#30DaysOfSecurityTesting – 5

Aufgabe 5: Learn about threat modelling (i.e. like the STRIDE Model)

Threat Modelling, die Bedrohungsanalyse, sollte von Software-Herstellern in der Design-Phase angewendet werden.

Warum?

Nicht erkannte Sicherheitslücken sind eine große Gefahr und zerstören, wenn sie erst im Einsatz der Software erkannt werden, das Vertrauen beim Nutzer. Des Weiteren gilt natürlich auch bei Sicherheitslücken – je später der Fehler erkannt umso teurer die Behebung. Somit sollten in der Designphase, die Datenflüsse des untersuchten Systems ermittelt und in Datenflussdiagrammen (DFDs) visualisiert werden.

Das von Microsoft entwickelte STRIDE Modell hilft nun anhand der DFDs alle möglichen Bedrohungen zu identifizieren. Für jedes Element der DFD ist nun zu analysieren, welcher der Bedrohungen aus dem STRIDE-Modell vorhanden sind:

Spoofing: Vortäuschen einer falschen Identität

Tampering: Verändern von Daten

Repudiation: Abstreiten von Aktionen

Information disclosure: Preisgabe von Informationen

Denial of service: Störung eines Dienstes

Elevation of privileges: unbefugtes Erlangen von Rechten

Viel Arbeit, die sich aber am Ende durch ein angemessenes Sicherheitsniveau und der damit verminderten Angriffsfläche der Software auszahlt.

#30DaysOfSecurityTesting – 3

Dritte Aufgabe: Use a security tool – examples: zap or Burpsuite

Ungeschützter Netzverkehr kann auch auf dem Mac Folgen haben. ;)

Deshalb läuft bei mir „Little Snitch“ von der Firma Objective Development Software GmbH (https://www.obdev.at/products/littlesnitch/index-de.html)

Little Snitch – kleine Petze – überwacht die Verbindung zum Internet. Bei jeder ein- und ausgehenden Verbindung kann der Nutzer entscheiden, ob er diese zulässt oder verbietet. Wer möchte kann sich auch einen Netzwerkmonitor einblenden. Dieser zeigt in einem kleinen Fenster laufende Programme und deren aktuelle Verbindungen an.

#30DaysOfSecurityTesting – 2

Zweite Aufgabe: Select and read a book related to security testing

Ich habe mich für „Hacking im Web: Denken Sie wie ein Hacker und schließen Sie die Lücken in Ihrer Webapplikation, bevor diese zum Einfallstor für Angreifer wird“ von Tim Philipp Schäfers entschieden.

Es soll einen guten Einstieg ins Thema geben. Bin schon sehr gespannt. :)

#30DaysOfSecurityTesting – 1

Das Ministry of Testing startet eine Aktion: #30DaysOfSecurityTesting

Wir machen mit und laden alle andere mit zu machen!

Erste Aufgabe: Read a security blog

Hacker stehlen gemeinhin Daten und verkaufen sie gewinnbringend weiter.
Nun kann man umgekehrt die Frage stellen:
Was gebe ich eigentlich (un-)freiwillig von mir an Daten preis und was geschieht dann damit?
Hier ein paar sehr interesante Informationen dazu:
https://www.kuketz-blog.de/datenhaendler-wir-sind-glaesern-datensammler-teil1/#more-465217

 

Wenn Du, mein Leser, kein Security Tester bist und möchtest erstmal verstehen was ist was. Dann kannst Du hier anfangen!

Je mehr wir in uns aufnehmen, um so größer wird unser geistiges Fassungsvermögen. (Lucius Anbaues Seneca)

Das neue Jahr hat begonnen und die guten Vorsätze sind noch frisch. Genau die richtige Zeit also um dem ersten Test-Paradies Treffen im Jahr 2017 zu besuchen. :)

Die Veranstaltung begann mit einem Referat über  „Acceptance Testing“ von Robert Reif. Sein lebendiger Vortrag mit vielen Beispielen aus der Praxis stieß beim Publikum auf offene Ohren. Er beinhaltete neben Ausführungen zum idealen Umfeld auch Beispiele für die konkrete Umsetzung von Acceptance Testing mit Cucumber. (Verständnis-)Fragen und eigene Erfahrungsberichte der Zuhörer führten an Ende bei vielen Beteiligten zu Neugier auf mehr. Diese konnte im Anschluss in kleinen Gesprächsrunden bei Obst, Gemüsesticks, Knabberei und einer Club Mate in der Hand gestillt werden. (Vielen Dank für’s Bereitstellen an – Kristine Corbus & diva-e).

Bei einer Runde Testspiele einem vor kurzem von MinistryOfTesting herausgebrachten Spiel für Tester klang der Abend entspannt aus.

Man merkt nie, was schon getan wurde, man sieht immer nur, was noch zu tun bleibt. (Marie Curie)

testparadies1

Am 28.11. feierten wir das erste Jahr „Test Paradies Jena“. Bei Geburtstagstorte und (Lean-) Coffee blickten wir auf das vergangene Jahr zurück und sprachen über Wünsche für das kommende Jahr. Ganz besondere Freude bereiteten uns die Gäste aus dem fernen Halle an der Saale, die unserer Einladung auf der Meetup-Plattform gefolgt waren.

Im „Test Paradies Jena“gab es im letzten Jahr Beiträge z. B. über „Responsive Design“, „Release-Prozesse“.  Des Weiteren wurde ein Meet-up zusammen mit der Softwerkskammer veranstaltet. Neben dem Vortrag von Richard Seidl „Agiles Testen – Qualität als innere Haltung“ wurden verschiedenen Workshops gehalten. Außerdem wurde ein Spieleabend veranstaltet. Das Augenmerk war hierbei darauf gerichtet, Fähigkeiten von Testern zu schulen, die im täglichen Testerleben benötigt werden – z.B. Mustererkennung, Information aufnehmen und weitergeben.

Für das kommende Jahr wurde von allen Teilnehmern der Wunsch geäußert mehr voneinander zu lernen – Erfahrungsaustausch zu jedem erdenklichen Thema auf dem Testgebiet.

Diesen Wunsch greifen wir beim nächsten Treffen am 12.01.2017 auf. Stimmt mit ab welchen Vortrag wir zuerst hören – zum Moodle-Votum!

Und hier gehts zur Meetup-Einladung für das nächsten Event!

 

Qualität ist kein Zufall, sie ist immer das Ergebnis angestrengten Denkens. (John Ruskin)

img_3386k img_3379k

Endlich ist die Sommerpause vorüber und am 22.09. könnte ich mich neben zahlreichen weiteren (über 30!) Teilnehmern über „Many shapes of Testing“ informieren. Zum Joint Meet-up zusammen mit der Softwerkskammer Jena kamen nicht nur Tester. Unter den Teilnehmern waren viele Softwareentwickler, Projektmanager und weitere Prozessbeteiligte.

Zum Auftakt der Veranstaltung sprach Buchautor Richard Seidl in einem kurzweiligen Vortrag über seine Sicht bezüglich „Agiles Testen – Qualität als innere Haltung“. Nach anschließender Diskussions- und Fragenrunde startete der Zweite – Workshop-Teil des Meet-up zu den Themen:

img_20160922_204609

Die Workshops eröffneten neue Perspektiven und Herangehensweisen zu den Themen, die beim anschließenden, von diva-e gesponserten Pizza-Essen noch rege besprochen wurden.

„Gerade um wertvolle Arbeit zu tun, muß man spielen, daß heißt basteln, versuchen, experimentieren.“ (Emanuel Lasker)

Am 08.06.2016 war es endlich soweit – auch ich konnte erstmals am Test-Paradies Treffen teilnehmen.Mein Name ist Petra, ich bin vor 5 Jahren von der Softwareentwicklung zum Softwaretest gewechselt und entdecke seit dem Tag für Tag Neues im Bereich von Softwaretest und Qualitätssicherung u.a. spielen. ;)

Zur Verfügung für diesen Abend standen folgende Spiele: Dixit, StoryCubes und Set. Gemeinsam stimmten wir ab, mit welchem Spiel begonnen werden sollte – die Wahl fiel auf Dixit. Wir spielten 2 äußerst amüsante Runden und es war höchst interessant, welch verschiedenen Ausprägungen zu Tage traten, obwohl alle Beteiligten dieselbe Ausgangsinformation hatten. Die Mitspieler kannten sich zum Teil schon lange Zeit als Kollegen, andere trafen sich an jenem Abend zum ersten Mal. Die persönliche Beziehung zum Mitspieler beeinflusste die Entscheidung maßgeblich. Es zählten nicht nur die objektiven Fakten sondern auch das was man über das Gegenüber zu wissen glaubt. Somit zeigt sich, das bereits in einer kleinen, sehr überschaubaren Gruppe von Menschen ein und die selbe Information sehr unterschiedlich interpretiert wird.Insofern ist auch in der täglichen Arbeit zu hinterfragen, ob wirklich Klarheit zu einer Information herrscht oder doch nur jeder Beteiligter „seine“ Realität vor Augen hat. In dieser Situation hilft nur eins – darüber reden.

Als nächstes Spiel wählten wir Story Cubes aus, ein Spiel um Kommunikation und Redefluss zu üben. Es raunte beim Testparadies-Treffen aus mehreren Mündern – „… das kann ich nicht“. Und doch wurden die wildesten Geschichten kreiert und erzählt. Ein gutes Training für den Arbeitsalltag. Auch wenn die Puzzle-Stücke unsortiert erscheinen und der Sachverhalt im Kopf noch nicht schlüssig ist – die Angelegenheit ansprechen – und ehe man sich versieht, nimmt die Story ihren Lauf!

Zum Spiel Set fehlte am Ende des Abends nach allerlei Fantasiereisen die Zeit, aber es ergibt sich sicher bei den nächsten Treffen Gelegenheit für eine kleine Spieleinheit. :)