Overige
Madison Gurkha voert spraakmakende projecten uit voor grote (beursgenoteerde) organisaties. Hieronder geven wij enkele voorbeelden van onze projecten. Referenties zijn op aanvraag verkrijgbaar.
Organisatie actief in gezondheidszorg
Project: Black Box Audit IT infrastructuurTechnologie: Dial-In modem
Voor deze organisatie voerde Madison Gurkha een breed onderzoek uit naar de technische security risico’s van de externe verbindingen van de organisatie met de buitenwereld. Deze organisatie die IT security uitermate serieus neemt, had de zaken uitstekend voor elkaar.Totdat Madison Gurkha onderzoek deed naar de inbelverbinding. Deze inbelverbinding wordt , net als bij veel andere organisatie, gebruikt om beheerders toegang tot het netwerk te geven als er bijvoorbeeld storingen zijn met de internet verbinding. De authenticatie voor het gebruik van de betreffende internetverbinding bleek geregeld te zijn in de client en niet in het modem zelf. Door het gebruiken van een andere client kon Madison Gurkha zeer eenvoudig toegang krijgen tot het modem en daarmee tot het complete achterliggende netwerk. Nadat wij onze bevindingen hebben gemeld, zijn een aantal maatregelen genomen die de risico's van deze internetverbinding hebben weggenomen.
Bekende webshop
Project: Crystal Box applicatie audit met Code inspectieTechnologie: Java i.c.m. Websphere
Een in Nederland zeer bekende webshop had haar webshop volledig opnieuw gebouwd. Omdat een dergelijke herbouw de nodige IT security risico's met zich mee bracht, heeft deze klant ons gevraagd om een Crystal Box Security Audit met code inspectie uit te voeren. Bij een dergelijke audit "spelen" wij met de applicatie om risico's te vinden en inspecteren wij de code op risicogebieden. In deze wisselwerking zijn wij in staat zeer efficiënt te werken en risico's te vinden die anders wellicht niet ontdekt zouden zijn. In dit geval vonden wij, goed verborgen, een aantal hoge risico's waarmee klanten onder andere op andermans rekening hadden kunnen kopen. Deze webshop heeft deze, voor kwaadwillenden, interessante feature uiteraard verholpen.
Internationale retailer
Project: Security AwarenessTechnologie: -
Deze zeer grote wereldwijd opererende retailer wilde haar IT en staf medewerkers meer bewust maken van informatiebeveiligingsrisico's. Daarvoor heeft zij een security Awareness campagne opgestart. Madison Gurkha heeft geadviseerd over de opzet van deze campagne en ook vele IT security awareness sessies gegeven in diverse landen. Tijdens deze sessie hebben wij mensen enthousiast gemaakt voor informatiebeveiliging in het algemeen en IT security in het bijzonder.
Verzekeraar
Project: Social EngineeringTechnologie: -
Deze verzekeraar was benieuwd of het moeilijk zou zijn om zonder toestemming fysieke toegang te krijgen tot het hoofdkantoor zonder in te breken. Er was enige inventiviteit voor nodig, maar drie geplande scenario's bleken succesvol. De gehaaste gastspreker werd door de receptie snel geloofd, van badge voorzien en de richting naar de vergaderkamer gewezen. Eenmaal binnen kon onze consultant al snel de achterdeur vinden die leidde naar de rokersruimte die zich buiten bevond. Langs die weg hebben 2 andere collega's toegang tot het pand verkregen. Na de deur open te hebben gehouden voor de rokers van deze verzekeraar, zijn zij ook naar binnengegaan. Het laatste scenario, de lift monteur, werkt ook altijd goed. Met een mooie overal, nep goedkeuringsstickers en een gereedschapskist zwaaien de deuren al snel open. De resultaten van deze Social Engineering aanval worden gebruikt bij Security Awareness sessies.
In een ander onderzoek voor deze verzekeraar heeft Madison Gurkha de kwetsbaarheid van het interne netwerk onderzocht. Zoals de meeste interne netwerken, was ook dit interne netwerk zeer kwetsbaar. De combinatie van slechte toegangsbeveiliging en een kwetsbaar intern netwerk leidt tot ontoelaatbare risico's. Dat er hard gewerkt is om dit op te lossen zal duidelijk zijn.
