Försvarets hemligheter v SAP
(Publicerad 2009-06-05)
Försvarsmakten ska köra SAP. Det verkar bli ganska... dyrt. Dessutom klarar systemet inte kraven på hemlig information.
Computer Sweden skriver om hur 2,4 miljarder kronor satsas på Försvarsmaktens nya SAP-system. Det verkar dock som att FM har stött på patrull; SAP klarar inte av att hålla information som har en säkerhetsnivå av "hemlig" utan får bara innehålla upp till nivån "öppen".
Knappast förvånande. Affärssystem är enorma bestar av komplexitet, innehåller mängder av gammal kod och testas (med sannolikhet) i väldigt liten utsträckning (säkerhetstestning, that is). SAP är inget undantag.
Jag håller nog med CJ; "för två och en halv miljard kan man väl förvänta sig att någon tar på sig att utveckla ett affärssystem från scratch".
...ja, ett med några miljoner rader kod färre kanske? Spontant känns det lite orimligt att FM inte accepterar publika krypteringsalgoritmer eller kommersiella brandväggar (de kör Färist) hursomhelst. Att köra SAP däremot, det är piano.
Vi var på den nya, svenska säkerhetskonferensen Sec-T i höstas. Mariano Nuñez Di Croce presenterade sitt pentestverktyg för SAP; sapyto. Hans presentation finns att ladda ner (pdf), de övriga från Sec-T 2008 finns också att ladda ner (zip). SAP stora problem med bl a access control för användare och grupper samt standardlösenord... Ett smakprov från presentationen:
--
Stefan Pettersson
Försvarsmakten ska köra SAP. Det verkar bli ganska... dyrt. Dessutom klarar systemet inte kraven på hemlig information.
Computer Sweden skriver om hur 2,4 miljarder kronor satsas på Försvarsmaktens nya SAP-system. Det verkar dock som att FM har stött på patrull; SAP klarar inte av att hålla information som har en säkerhetsnivå av "hemlig" utan får bara innehålla upp till nivån "öppen".
Knappast förvånande. Affärssystem är enorma bestar av komplexitet, innehåller mängder av gammal kod och testas (med sannolikhet) i väldigt liten utsträckning (säkerhetstestning, that is). SAP är inget undantag.
Jag håller nog med CJ; "för två och en halv miljard kan man väl förvänta sig att någon tar på sig att utveckla ett affärssystem från scratch".
...ja, ett med några miljoner rader kod färre kanske? Spontant känns det lite orimligt att FM inte accepterar publika krypteringsalgoritmer eller kommersiella brandväggar (de kör Färist) hursomhelst. Att köra SAP däremot, det är piano.
Vi var på den nya, svenska säkerhetskonferensen Sec-T i höstas. Mariano Nuñez Di Croce presenterade sitt pentestverktyg för SAP; sapyto. Hans presentation finns att ladda ner (pdf), de övriga från Sec-T 2008 finns också att ladda ner (zip). SAP stora problem med bl a access control för användare och grupper samt standardlösenord... Ett smakprov från presentationen:
--
Stefan Pettersson
Kommentarer
Trackback
