Financieel
Madison Gurkha voert spraakmakende projecten uit voor grote (beursgenoteerde) organisaties. Hieronder geven wij enkele voorbeelden van onze projecten in de Financiële wereld. Referenties zijn op aanvraag verkrijgbaar.
Pensioenfonds
Project: Grey Box Applicatie Audit Pensioen applicatie en Black Box audit IT infrastructuurTechnologie: Java (webapplicatie)
Zoals veel organisaties biedt ook dit pensioenfonds haar aangesloten leden de gelegenheid aan, om hun gegevens in te zien. Deze portals worden steeds populairder. In veel gevallen zijn de onderliggende applicaties niet ontwikkeld voor "extern" gebruik. Dat bleek ook bij dit pensioenfonds het geval. De IT infrastructuur was prima in orde. Dat gold niet voor de applicatie. Op verschillende manieren bleek het mogelijk voor gebruikers om data van andere willekeurige gebruikers in te zien en te wijzigen. De belangrijkste problemen werden veroorzaakt door gebrekkig sessiemanagement, slecht uitgevoerde invoer validatie en cross site scripting. Na een grondige revisie van de software heeft Madison Gurkha tijdens een re-audit kunnen constateren dat de eerdere problemen adequaat opgelost zijn. Onze bevindingen waren voor dit Pensioenfonds overigens aanleiding om hun programmeurs onze training secure programming te laten volgen, zodat de kans op ernstige problemen in de toekomst aanzienlijk wordt verlaagd.
Bank
Project: Grey Box Applicatie Audit E-Banking applicatieTechnologie: Java (client/server) decompilatie
Deze bank maakte al enige tijd gebruik van een generieke ebanking applicatie. Deze applicatie zou in beheer worden genomen in een outsourcing traject. De nieuwe beheerpartij wilde eerst weten of deze applicatie wel veilig was. Deze applicatie bleek verre van veilig. Hoewel de oplossing er op papier zeer veilig uitzag, bleken er ernstige implementatie- en programmeerfouten te zijn gemaakt. Deze fouten werden ondermeer zichtbaar na decompilatie van de java-client. Het is Madison Gurkha gelukt om zonder authenticatie geld over te schrijven van de ene willekeurige rekening naar een andere. De betreffende bank heeft erg veel geluk gehad dat dit probleem niet eerder door kwaadwillenden is ontdekt. De betreffende applicatie is inmiddels uitgefaseerd.
Internationale bancaire organisatie
Project: Crystal Box Security Audit Web applicatie met code inspectie en Training Secure ProgrammingTechnologie: Java (client/server) decompilatie
Deze internationale bancaire organisatie heeft IT security erg hoog in het vaandel staan. Dit leidt regelmatig tot uitdagende projecten voor Madison Gurkha om toch zwakke plekken te ontdekken in ogenschijnlijk zeer veilige oplossingen. In dit geval ging het om een uitermate complexe en, naar het oog, ondoordringbare oplossing. Na decompilatie van de Java-client bleek dat er een aantal controles aan de client-kant werden uitgevoerd.
Na het uitschakelen van deze controles en na verdere analyse van het client/server-verkeer werd het mogelijk om rechten te vergroten en toegang te krijgen tot data waarvoor geen autorisatie was. Na verdere analyse van het systeem bleek het zelfs mogelijk om ongeauthenticeerd transacties in de database tot stand te brengen. Het vergt veel technische kennis, creativiteit en doorzettingsvermogen om dit soort audits succesvol uit te kunnen voeren. Het toont ook aan dat tools, hoewel wij zelf uiteraard veel tools gebruiken, nooit een goede IT security consultant kunnen vervangen, hoogstens aanvullen.
Bancaire organisatie
Project: Crystal Box Security Audit Web applicatie met code inspectie en Training Secure ProgrammingTechnologie: Webapplicatie .Net / C#
Deze bancaire organisatie ontwikkelt haar eigen applicaties. Een van deze webapplicaties is door Madison Gurkha onderzocht. Daarbij hebben wij twee ontwikkelaars van deze bancaire organisatie tijdens de uitvoering van de audit getraind. Op deze manier kunnen veel testen die wij uitvoeren door organisaties in het interne testproces worden ingebed. Aan de uitgevoerde audit was bovendien gekoppeld dat de uitkomsten dienden als casus tijdens de in-company training Secure Programming, die Madison Gurkha aan de ontwikkelaars heeft gegeven. Zo komen programmeerfouten wel erg dichtbij en is het leereffect maximaal. Door deze werkwijze is een .NET applicatie aanzienlijk veiliger geworden, heeft de organisatie geleerd om zelf bepaalde testen uit te voeren en zijn de programmeurs opgeleid.
Wilt u meer weten over Madison Gurkha, onze diensten, publicaties en uitgevoerde projecten? Neem dan vrijblijvend contact met ons op.