The Next Generation in Load, Profiling & Stress Testing

,הדור הבא בבדיקות עומס ודחק ביצועים

Expect The Unexpected

Unknowns !?!

“There are known knowns; there are things we know we know. We also know there are known unknowns; that is to say we know there are some things we do not know. But there are also unknown unknowns – the ones we don't know we don't know.”

—Former United States Secretary of Defense

Donald Rumsfeld

סכנה ברורה ומוחשית

אפס הן -התקפות יום• המסוכנות ביותר לארגונים

מבוססות על באגים • שלא נמצאו או לא תוקנו

טכנולוגיות חדשות • חשופות במיוחד, והרחבות קנייניות

Zero-Day Attack

Vulnerability Publicly Announced

?ולמה אני פה? מי אני

גיל קיני•

טריניטי תוכנה ומעבר•

מומחים בפרוטוקולים ואבטחה•

...אז מה יהיה לנו • בעיות–

שיטות– פתרונות–

נדה'אג

?מה זה בכלל פאזינג •

?למי זה טוב •

?למה זה טוב •

איך זה משתלב • ?בתהליך הבדיקות

ההגדרה -מה זה פאזינג

באופן מבוקר, שליחת הודעות שגויות•

במטרה להכשיל את המערכת תחת בדיקה•

לשם מציאת נקודות כשל •

...יחסית ל –מה זה פאזינג

Positive Testing

הבדיקות נגזרות • מדרישות הלקוח

מרחב מוגדר ומוגבל•

Load Testing Stress Testing FUZZING

הבדיקות נגזרות •

מדרישות קיבולת

בדיקות יציבות הנגזרות •

מדרישות משתמעות בדיקת קלט בלתי צפוי•

מרחב לא מוגבל•

Negative is GOOD for you

White Box

Black Box

Conformance Robustness

Positive

Negative

Reactive

Proactive

?ולמה? על מה

...ולחסוך " אפס-יום"בדיקות פאזינג יכולות למנוע •

זמן …

מאמץ/ עבודה …

בושה …

ניהול משברים …

!אך פאזינג חכם טוב יותר , פאזינג הוא טוב•

?מה כבר יכול לקרות –פאזינג

• Ping of Death

• INVITE of Death (SIP)

• SMS of Death

• SNMP Security Flaw SIP INVITE

2002 - Team discovers serious SNMP bugs. Entire industry affected

איך הכל התחיל –פאזינג

לבדיקת תוכנות מק" הקוף" – 1983עוד לפני •

• Oulu University Secure Programming Group

–PROTOS

פתוח-כחבילת קוד–

סיבסוב לפעילות מסחרית–

יש מספר תשתיות • גנריות חינמיות

?פאזינג חכם

שאינו אקראי•

מודע למבנה ההודעות•

מודע לתוכן ההודעות•

מודע לתזמונים•

מודע לסדר ההודעות•

מי אחראי על בדיקות פאזינג

אנשי האיכות –אתם •

המפתחים מימשו פרוטוקול או השתמשו בקיים•

Positive Testing= בדיקות מימוש נכון •

–Conformance

–Interop

בדיקות עמידות לקלט שגוי או זדוני•

–Negative Traffic Testing

–FUZZING

ליצרני תוכנה וציוד –למי זה טוב

פרוטוקולים/ לבדיקת מימוש הודעות •

?קוראים תוכן הודעות –

?מנהלים מכונת מצבים בהתאם להודעות –

(קנויה)ספריה חיצונית / שימוש בחבילה •

?האם עמידה להתקפות –

כלי עזר לבחירה מבין מספר אופציות–

ספקו מוצר איכותי ללקוחותיכם•

ציוד/למשתמשי התוכנה –למי זה טוב

ספקי שירות•

תלות בטיב הרכיבים–

בידקו את איכות המוצרים –

האחריות היא שלכם–

תלות מוחלטת בתשתית–

...איך זה משתלב

בדיקות אוטומטיות•

Continuous Integration -כחלק מ•

כבדיקות נוספות במקביל•

פרוטוקול מסוים או כמה–ממוקד או כללי •

הטמעה ושימוש עם מעט משאבים•

יחס מצוין של תועלת לעלות•

בעיות -? אז מה היה לנו

איכות ואבטחת המוצר תלויים בסך הרכיבים•

תשתית–

אפליקציה–

ממשקים–

בדיקת התשתיות•

?מי בודק –

?איך בודקים–

שיטות -? אז מה היה לנו

•Positive Testing

–Conformance

–InterOp

Fuzzing -פאזינג •

אקראי–

–Stateless

מודע לפרוטוקולים–

Defensics -התשובה

• Intelligent, Protocol-Aware FUZZING

• Over 200 standard\known protocols

• Universal Traffic Capture & File Format

• Easy & Quick Integration

• Local Support, Training & Services

Find Zero-Day Vulnerabilities – Before …

?מענות? טענות? שאלות

?איפה אפשר ללמוד עוד על הנושא•

...בכל מקום •

!תודה

גיל קיני

Gil @ Trinity.co.il