On Silver Bullets

On Silver Bullets

On a regular basis I see a blog pop up about silver bullets in relation to ict-projects.

The silver bullet takes on the metaphor of the solution for each and every problem. Naturally with in the domain of ict-projects it’s the search of a tool and/or an approach with which a hundred percent success rate is guaranteed.

For me that’s kinda weird, as that sounds as something that’s closer to questing for the holy grail or waiting for the number forty-two to be barfed up by a machine imputed with some divine abilities.

To understand what the intensions behind using silver as a weapon are one must first understand what it’s used against and when it appears. In most tales it’s aimed at a supernatural creature with ill intensions. It will surface at night under the guidance of the moon. Early in the story it becomes clear that residents from within the community don’t seem to be able to handle the situation and at the same time what will happen if they don’t manage to slay the menace. The foe doesn’t have to do that much to gets its hands on them so it can either consume them or turn them into such an ugly beast itself. In both cases they’re no longer considered to be part of the realm of the living. The inhabitants don’t seem to be able to throw anything at the evil outsider to stop it, they’re afraid and do not understand what is going on. If they wish to stop the menace an opposing outsider with the right tools is needed.

If we take a few steps back from the story we can see that the key in these stories is that inhabitants are transformed against their will into something that they do not understand and to stop this they need a specialty that they are unaware of.

Now if we take that and put it in relation to ict-projects, then indeed most of these projects are silver bullets. Probably unknowingly and unwillingly but they manage to stop many a wicked transformation. If I look back at my succesrecord I must be truly evil and there rests me one thing to say.

De gelukkige Testmagiër

Al enige tijd heb ik een interesse voor security testen. Niet zo zeer om het in het wild toe te kunnen passen maar meer omdat het complexe testsoorten zijn. Het is een spelletje "Hebbes!" waarbij je zeer bewust op zoek gaat naar zwakheden in het systeem. Het soort van testen waar een testmagiër vol op los mag gaan. Dus als een webpagina sql injecties toestaat is het: Hebbes! Lukt het door middel van path travelsal toegang te krijgen tot directory's met daarop bestanden met gevoelige informatie: Hebbes! Elke mogelijke manier is toegestaan als het maar resultaat oplevert. De Pen-tester is altijd op zoek naar nieuwe en dus nog onbekende zwakke plekken in het aan te vallen systeem.

Alles van waarde is weerloos en zo zijn er nog veel meer gevoeligheden waar Zwiebers dankbaar gebruik van maken om de dagelijkse gang van zaken te verstoren. Vaak is het doel niet eens om zonder toestemming toegang te krijgen tot gevoelige informatie en/of deze te manipuleren maar om de winst genererende bedrijfsvoering te verstoren en daar waar mogelijk over te nemen. Uiteraard zonder dat het opvalt of is te traceren.

Pen-testen worden uitgevoerd om zorg te dragen dat gegevens veilig zijn en de continuïteit van de bedrijfsvoering te waarborgen. Als je iets vindt, meld het dan bij het management van het project. Dit levert je bonuspunten op. (Nog beter is het als je ook de oplossing er bij weet) Iets vinden en gaan dreigen om het openbaar te maken levert je al snel een verkeerde naam op.

Pen-testen vinden plaats in opdracht. Zonder de opdracht vallen de zelfde handelingen onder de noemer hacken. Blackhat hacken wel te verstaan. Vroeger kon je er nog wel eens mee weg komen door te verklaren dat je geen kwaad in zin had/hebt. Je verklaard jezelf daarmee tot White-hat hacker. Er is tegenwoordig regelgeving voor waardoor je zonder de eerst genoemde toestemming met een criminele activiteit bezig bent. Dit wil niet zeggen dat het door sommige organisaties toch gewaardeerd wordt als ze op de hoogte gesteld worden van de zwakheden in het systeem. Maar voorzichtigheid en discretie zijn hier op hun plaats.

Over het algemeen vinden de testen van buiten de organisatie van de opdrachtgever plaats. De tester kijkt dan hoe ver de organisatie binnen gedrongen kan worden, een penetratie test. Vandaar de naam Pen-testen, waarbij Pen een afkorting is voor penetratie. Eenmaal binnen wordt er rond gesnuffeld wat de mogelijkheden zijn. Soms worden ook bewust van binnen de organisatie pen-testen opgezet, authenticatie, verificatie en autorisaties zijn hierbij de sleutel. Immers niet elke medewerker heeft even goede bedoelingen. De organisatie is het aan zichzelf verplicht om continuïteit in de bedrijfsvoering te waarborgen. Mooier is het als de organisatie aangeeft het maximale te doen hun cliënten en medewerkers te beschermen tegen kwalijke invloeden van buiten af. Elke vorm van communicatie kan hierbij misbruikt worden, ook afval. Maar over het algemeen wordt alleen de elektronische weg bewandeld.

De testen vinden aangekondigd en onaangekondigd plaats, de blackhats houden zich immers ook niet aan kantoortijden. Onaangekondigd werkt over het algemeen beter omdat er nogal wat beheerders zijn die snel alle services uit zetten en alle rechten intrekken wanneer ze weten dat er een pen-test plaats vindt op een bepaald moment. Eigenlijk de verkeerde houding, de pen-test levert waardevolle informatie op waar op geacteerd mag worden.

Als je geïnteresseerd bent in pen-testen en wilt weten op welk niveau je toepasbare kennis is over dit onderwerp dan zijn daarvoor websites gemaakt. Een andere manier is om bij certified secure te toetsen. Het leuke aan deze laatste is dat je daadwerkelijk uitgedaagd wordt met echte scenario’s, je score wordt bijgehouden en uiteindelijk is er de beloning met een heus certificaat. Moet je de uitdaging natuurlijk wel halen! Wil je jouw kennis naar een nog hoger niveau tillen dan is deze handleiding een mooie doorstart.

Wat kunnen wij Testers leren van Dora the Explorer?

Als papa van twee kinderen zit ik nogal eens met een schuin oog mee te kijken naar wat zij op tv aan hebben gezet. Een van mijn favorieten om stiekem naar mee te kijken is Dora the Explorer. Niet alleen om dat mijn kinderen er helemaal in opgaan maar vooral om hoe in deze serie de problemen opgelost worden. Wat is het dat Dora zo ontzettend goed maakt en wat kunnen wij er van leren?

Aan het begin van een aflevering loopt Dora tegen een probleem welke zij mag oplossen. Dora benoemt dit als avontuur “We’re going on an adventure!”. Bij aanvang van de aflevering maakt ze voor het probleem duidelijk wat het eind doel is. Vervolgens vraagt zij zich hardop af hoe ze daar kan komen.

De kaart biedt dan altijd weer uitkomst. Hierop is visueel weergegeven waar Dora zich bevindt en waar het einddoel ligt. Vervolgens weet Dora met behulp van de kaart de af te leggen route op te delen in deelstukken. Elk van de deelstukken heeft een eigen hindernis die overwonnen moet worden. Dora gaat nooit alleen op stap maar heeft altijd haar trouwe maatje Boots bij zich.

Om de hindernissen te overwinnen moet Dora er voor zorgen dat een bepaalde taak uitgevoerd wordt. Of zij doet dit zelf of Boots regelt het voor haar maar altijd met behulp van bepaalde gereedschapstukken. Welke Dora en Boots gebruiken hangt af van de hindernis die ze tegen komen. De gereedschapstukken komen ze in de loop van hun reis tegen en bewaren ze in de rugzak van Dora.

Soms komt Dora een hindernis tegen die niet meteen door haar of Boots overwonnen kan worden. Wat haar wel lukt is om de juiste vraag te stellen en deze stelt ze dan meerdere keren hard op zodat haar publiek kan helpen met de oplossing. Indien ze de hindernis niet kan overwinnen met behulp van de inhoud van haar rugzak dan is er sprake van gevaar. Dora geeft dan aan dat ze snel moeten reageren en dat ze het niet opgelost krijgt. Dit is altijd onverwacht, gelukkig staan er altijd wel behulpzame vriendjes tot haar beschikking die precies dat kunnen om weer in veiligheid te komen.

Zodra de hindernis is overwonnen belonen Dora en Boots zichzelf met een opgewekte “Yes, we did it!” uit te roepen. Meteen daarna kijkt Dora weer op de kaart. Ze legt dan uit wat ze gedaan heeft, waar ze nu zijn en wat het volgende deel stuk van de route is die ze moeten afleggen.

Naast de normale hindernissen is er ook nog Zwieber de Vos. Zwieber ligt altijd op de loer en steekt minimaal één keer per aflevering zijn kop op. Zwieber is geen normale hindernis omdat hier vooraf geen rekening mee gehouden wordt (hij staat niet op de kaart). Zwieber aast altijd op de inhoud van Dora’s rugzakje en als Dora niet oplet dan lukt het hem om deze te stelen. Naast diefstal schept Zwieber er ook een groot genoegen in om de dingen die Dora heeft kapot te maken of de boel gewoon door de war te gooien. Indien Dora op tijd door heeft wat Zwieber van plan is dan lukt het haar om Zwieber tegen te houden door te roepen dat Zwieber niet mag stelen. Is ze te laat dan moet ze eerst op zoek naar Zwieber om aan hem uit te leggen dat wat hij gedaan heeft niet de bedoeling is en hem over te halen om mee te werken aan de oplossing voor wat hij gedaan heeft.

Zodra alle hindernissen zijn overwonnen en Zwieber de Vos is verslagen dan heeft Dora haar missie volbracht. Ze legt nog eens uit wat ze allemaal gedaan heeft om tot dit resultaat te komen en ze sluit vervolgens af met een feestje waarbij gedanst mag worden.

"Yes, we did it!"

De leeuw en het lam zullen samen gaan neerliggen, maar het lam zal niet veel slapen.

Een samenwerkingsverband word nogal eens beschreven als een huwelijk — je gaat selectief te werk bij het uitzoeken van een partner; je wilt tegelijkertijd je onafhankelijkheid behouden en jezelf opstellen als gelijkwaardige partners; je werkt samen voor het gemeenschappelijke belang en het hogere doel. Dit doel moet duidelijk zijn en een ieder die deelneemt moet er vanaf het begin van op de hoogte zijn.

Je moet echt de wil hebben om het samenwerken voor alle deelnemers te laten slagen. Als het een win-verlies situatie is zal de binding op zichzelf ook geen kans van slagen hebben.

Het eerste criteria waaraan je zult moeten voldoen is dat een ieder er behoefte aan moet hebben – jij en je collegae moeten zich zelf zien als onderdeel van een groter geheel waarvan iedereen zal profiteren. Het is niet de bedoeling dat de deelnemers er na de alliantie slechter aan toe zijn dan ervoor. Zodra een van de deelnemers profiteert over de rug van een ander is er zelfs helemaal geen sprake van een samenwerkingsverband. Het is ook niet de bedoeling dat het samenwerkingsverband indruist tegen het hogere doel in.

Wederzijds respect en vertrouwen zijn fundamenteel. Het zijn de mensen die een het samenwerken laten slagen. Je kan de overeen komst zo veel als mogelijk formaliseren, het komt uiteindelijk toch op de personen neer—rechtsgeldigheid is geen vervanging voor vertrouwen. Bij een samenwerkingsverband ben je op zoek naar evenwicht, het moet “klikken” en de vonk moet over springen maar daarna moet een ieder zichzelf er persoonlijk op toeleggen. Een succesvol samenwerkingsverband verlangt niet alleen aandacht voor de financiële en operationele aspecten maar ook “Toewijding aan het bondgenootschap van vertrouwen, bezieling en open communicatie.”

Succesvolle samenwerkingsverbanden vergen krachtinspanningen en betrokkenheid. Ze ontstaan niet zomaar — je moet het laten gebeuren. Om goed te kunnen samenwerken is in eerste instantie begrip, respect en vertrouwen nodig. Begrip tonen voor de verschillende persoonlijkheden—verwacht niet dat een partner zich het zelfde gedraagt of net zo reageert als jij. Het samenwerken vraagt tijd en middelen. Als je deze niet kan opbrengen begin er dan ook niet aan. De tijd er voor nemen, eerlijk zijn en je als gelijkwaardig opstellen is echt heel erg belangrijk.

De meest gebruikte testtools

Dit is de eerste blog in een reeks welke over tools gaan die een tester tot zijn beschikking heeft. 

Laat ik beginnen met de meest voor de hand liggende. Of eigenlijk moet ik hier zeggen onder de hand liggende. Ik heb het hier over het medium wat al zo’n twee millennia mee gaat, de Chinese uitvinding papier.

Na al die tijd gebruiken we het nog steeds dagelijks en waarom eigenlijk? Ik ben van mening dat niets zo (veer)krachtig is als papier en geen gelijke kent als het gaat om dingen creëren en ordenen.

Laten we papier eens onder de loep nemen (pun intended) om te zien wat we tegen komen.

Papier is simpel, al op jonge leeftijd leer je de mogelijkheden van papier kennen. Deze bijzonder laagdrempelige toegankelijkheid maakt dat je maximaal maar één rand apparaat nodig hebt om effectief gebruik te maken van papier, namelijk een potlood. 

Papier werkt uit zich zelf, geen moeilijk os met dure ijzers, geen code om het werkend te krijgen, het zal niet crashen en is makkelijk te verplaatsen. Tuurlijk, wil je de echt mooie dingen op papier zetten dan is enige scholing nodig en misschien wat talent. Het huidige systeem voorziet hier echter al ruimschoots in.

Het tastbare en niet vluchtige karakter van papier maakt dat je het juiste ritueel doorloopt zodat het één wordt met de geest. Als het niet lukt om kaders te stellen op papier dan kan je beter stoppen.

Papier is veelzijdig, het leent zich niet alleen om iets op te schrijven of op te tekenen. Je kan er van alles mee maken. Van een vliegtuigje of origami tot heus meubilair.

Papier heeft waarde, het is duurzaam genoeg dat je het ergens op kan slaan. Het heeft geen prik nodig om in leven te blijven. Het is herbruikbaar en is makkelijk een tweede leven te geven.

Papier is toegankelijk voor iedereen, een pak papier is niet duur. Papier is verkrijgbaar in alle kleuren en verschillende (gestandaardiseerde) formaten. Als je een andere vorm nodig hebt dan is papier heel makkelijk aan te passen. Wat je op papier hebt gemaakt is ook weer makkelijk terug te vinden.

Het creëren op papier heeft iets magisch. Dat wat je op papier hebt gezet daar kan je echt van genieten. Een sierlijk notitieboek of een exclusieve pen voegt hier meer en meer waarde aan toe.

Het is aan de tester zelf om te ontdekken welk gebruik het beste bij hem past. Wil je gebruik maken van meerdere kleuren pennen of een ander schrijfgerei? Wil je gebruik maken van gelijnd, geruit of blanco papier? Wil je eens wat anders dan wit? Geen probleem! Papier geeft je deze vrijheid en dat alles maakt dat papier het onmisbare tool is voor elke tester.