Website Sony weer gekraakt!
Zo'n klein gaatje in de beveiliging heeft voor Sony en haar klanten grote gevolgen. Waarschijnlijk zal achteraf duidelijk worden dat dit specifieke lek niet nodig was. Toch zal er altijd een lek blijven en, uiteindelijk, worden gevonden.
Dit heeft alles te maken met de aard van ICT, want voor het overgrote deel is ICT geen exact vak. Exacte wetenschap biedt een sluitende oplossing voor een probleem die onder alle omstandigheden werkt. In een halve eeuw ICT is gebleken dat daar dergelijke oplossingen niet bestaan.
Een veelgestelde theologische vraag laat zien waarom ook beveiliging nooit helemaal sluitend is. Kan God een steen scheppen die zo zwaar is dat Hij deze niet kan optillen? Oftewel, kan een mens een beveiliging maken die niet door een ander mens kan worden gekraakt?
Zoals ICT in het algemeen geen exact vak is, geldt dat zo mogelijk nog meer voor testen. Testen steunt op meerdere wetenschappen. Met uitzondering van een enkel voorbeeld, zoals bij de orthogonale reeksen, is geen daarvan exact.
Welke wetenschappen steunen testen dan wel en hadden deze de problemen van Sony kunnen helpen voorkomen?
Voor er een testgeval wordt geschreven, is er economie. Het resultaat van een risicoanalyse is de basis voor het efficiënt verdelen van de testinspanning. Kosten en baten worden vergeleken en leiden tot een teststrategie.
In de teststrategie kiest men de testtechnieken. Een testtechniek is een productiemiddel dat zo snel en gericht mogelijk testgevallen moet voortbrengen.
Had economie de problemen van Sony kunnen voorkomen? Waarschijnlijk niet. Het ligt voor de hand dat er uitgebreid is getest. Gegeven de mogelijke gevolgen van een lek is ongetwijfeld nauwkeurig gekeken naar dergelijke risico's en is getest met formele technieken.
Toch slipte dit dure lek erdoor.
Naast economie is er geschiedenis. Er wordt weleens gezegd; 'resultaten uit het verleden bieden geen garantie voor de toekomst.'Maar omdat zij wel indicatief zijn, worden ervaringen omgezet in methodes. Dat wat meermalen resultaten heeft geleverd, wordt de norm.
En zolang het resultaten blijft leveren of niet echt misgaat, zal de methode worden gebruikt en de basis vormen voor toekomstige projecten.
Had geschiedenis de problemen van Sony kunnen voorkomen? Waarschijnlijk niet. Ongetwijfeld is er methodisch getest. En mogelijk is er zelfs extra historische kennis ingezet door bevindingen uit het verleden te testen.
Toch slipte dit nieuwe lek erdoor.
Tenslotte is er psychologie. Gewoonlijk zijn er drie psychologische profielen te onderscheiden. Om te beginnen is er de programmeur. Hij zal alles doen om werkende software te maken. Zijn voornaamste vraag is; 'hoe zorg ik dat het werkt?'
Een tester kijkt anders en stelt zich andere vragen. Hij zal alles doen om vast te stellen of de software onder alle denkbare omstandigheden werkt. Zijn voornaamste vraag is; 'hoe moet het nog meer werken?'
In de meeste projecten komt hierna de gebruiker. Hij zal de software dagelijks gebruiken en daarbij soms fouten maken. Zijn voornaamste vraag is; 'hoe werkt het voor mij?'
Bij Sony kwam er nog een vierde profiel. Dat van de hacker. Hij zal alles doen om te ontdekken waar dat ene achtergebleven gaatje in de software zit. Zijn voornaamste vraag is; 'waar werkt het zeker niet?'
Daarmee komt hij letterlijk vanaf de andere kant. Programmeur, tester en gebruiker zorgen dat er zoveel mogelijk werkt, terwijl de hacker zijn weg zoekt door dat kleine beetje dat niet werkt. Op zoek naar die ene opening.
En ook deze keer slipte hij erdoor.
Leon Bosma
Test Consultant
Wil je reageren, mail dan naar Leon, Dit e-mailadres is beschermd tegen spambots. U heeft Javascript nodig om het te kunnen zien.
