Código fuente del cliente Hazard

E-3: Sr. Wiegenstein, ¿cómo descubrió las brechas de seguridad en el código Abap que usted mismo escribió?

Andreas Wiegenstein: Con el fin de obtener transparencia sobre la proporción y la calidad del código de cliente en los sistemas SAP, Virtual Forge realiza continuamente una evaluación comparativa global.

Actualmente estamos evaluando los escaneos anónimos de más de 300 sistemas de clientes SAP. Empresas de todos los tamaños y sectores, principalmente de Alemania y Estados Unidos, participaron en este estudio, el más completo de su clase hasta la fecha.

E-3: ¿Cuáles son los resultados de referencia más importantes?

Wiegenstein: En primer lugar, descubrimos que cada sistema SAP de producción contiene una media de unos dos millones de líneas de código Abap de escritura propia, que los clientes utilizan para adaptar las funciones estándar de SAP a sus procesos empresariales.

El hecho de que hayamos encontrado numerosos errores en todos los códigos de cliente sin excepción que podrían poner en peligro la seguridad y estabilidad de un sistema SAP es muy alarmante.

Se calcula que hay unos 2.000 errores críticos por sistema SAP, que hacen a las empresas vulnerables a los ataques y también pueden causar problemas durante las auditorías de conformidad.

E-3: ¿En qué ámbitos se encuentran estos puntos débiles?

Wiegenstein: En su mayoría, están mal programados o carecen de controles de autorización. Estas vulnerabilidades bastarían por sí solas para causar daños importantes a una empresa, ya que los empleados pueden acceder a la información sin estar autorizados para ello: se pueden cometer muchos abusos.

Pero aún peor es temer errores de seguridad realmente graves -los llamados errores asesinos- en los propios desarrollos de Abap. Actualmente hemos descubierto una media de 16 de ellos en cada sistema SAP, un número significativamente mayor que en años anteriores.

E-3: ¿Qué tienen de peligroso estos "bichos asesinos"?

Wiegenstein: Cada uno de estos fallos asesinos es tan crítico que puede ser explotado por los atacantes para hacerse con el control total del sistema.

El código de cliente de SAP ofrece numerosas pasarelas para robar, borrar o manipular bases de datos enteras y así, por ejemplo, falsificar los resultados del balance de una empresa o sabotear por completo o simplemente desconectar el sistema SAP.

El daño económico que esto puede causar es enorme. Basta pensar, por ejemplo, que las empresas afectadas son responsables de cualquier daño causado por el robo de datos sensibles de empleados o clientes. Al mismo tiempo, estos incidentes pueden acarrear importantes daños a la reputación.

E-3: ¿Sabe cuántos incidentes de seguridad de SAP están causados realmente por código defectuoso del cliente?

Wiegenstein: Lamentablemente, no, porque normalmente no es posible demostrar plenamente después de un ataque qué vulnerabilidad permitió al atacante penetrar en el sistema SAP en primer lugar.

¿Fue un defecto en el código del cliente, en el código estándar de SAP o en la instalación del sistema o del cortafuegos? Lo que dificulta aún más el análisis de la causa es que muchas empresas no descubren que sus aplicaciones SAP han sido pirateadas hasta pasado un tiempo, por ejemplo, durante comprobaciones rutinarias o por casualidad.

E-3: ¿Cómo se producen en primer lugar los desarrollos internos de Abap defectuosos?

Wiegenstein: En principio, dos grupos pueden considerarse culpables, a saber, los propios desarrolladores de la empresa o las empresas de consultoría que suministran a la empresa las mejoras SAP necesarias.

Los errores pueden introducirse inadvertidamente en el código del cliente, por ejemplo por programadores que no se acuerdan de incluir las comprobaciones de autorización necesarias.

Por otro lado, por supuesto, también ocurre que los errores son introducidos deliberadamente, por ejemplo por empleados frustrados que quieren vengarse de su jefe, o por programadores externos que los utilizan para acceder a información confidencial de la empresa.

E-3: ¿Así que los ataques al código del cliente también pueden ser llevados a cabo por hackers externos?

Wiegenstein: Por supuesto. No es en absoluto cierto que los sistemas SAP sólo sean accesibles a través de la red interna, como siguen afirmando muchos administradores de SAP.

Nuestra comparativa también llega a la conclusión de que sólo el 0,3% de los desarrollos Abap internos de una empresa pueden ser accesibles a través de Internet. Sin embargo, ya se han registrado varios casos en los que determinados troyanos se infiltraron con código Abap comprado, permitiendo la filtración de datos SAP críticos para la empresa.

Por ejemplo, una empresa recibió de una empresa externa un código Abap escrito por ella misma que agregaba los resultados de las ejecuciones contables al final de cada mes y los enviaba a una dirección de correo electrónico externa. ¡Un caso clásico de delito informático!

E-3: ¿Cómo pueden protegerse los clientes de SAP contra los riesgos de su propio código Abap?

Wiegenstein: Como muestran los ejemplos, las precauciones convencionales, como cortafuegos, software antivirus y buenas contraseñas, no son en absoluto suficientes para cerrar las posibles puertas de acceso al código Abap de los clientes.

Tampoco basta con que las empresas se aseguren de que las funciones y autorizaciones de sus empleados están configuradas correctamente. Más bien se requieren estrategias y medidas específicas para limpiar el código de errores y evitar riesgos futuros.

En primer lugar, es aconsejable que los clientes sometan los desarrollos internos de Abap a análisis exhaustivos. Para ello se puede utilizar un software de pruebas especial que identifica automáticamente los errores y riesgos existentes y, en la medida de lo posible, los corrige de inmediato. Estos análisis suelen durar sólo unos minutos.

E-3: ¿Qué medidas deben adoptar las empresas a largo plazo?

Wiegenstein: Hay que adoptar varias medidas, tanto organizativas como técnicas. Para evitar errores en la fase de programación, los desarrolladores internos deben recibir una formación especial en seguridad Abap y cumplir directrices especiales de programación, como las de la Oficina Federal Alemana de Seguridad de la Información (BSI).

Si el código se compra al exterior, las empresas deben prestar una atención estricta a la inclusión de normas de calidad adecuadas en los contratos con los proveedores, a su comprobación y también a su exigencia. Además, los desarrollos internos de SAP no deberían ponerse en marcha en el futuro si siguen conteniendo errores críticos para la empresa.

Las especificaciones también incluyen la rápida instalación de parches de seguridad SAP y la supervisión permanente de todos los sistemas SAP para reconocer los ataques lo antes posible. A pesar de todas las medidas de precaución, es esencial disponer de planes de emergencia adecuados para poder contrarrestar los ataques con la mayor rapidez y eficacia posibles.

E-3: ¿Qué ventajas ofrece su Abap Quality Benchmark en este contexto?

Wiegenstein: Nuestro punto de referencia es un análisis continuo. Agrega las conclusiones de un gran número de resultados de análisis que nos proporcionan los clientes de SAP de forma anónima.

Dado que estas cifras proporcionan información estadística sobre la calidad del código Abap de los clientes, cuantos más usuarios de SAP participen, más significativa será la evaluación comparativa. Damos la bienvenida a todas las empresas que participan. Nuestro análisis ofrece a las propias empresas la oportunidad de hacerse una idea del estado de su código autoescrito en el menor tiempo posible.

Para ello, se escanea íntegramente el código de cliente de un sistema SAP seleccionado. Como resultado, la empresa recibe un informe de prueba que muestra cinco ejemplos de errores por tipo de error.

Esto suele revelar vulnerabilidades que no sólo afectan a la seguridad, sino también al rendimiento de un sistema SAP. Nuestra experiencia demuestra que muchos sistemas no solo son más seguros una vez corregido el código del cliente, sino que también funcionan de forma mucho más estable y rápida.

E-3: Señor Wiegenstein, muchas gracias por hablar con nosotros.