questioni temporali.
    non+autenticato
  • Guglielmo Cancelli <--> Guglielmo Muro
    non+autenticato
  • "ABAP - ha poi sottolineato Bill Wall, un portavoce di SAP - richiede un livello d'esperienza che va al di là di quello in possesso della maggior parte degli hacker" (termine usato da Wall, ndr).
    ====
    ci fatte un baffo ?????
    Occhiolino

    non+autenticato

  • - Scritto da: blah
    > "ABAP - ha poi sottolineato Bill Wall, un
    > portavoce di SAP - richiede un livello
    > d'esperienza che va al di là di quello in
    > possesso della maggior parte degli hacker"
    > (termine usato da Wall, ndr).
    > ====
    > ci fatte un baffo ?????
    > Occhiolino
    Questa è una di quelle sacrosante verità che circolano solo in certi ambienti professionali ed accademici Occhiolino
    Una di quelle che bisogna dire sempre a voce bassa, da carbonari, guardandosi magari intorno con fare circospetto... e che è bene non ripetere in luoghi frequentati da persone che si credono la reincarnazione vivente di Wozniak, Norton e Stallman, tutti insieme (un condominio più che un caso di personalità multipla) Sorride
    non+autenticato
  • > > ci fatte un baffo ?????
    > > Occhiolino
    > Questa è una di quelle sacrosante verità che
    > circolano solo in certi ambienti
    > professionali ed accademici Occhiolino
    > Una di quelle che bisogna dire sempre a voce
    > bassa, da carbonari, guardandosi magari
    > intorno con fare circospetto...
    Occhiolino

    >e che è bene
    > non ripetere in luoghi frequentati da
    > persone che si credono la reincarnazione
    > vivente di Wozniak, Norton e Stallman, tutti
    > insieme (un condominio più che un caso di
    > personalità multipla) Sorride
    questo e vero, e azz se e vero...
    Occhiolino
    pero io non conoscevo l'ABAP, ma guardando un po in giro in una mezz'oretta non mi pare sto granche di difficile...se hai nozioni di database ed un minimo di programmazione e se non sei una scimmia, lo fai tranquillamente...
    la questione e quella dei diritti d'accesso, pero una volta superata...
    Occhiolino
    non+autenticato
  • qui' sono tutti bravi a parole...entrare uscire bucare...beati loro!
    cia'
    silvio
    non+autenticato
  • Secondo me non e' autoesaltazione, e' solo una semplice osservazione.

    Quando la sicurezza di un sistema/processo si basa, anche solo in parte, sulla non conoscenza del suo funzionamento, significa che se "pippo" non riesce a bucarlo e' solo perche non e' abbastanza bravo.

    Ma si puo' esser certi che ci sara' sicuramente un "paperino" che primo o poi ci riuscira'.
    Ora, in base all'obiettivo che uno si pone quando mette in piedi un sistema, sara' compito suo valutare i rischi a cui sara' esposto.

    In questo caso, visto l'applicativo di ampio respiro di cui si sta parlando, sarebbe opportuno giustificare diversamente la propria (da parte di SAP) robustezza.

    ciao
    non+autenticato
  • > qui' sono tutti bravi a parole...entrare
    > uscire bucare...beati loro!
    se io non programmo una sequenza di codice non vuol dire che non lo so fare...semplicemente non lo sto facendo...
    tutto qui...
    Occhiolino
    non+autenticato