Cases overheid

Secura voert spraakmakende security onderzoeken uit voor (semi-) )overheidsinstanties op landelijk, provinciaal en gemeentelijk niveau. Vanwege de vertrouwelijkheid van onze dienstverlening kunnen we u geen lijst met namen van opdrachtgevers presenteren. Om een beeld te geven van de ervaringen van onze opdrachtgevers, leest u hieronder enkele voorbeelden van geanonimiseerde projecten waarbij Secura van dienst is geweest. Specifieke referenties zijn uiteraard op aanvraag verkrijgbaar.

Wat kunnen wij voor u betekenen? Lees meer over onze diensten en trainingen passend bij verschillende risicogebieden voor uiteenlopende sectoren. Heeft u nog vragen of interesse in een offerte op maat? Neem gerust en vrijblijvend contact op.

Landelijke overheidsorganisatie

Project: crystal box security onderzoek met code-inspectie
Target: Webapplicatie met Java (server side)

Deze overheidsorganisatie heeft een webapplicatie laten ontwikkelen waarmee een landelijk register kan worden geraadpleegd en van data voorzien. Omdat dit registergevoelige informatie bevat, speelt security en privacy een belangrijke rol. Aan IT-beveiliging bleek echter onvoldoende aandacht te zijn besteed.

Secura heeft vastgesteld dat op vele punten elementaire beveiligingsmaatregelen ontbraken die getroffen hadden moeten worden. Er werd op geen enkele wijze invoer- of uitvoervalidatie uitgevoerd. Dat gaf ons de mogelijkheid tot SQL-injectie op allerlei manieren, waarmee ongeautoriseerd en ongeauthentiseerd toegang tot data kon worden verkregen, waarbij de gegevens niet alleen gelezen, maar ook gewijzigd en weggegooid konden worden. Door de beschikbare broncode kon al snel vastgesteld worden dat deze applicatie niet vanuit een beveiligingsoogpunt was geschreven. Gelukkig heeft dit onderzoek plaatsgevonden voor het in productie nemen van de applicatie. Met behulp van de testresultaten zijn de benodigde veiligheidsmaatregelen genomen waarmee vervelende consequenties zijn voorkomen.

Overheidsinstelling op gebied van nutsvoorziening

Project: Black box security onderzoek Laptops
Target: Laptop

Deze organisatie gebruikt laptops voor de storingsdienst om remote in te loggen op de systemen waarmee de zogenaamde SCADA-systemen bediend worden. De overheidsinstelling wilde graag weten wat de risico's zouden zijn van een verloren of gestolen laptop. Om dit te onderzoeken kreeg Secura de beschikking over een standaard laptop van de storingsdienst. Deze laptop leek goed beveiligd te zijn, maar na het overbouwen van de harde schijf kwam toch een fundamentele zwakheid aan het licht: de harddisk was niet versleuteld. Via deze weg kon Secura gebruikers- en administrator-wachtwoorden kraken en vervolgens inloggen op het netwerk. Daar bleek dat veel meer systemen bereikbaar waren dan wenselijk. Naar aanleiding van deze resultaten heeft de organisatie encryptie toegepast op deze en andere mobiele devices waarmee haar beveiligingsniveau aanzienlijk is vergroot.

Gemeentelijke dienst

Project: Black box security onderzoek intern netwerk
Target: Windows, Linux, Unix, Routers, Firewalls

Deze dienst van een grote gemeente wilde laten testen wat de kwetsbaarheden waren van hun interne netwerk. Interne netwerken blijken in de regel erg kwetsbaar en ook het interne netwerk van deze gemeentelijke dienst was daar geen uitzondering op. Hier was sprake van eenvoudig te raden en te kraken wachtwoorden, ongepatchte systemen, ontbrekende authenticatievoorzieningen en intrusion detectiesystemen. Deze bevindingen in combinatie met een open organisatie waar iedereen in en uit kan lopen met mogelijk fysiek toegang tot het netwerk, zou tot onaanvaardbare risico’s kunnen leiden. Een verstandige keuze van deze gemeente om haar interne netwerk onafhankelijk in een vertrouwde omgeving te laten onderzoeken.

Landelijke overheidsinstelling

Project: Forensisch onderzoek inbraak Website
Target: webapplicatie

Deze landelijke overheidsinstelling maakt gebruik van een ASP webapplicatie. Deze webapplicatie bleek te zijn gehackt en dit had ook consequenties voor de betreffende overheidsinstelling. De organisatie heeft vervolgens direct contact opgenomen met Secura. Nog dezelfde dag hebben wij een eerste onderzoek gedaan naar de manier waarop de inbraak gepleegd is en waar vandaan dit is gebeurd. Op basis van deze gegevens is verder (juridische) actie ondernomen en zijn de door Secura gevonden problemen op de website verholpen. Deze casus geeft duidelijk aan dat het gebruik van webapplicaties via een ASP-model, organisaties nog niet verlost van IT-beveiligingsrisico's en de problemen die daaruit voort kunnen komen. Uit deze case volgt dan ook duidelijk: voorkomen is beter dan genezen.

@Secura 2017
Disclaimer  /  Privacy policy  /  Sitemap / Inloggen
Webdesign Studio HB / webdevelopment Medusa