»  Welkom   »  Projecten   »  Financieel

Financieel

Madison Gurkha voert spraakmakende projecten uit voor grote (beursgenoteerde) organisaties. Hieronder geven wij enkele voorbeelden van onze projecten in de financiële wereld. Referenties zijn op aanvraag verkrijgbaar.

Pensioenfonds

Project: Grey Box Applicatie Audit Pensioen applicatie en Black Box audit IT-infrastructuur
Technologie: Java (webapplicatie)

Zoals veel organisaties biedt ook dit pensioenfonds haar aangesloten leden de gelegenheid aan, om hun gegevens in te zien. Deze portals worden steeds populairder. In veel gevallen zijn de onderliggende applicaties niet ontwikkeld voor "extern" gebruik. Dat bleek ook bij dit pensioenfonds het geval. De IT-infrastructuur was prima in orde. Dat gold niet voor de applicatie. Op verschillende manieren bleek het mogelijk voor gebruikers om data van andere willekeurige gebruikers in te zien en te wijzigen. De belangrijkste problemen werden veroorzaakt door gebrekkig sessiemanagement, slecht uitgevoerde invoervalidatie en Cross Site Scripting. Na een grondige revisie van de software heeft Madison Gurkha tijdens een re-audit kunnen constateren dat de eerdere problemen adequaat opgelost zijn. Onze bevindingen waren voor dit Pensioenfonds overigens aanleiding om hun programmeurs onze training secure programming te laten volgen, zodat de kans op ernstige problemen in de toekomst aanzienlijk wordt verlaagd.

Bank

Project: Grey Box Applicatie Audit E-Banking applicatie
Technologie: Java (client/server) decompilatie

Deze bank maakte al enige tijd gebruik van een generieke ebanking applicatie. Deze applicatie zou in beheer worden genomen in een outsourcing traject. De nieuwe beheerpartij wilde eerst weten of deze applicatie wel veilig was. Deze applicatie bleek verre van veilig. Hoewel de oplossing er op papier zeer veilig uitzag, bleken er ernstige implementatie- en programmeerfouten te zijn gemaakt. Deze fouten werden ondermeer zichtbaar na decompilatie van de Java-client. Het is Madison Gurkha gelukt om zonder authenticatie geld over te schrijven van de ene willekeurige rekening naar een andere. De betreffende bank heeft erg veel geluk gehad dat dit probleem niet eerder door kwaadwillenden is ontdekt. De betreffende applicatie is inmiddels uitgefaseerd.

Internationale bancaire organisatie

Project: Crystal Box Security Audit Web applicatie met code inspectie en Training Secure Programming
Technologie: Java (client/server) decompilatie

Deze internationale bancaire organisatie heeft IT-beveiliging erg hoog in het vaandel staan. Dit leidt regelmatig tot uitdagende projecten voor Madison Gurkha om toch zwakke plekken te ontdekken in ogenschijnlijk zeer veilige oplossingen. In dit geval ging het om een uitermate complexe en, op het oog, ondoordringbare oplossing. Na decompilatie van de Java-client bleek dat er een aantal controles aan de client-kant in plaats van de server-kant werden uitgevoerd.

Na het uitschakelen van deze controles en na verdere analyse van het client/server-verkeer werd het mogelijk om rechten te vergroten en toegang te krijgen tot data waarvoor geen autorisatie was. Na verdere analyse van het systeem bleek het zelfs mogelijk om ongeauthenticeerd transacties in de database tot stand te brengen. Het vergt veel technische kennis, creativiteit en doorzettingsvermogen om dit soort audits succesvol uit te kunnen voeren. Het toont ook aan dat tools alleen nooit een goede IT-beveiligingsconsultant kunnen vervangen, hoogstens aanvullen.

Bancaire organisatie

Project: Crystal Box Security Audit Web applicatie met code inspectie en Training Secure Programming
Technologie: Webapplicatie .NET / C#

Deze bancaire organisatie ontwikkelt haar eigen applicaties. Een van deze webapplicaties is door Madison Gurkha onderzocht. Daarbij hebben wij twee ontwikkelaars van deze bancaire organisatie tijdens de uitvoering van de audit getraind. Op deze manier kunnen veel testen die wij uitvoeren door organisaties in het interne testproces worden ingebed. Aan de uitgevoerde audit was bovendien gekoppeld dat de uitkomsten dienden als casus tijdens de in-company training Secure Programming, die Madison Gurkha aan de ontwikkelaars heeft gegeven. Zo komen programmeerfouten wel erg dichtbij en is het leereffect maximaal. Door deze werkwijze is een .NET applicatie aanzienlijk veiliger geworden, heeft de organisatie geleerd om zelf bepaalde testen uit te voeren en zijn de programmeurs opgeleid.

Als u meer wilt weten over Madison Gurkha, neem dan contact met ons op of vraag onze brochure aan. U kunt zich ook op onze RSS feed abonneren.


Laatste nieuws

27 januari 2012
Madison Gurkha Update 14
03 november 2011
Black Hat Sessions Jubileumeditie, 4 april 2012
14 oktober 2011
Nog een paar weken en dan is het zover! Vakbeurs Infosecurity.nl 2011. Lees hier de laatste informatie over wat wij voor u in petto hebben!
23 september 2011
Bezoek dit jaar Madison Gurkha en ITSX op vakbeurs Infosecurity.nl!
21 september 2011
Madison Gurkha Update 13
22 juni 2011
Madison Gurkha Update 12

Agenda

2012-02-09
Beveiligingsconferentie SURFcert & SURFibo, 9 en 10 februari 2012, Saxion Hogeschool te Deventer. Walter Belgers verzorg een lezing 'IPv6 insecurities'.
2012-04-04
Black Hat Sessions Jubileumeditie, 4 april 2012, Reehorst Ede, Madison Gurkha organiseert alweer de 10e editie!

Nieuwsbrief

Madison Gurkha Update 14
Madison Gurkha Update 13
Madison Gurkha Update 12
Madison Gurkha Update 11
Madison Gurkha Update 10
Madison Gurkha Update 9
Madison Gurkha Update 8
Madison Gurkha Update 7
Madison Gurkha Update 6
Madison Gurkha Update 5
Madison Gurkha Update 4
Madison Gurkha Update 3
Madison Gurkha Update 2
Madison Gurkha Update 1