Especialista aponta problemas de segurança em instalações do Hana. Foto: divulgação.
Um especialista internacional em segurança divulgou esta semana um problema crítico de segurança presente na maioria das instalações de soluções SAP Hana, plataforma de banco de dados em memória que é a grande aposta de futuro da multinacional alemã.
Segundo destaca o líder da empresa ERPScan, Alexander Polyakov, instruções padrão de segurança do Hana podem expor senhas e chaves de acesso da plataforma para cibercriminosos.
"Os criminosos podem usar chaves de acesso universais para descobrir senhas codificadas no sistema relacional e orientado por colunas dentro do Hana", afirmou Polyakov.
De acordo com o especialista, muitos administradores não lembram que o Hana - que é uma tecnologia baseada em dados in-memory - possui dados armazenados em disco e não alteram as chaves de segurança para uma unidade chamada "hdbuserstore", que registra senhas de conta e chaves de savepoints.
"Assim que se consegue acesso a esse arquivo (hdbuserstore) e o decodifica com a chave mestra do sistema, que é a mesma em toda instalação, é possível ter acesso a todas as senhas e chaves de criptografia. Depois disso, você tem acesso a todos os dados", afirmou Polyakov.
Entretanto, de acordo com o site britânico The Register, o manual de instruções das aplicações SAP Hana sugere que após a instalação as chaves default de criptografia sejam trocadas.
Para complicar ainda mais o cenário, o especialista afirmou que de acordo com uma pesquisa da ERPScan, 100% dos clientes avaliados ainda usam a chave default do sistema para criptografar o arquivo hdbuserstore.
Segundo o especialista, a falha nas implementações de SAP Hana é um mais um exemplo de como cibercriminosos não precisam ir muito além das recomendações de segurança detalhadas nos manuais de práticas das empresas de TI para descobrir senhas-padrão.
"Chaves estáticas e algoritmos fracos de criptografia são um problema espalhado em diversas aplicações corporativas, tais como sistemas de gestão", finalizou Polyakov.
Leandro Souza
Editor na Canaltech