Cases financieel

Madison Gurkha richt zich met haar diensten op verschillende financiële instellingen en bancaire diensten waarbij IT security van groot maatschappelijk belang is. Vanwege de vertrouwelijkheid van onze dienstverlening kunnen we u geen lijst met namen van opdrachtgevers presenteren. Om een beeld te geven van de ervaringen van onze opdrachtgevers, leest u hieronder enkele voorbeelden van geanonimiseerde projecten in de financiële wereld. Specifieke referenties zijn uiteraard op aanvraag verkrijgbaar.

Wat kunnen wij voor u betekenen? Lees meer over onze diensten en trainingen passend bij verschillende risicogebieden voor uiteenlopende sectoren. Heeft u nog vragen of interesse in een offerte op maat? Neem gerust en vrijblijvend contact op.

Pensioenfonds

Project: Grey box security onderzoek Pensioen applicatie en black box security onderzoek IT-infrastructuur
Target: Java (webapplicatie)

Zoals veel organisaties biedt ook dit pensioenfonds haar aangesloten leden de gelegenheid aan, om hun gegevens in te zien. Deze portals worden steeds populairder. Echter, in veel gevallen zijn de onderliggende applicaties niet ontwikkeld voor "extern" gebruik. Dit bleek ook het geval bij dit pensioenfonds. De IT-infrastructuur was prima in orde. Dat gold daarentegen niet voor de applicatie. Op verschillende manieren bleek het mogelijk voor gebruikers om data van andere willekeurige gebruikers in te zien en te wijzigen. De belangrijkste problemen werden veroorzaakt door gebrekkig sessiemanagement, slecht uitgevoerde invoervalidatie en Cross Site Scripting. Na een grondige revisie van de software heeft Madison Gurkha tijdens een heronderzoek vastgesteld dat de eerdere problemen adequaat zijn opgelost. De bevindingen waren voor dit pensioenfonds overigens aanleiding om hun programmeurs onze training secure programming te laten volgen. Zo zijn zij beter in staat om ernstige problemen in de toekomst te voorkomen.

Bank

Project: Grey box security onderzoek E-Banking applicatie
Target: Java (client/server) decompilatie

Deze bank maakte al enige tijd gebruik van een generieke ebanking applicatie. Deze applicatie zou in beheer worden genomen in een outsourcing traject. De nieuwe beheerpartij wilde eerst weten of deze applicatie wel veilig was. De applicatie bleek na onderzoek verre van veilig. Hoewel de oplossing er op papier zeer veilig uitzag, bleken er ernstige implementatie- en programmeerfouten te zijn gemaakt. Deze fouten werden ondermeer zichtbaar na decompilatie van de Java-client. Zo is het is Madison Gurkha gelukt om zonder authenticatie geld over te schrijven van de ene willekeurige rekening naar een andere. De betreffende bank spreekt van geluk dat dit probleem in een vertrouwelijke omgeving aan het daglicht kwam, zodat tijdig de juiste maatregelen konden worden getroffen.

Internationale bancaire organisatie

Project: Crystal box security onderzoek webapplicatie met code-inspectie en Training Secure Programming
Target: Java (client/server) decompilatie

Deze internationale bancaire organisatie heeft IT-beveiliging erg hoog in het vaandel staan. Dit leidt regelmatig tot uitdagende projecten voor Madison Gurkha om mogelijke zwakke plekken in ogenschijnlijk zeer veilige oplossingen te ontdekken. In dit geval ging het om een uitermate complexe en, op het oog, ondoordringbare oplossing. Na decompilatie van de Java-client bleek dat er een aantal controles aan de client-kant in plaats van de server-kant werden uitgevoerd.

Na het uitschakelen van deze controles en na verdere analyse van het client/server-verkeer werd het mogelijk om rechten te vergroten en toegang te krijgen tot data waarvoor formeel geen autorisatie was. Na verdere analyse van het systeem bleek het zelfs mogelijk om ongeauthentiseerd transacties in de database tot stand te brengen. Met behulp van de technische kennis, creativiteit en het doorzettingsvermogen van de consultants van Madison Gurkha, is dit security onderzoek succesvol uitgevoerd. Het toont ook aan dat tools alleen nooit een goede IT-beveiligingsconsultant kunnen vervangen, hoogstens aanvullen.

Bancaire organisatie

Project: Crystal  box security onderzoek webapplicatie met code-inspectie en Training Secure Programming
Target: Webapplicatie .NET / C#

Deze bancaire organisatie ontwikkelt haar eigen applicaties. Een van deze webapplicaties is op verzoek door Madison Gurkha onderzocht. Daarbij hebben twee ontwikkelaars van deze organisatie tijdens de uitvoering van het onderzoek meegelopen om te leren van de ervaren auditors van Madison. Op deze manier kunnen veel testen die wij uitvoeren door organisaties in het interne testproces worden ingebed. Het uitgevoerde security onderzoek diende bovendien als casus tijdens de in-company training Secure Programming, die Madison Gurkha voor deze organisatie heeft verzorgd. Door ontwikkelaars bij het testen van de eigen applicatie te betrekken, is het leereffect optimaal.

@Madison Gurkha 2017
Webdesign Studio HB / webdevelopment Medusa