Viis küberturvanippi tavakasutajale

Internet ei ole juba ammu enam turvaline paik. Kõikvõimalikud sihilikult ja kogemata süsteemidesse istutatud vead aitavad tänapäevastel kurjategijatel virtuaalseid kanaleid kaudu priskeid varandusi kokku ajada. Olukorda ära kasutades on tekkinud palju erinevaid turvalahendusi pakkuvaid asutusi, mis üksteise võidu pakuvad just seda õiget toodet või teenust ohutunde eemaldamiseks. Paraku jääb ainuüksi mõnusa ja turvalise tunde tekitamisest väheseks. Pigem aitab valedele alustele rajatud enesekindlus küberkurjategijatel kiiremini oma eesmärke saavutada.

Turvaaukudest tulvil netiteekond

IT spetsialistidele on hästi teada tõsiasi, et igasse süsteemi on võimalik sisse murda. Kuna tarkvara täielik testimine on võimatu, siis pole kunagi võimalik absoluutselt kõiki tarkvaravigu vältida. Isegi kui leiduks ideaalselt turvaline tarkvara, siis väga suure tõenäosusega on selle kasutajaks inimesed. Inimesi on aga võimalik mitmel eri viisil manipuleerida ning piisavalt hästi varustatud kurjategijad (või kolme- ja neljatähelised organisatsioonid) leiavad varem või hiljem viisi, kuidas oma eesmärgini jõuda. Seega tekib küsimus, kas tuleks paranoiliselt arvutitest võõranduda või hoopis kübermaailma ohtudega leppida. Kuna arvutitest võõrandumine on tänapäeva infoühiskonnas suhteliselt keeruline, siis valivad paljud ohtudega leppimise tee. "Kasutan jah ikka veel Windows XP-d, aga see ju töötab." "Räägitakse jah, et tuleks arvutit regulaarselt uuendada, aga see on ju hästi tüütu." "Tean küll, et piraattarkvara on ebaseaduslik ja ohtlik, kuid kõik ju kasutavad seda." "Mis need häkkerid ikka minu arvutiga teha saavad?" Selline lähenemine tekitab aga tarbetuid turvariske, mida saaks vähese vaevaga vältida.

Olukord on parem, kui paistab

Tavakasutajatele lohutuseks võib öelda, et interneti turvaolukord ei ole sugugi nii hirmus, kui esmapilgul paistab. Näiteks leidis GCIG (Global Commission on Internet Governance), et küberrünnakute hulka vaadatakse tavaliselt väljaspool konteksti. Nimelt on loogiline, et interneti levik toob endaga kaasa ka küberkurjategijate ning küberintsidentide laialdasema leviku. Kui aga vaadelda küberrünnakutega kaasnevaid näitajaid normaliseeritud kujul (ehk suhtarvuna, arvestades ka keskkonna muutumist), siis selgub, et olukord tervikuna on muutumas turvalisemaks.

Lisaks on tekkinud positiivne trend vastutuse suurenemise suunas. Kui kümmekond aastat tagasi kuvati küberrünnaku ohvriks langenud organisatsiooni pigem õnnetu ohvrina, siis praegu võib hoolimatus klientide andmetega ringi käimisel kaasa tuua kohtuasja, mainekahju ja veel mitmeid ebameeldivusi.

Eelmainitu ei tähenda aga kaugeltki seda, et tavakasutaja peaks end muretult tundma. Kõikvõimalikud andmelekked ja pahavaraga nakatumised algavad just pahatihti ühest pahaaimamatust tavakasutajast. Õnneks on mitmeid lihtsaid viise, kuidas oma turvataset märkimisväärselt tõsta.

1. Uuendused

Kuigi uuenduste paigaldamine on sageli tüütu, on oma arvuti ajakohastamine esmatähtis punkt turvalisuse tagamisel. Kui küberkurjategijatel õnnestub lappimata turvaauku ära kasutades kogu arvutit kontrollida, siis ei ole teistest turvameetmetest enam suurt kasu.

2. Tugev autentimine

Kasuta tugevat parooli (parem sala-lause, kui lihtsalt sõna) ning mitmeastmelist autentimist. Erinevate tugevate paroolide haldamiseks on hea kasutada spetsiaalset paroolihaldustarkvara. Isikliku tähendusega kuupäevad ja lähedaste nimed on targem salasõnadest välja jätta.

3. Erinevate brauserite kasutamine koos abistavate pluginatega

Kasuta privaatsust suurendavaid pluginaid (nt Privacy Badger) ja erinevaid brausereid. Näiteks tööasjadeks Mozilla Firefox'i ja meelelahutuseks Google Chrome'i. Nii on praktiliselt välistatud, et meelelahutuslikule leheküljele (nt uudisteportaal) tunginud pahatahtlik koodijupp pääseks ligi tundlikule informatsioonile (nt tööalased e-kirjad).

4. Krüpteeri, varunda ja krüpteeri

Krüpteerimine muudab andmed kõrvalistele isikutele loetamatuks. Oma privaatsusest hoolivatel arvutikasutajatel tasuks kindlasti hoida tundlikke faile krüpteeritud kujul. Soovitav oleks krüpteerida kogu kõvaketas ning varukoopiad. Varukoopiaid hakatakse tegema tavaliselt alles siis, kui vähemalt üks kord on kõvaketas saladuslikult loetamatuks muutunud või andmed muud moodi äkitselt kadunud. Targem oleks teha regulaarselt varukoopiaid kas siis välisele kõvakettale (või mälupulgale) või mõnda pilveruumi (vastava teenuse pakkujaid on mitmeid). Välisele kõvakettale või mälupulgale andmeid salvestades tasub meeles pidada, et tundliku sisuga failid tasub ka seal hoida krüpteerutuna.

5. Ole paranoiline (mõõdukal määral)

Lihtne reegel ütleb, et kui miski on liiga hea, et olla tõsi, siis nii see ka on - suurem osa uskumatutest vedamistest (nt loteriivõit või pärandus Nigeeriast) on tegelikult petuskeemid, mille eest pahatihti ei suuda kaitsta ka paremad arvutikaitse tarkvaralahendused. Lisaks internetist saabuvatele rõõmusõnumitele tasub ettevaatlik olla ka ähvardavate ja kurbade teadete suhtes. Teavitused arvutis pesitsevast viirusest, sotsiaalvõrgustiku sulgemisest või tuntud inimesega juhtunud õnnestusest võivad kõik olla järjekordsed küberkriminaalide katsed lihtsameelsete kasutajate meelitamiseks. Seega tasub linke pommuudistele avada näiteks eraldi brauseris (kuhu on paigaldatud NoScript plugin) või jätta üldse avamata.


Paranoilisemad tehnikahuvilised leiavad lisaks mainitud punktidele veel mitmeid kasulikke mõtteid Linuxi sihtasutuse juhendist tööarvuti turvamiseks. Kuigi juhend on eelkõige Linuxi kasutajatele suunatud, on mitmed põhimõtted rakendatavad ka teiste operatsioonisüsteemide korral. 

Kes, mida ja kui palju peaks testima, et oleks "piisav"?

Kui tihti oled kuulnud tarkvaraarendusprojektidest, mis eelarves ei püsi? Või ajakavas? Kui palju seda su enda projektidega juhtunud on? Kui meenus vähemalt kaks (või üks, aga hästi suur), loe edasi. Loodetavasti aitab.

Mis on testimine ja miks see aidata võiks?

Ühe rahvusvahelise definitsiooni järgi on testimine protsess, mis koosneb kõigist tarkvara elutsüklis sisalduvatest tegevustest, mis tegelevad tarkvaraprodukti ja seotud töötulemite hindamise planeerimise, ettevalmistamise ja läbiviimisega, et:

• selgitada välja, kas ja mil määral nad vastavad nõuetele;
• näidata nende sobivust eesmärgi saavutamiseks ning
• leida vigu.

Mida paremini sobib tehtud töö eesmärgi saavutamiseks ja vastab nõuetele, seda vähem peab tööd ümber tegema. Mida varem vead leitakse ja parandatakse, seda vähem tuleb tööd ümber teha. Aga sellest kõigest varsti lähemalt.

Kõige Olulisem Küsimus

Kõik ASA inimesed – kvaliteedikonsultandid, testijuhid, testijad – kuulevad nii müügitegevuses kui ka igapäevastes vestlustes sageli küsimust: „Kui palju peaks testimisele aega/raha kulutama?“ Et aga ainult suhtarv ütleb vähe, sõnastame küsimuse natuke laiemalt:

Kes, mida ja kui palju peaks testima, et oleks "piisav"?

Kirjutise järgnevad peatükid otsivadki antud küsimusele vastust, andes huvitatud lugejale vihjeid edasiseks lugemiseks. Kuna testimine ja tarkvaraarenduse kvaliteeditegevused üldisemalt on üsna lai teema, ei ole antud artikli skoobis võimalik pakkuda enamat põgusa sissejuhatuse andmisest.

Testimise tükeldamine

Ka kõige lihtsamate infosüsteemide puhul saab võimalikke testitavaid sisendite kombinatsioone välja mõelda lõpmatul hulgal, seega on täielik testimine võimatu. Selleks, et testimine erinevate rollide vahel mõistlikult ära jagada, tuleb tööd tükeldada. Seda saab teha nii horisontaalselt, erinevate kvaliteediatribuutide kaudu, kui ka vertikaalselt, vastavalt abstratktsioonitasemetele.  Seejuures võivad teostajad erineda nii testiliikide kui ka –tasemete lõikes. Kõlas keeruliselt? Ilmselt küll. Aga tegelikult ei ole testiliigid ja -tasemed välja mõeldud mitte selleks, et keerulisem oleks, vaid vastupidi -- lihtsam. Kuna tarkvara ise on sageli suur ja keeruline, on mõistlik arendusprotsess (ja selle kvaliteedikontroll) väiksemateks loogilisteks osadeks jagada.

Testiliigid

Testimist saab jagada liikideks vastavalt tarkvara kvaliteediatribuutidele. Viimaste kategooriaid on ISO/IEC 9126 järgi 6:

1. funktsionaalsus;
2. töökindlus;
3. kasutuskõlblikkus;
4. tõhusus;
5. hooldatavus ning
6. porditavus.

Arvatavasti kõige tuntum osa testimisest, üldjuhul ka kõige töömahukam – funktsionaalne testimine – hõlmab esimest kategooriat. Ülejäänud kategooriad võetakse üldjuhul ühise nimetaja alla "mittefunktsionaalsed nõuded" ning nendega seondub palju erinevaid (mittefunktsionaalseid) testiliike, muuhulgas:

• jõudlustestimine ja selle erijuhud (koormus- ja stressitestimine);
• robustsustestimine (testimine vigaste andmetega);
• kasutatavuse testimine;
• paigaldatavuse testimine;
• turvatestimine;
• jpm.

Lisaks eeltoodule saab testimist jagada liikidesse vastavalt sellele, kas programmikood käivitatakse või mitte. Esimesel puhul, mis on taaskord tuntum, on tegu dünaamilise testimisega. Staatiline testimine, mille käigus koodi ei käivitata, võimaldab testida sisuliselt kõike alates ärinõuetest ja prototüüpidest ning lõpetades paigaldus- ja kasutusjuhenditega.

Testitasemed

ISTQB selgitab arendusprotsessi läbi 4-tasemelise  V-mudeli, milles igale arendustasemele vastab testitase:

1. moodul- ehk ühiktestimine (unit testing) toimub arendatavale koodile kõige lähemal, testitakse loodavate tarkvaramoodulite (meetodid, klassid) toimivust vastu mooduli disainidokumentatsiooni;
2. integratsioonitestimises (integration testing) kontrollitakse moodulite omavahelist koostoimivust;
3. süsteemitestimise (system testing) tasemel kontrollitakse juba kogu süsteemi läbivate äriprotsesside toimivust süsteemidisaini vastu;
4. vastuvõtutestimise (acceptance testing) eesmärk on veenduda, et süsteem teeb seda, milleks ta loodud on.

Lähtuvalt erinevast abstraktsiooniastmest ja vaatenurgast on igal testitasemel erinevad vastutajad ning eesmärgid. Näiteks vastuvõtutestimise eesmärk ei tohiks kindlasti enam olla vigade leidmine ja parandamine, vaid pigem kindlustunde tekitamine lõppkasutajates. Samuti on testija mõiste igal testitasemel pisut erinev -- näiteks arendajad peaksid kindlasti osalema moodultestimises, seevastu äripool on absoluutselt asendamatu vastuvõtutestimise tasemel.

Lisaks eeltoodule ei tasu testimist unustada ka vahetult pärast programmikoodi ülekandmist toodangukeskkonda (nö. toodangusse vastuvõtu testimine).

Varajane testimine

„Mida varem, seda parem,“ ütleb rahvatarkus. Tõepoolest, see kehtib ka tarkvara testimise puhul, nagu näitas juba Barry Boehm oma 1976. aastal avaldatud artiklis „Software Engineering“ (1976). Täpsemalt, mida hiljem avastatakse tarkvaras viga, seda rohkem on selleks ajaks valesti tehtud tööd, mida ümber teha. Mida abstraktsem on töö, seda suurem on tõenäosus teha vigu. Seega tehakse tõenäolisemalt vigu nõuete kogumise faasis. Sellest omakorda järeldub, et varajane testimine, eelkõige staatiline testimine enne kodeerimise algust, võimaldab saavutada kõige suuremat kokkuhoidu.

Oponendid väidavad nüüd kindlasti, et eeltoodud põhimõte kehtib ainult klassi­kalise koskmudeli puhul ja mitte agiilsetes arendusmetoodikates. Tõsi, inkre­mentaal­sete-iteratiivsete mudelite puhul on inkremendid/iteratsioonid lühemad kui koskmudeli kogu arendustsükkel, seega tehakse dokumen­teeri­mi­sest töötava koodini jõudmiseks vähem tööd, mistõttu on potent­siaalsed kao­tu­sed, vähemalt ühe iteratsiooni piires, tõenäoliselt väiksemad. Ometi on ka siin varajane testi­mine oluline – kui näiteks esimeses iteratsioonis on tehtud funda­mentaalne viga, tuleb selle avastamisel mitu iteratsiooni hiljem ümber teha ka kõigi vahepealsete iteratsioonide tööd.

Testimise osakaal arendusprojektis

Aastal 1988 viidi läbi uuring, kus koostati kolme ettevõtte põhjal tarkvaraprojektide käekäigu simuleerimiseks mudel ning verifitseeriti mudelit seejärel neljanda, sõltumatu projekti raames. Tulemused olid üllatavad: mudel suutis neljanda projekti käekäiku ennustada erinevates mõõtepunktides üsna täpselt.

Uuringust selgus, et antud projektimeeskonna puhul olnuks ideaalne kulutada 15% projekti töötundidest testimis- ehk kvaliteeditegevustele. Antud tulemuse tõlgendamisel tuleb arvesse võtta kaht olulist aspekti. Esiteks vajab mudel sisendiks väga detailseid andmeid projektimeeskonna võimekusest (näiteks vigade esinemise sagedust), mistõttu ei ole see üldjuhul Eesti projektidesse kohaldatav. Teiseks oli vaadeldava projekti teostajaks NASA, mistõttu olid nii meeskonnaliikmete valikul kui ka protsessides väga ranged nõuded ja reeglid. Uuringu põhjal avaldatud artiklit võid lugeda siit.

Erinevad allikad annavad erinevaid soovitusi testimistegevuste osakaalule pro-jekti kogumahus. Näiteks suuremate ERP-lahenduste puhul väidetakse see olevat 40%, mastide otsas kasutatavate telekom-seadmete puhul aga vähemalt 60%. Viimane World Quality Report näitab trendi, et testimise osakaal kogu IT-eelarvest on tõusnud viimase paari aastaga 18% pealt 23% peale ning aastaks 2014 juba 26%-ni. 2017. aastaks ennustatakse, et testimine hõlmab keskmisest IT-eelarvest juba 29%.

Kokkuvõtvalt

Peab nentima, et alguses õhku paisatud küsimusele ühtset ja konkreetset vastust, mis igas projektis paika peaks, ei olegi.

Kes peaks testima? Kõik projekti osapooled, olenevalt vajalikest testiliikidest. Testija rollis võivad olla elukutselised testijad, aga kindlasti ka arendajad, analüütikud, lõppkasutajad, administraatorid, tellijad, tootejuhid jne.

Mida peaks testima? Lähtuma peaks kindlasti kvaliteediatribuutidest, mida antud projekti puhul olulisteks edu faktoriteks peetakse.

Kui palju peaks testima? See sõltub väga palju projekti iseloomust, kuid levinud praktika on hetkel 26% kogu ettevõtte IT-eelarvest kulutada testimistegevustele.

Viimases kahes punktis võiks ühtlasi lähtuda riskihinnangust – testimine kui meede riskide ennetamiseks ei ole kindlasti kasulik, kui sellele kulutada riski realiseerumisel saadavast potentsiaalsest kahjust rohkem.

Koolitus tehnilisest testimisest - mida peab iga testija ja arendaja teadma tarkvara siseelust?

Tarkvaraprojektides jooksevad testijad ja arendajadki tihti peaga vastu seina - testitakse küll ja justkui pühendunult ja päris korralikult, aga "tavaline" testimine ei leia kõiki olulisi vigu üles. Teine ebameeldiv võimalus on, et vead tulevad välja liiga hilja - vahetult enne live'i tähtaega või juba toodangukeskkonnas, põhjustades nii kõigile osapooltele sõnulseletamatuid kannatusi. Veel tahaksid uudishimulikud tarkvaraprofid saada ka objektiivset ülevaadet oma testimise põhjalikkusest - näiteks vastusena küsimustele "Kui suure osa koodist mu testid katavad?" või "Kas mu koodis on testimata osasid?"

Ka kliendid ei ole kitsid tarkvarale kõrgete nõuete esitamisega - tarkvara peab olema kiire, teenindama suure hulga paralleelseid kasutajaid, olema turvaline ja ilma probleemideta hallatav ning edasi arendatav, modulaarne ja filigraanne. Testijad aga teavad, et kui on nõue, tuleb ka testida, kas nõue on täidetud. Mõnikord aga... nagu hästi ei oska. Ja isegi kui oskaks, siis missuguseid tööriistu oleks kõige õigem kasutada? Mida automatiseerida ja mida mitte?

Tehnilise testija koolitus käsitleb testimise aspekte, mis on olulised nii tehnilisemate ülesannetega kokku puutuvale testijale (näiteks agiilses arendustiimis) kui ka arendajale.

Põhiliseks koolituse fookuseks on meetodid, tehnikad ja tööriistad, mida kasutada "tavapärasele" musta kasti käsitsitestimisele lisaks, et leida vigu lihtsamini (väiksema aja/rahakuluga) ning kontrollida kvaliteeti terviklikumalt kui vaid funktsionaalsusele rõhku pöörates. Et kullakarvalise kasutajaliidese all ei oleks liialt siiruviiruline kood. 

Väike ülevaade käsitletavatest teemadest on järgmine:

• koodi testikate (test coverage) - kuidas seda eesmärgistada, mõõta, kasvatada ja mitte üle pingutada,
• tarkvara sisekvaliteedi (hallatavus, hooldatavus) hindamine - koodistandardid ja staatiline analüüs,
• koodi käitumise uurimine - dünaamiline analüüs, profileerimine,
• tehnilist laadi testide planeerimine ja läbiviimine - jõudlustestid, turvatestid, tarkvara töökindluse tagamine,
• testide automatiseerimine - millal ja kuidas peaks ja ei tohiks, 
• tehnilise testija tööriistakast ja oma isikliku tööriistakasti komplekteerimine.

Koolitus, kuhu on oodatud nii testijad kui ka arendajad, toimub juba 24. - 26. augustil. Koolitajaks on Lloyd Roden (http://lloydrodenconsultancy.com), kes on nii AKA eelmistel koolitustel kui ka erinevatel testimise alastel konverentsidel saanud positiivse tagasiside kui praktilise kogemusega mänguline treener. Koolitusel igav ei hakka! 

Lisainfo ja registreerumine aadressil maili [at] asaquality.ee.
Registreerudes enne jaanipäeva on kolmepäevase koolituse hind 1500€+KM, edaspidi 1600€+KM (sisaldab toitlustust ja kõiki materjale, ei sisalda sertifikaadieksami tasu).

Koolitus põhineb ISTQB Certified Tester Advanced Level Technical Test Analyst õppekaval ning koolituse läbinutel on võimalik sooritada sertifikaadieksam (eksami sooritamise eelduseks on ISTQB CTFL sertifikaadi olemasolu, koolitusel saab osaleda ka ilma CTFL sertifikaadita). 

Kuidas mõõta turvalisust?

Mida vähem turvalisust, seda parem – niiviisi mõelda tundub esialgu veider, sest turvalisus on pigem positiivne ja ihaldatud omadus. Kui seda aga mõõta ei osata või ei taheta, siis jääb iga turvalisusega seonduv nõue, soov ja visioon sisutühjaks loosungiks. Seega turvalisuse reguleerimiseks on tarvis miskit mõõta. Mõõtmiseks on aga vaja kõigepealt see "miski" täpsemalt määratleda. Tunnetuslikult tähendab turvalisus igale inimesele midagi, aga selle täpsemal defineerimisel jäädakse sageli hätta. Täpsem turvalisuse mõiste seletus sõltub muidugi kontekstist, kuid suures plaanis on võimalik rääkida tunnetatavast turvalisusest ja mõõdetavast turvalisusest.

Turvatunne

Laiemas mõttes peetakse turvalisuse all tavaliselt silmas turvatunnet, mis on Maslow' vajaduste hierarhiat iseloomustavas püramiidimudelis hõivanud täiesti omaette taseme. Kui mõelda mõnele ekstreemsele olukorrale (näiteks aktiivne sõjategevus või looduskatastroof), siis on üpris loogiline, et turvatunde saavutamine on väga prioriteetsel kohal. Surmahirmus inimesed ei mõtle tavaliselt tunnustusele ega gastronoomilistele naudingutele. Pigem fokusseerib inimkeha kõik oma ressursid selleks, et jõuda ohutu(ma)sse seisundisse. Ohtude vältimiseks ja turvatunde tekitamiseks on inimkond loonud kõikvõimalikud seadmed ja konstruktsioonid (muu hulgas näiteks kindlused ja kindlustused, turvavööd ja tulemüürid, helkur- ja kuulivestid, abielu- ja töölepingud). Paraku on tunnetel põhinev turvalisus väga individuaalne, sest iga inimese julge olek on ümbritseva keskkonnaga omamoodi suhtes – mõnele on julgeks olemiseks tarvis soomusrüüd, teisele reisikindlustust.

Tarkvara puhul võib ju selle kasutaja käest küsida, kui turvaliseks ta antud rakendust või süsteemi peab, kuid pahatihti ei pruugi tunnetuslik hinnang tegelikkusele vastata (kuigi vahel on tarkvara looja vaatenurgast lõppkasutaja hea enesetunne palju tähtsam kui süsteemi tegelikud turvaomadused). Seetõttu on tark lisaks kasutajate tagasiside kogumisele paika panna mõõdikud, mis annaks turvalisuse tasemest objektiivsema ülevaate.

Mõõdetud turvalisus

Nõuete ja eesmärkide seadmisel on tähtis, et need oleksid mõõdetavad. Vastasel korral on väga keeruline tõestada, et soovitud tulemus on saavutatud. Turvalisuse mõõtmiseks võib kasutada mitmeid andmeid. Näiteks võib loendada 2014. aastal USAs raporteeritud tarkvara haavatavused ning järeldada, et kõige haavatavamad operatsioonisüsteemid olid Apple Mac OS X, Apple iOS ning Linux kernel. Võib ka üles lugeda anti-viirus-programmi poolt avastatud pahavara-ründed või kokku liita tavakasutajate tehniliste probleemidega seonduvad appikutsed. Igal juhul annavad täpselt mõõdetavad numbrid võimaluse joonestada erinevaid graafikuid ning aitavad turvalisuse tasemest veidi objektiivsemat ülevaadet saada.

Teatud mõõdikute komplektid on muutunud sedavõrd populaarseks, et nendest on välja kujunenud standardid. Kuigi ka standardites võivad mõned mõõdikud ja definitsioonid jääda ebatäpseks, on nendest siiski suur kasu turvalisuse taseme hindamisel. Erinevad standardid (näiteks rahvusvaheline ISO 27000 seeria, kodumaine ISKE, veebirakendustele keskendunud OWASP ASVS, jne) võimaldavad kontrollida, millisel määral järgib kontrollitav produkt (tarkvara, teenus, protsess) spetsialistide poolt kehtestatud nõudeid. Standardid aitavad piiritleda testimise skoopi ning samuti parendada erinevate osapoolte vahelist suhtlust (eeldusel, et kõik osapooled on tuttavad standardis määratletud mõistetega).

Igaühele oma standard

Samas ei tohiks mõõdikute usaldamisega liialdada. Mõõdikud näitavad ainult neid haavatavusi, mis leiti üles ja raporteeriti. Näiteks mustal turul on kõrges hinnas haavatavused, mis on veel ametlikult raporteerimata, ning pahavarad, mis oskavad viirusetõrjeprogrammidele nähtamatuks jääda. Lisaks peitub igas tarkvaras veel hulgaliselt täiesti avastamata haavatavusi. Seega on väga oluline aru saada, mis peitub mõõdetud numbrite taga. Tuleb meeles pidada, et kõik sõltub alati kontekstist ning lihtsalt kahe numbri võrdlusest ei piisa adekvaatsete otsuste tegemiseks. Pahatihti tehakse aga lihtsustatud mudelite põhjal laiahaardelisi järeldusi. Rohkem vigu ühes või teises programmis või rakenduses ei pruugi sugugi tähendada, et see oleks sellevõrra rohkem või vähem turvaline. Tänapäeva tarkvara on sedavõrd kompleksne, et on mõttetu väita, et üks brauser, tekstiredaktor või operatsioonisüsteem on turvalisem kui teine.

Kokkuvõttes võib tõdeda, et turvalisuse mõõtmine ei ole lihtne. Turvataseme hindamiseks on otstarbekas igale juhtumile individuaalselt läheneda, sest mõtestamata mõõdikute väär tõlgendamine võib viia kurbade tagajärgedeni. Üldine turvateadlikkus ja turvaküsimuste üle mõtisklemine tuleb aga igal juhul kasuks.

Sten Mäses
ASA Quality Services

Küber-identiteedivargus – süütu nali või tõsine kuritegu?

Minu esimesed kokkupuuted Internetiga olid vanuses 11-12, ehk varajases puberteedieas. Nägin jututubade-buumi, mis hiljem asendus foorumitega. Kümmekond aastat hiljem alustas praegu „tipus“ trooniv sotsiaalmeedia oma võidukäiku. Kui paarkümmend aastat tagasi peitus enamik neti-inimesi varjunime taha, siis viimaste aastate trend on pigem iseenda näo ja nime näitamine – Google pidas seda lausa nii iseenesestmõistetavaks, et nõudis rangelt iseendana esinemist. Kogu vaadeldava perioodi jooksul on üht probleemi aga üsna tõsisemaks hakatud pidama: identiteedivargused.

Interneti massidesse jõudmise algusaegadel, 90ndate aastate keskpaigas, olid reeglid üsna kaootilised. Kirjapandud reegleid otseselt ei olnudki, riiklikul tasandil seadustest rääkimata. Et kasutajaid oli vähe, toimisid keskkondade sisemised reeglid, ühest-kahest moderaatorist piisas. Kuna kasutajanime valimisel piiranguid polnud, valisid paljud end küberruumis esindama mõne iidoli nime. Ma ise kasutasin nimesid KarmoK (kooli arvutiklassi kasutajanimi), ChrisMan (vrd Batman või Spider-Man) ja 1998. aastast Garfield, millest pärast loomulikku lühenemisprotsessi sai „garf“. Ometi ei garanteerinud miski, et selle nime taga just mind leida võiks – ja ega keegi tõenäoliselt ei eeldanud ka. Internet oli huvitav mänguasi, mitte midagi tõsist. Huvitava võrdlusena võib siia kõrvale tuua Fidoneti, kus EW.* gruppidesse pidi igaüks rangelt oma kodanikunime alt kirjutama. Internetis valitses sellega võrreldes anarhia.

Keskkooli lõpu paiku (aastatel 2001-2003) sattusin tihedamalt ühte Inglise Vormel 1-teemalisse foorumisse. Kui suurem osa sealsest seltskonnast oli heatahtlik, leidus siiski ka juba paar „trolli“, kes ühe konkureeriva vormelifoorumi moderaatoriga tülli olid läinud ja arvete klaarimiseks tema nime ja pildiga „varikontosid“ vorpisid teha. Mustamiskampaania põhiline sisu oli noormehe väidetavalt massist erinev seksuaalne orientatsioon – nimelt fantaseeriti kokku kõiksugu orgiaid erinevate muude sihtmärkidega, kes kõik ühel või teisel põhjusel „trollidega“ pahuksisse olid sattunud. Üritasin „trollide“ mõtteviisist aru saamiseks nendega suhelda – sain vastuseks, et Internet on ju ainult mäng ja ega nad siis paha pärast. Julgesin väita, et tegelikult on iga ekraani taga siiski päris inimene ja sellisel laimul võivad nende jaoks ka reaalsed tagajärjed olla ning juba olidki lugudes uued tegelased – mina ja mu tolleaegne tüdruksõber.

Kui eelmises loos oli tegu „ainult“ emotsionaalse traumaga, siis 2009. aasta veebruaris avaldas Eesti Ekspress loo naisest, kes Soome kohtus oma eksmehe vastu võidu saavutas, kuna kohalikud võimud ei leidnud seadusandlusest ühtki asjassepuutuvat pügalat (Kärmas, 2009). Artikli ilmumise ajaks oli – küll napilt nädal varem – juba kooskõlastusringile jõudnud Karistusseadustiku muutmise seaduse eelnõu, millega seadusesse lisandus § 157² „Teise isiku identiteedi ebaseaduslik kasutamine“ (Riigikantselei, 2009). Probleemi hakati tunnetama seadusandja tasemel.

Ometi ei olnud sellest seadusemuudatusest kasu, kui välismaised kurjategijad möödunud aasta alguses mu ema Google’i konto enda valdusesse said ja kõigile kontaktidele petukirja laiali saatsid – justkui oleks konto omanik Bradfordis varguse ohvriks langenud ja vajaks nüüd kiiret rahalist abi (Karmo, 2014). Kuna tegu oli rahvusvahelise juhtumiga – ohver Eestis, teenusepakkuja Ameerikas, kurjategija ei-tea-kus – tunnistas politsei taaskord võimetust aidata. Umbes samal ajal oli sarnaseid juhtumeid Eestis teisigi. Seejuures olid identiteedivargad jälgede kustutamisel üsna põhjalikud: Google’i konto pandi üsna kiiresti pärast ülevõtmist kinni ning loodi sama kasutajanimega uus. Nii ei toiminud ka standardsed viisid konto taastamiseks.

Mis selles viimases juhtumis siis nii hullu oli? Mäletan omast kogemusest, kui palju aega ja energiat kulus uue Google’i konto tegemisele, kogu info vanalt kontolt uuele migreerimisele, arvete ja muu olulise info uuele aadressile tellimisele jms tegevustele. Seejuures oli minu vana konto minu käsutuses. Antud juhul tuligi emal eelkõige kõigi oluliste teenusepakkujatega lepingud ümber teha – arved uuele e-posti aadressile suunata. Lisaks – kuidas teavitada kõiki kontakte uuest aadressist, kui kontaktibaas „hävis“ koos kontoga? Paari päeva jooksul tuli murelikele petukirja saanud tuttavatele selgitada, et tegelikult ei ole midagi hullu juhtunud ja raha ei pea saatma – või siis lihtsalt noogutada järjekordse teavituse peale, et keegi saadab tema e-posti aadressilt kahtlaseid petukirju. Nutitelefon ja tahvelarvuti tuli uuele Google’i kontole ümber seadistada. Oleks vana konto krediitkaardiga seotud olnud, tulnuks ka krediitkaart sulgeda. Seda nimekirja võiks veel üsna pikalt jätkata. Niisiis – üheainsa konto kaotamisest tekkis omajagu ebamugavusi ja planeerimata lisatööd. Oleks võinud tekkida muidki sekeldusi, näiteks mõne vanale aadressile saadetud arve maksmata jätmise tõttu. Seejuures oli kurjategijate esmane eesmärk justnimelt identiteedivargus – saata usaldusväärse nime tagant sõpradele-tuttavatele rahasooviga kiri. Mõni nõrgema eesti keele oskusega ohver oleks vabalt võinudki õnge minna.

Igal juhul on identiteedivarguse näol tegu kuriteoga, mis väärib ennetamist ja karistamist. Ennetamise osas saavad palju ära teha kasutajad ise – kasutades mitmeastmelist kasutajatuvastust või vähemalt turvalisi paroole – aga eelkõige siiski teenusepakkujad ja tarkvaraarendajad, tehes turvalise isikutuvastuse võimalikult mugavaks. Sest kui kasutaja saab valida, eelistab ta esimese hooga alati mugavust turvalisusele. Suureks abiks on kindlasti ka muutuv suhtumine Internetti ja identiteedivargustesse – tundub, et enam ei peeta seda massiliselt süütuks mänguks. Õnneks.

Kristjan Karmo
ASA Quality Services

Algselt avaldatud 18.01.2015 Kristjani isiklikus blogis: Küber-identiteedivargus - süütu nali või tõsine kuritegu?

Uued koolitused testijatele: testimise südame saladused ja muudatustest rõõmu tundmine

Veebruaris on AKAs tulemas kaks uut koolitust testijatele. Õpime testimise südame saladusi ning muudatustest rõõmu tundmist.

Testimise südame terviseks!

Testianalüüs on testimise süda - kui see on kehvasti tehtud, lipsavad vead testijate silme eest läbi, hammustavad meid live'is ning põhjustavad kõigile osapooltele sõnulseletamatuid kannatusi. Esimene uutest koolitustest ongi testianalüütiku koolitus.
Kes on testianalüütik? Testianalüütiku rollis olev inimene üritab tarkvara ja IT süsteeme üle kavaldada: mõtleb välja, missugused stsenaariumid ja toimimised on võimalikud ja mis peaks juhtuma. Hea testianalüütik on ka hea nõuete-spetsifikatsioonide kritiseerija ja uuristaja - ta saab juba spetsifikatsioonist aru, et nii ei saa need asjad toimida või siis osa informatsiooni on jäänud kirja panemata. Niisiis on testianalüüs vajalik selleks, et testid leiaksid võimalikult palju vigu (kui neid on) ja seda juba spetsifikatsioonidest/analüüsidest/ülesandepüstitustest. Hea testianalüütik ei kohku ära isegi sel juhul, kui kirjapandud nõudeid justkui ei olegi või testimiseks on jäänud "tervelt" 60 minutit aega.

Teisest küljest võtab nii testide kirjutamine kui ka läbiviimine üksjagu aega, seega ei saa teste olla ülemäära palju. Tarkvarasüsteemid on enamasti aga keerukad ja võib tekkida tunne, et "põhjalikuks testimiseks" tuleks testida kõikvõimalikke andmete kombinatsioone ja infovoogusid. Testianalüütiku ülesanne on hoida kaalukausse tasakaalus - et testid leiaksid üles olulised vead, aga samas võtaksid mõistliku aja.

Koolitus läheb Sinu jaoks täie ette, kui tahad teada saada, kuidas:
- kasutada erinevaid meetodeid testide disainimiseks ja nende hulga optimeerimiseks,
- kasutada uurivat testimist, kus sobilik,
- üle kavaldada (lisaks tarkvarale) ka spetsifikatsioone,
- mitte üle pingutada testide dokumenteerimisega (aga ka mitte alahinnata selle väärtust),
- leida ja valida testidisaini abistavaid töövahendeid,
- koostada kasutusmugavuse, juurdepääsetavuse (accessibility) jt mittefunktsionaalsete nõuete teste.

Kuna koolitus järgib täpselt ISTQB Certified Tester Advanced Level Test Analyst programmi, siis sobib pärast koolitust ka vastavale sertifikaadieksamile minna.
Koolitus toimub 02. - 05. veebruaril Tallinnas. Koolituse maksumus on 2000€+KM (ei sisalda sertifikaadieksami tasu 250€, KM ei lisandu).

Kõik muutub... testimine samuti

Teine on agiilse testija koolitus. Milleks on vaja üldse säärast koolitust testijate jaoks välja mõelda? On ju olemas lihtsalt Scrumi metoodika koolitused ning põhjalikud Scrum Masteri ja Product Owneri koolitused. Need on loomulikult kasulikud ja vajalikud, aga nende otseseks sihtrühmaks ei ole siiski testija. Neis on palju kasulikku infot, kuid suurem rõhk on eelkõige juhtimisteemadel. Pahatihti ei peetagi vajalikuks testijat sellisele koolitusele saata - "projektijuht ju juhib ja korraldab kõik ära, küll ta saab testijatega ka hakkama". Noh, võib-olla tõesti, aga kas poleks kõigil tiimiliikmetel parem ja mugavam elu, kui kõik räägivad "sama keelt"?

Agiilse testija koolitusel tehaksegi esmalt selgeks põhitõed - mis see agiilne tarkvaraarendus üldse on ja kuidas seda süüa tuleb. See on aga ainult pool võitu, mistõttu tavalisest Scrumi metoodika koolitusest jääb õigele testijale natuke väheseks.
Võiks ju arvata, et testimine on ikka testimine, sõltumata arendusmetoodikast. Ühest küljest on see muidugi õige, sest näiteks vigade otsimine-raporteerimine toimub igal juhul. Teisest küljest aga on agiilsel testimisel väga iseloomulikud võimalused, mida oskuslikult ära kasutades ei ole ohtu, et testimine muutuks pudelikaelaks.

Muuhulgas saavad vastuse järgmised küsimused:
- Kuidas tervitada muudatusi (nt nõuetes) ilma ööund ja liigseid närvirakke kaotamata?
- Mind kutsuti retrole esindama testijate tundeid ja mõtteid. Appi, mida ma rääkima peaksin?
- Äripool ju testib kogu aeg ja võtab tarkvara vastu. Kas nüüd lastakse testijad lahti? Testija roll agiilses tarkvaraarenduses.
- Mis asi on kasutajalugu? Kas ma pean koostama ka testilood? Kus (mis vahendis) ma testilood koostama pean?
- Mida teha, kui keegi ütleb, et "meie dokumentatsioon on koodis"?
- Mul läheb testilugude koostamise peale liiga palju aega ja ma ei jõua testimiseni! APPI! Mida teha?
- "Mina" vs "meie" vs "teie": ma olen arendusmeeskonna täieõiguslik liige, me kõik võitleme ühe eesmärgi nimel, ent samas ma ju torpedeerin nende tööd - kuidas on lood testija sõltumatusega agiilses arendustiimis?
- Äri vahetu osalus agiilses arenduses on oluline. Kuidas nendega (näiteks leitud vigade teemal) suhelda, kui sõnad "integratsioon", "socket", "koormusjaotur" jm külvavad pigem segadust kui selgust. Kas ma pean raporteerima vigu topelt - ühed arendajatele ja teised ärile?
- Missugused oskused (sh pehmed oskused) on agiilses tarkvaraarenduses testijale olulised?

Agiilse testija koolitus vastab ISTQB Certified Tester Foundation Level Agile Extension õppekavale ja pärast koolitust on osalejal julge tunne minna vastavat sertifikaadieksamit sooritama.

Koolitus toimub 10. - 11. veebruaril Tallinnas. Koolituse maksumus 1200€+KM (ei sisalda sertifikaadieksami tasu 250€, KM ei lisandu).

Mis neid kahte koolitust ühendab?

Koolitaja Lloyd Roden (www.lloydrodenconsultancy.com), loomulikult. Lisaks koolitamisele on Lloyd ka tegevkonsultant tarkvara kvaliteedi alal ning populaarne esineja erinevatel konverentsidel alates Nordic Testing Daysist kuni EuroStarini. Mõned tema koolitusi iseloomustavad märksõnad on:
- näited oma konsultatsioonitöödest,
- kohe kasutusele võetavad "vidinad",
- hea tunnetus sellest, mis tüüpi "konksudega" küsimused on eksamil,
- mänguline stiil informatsiooni ajukäärdude vahele istutamiseks,
- lisaväärtuseks hea huumorimeel :)


Registreerimine ja küsimused on teretunud aadressil maili [at] asaquality.ee