The Next Generation  in Load, Profiling & Stress Testing הדור הבא בבדיקות עומס ,   ביצועים   ודחק
Expect The Unexpected
Unknowns !?! <ul><ul><li>“ There are known knowns; there are things we know we know.  We also know there are known unknown...
Unknowns !?!
סכנה ברורה ומוחשית <ul><li>התקפות יום - אפס הן  המסוכנות ביותר לארגונים </li></ul><ul><li>מבוססות על באגים  שלא נמצאו או ל...
Zero-Day Attack Vulnerability  Publicly  Announced
מי אני ?  ולמה אני פה ? <ul><li>גיל קיני </li></ul><ul><li>טריניטי תוכנה ומעבר </li></ul><ul><li>מומחים בפרוטוקולים ואבטחה...
אג ' נדה <ul><li>מה זה בכלל פאזינג  ? </li></ul><ul><li>למי זה טוב  ? </li></ul><ul><li>למה זה טוב  ? </li></ul><ul><li>אי...
מה זה פאזינג  -  ההגדרה <ul><li>שליחת הודעות שגויות ,  באופן מבוקר </li></ul><ul><li>במטרה להכשיל את המערכת תחת בדיקה </li...
מה זה פאזינג – יחסית ל ... Positive Testing <ul><li>הבדיקות נגזרות  מדרישות הלקוח </li></ul><ul><li>מרחב מוגדר ומוגבל </li...
Negative  is  GOOD  for you White Box Black Box Conformance Robustness Positive Negative Reactive Proactive
על מה ?  ולמה ? <ul><li>בדיקות פאזינג יכולות למנוע  &quot; יום - אפס &quot;  ולחסוך  ... </li></ul><ul><ul><li>זמן </li></...
פאזינג – מה כבר יכול לקרות  ? <ul><li>Ping of Death </li></ul><ul><li>INVITE of Death (SIP) </li></ul><ul><li>SMS of Death...
פאזינג – מה כבר יכול לקרות  ? <ul><li>Ping of Death </li></ul><ul><li>INVITE of Death (SIP) </li></ul><ul><li>SMS of Death...
פאזינג – איך הכל התחיל <ul><li>עוד לפני  1983 –  &quot; הקוף &quot;  לבדיקת תוכנות מק </li></ul><ul><li>Oulu University Se...
פאזינג חכם  ? <ul><li>שאינו אקראי </li></ul><ul><li>מודע למבנה ההודעות </li></ul><ul><li>מודע לתוכן ההודעות </li></ul><ul>...
פאזינג חכם  ? <ul><li>שאינו אקראי </li></ul><ul><li>מודע למבנה ההודעות </li></ul><ul><li>מודע לתוכן ההודעות </li></ul><ul>...
מי אחראי על בדיקות פאזינג <ul><li>אתם – אנשי האיכות </li></ul><ul><li>המפתחים מימשו פרוטוקול או השתמשו בקיים </li></ul><ul...
למי זה טוב – ליצרני תוכנה וציוד <ul><li>לבדיקת מימוש הודעות  /  פרוטוקולים </li></ul><ul><ul><li>קוראים תוכן הודעות  ? </l...
למי זה טוב – למשתמשי התוכנה / ציוד <ul><li>ספקי שירות </li></ul><ul><ul><li>תלות בטיב הרכיבים </li></ul></ul><ul><ul><li>ב...
איך זה משתלב  ... <ul><li>בדיקות אוטומטיות </li></ul><ul><li>כחלק מ -  Continuous Integration </li></ul><ul><li>כבדיקות נו...
אז מה היה לנו  ? -  בעיות <ul><li>איכות ואבטחת המוצר תלויים בסך הרכיבים </li></ul><ul><ul><li>תשתית </li></ul></ul><ul><ul...
אז מה היה לנו  ? -  שיטות <ul><li>Positive Testing </li></ul><ul><ul><li>Conformance </li></ul></ul><ul><ul><li>InterOp </...
התשובה  -  Defensics <ul><li>Intelligent, Protocol-Aware FUZZING </li></ul><ul><li>Over 200 standardknown protocols </li><...
שאלות ?  טענות ?  מענות ? <ul><li>תודה  ! </li></ul><ul><li>גיל קיני </li></ul><ul><li>Gil @ Trinity.co.il  </li></ul>
Upcoming SlideShare
Loading in …5
×

Trinity - Smart Fuzzing - next generation testing

836 views

Published on

An intro presentation on Fuzzing, where it fits into the testing process, and the benefits to the system vendors and service providers using the systems.
www.trinity.co.il
info@trinity.co.il

Published in: Technology
1 Comment
0 Likes
Statistics
Notes
  • contact us for more ... info@trinity.co.il ; 09-7677880
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

No Downloads
Views
Total views
836
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
0
Comments
1
Likes
0
Embeds 0
No embeds

No notes for slide

Trinity - Smart Fuzzing - next generation testing

  1. 1. The Next Generation in Load, Profiling & Stress Testing הדור הבא בבדיקות עומס , ביצועים ודחק
  2. 2. Expect The Unexpected
  3. 3. Unknowns !?! <ul><ul><li>“ There are known knowns; there are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know. But there are also unknown unknowns – the ones we don't know we don't know.” </li></ul></ul><ul><ul><li>— Former United States Secretary of Defense </li></ul></ul><ul><ul><li>Donald Rumsfeld </li></ul></ul>
  4. 4. Unknowns !?!
  5. 5. סכנה ברורה ומוחשית <ul><li>התקפות יום - אפס הן המסוכנות ביותר לארגונים </li></ul><ul><li>מבוססות על באגים שלא נמצאו או לא תוקנו </li></ul><ul><li>טכנולוגיות חדשות והרחבות קנייניות , חשופות במיוחד </li></ul>
  6. 6. Zero-Day Attack Vulnerability Publicly Announced
  7. 7. מי אני ? ולמה אני פה ? <ul><li>גיל קיני </li></ul><ul><li>טריניטי תוכנה ומעבר </li></ul><ul><li>מומחים בפרוטוקולים ואבטחה </li></ul><ul><li>אז מה יהיה לנו ... </li></ul><ul><ul><li>בעיות </li></ul></ul><ul><ul><li>שיטות </li></ul></ul><ul><ul><li>פתרונות </li></ul></ul>
  8. 8. אג ' נדה <ul><li>מה זה בכלל פאזינג ? </li></ul><ul><li>למי זה טוב ? </li></ul><ul><li>למה זה טוב ? </li></ul><ul><li>איך זה משתלב בתהליך הבדיקות ? </li></ul>
  9. 9. מה זה פאזינג - ההגדרה <ul><li>שליחת הודעות שגויות , באופן מבוקר </li></ul><ul><li>במטרה להכשיל את המערכת תחת בדיקה </li></ul><ul><li>לשם מציאת נקודות כשל </li></ul>
  10. 10. מה זה פאזינג – יחסית ל ... Positive Testing <ul><li>הבדיקות נגזרות מדרישות הלקוח </li></ul><ul><li>מרחב מוגדר ומוגבל </li></ul><ul><li>הבדיקות נגזרות מדרישות קיבולת </li></ul><ul><li>בדיקות יציבות הנגזרות מדרישות משתמעות </li></ul><ul><li>בדיקת קלט בלתי צפוי </li></ul><ul><li>מרחב לא מוגבל </li></ul>Load Testing Stress Testing FUZZING
  11. 11. Negative is GOOD for you White Box Black Box Conformance Robustness Positive Negative Reactive Proactive
  12. 12. על מה ? ולמה ? <ul><li>בדיקות פאזינג יכולות למנוע &quot; יום - אפס &quot; ולחסוך ... </li></ul><ul><ul><li>זמן </li></ul></ul><ul><ul><li>עבודה / מאמץ </li></ul></ul><ul><ul><li>בושה </li></ul></ul><ul><ul><li>ניהול משברים </li></ul></ul><ul><li>פאזינג הוא טוב , אך פאזינג חכם טוב יותר ! </li></ul>
  13. 13. פאזינג – מה כבר יכול לקרות ? <ul><li>Ping of Death </li></ul><ul><li>INVITE of Death (SIP) </li></ul><ul><li>SMS of Death </li></ul><ul><li>SNMP Security Flaw </li></ul>SIP INVITE
  14. 14. פאזינג – מה כבר יכול לקרות ? <ul><li>Ping of Death </li></ul><ul><li>INVITE of Death (SIP) </li></ul><ul><li>SMS of Death </li></ul><ul><li>SNMP Security Flaw </li></ul>2002 - Team discovers serious SNMP bugs. Entire industry affected
  15. 15. פאזינג – איך הכל התחיל <ul><li>עוד לפני 1983 – &quot; הקוף &quot; לבדיקת תוכנות מק </li></ul><ul><li>Oulu University Secure Programming Group </li></ul><ul><ul><li>PROTOS </li></ul></ul><ul><ul><li>כחבילת קוד - פתוח </li></ul></ul><ul><ul><li>סיבסוב לפעילות מסחרית </li></ul></ul><ul><li>יש מספר תשתיות גנריות חינמיות </li></ul>
  16. 16. פאזינג חכם ? <ul><li>שאינו אקראי </li></ul><ul><li>מודע למבנה ההודעות </li></ul><ul><li>מודע לתוכן ההודעות </li></ul><ul><li>מודע לתזמונים </li></ul><ul><li>מודע לסדר ההודעות </li></ul>
  17. 17. פאזינג חכם ? <ul><li>שאינו אקראי </li></ul><ul><li>מודע למבנה ההודעות </li></ul><ul><li>מודע לתוכן ההודעות </li></ul><ul><li>מודע לתזמונים </li></ul><ul><li>מודע לסדר ההודעות </li></ul>
  18. 18. מי אחראי על בדיקות פאזינג <ul><li>אתם – אנשי האיכות </li></ul><ul><li>המפתחים מימשו פרוטוקול או השתמשו בקיים </li></ul><ul><li>בדיקות מימוש נכון = Positive Testing </li></ul><ul><ul><li>Conformance </li></ul></ul><ul><ul><li>Interop </li></ul></ul><ul><li>בדיקות עמידות לקלט שגוי או זדוני </li></ul><ul><ul><li>Negative Traffic Testing </li></ul></ul><ul><ul><li>FUZZING </li></ul></ul>
  19. 19. למי זה טוב – ליצרני תוכנה וציוד <ul><li>לבדיקת מימוש הודעות / פרוטוקולים </li></ul><ul><ul><li>קוראים תוכן הודעות ? </li></ul></ul><ul><ul><li>מנהלים מכונת מצבים בהתאם להודעות ? </li></ul></ul><ul><li>שימוש בחבילה / ספריה חיצונית ( קנויה ) </li></ul><ul><ul><li>האם עמידה להתקפות ? </li></ul></ul><ul><ul><li>כלי עזר לבחירה מבין מספר אופציות </li></ul></ul><ul><li>ספקו מוצר איכותי ללקוחותיכם </li></ul>
  20. 20. למי זה טוב – למשתמשי התוכנה / ציוד <ul><li>ספקי שירות </li></ul><ul><ul><li>תלות בטיב הרכיבים </li></ul></ul><ul><ul><li>בידקו את איכות המוצרים </li></ul></ul><ul><ul><li>האחריות היא שלכם </li></ul></ul><ul><ul><li>תלות מוחלטת בתשתית </li></ul></ul>
  21. 21. איך זה משתלב ... <ul><li>בדיקות אוטומטיות </li></ul><ul><li>כחלק מ - Continuous Integration </li></ul><ul><li>כבדיקות נוספות במקביל </li></ul><ul><li>ממוקד או כללי –פרוטוקול מסוים או כמה </li></ul><ul><li>הטמעה ושימוש עם מעט משאבים </li></ul><ul><li>יחס מצוין של תועלת לעלות </li></ul>
  22. 22. אז מה היה לנו ? - בעיות <ul><li>איכות ואבטחת המוצר תלויים בסך הרכיבים </li></ul><ul><ul><li>תשתית </li></ul></ul><ul><ul><li>אפליקציה </li></ul></ul><ul><ul><li>ממשקים </li></ul></ul><ul><li>בדיקת התשתיות </li></ul><ul><ul><li>מי בודק ? </li></ul></ul><ul><ul><li>איך בודקים ? </li></ul></ul>
  23. 23. אז מה היה לנו ? - שיטות <ul><li>Positive Testing </li></ul><ul><ul><li>Conformance </li></ul></ul><ul><ul><li>InterOp </li></ul></ul><ul><li>פאזינג - Fuzzing </li></ul><ul><ul><li>אקראי </li></ul></ul><ul><ul><li>Stateless </li></ul></ul><ul><ul><li>מודע לפרוטוקולים </li></ul></ul>
  24. 24. התשובה - Defensics <ul><li>Intelligent, Protocol-Aware FUZZING </li></ul><ul><li>Over 200 standardknown protocols </li></ul><ul><li>Universal Traffic Capture & File Format </li></ul><ul><li>Easy & Quick Integration </li></ul><ul><li>Local Support, Training & Services </li></ul><ul><li>Find Zero-Day Vulnerabilities – Before … </li></ul>
  25. 25. שאלות ? טענות ? מענות ? <ul><li>תודה ! </li></ul><ul><li>גיל קיני </li></ul><ul><li>Gil @ Trinity.co.il </li></ul>

×