SheHacksPurple Security-Kurse durch Bright-Übernahme kostenfrei

Buchcover Alice & Vob learn Application Security
Buchcover Alice & Bob learn Application Security

Tanya Janca (She hacks purple) hat ihre Firma “We hack purple” an Bright verkauft, einem Hersteller eines SAST-Tools. Das wäre nun nichts so tolles, aber ihre Kurse, wie man Application Security angeht, sind nun KOSTENFREI und kosteten vorher mehrere hundert Dollar/Kurs! (Quelle)

Tanyas Buch „Alice & Bob learn Application Security“ (Wiley) hilft sehr gut in das Thema Application Security einzutauchen, daher sind ihre Kurse ebenfalls für Einsteiger gut geeignet.

https://community.wehackpurple.com/

1993 – oder wie hacke ich mich selbst

Nachdem ich nun mein Programm von 1995 wiedergesehen habe, war nun die Aufgabe schwieriger, denn das erste von mir selbständig entworfene und programmierte Lotus 1-2-3-Makro-„Programm“ ist von 1993, also aus der Windows 3.1-Ära.

Da schon das Archiv nicht unter der Windows 11/ARM-Emulation sich entpacken wollte, wollte ich meine SunPCi-Karte in Betrieb nehmen. Windows 2000 müsste von der Kompatibilität noch einigermaßen passen. Zudem wusste ich nun, dass eine DE-Version von 1-2-3 unabdingbar ist, da man schon in den 90ern bei der IBM (und bei anderen) nichts von guter Lokalisierung wusste (die Makro-Sprache war mit übersetzt und lief daher nicht in anderen Sprachen!).

SunBlade 1000 mit XVR 1000-Grafikkarte und eben jener SunPCi III-Karte (AMD Athlon-Prozessor und 8GB auf der Co-Prozessorkarte) gestartet und Software besorgt… ohweia, Sun Microsystems hat immer den alten Kram preisgegeben, aber snOracle natürlich nicht 🙁 Also recherchiert und unter The Vintage Technology Digital Archive fündig geworden (Danke!). Um die compressed Dateien nun zu entpacken, kann man das tar-Programm von UNIX nicht nehmen 🙁 Also OpenCSW angesteuert und die GNU-Version besorgt. Man glaubt es kaum, aber das Ding lief beim ersten Start…. 
Nun noch Windows 2000 besorgen. DAS war allerdings dann echt eine Herausforderung, da es wohl die OEM-CD-ROM sein musste, aber ich wurde fündig beim Internet Archive, leider ohne Seriennummer, also ging die Suche weiter, aber man wird fündig und rj22y-w6ywf-tdh77-w7tpt-ggw62 öffnete dann die Tür zur Windows 2000-Welt….und der Spaß
konnte beginnen…. Nur leider musste ich, damit ich überhaupt irgendwas installieren konnte, erst einmal das Service Pack 4 installieren. Nun die SmartSuite von Lotus 1-2-3 auf deutsch und ab dafür. Aber…. ich hatte 1993 meine eigene Passwortroutine gebaut und  nicht, wie 1995 die Standard-Passwort-Dateisicherung genommen…. und wer erinnert sich an Passwörter von 1993. Idee… Mittels HEX-Editor einfach mal die Datei durchforsten…
Jo, ich konnte mich an mein Passwort erinnern. Wer Lust hat, kann es suchen und, nein, es ist nicht „Passwort“.

Starten und stauen und wieder enttäuscht werden…. normalerweise öffnet das Programm mit eigenen Menüs, so wie beim Unfall-Programm, aber dieses hier ist von 1993 und da wurde der {MenüErstellen <Menüname>}-Befehl aus der Windows 3.1-Version (Lotus 1-2-3 Release 5) entfernt 🙁 Egal. Einen ersten Eindruck sieht man, aber die vollständige „Schönheit“ wird erst zu sehen sein, wenn aus Pinneberg die 7×3,5″ Disketten, die ich bei eBay erstehen musste, angekommen und installiert sein werden…. to be continued…

Die Aufnahme ist über vnc gemacht worden, da ich zwischenzeitlich RealVNC 4.1.3 auf der Windows 2000-Instanz installiert habe.

Unfall 95 – und die Erinnerungen an Lotus 1-2-3 auf einem M1 lebendig machen

Weihnachten ist immer so die Bastelzeit, also die Zeit, die ich als junger Hacker quasi 24h am Tag hatte. Ich wollte seit Jahren meine für meinen ehemaligen Ausbildungsbetrieb in der Tabellenkalkulation Lotus 1-2-3 geschriebenen Makro-Programme „ResQ“ (Reklamationsstatistik Qualitätssicherung) und „NUS“ („NORDSEE“ Unfallstatistik) mit heutigen Augen ansehen…

Lotus 1-2-3 war das „naturwissenschaftlichere“ Excel von IBM und wurde seinerzeit unter DOS, Windows (3.x), OS/2 uvm. Betriebssystemen angeboten (damals hatte man wenigstens eine Auswahl).

Die „NORDSEE“ (ja, die Fischrestaurants gehörten seinerzeit zum Konzern, sowie eine Frosterei (später frozen fish international), Räucherei und die Frischfisch-Abteilung (heute Deutsche See)) hatte mich gefragt, ob ich während meiner Semsterferien die für die Berufsgenossenschaft notwendige Unfallstatistik zu erstellen.

NUS war wohl das zweite Programm, aber das erste wo die Anforderungen quasi auf dem Tisch lagen und ich keinen Bock hatte, den Mist von Hand auf Papier zu bringen. Die Aushilfen in den Jahren zuvor haben die Daten auf einem Endlosdruckerausdruck (abwechselnd grün-weiß – Höchststrafe als HSV-Fan!) manuell (IBM = immer besser manuell) abgeschrieben und nach Formel in die einzelnen Statistiken überführt.

Ich hatte damals ein altes, nur noch am Strom funktionierendes Laptop mit riesigem Netzteil (ich meine der war sogar ausgeliehen) und in meiner Studentenbude einen WYSE-PC mit IBM OS/2 drauf. Also habe ich damals schon „nächtliches HomeOffice“ gemacht, da die technischen Möglichkeiten einfach besser waren und in meiner Bude auf dem Firmengelände nur die Probleme ausgebügelt.

Die für mich zuständigen Sicherheitsingineure (einen kannte ich aus meiner Ausbildung, der andere war eigentlich mit der Umsetzung des Hochregallagerbaus beschäftigt) fanden meine Arbeit geil und, da damals die Erfassung der BG-Unfälle die Zeit der Sekretärinnen frass, fragte man mich (ich meine ein Jahr später), ob ich da was machen könne…. und das müsste die Version sein, die ich nun auf der Diskette fand.

Die Sekretärin musste fortan nun nicht mehr alles in die Schreibmaschine tippen und bei einem Fehler nochmal anfangen, da die BG-Unfallbögen ein Mehrfachdurchschlag waren, sondern sie konnte die Daten wieder laden, korrigieren und noch einmal aus dem Drucker den aktuellen Bericht drucken lassen. Ebenso konnte sie die Statistik selbst tagesaktuell laden.

Wie schon immer, keine Daten, sondern nur das Programm auf der Diskette!

Für meine Herausforderung das Programm zu starten ist 2021 nicht unbedingt der beste Zeitpunkt, da ich keinen x86/INTeL-basierten Mac mehr habe, DOS besitze ich maximal noch als Emulator oder in der PCi-Karte auf meiner SPARC und Lotus 1-2-3 ist eher ein Antqiquariatsartikel und Passwortcracker auf *.wk4-Dateien sind bestimmt auch nicht an der Tanke zu haben.

Läuft! Auf einem M1-MacBook mit Windows 11 (Parallels) Lotus 1-2-3 9.8.0208.1200 (2002)

Zum Einsatz kommen folgende Komponenten (und viel Zeit)

  1. Parallels Desktop 17.1.1 für Mac (auf einem Apple Silicon M1)
  2. Windows 11 (kommt mit Parallels Desktop)
  3. Elcomsoft Advanced Lotus Password Recovery 2.12.1784.0 (2018)
  4. Lotus 1-2-3 (in der Lotus Smartsuite) als ISO aus dem Internet Archive
  • Das ISO als CD in Parallels anbinden, damit Windows 11 es lesen kann.
  • das enthaltene .msi-Programm zur Installation starten und sehr lange warten
  • Die Installation, trotz drei Fehler bis zum Ende durchführen
  • Elcomsoft installieren in Windows 11 und die *.wk4-Datei Laden – binnen SEKUNDEN wurde mein dreibuchstabiges Passwort „bgn“ gefunden 🙂
  • 1-2-3 aus Windows starten
  • Datei laden und bgn als Passwort eingeben
  • voilà – unter einem ARM-Prozessor ein steinaltes x86-Programm in einer virtualisierten Windows 11-Umgebung gestartet

Für ResQ muss ich wohl doch die PCi-Karte in der SunBlade 1000 (2002 Sonderedition) zum Laufen bringen, da das *.exe-Archiv unter Windows 11 nicht extrahiert werden kann. Mal sehen, ob ich dieses Jahr noch dazu motiviert bin 🙂

 

Agile Testing Days 2021 meine Highlights 2. Konferenztag

Big & samall unicorn

For my non-German-speaking quality colleagues: Please use deepl.com Thx!

Der erste Tag war nicht durch den zweiten zu toppen, auch weil ich abreisen musste, aber schön war es dennoch, denn es ist die Idee zwischen Nathalie, Björn (Evertest, Belgien) und mir entstanden, in einer belgisch-deutschen Koperation eine Session für die kommenden Agile Testing Days zu bauen, da uns der Aspekt „Wie kann man Ideen testen?“ doch mal näher beleuchtet werden sollte.

Am zweiten Tag bin ich, anstatt zu laufen, bei Janet mit am Lean Coffee-Tisch gelandet. Die Probleme sind oftmals dieselben, aber leider sind die Firmen nicht dieselben: Wie bekommt man die Verantwortung für Qualität in die Köpfe aller im Team.

Even though I was late due to the covid test and registration, I learned something during the lean coffee this morning. Thanks #AgileTD pic.twitter.com/AW8TFi33bi

— Bart The Tester (@bartthetester) November 17, 2021

Jutta hat es sehr schön aufgezeigt: Soziale, ökonomische und eben auch die bekannten Umgebungsaspekte zusammen ergeben Nachhaltigkeit.

Now the story of how Chef developers rebelled against the contract with ICE and that had a real impact – it will not be renewed. Shows us that people have more power than they think and we must all be responsible for our part towards sustainability. @JuttaEckstein #AgileTD pic.twitter.com/eNK5A10WiA

— João Proença (@jrosaproenca) November 17, 2021

Ich fand es beeindruckend, dass die Entwickler.innen von CHEF damit gedroht hatten, den Code auszubauen, den die Heimatschutzbehörde der USA leider völlig losgelöst von den Werten der erschaffenden Menschen eingestzt hat. Anderes Beispiel, das Jutta nicht genannt hatte: Die Story im Sommer 2018 von Google und dem „Maven-Projekt“ hatte zur Folge, dass nun Jeff Bezos und die Microsofties das Drohnenprojekt betreuen, aber eben nicht Google. Da haben sich Mitarbeiter.innen auch mal dagegen gewehrt an so einem Mist mitwirken zu müssen und zumindest meinen Respekt eingeheimst.

Crowd Testing – eine andere Welt

Ich persönlich bin selbst auch in einer „crowded Tester-Community“, aber ich wusste gar nicht wie konzentriert der Markt auf ein paar globale Player zusammen[gekauft|geschrumpft] wurde. Ich war bei einem Vortrag, der spärlich besucht war, um mich mal auf den neuesten Stand bringen zu lassen. Mitlerweile sind die Plattform-Anbeiter (gerade was die mobilen Devices angeht) verbandelt mit den TaaS-Anbietern, aber ansonsten ist m.E. da alles wie man es sich für einen END-Abnahmetest das so vorstellt.

Quality Dojo

„What’s a quality dojo“ by @zfordreitz is about to start #AgileTD pic.twitter.com/C0MrZmVYrj

— Tobias Geyer (@the_qa_guy) November 17, 2021

Zed hat die Regeln, die bei ihm angewendet werden schön erklärt, sodass ich auch an unser Team noch was übermitteln kann, was wir ggf. auch mal in Betracht ziehen könnten. „Hopp-on-hopp-off ohne erklären zu müssen warum“ fand‘ ich schon mal inspirierend. Schön, dass nun immer mehr Firmen das Training auch als Bestandteil der Arbeit ansehen. Nur durch ständiges Training wird man eben besser.

Risk Storming

Risk storming with @TestSphere by @isleoftesting described by @jrosaproenca #AgileTD pic.twitter.com/fN8MdJIPrs

— Göran Kero (@ghkero) November 17, 2021

João Proença hat dafür schon die Nominierung fürs kommende Jahr (bei mir persönlich) gewonnen, denn auch ich trainiere gerne Risk Storming, weil es eines der effizientesten Methoden ist, dem Team die wichtigsten Risiken bewusst zu machen. Die ganze Keynote „Limitless with our Boundaries“ war toll, denn es ist gut eine Auswahl zu haben, aber die Anwender.innen oder Entwickler.innen immer vor einer schier unendlichen Auswahl von Möglichkeiten zu stellen, ist, wie er eindrucksvoll dargstellt hat, nicht immer die beste Idee.

Der Tag 2 war kürzer wegen der Bahnfahrt, aber es waren zwei sehr lehrreiche Tage und anscheinend hatten auch die anderen Unicorns ihren Spaß.

Agile Testing Days 2021 meine Highlights 1. Konferenztag

Big & samall unicorn

For my non-German-speaking quality colleagues: Please use deepl.com Thx!

Die meinesten meiner Test-Kolleg.innen schreiben in Englisch. Meine Gedanken sind aber generell in meiner mir angeborenen Sprache und daher vermeide ich es meine Gedanken durch Übersetzungsleistung zu zerstören. Dafür gibt es Maschinen.

Ich war dieses Jahr, nach 2019 mit dem ganzen Team, zwei Tage auf den Agile Testing Days und habe mich daher fokussiert, aber leider auch vieles nicht mitbekommen – dazu ist das einfach zu viel Input und zu groß. Schön wäre es kommendes Jahr wieder mit mehreren des Teams dort aufzuschlagen, damit nicht so viel verloren geht.

🏃‍♀️🏃 Our attendees are ready for the first morning run at #AgileTD!
Are you an early bird or a night owl? 🤔 pic.twitter.com/Gyi84pOKoB

— Agile Testing Days (@AgileTD) November 16, 2021

Twitter

Begonnen hat der Tag mit einer sportlichen Herausforderung, die sehr viel Spaß gemacht hat. Die Treppen von Sans Souci sind morgens um 7 schon eine Herausforderung 🙂

#AgileTD morning run number one through the Sans Souci Park done 🏃
Helped a lot to shake of the after effects of the speaker dinner 😅 pic.twitter.com/bIJYnysEua

— Michael Kutz (@MichaKutz) November 16, 2021

Twitter

Die erste Keynote von Prof. Dr. Dagmar Monett von der Humboldt Uni in Berlin hatte es gleich mal voll drin: Rumschlagen mit Definitionen, denn es ging um das Thema „intelligente“ Maschinen.

Liebe IT-Manager.innen, hier steht es von jemanden, der es wissen sollte (danke an Oana für den Tweet):

We have powerful fast calculating machines, but how can we say they can be intelligent as we have actually a hard time to define what intelligence is. Tx @dmonett to state This ! Hallelujah! #agiletd @AgileTD pic.twitter.com/LL6ukExC9j

— Oana Juncu (@ojuncu) November 16, 2021

Twitter

Schon in den 90ern, als wir mit BBS-Systemen rumgespielt haben, versuchte man uns glaubhaft zu machen, dass es so etwas gäbe, aber es gab es nicht! Die Rechner und die Software sind nur besser geworden. Das ist erst einmal so und ja, es gibt tolle Modelle, die mit extremer Leistung Sachen vorhersagen, ableiten, berechnen können, aber „Intelligenz“ ist das dann mal mitnichten. Die Gute hat auch mal mit der Herkunft solcher Mythen aufgeräumt, denn die Medien mit ihren Star Wars und anderer Sciene Fiction prägen das was wir unter „intelligenten Maschinen“ sehen. Das ist es nicht.

Fantastic Biases and where to find them in software development!!#AgileTD @MichaKutz @jrosaproenca some #emnanotes again pic.twitter.com/lCSfbvjkw9

— Emna Ayadi (@emna__ayadi) November 16, 2021

Twitter

Was Kollegin Emna, die ich auch persönlich beim Mittag kennenlernen durfte, in ihrer schönen Sketchnote aufgeschrieben hat, hat mich wieder fasziniert, da man immer wieder auf Vorturteile und auch Annahme reinfällt, obwohl man es eigentlich besser wissen sollte…

u.a. bin ich selbst auf die Annahme hereingefallen, dass die vorherrschende Meinung von Qualitätsverantwortung in agilen Teams bekannt sein sollte. Das dem nicht so ist, haben wir bitter erfahren müssen. Wir versuchen nun nachzusteuern um den Effekt entgegenzuwirken, dass [von oben] angenommen werden könnte, jede.r hat dasselbe Verständnis über Qualität und Testen in agilen Teams in der gesamten Organisation. Dafür ist es gut, dass wir ein sehr diverses Team aus unterschiedlichen Rollen und Charaktere sind – so werden Annahmen wenigstens hinterfragt und jemand aus unserem Team „ermahnt“ uns auch immer, alles zu visualisieren, damit wir wirklich vom Selben reden.

Damit aber nicht genug, auch das Anwerben neuer Mitarbeiter.innen hat bei uns Priorität, nachdem wir sehr früh feststellten, dass in der agilen Transition die Qualitätsbewahrer.innen abhanden gekommen sind. Die Personalabteilung scheint alles in Normen und Rollen verankern zu wollen, aber die Diversität und die Andersartigkeit von Menschen in denselben Rollen schafft es, dass man in die Ecken schaut, wo sonst nicht hingeschaut werden würde.

Sehr hilfreiche Tipps von Micha und João (Präsentation) und das wird mich garantiert noch weiter beschäftigen… wie man oben sehen konnte, nicht nur in den Räumen, wo sie gesucht und gefunden haben 🙂

#agiletd
Exploratory Testing in regulated environment.@mariapetzold13 and @Flo_Pilz pic.twitter.com/2Y9wVpU7Ik

— MaikNog (@MaikNog) November 16, 2021

Twitter

Eine sehr praktische Sicht kam dann am Ende des ersten Tages, da unter regulatorisch Umgebungen, nicht nur meiner Meinung nach, explorativ getestet werden kann und sollte, denn Maria Petzold und Florian Pilz von ZEISS haben mal vorgestellt, wie sie das so machen. U.a. geben sie auch das Vorgehen und die Hilfsmittel einfach mal so raus, was ich sehr löblich finde.

Ways to counter toxic leadership @epsilon11 #agileTD pic.twitter.com/8XTqDrEozQ

— lisacrispin (@lisacrispin) November 16, 2021

Twitter

Feed-back to a manager. Met this type of manager, anyone ;)? #AgileTD @AgileTD pic.twitter.com/GuAcjJjqpS

— Oana Juncu (@ojuncu) November 16, 2021

Twitter

Unser späterer MIATPP-Gewinner (Most Influential Agile Testing Professional Person) Raj Subrameyer hatte schon vor ein paar Jahren auf den AGT etwas zu seinem Weg raus aus dem Unwohlsein berichtet und nun noch einmal etwas tiefergelegt. Toxische Leader gehen leider nie in diese Keynotes, denn das was man da rausziehen könnte, wären Spiegel, die dann die Wahrheit mal sehr offensichtlich machen.

Man kann diese toxischen Umgebungen brechen, aber dazu müssen die Leader auch bereit sein. Manchmal wird man auch nach Jahren noch negativ überrascht und daher galt und gilt für mich immer das Leitmotto:

Tue das was Du liebst!

[Viel] Geld wird Dir das nicht ersetzen können. Ich gehe nicht für jemanden arbeiten, sondern ich gehe meiner Tätigkeit mit Leidenschaft nach und da kann der Arbeitgeber auch mal wechseln, auch wenn ich gerne länger bei Unternehmen meiner Leidenschaft nachgehe, da Qualität aus dem Inneren des Unternehmens erwachsen muss. Raj hat seine Leidenschaft gefunden und er macht nun das was er liebt.

STeP-IN Forum Indien – Tolle Organisation

Gerne wieder, könnte man sagen, denn die Organisator*innen haben wirklich tolle Arbeit geleistet und mich in das Werkzeug „Floor“ gut eingewiesen und sich um mich als Mensch gekümmert. Ebenfalls Tyto, Hersteller von Sahi Pro, hat mit seiner Mannschaft zu einem wirklich tollen Erlebnis beigetragen.

Alle Bilder sind Bild-URLs vom nitter-Service, die Twitter spiegeln 😉

Vortrag Business-driven Test Automation auf dem STeP-IN Summit 2021
Vortrag Business-driven Test Automation auf dem STeP-IN Summit 2021
Q/A-Session auf dem STeP-IN Summit 2021
Q/A-Session auf dem STeP-IN Summit 2021
Darum geht es, wenn man (geschäftsgetriebene) Test-Automatisierung erfolgreich gestalten möchte: Gemeinsame Sprache!
Darum geht es, wenn man (geschäftsgetriebene) Test-Automatisierung erfolgreich gestalten möchte: Gemeinsame Sprache!

Wenn Bugs 20jährigen Geburtstag feiern…

Zugegeben, es ist lange her, aber Bug 86056 von Mozilla, der das Scheitern des gleichzeitigen Selektierens von Newsgruppen, um diese auf ‚gelesen‘ zu setzen, beschreibt, hat am 15. Juni 2021 eben genau diesen Geburtstag erreicht und erfreut sich nach wie vor „Beliebtheit“, indem Referenzen auf ihm (der Bug) angelegt werden, wie gestern.

Was könnte man doch spekulieren…

Ich benutze die Newsgroup-Funktion von Thunderbird seit wohl eineinhalb Jahrzehnten nicht mehr, aber damals wurden eben Gruppen-/ Interessenteninfos so ausgetauscht. Was das Überleben dieses gemeldeten Fehlers zeigen könnte:

  • Open Source Software (OSS) hat nicht nur Vorteile, denn, wenn es niemanden wichtig genug ist, fixt niemand was.
  • Gleichzeitig wird aber auch in OSS nichts unter den Teppich gekehrt und selbst ein 20 Jahre alter Bug bleibt, da er weiterhin relevant ist, offen.
  • Auch die Software selbst, Thunderbird, wird nach wie vor weiter entwickelt, d.h. der Atem von freier Software kann durchaus lang sein – und das wohl auch länger als der Bestand so manches IT Unternehmens…

 

Kurzthesen zur Zukunft des Softwaretestens

Im Rahmen des GFFT Symposiums „Zukunft des Softwaretestens“ wurde ich gebeten meine Thesen einmal als „Kurzvortrag“ kund zu tun (5 Min.)…

Mindset statt Tools

Erst wenn auf allen Ebenen der Wertschöpfungskette verstanden worden ist, dass der Test, die Prüfung zum alltäglichen Geschäft gehört, haben auch wir in der Software „verstanden“. Andere, wie Lebensmittel- und Arzneimittelhersteller wissen um die Schlagkraft des einzelnen Mitarbeiters, darum bilden sie auch extrem gut aus. 

Vorgehen & Methodenkoffer anstatt Werkzeugkoffer

Test-Vorgehen und -Methoden müssen verinnerlicht werden wie das Einschalten des Rechners am Morgen. Es wird nach wie vor zu sehr auf ein Werkzeug geschaut, anstatt die Anforderungen zu ermitteln und dann eine Entscheidung zu treffen. Sicherheitstests sind beispielsweise nicht „On-Top“, sondern Basisbestandteil täglichen Arbeitens. Förderung des Wissens um die neuen Methoden der Sicherheitstests – von Anfang/Anforderung an.

Standards anstatt Abschottung

Schaut man auf die Industrien, wo die Standardisierung der Zubehörteile und tlw. auch der Software weit fortgeschritten ist, ändert sich natürlich die Testtiefe. Die Basis (Standards) werden durch alle gleichermaßen sichergestellt, während die Geschäftsprozesse meistens individuell sind und einer tieferen Betrachtung unterzogen werden. Geschäftsgetriebene Test(Automatisierung) wird so gefördert.