Overheid
Madison Gurkha voert spraakmakende projecten uit voor grote (beursgenoteerde) organisaties. Hieronder geven wij enkele voorbeelden van een aantal van onze projecten. Referenties zijn op aanvraag verkrijgbaar.
Landelijke overheidsorganisatie
Project: Crystal Box applicatie audit met code inspectieTechnologie: Webapplicatie met Java (server side)
Deze overheidsorganisatie heeft een webapplicatie laten ontwikkelen waarmee een landelijk register kan worden geraadpleegd en van data voorzien. Omdat dit register gevoelige informatie bevat, speelt IT-beveiliging een belangrijke rol. Aan IT-beveiliging bleek echter onvoldoende aandacht te zijn besteed.
Madison Gurkha heeft vastgesteld dat op vele punten elementaire beveiligingsmaatregelen ontbraken die getroffen hadden moeten worden. Er werd op geen enkele wijze invoer- of uitvoervalidatie uitgevoerd. Dat gaf ons de mogelijkheid tot SQL-injectie op allerlei manieren, waarmee ongeautoriseerd en ongeauthenticeerd toegang tot data kon worden verkregen, waarbij de gegevens niet alleen gelezen, maar ook gewijzigd en weggegooid konden worden. Door de beschikbaar gemaakte broncode kon al snel vastgesteld worden dat deze applicatie niet met een beveiligingsoogpunt was geschreven. Gelukkig heeft deze audit plaatsgevonden voor het in productie nemen van deze applicatie.
Waterleidingbedrijf
Project: Black Box Security Audit LaptopsTechnologie: Laptop
Deze organisatie gebruikt laptops voor de storingsdienst om remote in te loggen op de systemen waarmee de zogenaamde SCADA systemen bediend worden. Het waterleidingbedrijf wilde graag weten wat de risico's zouden zijn van een verloren of gestolen laptop. Om dit te onderzoeken kreeg Madison Gurkha de beschikking over een standaard laptop van de storingsdienst. Deze laptop leek goed beveiligd te zijn, maar na het overbouwen van de harde schijf kwam toch een fundamentele zwakheid aan het licht: de harddisk was niet versleuteld. Via deze weg konden wij de gebruikers- en administrator-wachtwoorden kraken en vervolgens inloggen op het netwerk. Daar bleek dat veel meer systemen bereikbaar waren dan wenselijk. Deze ervaring geeft maar weer eens aan hoe belangrijk het is om encryptie toe te passen (op mobiele devices).
Gemeentelijke dienst
Project: Black Box Audit Intern netwerkTechnologie: Windows, Linux, Unix, Routers, Firewalls
Deze dienst van een grote gemeente wilde laten testen wat de kwetsbaarheden waren van hun interne netwerk. Dit soort netwerken blijkt vaak erg kwetsbaar en ook het interne netwerk van deze gemeentelijke dienst was daar geen uitzondering op. Hier was sprake van eenvoudig te raden en te kraken wachtwoorden, ongepatchte systemen, ontbrekende authenticatievoorzieningen en intrusion detectiesystemen. Combineer deze bevindingen met een open organisatie waarin iedereen in en uit kan lopen en mogelijk fysieke toegang tot het netwerk heeft en je krijgt onaanvaardbare risico's.
Ministerie
Project: Forensisch onderzoek inbraak WebsiteTechnologie: webapplicatie
Het betreffende Ministerie maakt gebruik van een ASP webapplicatie. Deze webapplicatie bleek te zijn gehackt en dit had ook consequenties voor het betreffende Ministerie. Het Ministerie heeft vervolgens direct contact opgenomen met Madison Gurkha. Nog dezelfde dag hebben wij een eerste onderzoek gedaan naar de manier waarop de inbraak gepleegd is en waar vandaan dit is gebeurd. Op basis van deze gegevens is verder (juridische) actie ondernomen en zijn de door Madison Gurkha gevonden problemen op de website verholpen. Deze casus geeft duidelijk aan dat het uitbesteden van webapplicaties via een ASP-model, organisaties nog niet verlost van IT-beveiligingsrisico's en de problemen die daaruit voortkomen.
Als u meer wilt weten over Madison Gurkha, neem dan contact met ons op of vraag onze brochure aan. U kunt zich ook op onze RSS feed abonneren.