Argentinisches Analysewerkzeug untersucht SAP- und Oracle-Produkte
Ein System-Ingenieur von der Universidad TecnolĂłgica Nacional hat sich auf das Auffinden von LĂĽcken in Warenwirtschafts- und Datenbanksystemen spezialisiert.
Stellen Sie sich vor, dass Hacker in ein System einbrechen, mit dem ein Unternehmen seine Mitarbeiter und Zulieferer bezahlt, seinen Vertrieb und seine Produktion organisiert. Mariano Nuñez, System-Ingenieur an der Universidad Tecnológica Nacional in Argentinien, hat bei der Warenwirtschaftssoftware des Marktführers SAP eine Schwachstelle gefunden, die genau dies ermöglicht, berichtet Technology Review.
Er hatte bereits vier Jahre lang als Computer-Sicherheitsberater gearbeitet, als er selbst zum Hacker wurde. "Ich sollte die Sicherheit einer Web-Anwendung überprüfen, die auf einem SAP-System basierte", erklärt er. "Dabei entdeckte ich einige Sicherheitslücken bei der Plattform selbst." Er schrieb ein Testprogramm, das zeigt, wie Hacker auch ohne Account in das System eindringen können. Diese Schwachstellen waren zuvor niemandem aufgefallen. Laut Nuñez hat sich SAP zu wenig um die technische Sicherheit der Plattform gekümmert.
Das war 2007, Nuñez war gerade einmal 21 Jahre alt – und stand am Beginn einer außergewöhnlichen Karriere: Er wurde zur Hacker-Konferenz "Black Hat Europe" eingeladen, um seine Ergebnisse vorzu-stellen. Zwei Jahre später gründete er seine Firma Onapsis, um die erste Software auf den Markt zu bringen, die automatische Sicherheitstests für SAPs "NetWeaver"-Plattform durchführt, auf der die meisten SAP-Lösungen beruhen. Das Tool ist weltweit zum Patent angemeldet und bis dato das einzige, das offiziell von SAP zertifiziert ist.
Im Juli letzten Jahres veröffentliche Nuñez zudem ein Programm namens "Onapsis Intrusion Prevention System", das Angriffe entdeckt und stoppt, bevor sie Schaden anrichten können. Dieses Jahr sollen laut Nuñez Module hinzukommen, die auch die Programme des wichtigsten SAP-Wettbewerbers Oracle überprüfen. (bsc)
