Trinity

665 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
665
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Trinity

  1. 1. The Next Generationin Load, Profiling & Stress Testing ,‫הדור הבא בבדיקות עומס‬ ‫ביצועים ודחק‬
  2. 2. Expect The Unexpected
  3. 3. Unknowns !?!“There are known knowns; there are things we knowwe know.We also know there are known unknowns; that is to saywe know there are some things we do not know.But there are also unknown unknowns – the ones wedont know we dont know.” —Former United States Secretary of Defense Donald Rumsfeld
  4. 4. ‫סכנה ברורה ומוחשית‬ ‫• התקפות יום-אפס הן‬ ‫המסוכנות ביותר לארגונים‬ ‫• מבוססות על באגים‬ ‫שלא נמצאו או לא תוקנו‬ ‫• טכנולוגיות חדשות‬ ‫והרחבות קנייניות, חשופות במיוחד‬
  5. 5. Zero-Day Attack Vulnerability Publicly Announced
  6. 6. ‫מי אני? ולמה אני פה?‬ ‫• גיל קיני‬ ‫• טריניטי תוכנה ומעבר‬ ‫• מומחים בפרוטוקולים ואבטחה‬ ‫• אז מה יהיה לנו ...‬ ‫– בעיות‬ ‫– שיטות‬ ‫– פתרונות‬
  7. 7. ‫אגנדה‬ ‫• מה זה בכלל פאזינג ?‬ ‫• למי זה טוב ?‬ ‫• למה זה טוב ?‬ ‫• איך זה משתלב‬ ‫בתהליך הבדיקות ?‬
  8. 8. ‫מה זה פאזינג - ההגדרה‬ ‫• שליחת הודעות שגויות, באופן מבוקר‬‫• במטרה להכשיל את המערכת תחת בדיקה‬ ‫• לשם מציאת נקודות כשל‬
  9. 9. ‫מה זה פאזינג – יחסית ל...‬ ‫בדיקות יציבות הנגזרות‬ ‫הבדיקות נגזרות‬ ‫בדיקת קלט בלתי צפוי‬ ‫הבדיקות נגזרות‬ ‫•‬ ‫•‬ ‫מרחב לאמשתמעות‬ ‫מדרישות מוגבל‬ ‫הלקוח‬ ‫מדרישות קיבולת‬ ‫•‬ ‫מרחב מוגדר ומוגבל‬ ‫•‬‫‪Positive Testing Testing Testing‬‬ ‫‪Load‬‬ ‫‪Stress‬‬ ‫‪FUZZING‬‬
  10. 10. Negative is GOOD for you Proactive Positive Black BoxConformance Robustness White Box Negative Reactive
  11. 11. ‫על מה? ולמה?‬‫• בדיקות פאזינג יכולות למנוע "יום-אפס" ולחסוך ...‬ ‫… זמן‬ ‫… עבודה / מאמץ‬ ‫… בושה‬ ‫… ניהול משברים‬ ‫• פאזינג הוא טוב, אך פאזינג חכם טוב יותר !‬
  12. 12. ? ‫פאזינג – מה כבר יכול לקרות‬• Ping of Death• INVITE of Death (SIP)• SMS of Death SIP INVITE• SNMP Security Flaw 2002 - Team discovers serious SNMP bugs. Entire industry affected
  13. 13. ‫פאזינג – איך הכל התחיל‬ ‫• עוד לפני 3891 – "הקוף" לבדיקת תוכנות מק‬‫• ‪Oulu University Secure Programming Group‬‬ ‫– ‪PROTOS‬‬ ‫– כחבילת קוד-פתוח‬ ‫– סיבסוב לפעילות מסחרית‬ ‫• יש מספר תשתיות‬ ‫גנריות חינמיות‬
  14. 14. ‫פאזינג חכם ?‬ ‫שאינו אקראי‬ ‫•‬ ‫מודע למבנה ההודעות‬ ‫•‬ ‫מודע לתוכן ההודעות‬ ‫•‬ ‫מודע לתזמונים‬ ‫•‬ ‫מודע לסדר ההודעות‬ ‫•‬
  15. 15. ‫מי אחראי על בדיקות פאזינג‬ ‫• אתם – אנשי האיכות‬‫• המפתחים מימשו פרוטוקול או השתמשו בקיים‬ ‫• בדיקות מימוש נכון = ‪Positive Testing‬‬ ‫– ‪Conformance‬‬ ‫– ‪Interop‬‬ ‫• בדיקות עמידות לקלט שגוי או זדוני‬ ‫– ‪Negative Traffic Testing‬‬ ‫– ‪FUZZING‬‬
  16. 16. ‫למי זה טוב – ליצרני תוכנה וציוד‬ ‫• לבדיקת מימוש הודעות / פרוטוקולים‬ ‫– קוראים תוכן הודעות ?‬ ‫– מנהלים מכונת מצבים בהתאם להודעות ?‬ ‫• שימוש בחבילה / ספריה חיצונית (קנויה)‬ ‫– האם עמידה להתקפות ?‬ ‫– כלי עזר לבחירה מבין מספר אופציות‬ ‫• ספקו מוצר איכותי ללקוחותיכם‬
  17. 17. ‫למי זה טוב – למשתמשי התוכנה/ציוד‬ ‫• ספקי שירות‬ ‫– תלות בטיב הרכיבים‬ ‫– בידקו את איכות המוצרים‬ ‫– האחריות היא שלכם‬ ‫– תלות מוחלטת בתשתית‬
  18. 18. ‫איך זה משתלב ...‬ ‫בדיקות אוטומטיות‬ ‫•‬ ‫כחלק מ- ‪Continuous Integration‬‬ ‫•‬ ‫כבדיקות נוספות במקביל‬ ‫•‬‫ממוקד או כללי –פרוטוקול מסוים או כמה‬ ‫•‬ ‫הטמעה ושימוש עם מעט משאבים‬ ‫•‬ ‫יחס מצוין של תועלת לעלות‬ ‫•‬
  19. 19. ‫אז מה היה לנו ? - בעיות‬‫• איכות ואבטחת המוצר תלויים בסך הרכיבים‬ ‫– תשתית‬ ‫– אפליקציה‬ ‫– ממשקים‬ ‫• בדיקת התשתיות‬ ‫– מי בודק ?‬ ‫– איך בודקים?‬
  20. 20. ‫אז מה היה לנו ? - שיטות‬ Positive Testing • Conformance – InterOp – Fuzzing - ‫• פאזינג‬ ‫– אקראי‬ Stateless – ‫– מודע לפרוטוקולים‬
  21. 21. Defensics - ‫התשובה‬• Intelligent, Protocol-Aware FUZZING• Over 200 standardknown protocols• Universal Traffic Capture & File Format• Easy & Quick Integration• Local Support, Training & ServicesFind Zero-Day Vulnerabilities – Before …
  22. 22. ‫שאלות? טענות? מענות?‬ ‫• איפה אפשר ללמוד עוד על הנושא?‬ ‫• בכל מקום ...‬ ‫תודה !‬ ‫גיל קיני‬ ‫‪Gil @ Trinity.co.il‬‬

×