Основные результаты работы исследователей Digital Security были представлены на крупнейшей конференции по ИБ BlackHat 2013 в Лас-Вегасе, США. Выступление Дмитрия Частухина, директора департамента аудита SAP Digital Security, под названием "С Большими Данными приходит большая ответственность: практическое использование MDX-инъекций" открыло техническую секцию мероприятия.
Дмитрий рассказал о безопасности систем Business Intelligence, используемых повсеместно для обработки огромных объемов неструктурированных данных, так называемых BigData. Эту работу можно считать первым в мире исследованием практической безопасности таких систем, которые хранят важнейшую информацию компаний разного масштаба.
Технологии Big Data и Business Intelligence обретают все большую популярность у крупного бизнеса. В 2011 году аналитики Gartner отметили Big Data в качестве тренда номер два в информационно-технологической инфраструктуре после виртуализации. Согласно прогнозам, к 2020 году количество обрабатываемых данных в мире вырастет в 48 раз по сравнению с 2009 годом.
При этом, данные о безопасности таких систем практически отсутствуют. Эксперты Digital Security, традиционно подвергающие тщательному хакерскому анализу все критичные для бизнеса технологии, о безопасности которых известно мало или неизвестно вообще, провели исследование, и пришли к любопытным выводам.
Разработки класса Business Intelligence жизненно необходимы сегодня любой крупной компании: с их помощью хранятся и обрабатываются большие массивы критичных данных, осуществляется стратегическое планирование, происходит принятие важных управленческих решений. В процессе прогнозирования и аналитики используется огромное количество информации, накопленной в результате деятельности организации за некий промежуток времени (несколько лет, например). Обработка больших объемов данных имеет свою специфику, поэтому была создана новая технология OLAP (Online Analytical Processing, аналитическая обработка в реальном времени). Информация в системах Business Intelligence хранится в многомерных структурах, Инфокубах, а данные извлекаются из них при помощи языка запросов MDX (Multidimensional Expressions). Язык MDX синтаксически очень похож на SQL, однако имеет ряд особенностей.
В современном мире OLAP-системы существуют и развиваются во многих областях, начиная от правительственных систем анализа статистических данных и заканчивая системами управления предприятиями и онлайновой рекламой. В частности, подобные разработки применяются для анализа деятельности предприятий по производству и/или распространению продукции, выявления трендов в онлайн-маркетинге, анализа характеристик и явных/неявных откликов клиентов/потребителей того или иного частного или государственного сектора. Почти каждая крупная компания сегодня использует программные решения для бизнес- аналитики: Microsoft (Microsoft Analysis Services), Oracle (Essbase), SAP, MISConsulting SA (icCube OLAP Server), Panorama Software (Panorama).
Неудивительно поэтому, что сегодня OLAP- сервер является одной из главных мишеней для атакующих. Как же получилось, что программисты при разработке продуктов такого класса будто забыли о безопасности?
Как выяснили исследователи Digital Security Дмитрий Частухин и Александр Большев, хакеры могут без труда с помощью поисковых сервисов найти сотни OLAP-серверов различных компаний, доступных через Интернет. При этом, параметры для MDX-запросов на данные OLAP-сервера не фильтруются, что позволяет атакующим внедрить свои операторы в уже существующий запрос MDX, в итоге получив доступ практически ко всем данным из OLAP-сервера. Более того, особенности языка MDX позволяют создавать пользовательские функции, с помощью которых атакующий так же может скомпрометировать OLAP-сервер и компьютерную сеть компании в целом.
Исследователи продемонстрировали атаки удаленного выполнения кода, чтения файлов, межсайтового скриптинга, разглашения информации и внедрения внешних XML-сущностей на такие системы, как SAP, icCube, Panorama, Microsoft AS, которым в совокупности принадлежит порядка 35% рынка BI. Так же был подробно описан сам механизм внедрения кода, т.е. куда, в какие части запроса и что атакующий может внедрить, как он может получить структуру Инфокуба и всю информацию, которая в нем хранится. В ходе исследования выяснилось, что большинство OLAP-серверов различных компаний (более 80%) имеет ту или иную уязвимость, открывающую доступ к корпоративным ресурсам для опытных хакеров.
В случае успешной реализации атаки на систему Business Intelligence хакер достигнет сразу двух целей: получит доступ к ресурсам предприятия и сразу же скомпрометирует все критичные для компании данные. Как результат - репутационные риски, информационные и финансовые потери, угроза дальнейшему развитию любой организации. Пока остается неясным, кто или что сможет воспрепятствовать злоумышленникам.
По заявлению докладчиков, они лишь обозначили проблематику вопроса безопасности OLAP- серверов. Несомненно, можно найти еще множество уязвимостей в известных продуктах крупных производителей, однако, пока об этой проблеме не начать говорить, - ситуация не изменится. Надеемся, что этот момент настал.