Wie oft — und wie dramatisch — Software-Tester versagen


Dass es wirklich höchste Zeit wird, auch die Effektivität von Software-Testern systematisch zu kontrollieren, zeigt eine ganz unglaubliche Sicherheitslücke, die im Februar 2015 in gleich mehreren Tausend per Internet zugänglicher Anwendun­gen entdeckt wurde:

Wie die Computerwoche schrieb, handelte es sich um Konfigurationsfehler die zur Folge hatten, dass — im Prinzip wenigstens — jeder Internet-Nutzer mehrere Millionen Kundendaten nach Name, Adresse, E-Mail und Kreditkartennummer im Internet nicht nur abrufen, sondern auch manipulieren konnte.

Von den zahlreichen Entwicklern dieser vielen Anwendungen war ganz offensicht­lich keinerlei ernsthafter Sicherheitstest durchgeführt worden.

Will da noch jemand behaupten, sie hätten professionell genug gearbeitet?

Und ganz offensichtlich hat auch niemand unter den Verantwortlichen ernsthaft ge­prüft, wie vollständig der Test, für den sie bezahlt hatten, denn nun eigentlich war.

Glaubt die Software-Industrie wirklich, sich derart dilettantisches Vorgehen noch lange leisten zu können?
 

Post a comment or leave a trackback: Trackback URL.

Comments

  • Gebhard Greiter  On February 16, 2015 at 6:25 pm

     
    Wie systematisch Cyber-Kriminelle durch Software-Tester nicht entdeckte Sicherheitslücken ausnutzen, zeigt ein Anfang 2015 entdeckter Bankraub, der knapp 1 Mrd. USD Schaden verursacht hat verteilt auf zahlreiche elektronische Einbrüche über 2 Jahre hinweg bei etwa 100 Finanzinstituten.

    Quelle: Kasperskys Bericht
     

    • Gebhard Greiter  On February 18, 2015 at 1:28 pm

       
      Interessant noch: Wie berichtet wird, war es jenen Bankräubern egal, welche Software in den Finanzinstituten lief. Etwa jeder zweite Versuch, so ein System anzugreifen, war erfolgreich (was selbst Sicherheitsexperten überrascht hat).

      Software-Tester können von derartigen Erfolgsraten nur träumen. Schlimmer noch: Keiner ihrer Auftraggeber erwartet solch hohe Erfolgsraten von ihnen.

      Dass sie dennoch möglich sind — über unterschiedlichste Systeme in etwa 30 Ländern auf der ganzen Welt hinweg — kann gar nicht anders interpretiert werden als zu sagen: End-to-End Tester sind noch weit davon entfernt, so professionell zu testen, wie es ganz offensichtlich möglich ist.
       

  • ggreiter  On August 16, 2019 at 4:19 pm

     
    Dass Software-Tester häufig versagen, hat – meiner Beobachtung nach – vor allem zwei Gründe:

    Erstens versucht kaum jemand die Effektivität der von ihm beauftragten Software-Tester systematisch zu monitoren.

    Und zweitens können Software-Fehler extrem gut versteckt sein (so dass es extrem kreativer Tester bedarf, sie zu finden). Hier ein Beispiel dazu:

    Programmierfehler kostete 28 Amerikaner das Leben:

    Einer der tödlichsten Angriffe auf amerikanische Soldaten während des ersten Golfkriegs 1991 entstand durch einen Programmierfehler. 28 Soldaten starben, als eine irakische Scud-Rakete Armee-Baracken in der Nähe von Dharan in Saudi-Arabien traf. Die in der Nähe stationierte Patriot-Raketen-Abschussrampe konnte die Scud nicht abfangen, weil sie einen Softwarebug aufwies: Ein Teil ihrer internen Berechnungen nutzte eine dezimale Ausgabe der Uhrzeit und ein anderer Teil eine binäre. Weil dieser Fehler in der internen Uhr der Patriot-Rakete auftrat, wurde das Missverhältnis immer größer, je länger das Raketensystem ohne Neustart blieb. Während des Kriegs waren die Raketensysteme nun aber in dauernder Bereitschaft und wurden niemals neu gestartet. Die Rakete, die Dharan traf, war die letzte, die der Irak während des Kriegs abfeuerte.

    Quelle: CW, wahre Begebenheit Nr. 4
     

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: