kolmapäev, 7. jaanuar 2015

Uued koolitused testijatele: testimise südame saladused ja muudatustest rõõmu tundmine

Veebruaris on AKAs tulemas kaks uut koolitust testijatele. Õpime testimise südame saladusi ning muudatustest rõõmu tundmist.

Testimise südame terviseks!

Testianalüüs on testimise süda - kui see on kehvasti tehtud, lipsavad vead testijate silme eest läbi, hammustavad meid live'is ning põhjustavad kõigile osapooltele sõnulseletamatuid kannatusi. Esimene uutest koolitustest ongi testianalüütiku koolitus.
Kes on testianalüütik? Testianalüütiku rollis olev inimene üritab tarkvara ja IT süsteeme üle kavaldada: mõtleb välja, missugused stsenaariumid ja toimimised on võimalikud ja mis peaks juhtuma. Hea testianalüütik on ka hea nõuete-spetsifikatsioonide kritiseerija ja uuristaja - ta saab juba spetsifikatsioonist aru, et nii ei saa need asjad toimida või siis osa informatsiooni on jäänud kirja panemata. Niisiis on testianalüüs vajalik selleks, et testid leiaksid võimalikult palju vigu (kui neid on) ja seda juba spetsifikatsioonidest/analüüsidest/ülesandepüstitustest. Hea testianalüütik ei kohku ära isegi sel juhul, kui kirjapandud nõudeid justkui ei olegi või testimiseks on jäänud "tervelt" 60 minutit aega.

Teisest küljest võtab nii testide kirjutamine kui ka läbiviimine üksjagu aega, seega ei saa teste olla ülemäära palju. Tarkvarasüsteemid on enamasti aga keerukad ja võib tekkida tunne, et "põhjalikuks testimiseks" tuleks testida kõikvõimalikke andmete kombinatsioone ja infovoogusid. Testianalüütiku ülesanne on hoida kaalukausse tasakaalus - et testid leiaksid üles olulised vead, aga samas võtaksid mõistliku aja.

Koolitus läheb Sinu jaoks täie ette, kui tahad teada saada, kuidas:
- kasutada erinevaid meetodeid testide disainimiseks ja nende hulga optimeerimiseks,
- kasutada uurivat testimist, kus sobilik,
- üle kavaldada (lisaks tarkvarale) ka spetsifikatsioone,
- mitte üle pingutada testide dokumenteerimisega (aga ka mitte alahinnata selle väärtust),
- leida ja valida testidisaini abistavaid töövahendeid,
- koostada kasutusmugavuse, juurdepääsetavuse (accessibility) jt mittefunktsionaalsete nõuete teste.

Kuna koolitus järgib täpselt ISTQB Certified Tester Advanced Level Test Analyst programmi, siis sobib pärast koolitust ka vastavale sertifikaadieksamile minna.
Koolitus toimub 02. - 05. veebruaril Tallinnas. Koolituse maksumus on 2000€+KM (ei sisalda sertifikaadieksami tasu 250€, KM ei lisandu).

Kõik muutub... testimine samuti

Teine on agiilse testija koolitus. Milleks on vaja üldse säärast koolitust testijate jaoks välja mõelda? On ju olemas lihtsalt Scrumi metoodika koolitused ning põhjalikud Scrum Masteri ja Product Owneri koolitused. Need on loomulikult kasulikud ja vajalikud, aga nende otseseks sihtrühmaks ei ole siiski testija. Neis on palju kasulikku infot, kuid suurem rõhk on eelkõige juhtimisteemadel. Pahatihti ei peetagi vajalikuks testijat sellisele koolitusele saata - "projektijuht ju juhib ja korraldab kõik ära, küll ta saab testijatega ka hakkama". Noh, võib-olla tõesti, aga kas poleks kõigil tiimiliikmetel parem ja mugavam elu, kui kõik räägivad "sama keelt"?

Agiilse testija koolitusel tehaksegi esmalt selgeks põhitõed - mis see agiilne tarkvaraarendus üldse on ja kuidas seda süüa tuleb. See on aga ainult pool võitu, mistõttu tavalisest Scrumi metoodika koolitusest jääb õigele testijale natuke väheseks.
Võiks ju arvata, et testimine on ikka testimine, sõltumata arendusmetoodikast. Ühest küljest on see muidugi õige, sest näiteks vigade otsimine-raporteerimine toimub igal juhul. Teisest küljest aga on agiilsel testimisel väga iseloomulikud võimalused, mida oskuslikult ära kasutades ei ole ohtu, et testimine muutuks pudelikaelaks.

Muuhulgas saavad vastuse järgmised küsimused:
- Kuidas tervitada muudatusi (nt nõuetes) ilma ööund ja liigseid närvirakke kaotamata?
- Mind kutsuti retrole esindama testijate tundeid ja mõtteid. Appi, mida ma rääkima peaksin?
- Äripool ju testib kogu aeg ja võtab tarkvara vastu. Kas nüüd lastakse testijad lahti? Testija roll agiilses tarkvaraarenduses.
- Mis asi on kasutajalugu? Kas ma pean koostama ka testilood? Kus (mis vahendis) ma testilood koostama pean?
- Mida teha, kui keegi ütleb, et "meie dokumentatsioon on koodis"?
- Mul läheb testilugude koostamise peale liiga palju aega ja ma ei jõua testimiseni! APPI! Mida teha?
- "Mina" vs "meie" vs "teie": ma olen arendusmeeskonna täieõiguslik liige, me kõik võitleme ühe eesmärgi nimel, ent samas ma ju torpedeerin nende tööd - kuidas on lood testija sõltumatusega agiilses arendustiimis?
- Äri vahetu osalus agiilses arenduses on oluline. Kuidas nendega (näiteks leitud vigade teemal) suhelda, kui sõnad "integratsioon", "socket", "koormusjaotur" jm külvavad pigem segadust kui selgust. Kas ma pean raporteerima vigu topelt - ühed arendajatele ja teised ärile?
- Missugused oskused (sh pehmed oskused) on agiilses tarkvaraarenduses testijale olulised?

Agiilse testija koolitus vastab ISTQB Certified Tester Foundation Level Agile Extension õppekavale ja pärast koolitust on osalejal julge tunne minna vastavat sertifikaadieksamit sooritama.

Koolitus toimub 10. - 11. veebruaril Tallinnas. Koolituse maksumus 1200€+KM (ei sisalda sertifikaadieksami tasu 250€, KM ei lisandu).

Mis neid kahte koolitust ühendab?

Koolitaja Lloyd Roden (www.lloydrodenconsultancy.com), loomulikult. Lisaks koolitamisele on Lloyd ka tegevkonsultant tarkvara kvaliteedi alal ning populaarne esineja erinevatel konverentsidel alates Nordic Testing Daysist kuni EuroStarini. Mõned tema koolitusi iseloomustavad märksõnad on:
- näited oma konsultatsioonitöödest,
- kohe kasutusele võetavad "vidinad",
- hea tunnetus sellest, mis tüüpi "konksudega" küsimused on eksamil,
- mänguline stiil informatsiooni ajukäärdude vahele istutamiseks,
- lisaväärtuseks hea huumorimeel :)


Registreerimine ja küsimused on teretunud aadressil maili [at] asaquality.ee

reede, 19. detsember 2014

Piraatlus kui tehnosotsiaalne sahkerdamine

Tehnosotsiaalne sahkerdamine

Infosüsteemide turvamisel rakendatakse erinevaid meetmeid, mis takistavad soovimatutel osapooltel konfidentsiaalsele teabele ligipääsu. Paraku jäetakse masinate kaitsmise käigus inimfaktor sageli hooletusse ning tehnosotsiaalne sahkerdamine põhjustab üha rohkem kriitilisi andmelekkeid. Nimelt on pahaaimamatut kasutajat petta tavaliselt lihtsam kui läbi tungida korporatsioonide arvutivõrkusid ümbritsevatest kaitsekihtidest.

Kasutajat saab manipuleerida mitmeti. Levinud on näiteks e-kirjad konto kustutamisest, ebaõnnestunud maksest või uskumatust sooduspakkumisest. Tähelepanu köitvale tekstile on lisatud pahavara sisaldav dokument või viide kuritahtlikule veebilehele, mis püüab ühel või teisel moel väärtuslikule infole ligipääsu saada. Näiteks saabus hiljaaegu ASA Quality Services e-postkasti kiri appie.com domeenilt, mis meelitab Apple ID infot uuendama. 



Õnneks püüavad mitmed organisatsioonid (sealhulgas ka linkide lühendamise teenuse pakkujad) pettusi ja pahavara levikut tõkestada ning hoiatavad kasutajaid potentsiaalsete ohtude eest. Targem on muidugi mitte kahtlastele linkidele klikkida või siis vähemalt natukenegi eelnevalt otsimootorite abil uurida, kas keegi veel on sarnaseid e-kirju saanud.



Piraatlus kui atraktiivne ründevektor

Päris lihtlabase petukirja õnge enam paljud tavakasutajad ei lähe ning spämm suunatakse üpris kiiresti prügikasti. Teistmoodi on aga lugu ebaseaduslikult levitatava tarkvaraga. Nimelt muugitakse enamik hirmkalleid tarkvarapakette kopeerimise eest kaitsvad mehhanismid suhteliselt kiiresti lahti ning seejärel jagatakse pildi- ja videotöötlusprogrammid, arvutimängud ja muu kommertstarkvara erinevate failivahetussüsteemide kaudu kõigile kasutamiseks.

Piraatlusest huvitatud arvutikasutaja on tavaliselt piraattarkvara ebaseaduslikkusest teadlik ning järgib teadlikult tundmatute häkkerite installimisjuhendeid. Üldjuhul on piraattarkvara paigaldamiseks tarvis käivitada privilegeeritud kasutaja õigustes kahjurvara, mis suudaks erinevatest tarkvara kasutamist piiravatest turvamehhanismidest läbi murda.



Juhul kui kahjurprogramm suudab piraattarkvara edukalt aidata, siis teeb tavakasutaja kõik endast oleneva, et see tema arvutis rahulikult edasi toimetada saaks. Suure tõenäosusega tegeleb aga kahjurvara lisaks piraattarkvara abistamisele veel mitmete kõrvaltegevustega - näiteks salvestab klahvivajutusi, saadab isiklikke faile kolmandatele osapooltele, kaevandab bitimünte.

Eriti võimekad on illegaalselt jagatavate operatsioonisüsteemidega kaasas olevad pahavarad, mis pääsevad nii sügavale süsteemi sisse, et viirusetõrjeprogrammidel on nende tegevust väga keeruline tuvastada, rääkimata eemaldamisest. 


Mida teha

Ei ole vast kellelegi uudiseks, et soovitatav oleks paigaldada (usaldusväärsest allikast) oma arvutisse viirusekaitse programm. Kummalisel kombel leidub veel üllatavalt palju inimesi, kes pole aru saanud, et kaitset vajavad mitte ainult laua- ja sülearvutid, vaid ka nutitelefonid ja muud taibukad seadmed (nt telerid ja külmikud).Viirusekaitse programmid ei ole küll imerohi, mis iga pahavara vastu aitaks, kuid sellegipoolest aitavad need tunduvalt vähendada arvuti või mõne muu nutiseadme nakatumise riski.

Lisaks viirusetõrjeprogrammi kasutamisele tasuks hoiduda tarkvarapiraatluse ahvatlustest või vähemalt arvestada sellega, et täienduseks juriidilistele probleemidele (nt rahatrahv, mainekaotus, tegutsemiskeeld jne) võib illegaalse tarkvara kasutamine endaga kaasa tuua ka hulgaliselt pahavara.

Õnneks aitab (lisaks erinevatele tõrjeprogrammidele) ahvatlevate tehnosotsiaalsete sahkerdajate pakkumistele vastu seista hoogne vaba tarkvara levik. Kuigi isegi tasuta jagatavat avatud lähtekoodiga tarkvara ei saa nimetada 100% turvaliseks (mitte ükski tarkvara pole 100% turvaline), eemaldab see vajaduse piraatluse järele. Praeguseks on suurt populaarsust kogunud vabavaralised veebilehtede sisuhaldussüsteemid (WordPress, Joomla, Drupal, MODx, Magento) ning tasuta alternatiive on võimalik leida praktiliselt kõigile kommertstarkvaradele. Ka erinevad Linux operatsioonisüsteemid muutuvad aina kasutajasõbralikumaks. Vaieldamatult on mitmes valdkonnas tasulised suletud lähtekoodiga programmid efektiivsemad, kuid üha rohkem suudavad vabavaralised lahendused kommertstarkvaraga edukalt võistelda.

Aina enam on ka suurkorporatsioonid hakanud kasutama ja toetama avatud lähtekoodiga lahendusi. Oma panuse piraatluse ja pahavara leviku tõkestamiseks saab anda aga igaüks, kes kasutab ainult legaalset tarkvara ja/või annetab oma raha või aega avatud lähtekoodiga projektidele (nt Vikipeedia artiklite täiustamine ei nõua üldjuhul erilist tehnilist ekspertiisi).


Sten Mäses
ASA Quality Services

esmaspäev, 3. november 2014

7+1 põhjust, miks tasub koolitusele tulla

Aeg-ajalt tekib ilmselt paljudel küsimus, miks peaks minema koolitusele, kui tänapäeval on internet materjale täis ja raamatudki suhteliselt kättesaadavad. Milleks siis üldse koolitused, võib ju ise õppida? Järgnevalt panen kirja mõned eelised, mis on koolitusel osalemisel iseõppimise ees.
  1. Koolitusel on võimalus küsida koolitajatelt (või ka kaasõppuritelt) nende kogemuste ja arvamuste kohta. On väga tõenäoline, et nii saad mõnegi hea mõtte või uue vaatenurga oma ammuste kitsaskohtade laiendamiseks. 
  2. Kui koolitusel millestki aru ei saa, siis on võimalik kohe koolitaja ja kaasõppurite käest selgitusi nõuda.
  3. Ennast raamatut lugema või harjutusi tegema motiveerida võib olla üsna vaevanõudev ning tihti tulevad "igapäevatööd" sellele vahele. Koolitusel on raske kõrvalistele ahvatlustele järele anda, ajakava soodustab õppimist. :) 
  4. Kui keegi otsa lahti teha aitab, on märksa lihtsam vajadusel ise edasi uurida. 
  5. Saad kuulda ja näha, missugused väljakutsed on teistel sama ala inimestel ning lood uusi kontakte. 
  6. Sertifikaadikoolituste puhul on üldjuhul nii, et koolitaja teab üsna hästi, mida rõhutada ja millele tähelepanu pöörata, et eksami sooritamine muretult läheks. 
  7. Hea koolitus motiveerib ja inspireerib, pakub võimalust korraks töökeskkonnast välja saada ja teha endale väike tööalane restart ;) 
  8. ASA Akadeemia koolitusel saab lisaks teadmistele üldjuhul ka kooki. 

Meie ASA Akadeemias läheme nüüd kooki sööma ja siis koolitusele. Tahad ka? Koolituste kava saad vaadata aadressil https://www.asaquality.ee/akadeemia.

reede, 31. oktoober 2014

Muinasjutt Maailmaparandajate kuningriigist

Halloweeni puhul tahaksin rääkida teile ühe hirmuäratava muinasjutu.

Kord ennemuistsel ajal, väga-väga ammu, elasid Maailmaparandajate riigis Punamütsike ja võlur Automaag. Neid ja teisi Maailmaparandajaid juhtis Hea Vaim, võimas headuse eest võitleja, kel oli maailmaparandamises lausa must vöö.

Ükskord saatis Hea Vaim oma sõdalased Punamütsikese ja Automaagi naaberkuningriiki, et aidata sealse kuninganna Businessa muresid lahendada.

Kui nad lossi olid jõudnud, tundis Automaag kohe mustade jõudude juuresolekut, kuid ei lasknud ennast ära hirmutada ja nii astusid nad julgelt sisse. Väejuht tuli sooja naeratusega neid tervitama ning rääkis oma murest: Kuninganna Businessa tahab, et sõjakäigud oleksid kiiremad, kuid tema armeel ei ole jõudu nii kiiresti raudrüüsid toota ja samas veel kvaliteedi eest hoolitseda, treenida.

Esialgu pidid Punamütsike ja Automaag raudrüüde tootmise olukorraga tutvuma ja oma osavust Väejuhile tõestama. Küll aga ei pidanud Väejuht vajalikuks keskööl kolme tilka verd vahetada -- kõigepealt pidid  Maailmaparandajad niisama oma headust tõestama ja alles siis räägitavat lepingutest ja väärilisest tasust.

Punamütsike, sinisilmne nagu alati, üritas kohe kõike paremaks teha ning lobises muretult:
"Ärge muretsege! Automaag saab kõikega hakkama, võlub siin ja seal. Teeme raudrüüde proovimiseks spetsiaalsed raamid ja koostame sealt ka Businessa õukonnale meeldivad lipukesed ja ongi kuninganna õnnelik!" Ja nii leppisidki nad kokku, et Automaag jääb nädalaks lossi ja üritab Väejuhile tõestada, et on võimeline kohalike muredega hakkama saama. Punamütsike kirjeldas ära, kuidas raamid võiksid välja näha ja Automaag jäi võluma.

Kui Automaag oli üksi lossi jäänud, hakkasid kohe toimuma imelikud asjad. Ta tundis külma hingeõhku oma kuklas, kuid pead pöörates ei paistnud seal olevat mitte kedagi. Alles meeletu keskendumine tõi vaevu-vaevu nähtavale neiu, kes teda igal sammul jälgis.

Väejuht näitas nüüd oma tõelist palet: malbe naeratuse tagant paljastusid vampiiri kihvad. Dracula hakkas tasapisi Automaagi jõudu endale kiskuma ning teadmisi tema peast välja noppima. Juba teisel päeval kutsus ta võluri oma koopasse ning üritas teda enda poole meelitada, pakkudes vampiiride maailma võlu ning enda asetäitja kohta. Vapper Automaag aga üllatas teda julgelt „EI“ öeldes. Ta jooksis koopast välja ja võlus kodu poole ühe kiire appikutse.

Hea Vaim ja Punamütsike tulid viivitamatult appi. Dracula muidugi ei andnud nii lihtsalt alla, vaid üritas oma võimu näidata: "Kaduge koju! Või veel parem -- las Automaag jääb siia ja täidab mu käsku!"

Kuid kuna Hea Vaim ei olnud nõrgemate killast, püstitas ta kohe oma inimeste ümber kaitsevõrgu ning ütles, et nüüdsest tegutseme me siin kuningriigis alles pärast seda, kui mõlemad pooled on oma kavatsuste kinnituseks kolm tilka verd andnud. Dracula üritas veel kaitsest läbi murda, kuid kõik tema katsed olid nüüd jõuetud. Hea Vaim seisis kindlalt ja kaitses oma inimesi. Dracula andis alla ning ütles, et siis peab ta ise Businessaga hakkama saama, laseb oma trollidel õukondlastele raudrüüsid esitleda ja las nad siis ise otsivad sealt auke.

Nii pääsesid Maailmaparandajad lossist välja ning suundusid tagasi kodukuningriiki.

Teel koju küsis Punamütsike murelikult: "Aga mis saab nüüd kuninganna Businessast?" Hea Vaim vastas talle lahkelt: "Ära muretse, küll aeg kõik paika paneb ja varsti näeb temagi Dracula tõelist palet. Ma millegipärast arvan, et me saame juba õige pea Businessat päästma minna..."

Nagu iga muinasjutt, lõppes ka see õnnelikult. Head inimesed jõudsid kodukuningriiki ning jätkasid maailma paremaks muutmist. Kuid nagu igal muinasjutul, on ka siin oma moraal - sa võid oma naabreid küll usaldada, aga hoia neil silma peal. Eriti Halloweeninädalal. Ning nagu kordab väsimatult ka (tänasesse päeva üsna sobiva nimega) ClientsFromHell.com: ära tee (tasuta) tööd ilma lepinguta! ;)

Siiralt Teie,
Punamütsike

neljapäev, 23. oktoober 2014

Sertifitseeritud võrguliiklus - miks ja kuidas

Enamik inimesi on huvitatud sellest, et nende personaalne info püsiks Internetis ringi liikudes vajalikul määral konfidentsiaalsena. Samas leidub väheseid, kes julgevad krüptograafiaga seonduvasse spetsiifikasse põhjalikumalt süveneda. SSL, SHA, RSA, HTTPS, PFS ja teiste salapäraste tähelühendite sügavam sisu võib matemaatikavõõrale tavakasutajale esmapilgul hirmutav näida, kuid krüpteerimisega seonduvate riskide teadvustamine aitab hoiduda oma isiklike andmete lekitamisest soovimatutele osapooltele.


HTTP

Internet (nii suure kui ka väikese algustähega) on arvutitevaheline võrgustik, kus liiklust reguleeritakse erinevate protokollidega, mis sätestavad efektiivseks suhtluseks vajalikud reeglid. Kõige tuntum internetiliiklusega seonduv protokoll on tõenäoliselt HTTP ehk hüperteksti edastuse protokoll (HyperText Transfer Protocol), mis võimaldab brauseri abil erinevaid veebilehti vaadata. Kuigi kaasaegsed veebilehitsejad on hakanud peitma http:// lühendit veebilehtede aadressi alguses, on HTTP endiselt veebistruktuuri üks peamiseid alustalasid.


HTTP on oma olemuselt üsna lihtsakoeline. Kasutaja saadab veebiserverile lihtteksti kujul päringu ning saab lihtteksti kujul ka oma päringule vastuse. Lihtteksti kujul liikuvast infost on aga pealtkuulajal võimalik vähese vaevaga üles leida salasõnad, paroolid ja muu huvi pakkuv. 



Teatud lehtede puhul ei pruugi muidugi toimingute nähtavus kolmandatele osapooltele olla eriti kriitiline. Näiteks uudiseportaali küsitlusele vastamine või artikli kommenteerimine ei ole üldjuhul tegevused, millega seonduva info lekkimisel kolmandatele osapooltele erakordset hirmu peaks tekitama. Kasutajanime ja parooli saatmine HTTP protokolli kasutades on aga üsnagi hoolimatu tegevus ning tuleks eeldada, et pärast sellist olukorda teab sisselogimiseks vajalikke andmeid ka keegi teine. Õnneks on turvariskide vähendamiseks leiutatud HTTPS (HTTP Secure ehk turvaline hüperteksti edastuse protokoll).


HTTPS

Veebilehitsemise turvalisuse tõstmiseks loodi HTTPS protokoll, mis sisuliselt tähendab HTTP kasutamist krüpteeritud kanali kaudu. Infokanali krüpteerimine muudab võrguliikluse kõrvalseisja jaoks arusaamatuks sümbolijadaks. Nii on konfidentsiaalne info ideaalis nähtav ainult valitud osapooltele.

Turbeprotokollile vastava krüpteeritud ühenduse algatamiseks on tarvis võtmeid, mille abil edaspidine infovahetus arusaadavaks muuta. Lisaks võtmetele on tarvis veenduda, et veebiserveril on usaldusväärne turvasertifikaat. Turvasertifikaate võib teha ise (nt MakeCert või OpenSSL abil), aga usaldatavuse suurendamiseks on ka võimalik hankida sertifikaat mõnelt sertifitseerimiskeskuselt. Rahvusvaheliselt on tuntumad sertifitseerijad näiteks GoDaddy, VeriSign, DigiCert, GeoTrust, Symantec ja Comodo.

Turvasertifikaadi võltsimisel on küberkurjategijatel võimalik usaldusväärse organisatsiooni identiteet kaaperdada ning esitleda end kellegi teisena. Seetõttu on äärmiselt oluline veenduda turvasertifikaadi autentsuses. Autentsuse kontrollimiseks kasutatakse räsialgoritme, mis oskavad suvalise suurusega faili või sõnumi põhjal koostada ühesuunalise krüpteerimise teel püsipikkusega bitijada ehk räsi. Tugeva räsialgoritmi puhul peab olema võimalikult keeruline räsi põhjal algset faili või sõnumit konstrueerida. Samuti peab olema võimalikult keeruline luua kaht erinevat faili, millele vastaks identne räsiväärtus.

Tehnika areng ning arvutusvõimsuse pidev kasv toob endaga kaasa aga vajaduse räsialgoritme aina tugevamaks teha. Näiteks 1990-ndatel laialdaselt kasutusel olnud räsialgoritm MD5 on võimalik tänapäeval tavalise koduarvutiga vähem kui sekundiga lahti murda ehk tekitada sarnase räsiga fail. 2012 aastal avastatud kurivara Flame oskas MD5 nõrkust ära kasutades lausa näidata end Microsofti poolt toodetud tarkvarana.

Praegusel ajal on räsifunktsioone küll mitmeid (BLAKE, GOST, RIPEMD jne), kuid kõige tuntumaks võib pidada NSA loodud SHA funktsioonide perekonda. Esimesed SHA põlvkonnad (SHA-0 ja SHA-1) on praeguseks juba aegunud, kuid paraku on SHA-1 endiselt laialdaselt levinud – muuhulgas ka turvasertifikaatide autentsuse kontrollimisel. Microsoft on küll teatanud, et SHA-1 algoritmi ei tohiks enam kasutada 2016. aasta algusest ja Google Chrome hakkab astmeliselt SHA-1 kasutamist piirama juba 2014. novembrist, kuid ka väiksematel organisatsioonidel tasuks enda valduses asuvad veebilehtede serverid kriitilise pilguga üle vaadata. Abiks on siinkohal näiteks veebilehed https://shaaaaaaaaaaaaa.com ja https://www.ssllabs.com/ssltest.


SSL Labs annab hea ülevaate kasutusel olevatest turvameetmetest.


Kui server on kliendile turvasertifikaadi saatnud ning kliendi arvuti on räsialgoritmide kaasabil sertifikaadi autentsuses veendunud, siis on aeg infokanal serveri ja kliendi vahel krüpteerida. Selleks peaks HTTPS ühendus kasutama transpordikihi turbeprotokolli (Transport Layer Security ehk lühidalt TLS), mille praegusel hetkel kõige uuem versioon on TLS 1.2. Paraku kasutatakse mitmel pool veel TLS eelkäijat SSL (turvasoklikiht ehk Secure Sockets Layer) tehnoloogiat, mis on nüüdseks lahti häkitud ehk haavatav. Seega tasuks serverite haldajatel kasutusel oleva turbeprotokolli ajakohasus üle kontrollida ning uuendada ka erinevates hangetes, lepingutes ja muudes dokumentides sisalduvaid nõudeid, kus sageli kasutatakse SSL ühendust turvalise ühendusega võrdväärselt.

Valdav enamus Eesti veebipoodidest paraku HTTPS ühendust veel ei kasuta ja kuigi pangalingi kaudu sooritatud maksed on õnneks suhteliselt turvalised, siis ees- ja perenimi, aadress, telefoni number ja muu kontaktinfo saadetakse üldjuhul krüpteerimata kujul veebipoe andmebaasi. Eriti tõsist riski võib põhjustada turvamata veebilehel registreerumine salasõnaga, mis on juba kasutusel ka mujal. Kui näiteks e-poe klient registreerub kasutajaks salasõnaga "5up3r$ala;jane?!" ning märgib enda kontaktinfosse e-posti aadressi, siis on igati ootuspärane, et keegi proovib varsti sama salasõna kasutades e-maili kontole ligi pääseda. Seega tasuks hoolikalt uurida, kas veebilehe aadressi ees on https:// tähistamaks krüpteeritud ühendust. Kui vastav märgistus puudub, siis edastatakse andmeid üle turvamata HTTP ühenduse ning kõik saadetav info on kõrvalseisjatele vabalt nähtav.


Kokkuvõtteks

Ülevaatlikult veelkord olulisemad näpunäited:
  1.  Kontrolli, kas veebileht, kuhu konfidentsiaalset infot sisestad, kasutab turvalist HTTPS protokolli. Aadressiriba alguses kuvatakse siis üldjuhul https:// ning tabalukk, millele klikkides näeb rohkem infot turvasertifikaadi kohta. 



    Juhul, kui HTTPS ühendust ei kasutata, arvesta sellega, et vormidesse sisestatud info võib suure tõenäosusega lekkida kolmandatele osapooltele.
  2. Kontrolli, et veebilehte serveeriv süsteem kasutaks turvalise ühenduse loomisel ajakohaseid tehnoloogiaid - https://www.ssllabs.com/ssltest.
    SSL Labs hinnang ühele Eesti tuntud veebipoele.
    Kui test annab tulemuseks halva hinde, siis teavita kindlasti veebilehe haldajat - nii aitad kaasa üldise turvateadlikuse kasvule ning teed küberkurjategijate elu raskemaks.
  3. Ära kasuta sama salasõna mitmes kohas! Võimalusel kasuta mitmeastmelist autentimist, tugevaid salasõnu ning paroolihaldureid.

Sten Mäses
ASA Quality Services

    kolmapäev, 22. oktoober 2014

    IKT Aastakonverents 2014: Kuhu edasi, Eesti IT?

    14. oktoobril toimus ITuudiste  korraldamisel Tallinnas IKT Aastakonverents 2014. Konverents oli tänapäevasele IT-tiimile suunatud väga huvitava ja aktuaalse kavaga. Esinejad valgustasid uusi väljakutseid ja võimalusi ning jagasid oma kogemusi IT kiiresti muutuvas maailmas tegutsemisel. Loomulikult vaatasime seda kõike testija perspektiivist. Ning meie – igaveste maailmaparandajate ja skeptikute – arvates sai kogu konverentsi ühe väljapaistvama etendusega maha Andres Kütt. Ettekandes (mille lühikokkuvõtet saab lugeda ITuudiste portaalist: http://ituudised.ee/article/2014/10/20/andres-kutt-ei-ole-eestit-ilma-e-riigita) jagas ta oma mõtteid Eesti IT-arenduse tulevikuvõimalustest, olles kantud presidendi kõnest: „Mis toond on meid siia, see enam edasi ei vii“.

    Alustades Eesti IT ajaloost, märkis Kütt, et kuigi meie riigis on olemas vähemalt üks diplomeeritud pungiuurija, ei ole kedagi, kes oleks teaduslikult lähenenud Eesti IT ajaloole. Nii nagu iga Startup, alustasid ka Eestis IT arenduste loomisega inimesed, kes olid ühtse ideega ning huviga ühendatud. Startup-i õnnestumisele aitas kaasa inimeste motivatsioon, kogukonnatunne ja võime kohandada ning kaasa minna muudatustega, mida IT maailmas tuleb ette igal sekundil. Probleeme lahendati koos ja dünaamiliselt. Toona polnud muret, mille vastu näts ja teip ei aitaks: nt murdunud labaga printeri ventilaatoril murti üle ühe laba ära, et ventilaator tasakaalu saada. Töötas!

    Nüüd aga järgmine etapp. Lihtsad probleemid on praeguseks lahendatud ja põlve otsas tehtud häkkidega enam edasi ei saa minna. Peame olema suutlikud suuremate muudatustega toime tulema.
    Sedasama näeme ka meie, testijad. Õnneks või kahjuks on testimine tihtipeale esindatud projektides ainult UAT (User Acceptance Test / kasutaja vastuvõtutest) näol, mil äripool eneselegi teadmata sooritab tarkvara vastu võttes nii funktsionaalseid kui ka mittefunktsionaalseid teste.

    Kahjuks, sest sellisel juhul kujuneb UAT palju kallimaks, kui algselt planeeritud. Või kui üldse mõistlik oleks. Arendusprojekti elutsükli varasemates faasides leitud vea parandamine maksab UAT-s leitud vea parandamisest kordades vähem. Vastuvõtufaasis seab massiline vigade leidmine aga otseselt kogu projekti õnnestumise kahtluse alla.



    Õnneks aga võrreldes projektidega, kus testimist ei ole üldse planeeritud või selleni lihtsalt ei jõuta – tarnitakse korralikult testimata arendustöö ning testivad juba reaalsed kasutajad toodangukeskkonnas. Kvaliteedi saavutamine ei tohiks aga olla õnnemäng!

    Kütt pakkus välja lahendusi, mis oleksid kindlasti tulemuslikud ka testimise valdkonnas:

    Inimestesse investeerimine
    Inimestesse investeerimine on tõesti jätkusuutlikkuse üks eeldus. Võiksime ju lihtsalt palgata hordide viisi testimisspetsialiste või lausa kvaliteedijuhi, kes ainuisikuliselt vastutaks kvaliteedi eest, kuid selline lähenemine ei vii kaugele.

    Kvaliteet ei tähenda perfektsionismi, see ei ole standard või protseduur. Kvaliteet ei ole ka mõõdik või asja karakteristik. Kuid ta näitab, mil määral üks või teine karakteristik seatud nõuetele vastab. Iga toode, teenus, protsess ja otsus võib olla kas vastuvõetav või vastuvõetamatu. Seega on kvaliteet tegelikult peidus kõiges, mida organisatsioon teeb ning igaüks peab oma töös pöörama tähelepanu kvaliteedile. Kvaliteedi tõstmiseks tuleb niisiis inimesi harida – alustades tellijatest, et nad juba ülesandepüstitusse kirjutataks sisse nõuded testimisele ja kvaliteedile.

    Juhtidesse investeerimine
    Suur osa Eesti IT-inimesi on harjunud kvaliteetse juhtimisega ja leiavad suure tõenäosusega parema pakkumise, kui juhtimiskvaliteet logiseb. Juhtkonna mure on võimaldada spetsialistidel efektiivselt ning tulemuslikult tööd teha, hoolitsedes motivatsiooni eest. Kui testimine on alati projekti lõpu poole ja selleks ei jää kunagi piisavalt aega; kui leitud vead loovad ainult negatiivseid emotsioone, siis paratamatult kipub testija töötegemise motivatsioon nullile lähenema.

    Sõnum projektijuhtidele: planeerides projekti testimistegevusi, ärge paigutage neid mitte lõpupoole ühe suure kastina „testimine“, vaid jagage see (nagu iga teinegi mahukam töö) väiksematesse osadesse, hinnates ja analüüsides iga testimistaset koostöös testijuhtide ja testijatega võimalikult vara.

    Protsessidesse investeerimine
    Nagu ütles Kütt, on elementaarsed hügieenifaktorid tihti täitmata. Tarkvara tellides ei mainita paljudel juhtudel testimist endiselt poole sõnagagi, nagu ka 10a tagasi. Küti sõnul on  küpsusaste meie riigis paraku veel madal: esimese sammuna oleks vaja testimisega natukenegi tegelema hakata. Ja miks on meil veel aastal 2014 arendusettevõtteid, kelle arvates ei peagi arendusfaasis mitte midagi üles kirjutama?

    Kõik need küsimused on otseselt seotud kvaliteedi tagamisega. Protsesside parendamisel tuleks aga arvestada muudatuste omaksvõtmise kiirusega. Probleemide lahendamisel kasutada prioriteete ning pidevalt teha tagasivaateid, olukorda uuesti analüüsides. Iga protsessimuudatus toob kaasa muutusi kogu keskkonnas, millega peab kindlasti arvestama. Sedasama mainis ka Kütt, et meie E-riigi jätkusuutlikus (mis on suuresti erasektori kätes), ei ole enam mugavusküsimus, vaid riikliku julgeoleku alustala. Kiirete ja lihtsate häkkidega aga tõepoolest julgeolekut kindlustada ei saa. Julgeme väita, et kvaliteedist ongi just hetkel puudu. Ka sellele on vaja samamoodi süsteemselt panustada.
    Kahjuks ei aita ükski kvaliteedijuhtimise ega protsesside parendamise metoodika hoiduda juhtide valedest otsustest, kuid mõõdikute algusest peale paikapanemine ning parendusprotsessi mõju pidev mõõtmine aitavad aru saada, mis suunas organisatsioon liigub ning suunda kontrolli all hoida.
    Kvaliteeti – nagu enamikke IT-arendustöö tulemusi – on võimalik saavutada üsna kergesti, kuid jätkusuutlikkus nõuab suuremaid pingutusi.

    Testimist ja kvaliteeti hõlmav kogukond on samas arenguetapis, mis kogu eesti riigi IT-sektor. Vajatakse suunamuutust, et akadeemilise haridusega inimestest ka kasu oleks – lahendatavate ülesannete keerukuse kasvades läheb akadeemiline lähenemine järjest olulisemaks.

    Nii nagu Andres Kütt, leiame ka meie, et suunamuutuseks oleme praegu soodsamas seisus kui kunagi varem ning seda muutust on vaja, sest sellest sõltub meie tulevik.


    Olesja Savtšenko
    Kristjan Karmo

    reede, 3. oktoober 2014

    Eesti Haigekassa ja bugipalavik

    Septemberi keskel toimus järjekordne BugFever. Testisime kokku 22 inimesega ühe päeva jooksul Eesti Haigekassa uut veebilehte. Testijateks olid peamiselt Haigekassa oma töötajad, kel avanes võimalus harjutada testimist ja ühtlasi tutvuda uue välisveebi ülesehituse ja väljanägemisega. ASA poolt osales testimistalgutel ka 2 professionaalset testijat.

    Haigekassa avalike suhete osakonna kommunikatsiooni peaspetsialist Kaili Kupits võttis üritusest saadud kasu kokku järgmiste sõnadega: "Sain vajaliku tagasiside, meie töötajad said testimiseks vajalikud oskused ja saadud teadmus pole kaugeltki mitte ühekordne, ka edaspidi saan koolituselt saadud oskusi ja materjale kasutada. Olen kogu üritusega rahul."

    Rahule jäid ka osalejad, kes tõid muu hulgas välja, et ürituse teoreetiline osa oli igati sobilik tavakasutajale – materjalid olid lihtsad ja arusaadavad. Üks osaleja lisas omalt poolt: "Kuna tegemist oli otsast lõpuni igapäevase tööga seotud tegevusega, siis olen ülimalt positiivselt üllatunud."


    BugFeveri eestvedaja Maili Markvardt kirjeldab üritust nii: "BugFeveri korraldamisel peame silmas asjaolu, et üritusest saaksid maksimaalselt kasu nii testjad kui ka testitava tarkvara pakkuja. Osalejad said kindlasti esmased teadmised ja oskused testimiseks – näiteks teadmise, et testija peabki kõike kahtluse alla seadma – ja oskuse vigu korrektselt raporteerida. Vähem oluline pole ka see, et osalejad, kes ei tegele igapäevaselt testimise ega tarkvaraarendusega, saaksid testimisest positiivse kogemuse.

    Testitava tarkvara pakkujale annab BugFeveri käigus saadav tagasiside ülevaate, missuguseid emotsioone tarkvara potentsiaalsele kliendile pakub ja kui mugav on seda kasutada. Välja tuleb ka suuremaid ja väiksemaid funktsionaalseid vigu.

    Tahan siiski rõhutada, et BugFever ei asenda süstemaatilist testimist arenduse käigus, sest ürituse läbiviimiseks peab olema tarkvara juba stabiilne ning viimistletud, vastasel juhul on osalejate negatiivne meelestatus tarkvara suhtes kindlustatud."

    BugFever on ASA Quality Services OÜ poolt ellu kutsutud ja ASA Akadeemia abiga läbi viidav interaktiivne testimisüritus, mille eesmärgiks on läbi praktika tutvustada tarkvara kvaliteedi tagamisega seotud tegevusi ja erialasid ning levitada teadmust nende kohta.

    Lisainfo BugFeveri kohta: https://www.asaquality.ee/bugfever/

    Kontakt:
    Maili Markvardt
    +372 56 603 627
    maili.markvardt@asaquality.ee