Küber-identiteedivargus – süütu nali või tõsine kuritegu?

Minu esimesed kokkupuuted Internetiga olid vanuses 11-12, ehk varajases puberteedieas. Nägin jututubade-buumi, mis hiljem asendus foorumitega. Kümmekond aastat hiljem alustas praegu „tipus“ trooniv sotsiaalmeedia oma võidukäiku. Kui paarkümmend aastat tagasi peitus enamik neti-inimesi varjunime taha, siis viimaste aastate trend on pigem iseenda näo ja nime näitamine – Google pidas seda lausa nii iseenesestmõistetavaks, et nõudis rangelt iseendana esinemist. Kogu vaadeldava perioodi jooksul on üht probleemi aga üsna tõsisemaks hakatud pidama: identiteedivargused.

Interneti massidesse jõudmise algusaegadel, 90ndate aastate keskpaigas, olid reeglid üsna kaootilised. Kirjapandud reegleid otseselt ei olnudki, riiklikul tasandil seadustest rääkimata. Et kasutajaid oli vähe, toimisid keskkondade sisemised reeglid, ühest-kahest moderaatorist piisas. Kuna kasutajanime valimisel piiranguid polnud, valisid paljud end küberruumis esindama mõne iidoli nime. Ma ise kasutasin nimesid KarmoK (kooli arvutiklassi kasutajanimi), ChrisMan (vrd Batman või Spider-Man) ja 1998. aastast Garfield, millest pärast loomulikku lühenemisprotsessi sai „garf“. Ometi ei garanteerinud miski, et selle nime taga just mind leida võiks – ja ega keegi tõenäoliselt ei eeldanud ka. Internet oli huvitav mänguasi, mitte midagi tõsist. Huvitava võrdlusena võib siia kõrvale tuua Fidoneti, kus EW.* gruppidesse pidi igaüks rangelt oma kodanikunime alt kirjutama. Internetis valitses sellega võrreldes anarhia.

Keskkooli lõpu paiku (aastatel 2001-2003) sattusin tihedamalt ühte Inglise Vormel 1-teemalisse foorumisse. Kui suurem osa sealsest seltskonnast oli heatahtlik, leidus siiski ka juba paar „trolli“, kes ühe konkureeriva vormelifoorumi moderaatoriga tülli olid läinud ja arvete klaarimiseks tema nime ja pildiga „varikontosid“ vorpisid teha. Mustamiskampaania põhiline sisu oli noormehe väidetavalt massist erinev seksuaalne orientatsioon – nimelt fantaseeriti kokku kõiksugu orgiaid erinevate muude sihtmärkidega, kes kõik ühel või teisel põhjusel „trollidega“ pahuksisse olid sattunud. Üritasin „trollide“ mõtteviisist aru saamiseks nendega suhelda – sain vastuseks, et Internet on ju ainult mäng ja ega nad siis paha pärast. Julgesin väita, et tegelikult on iga ekraani taga siiski päris inimene ja sellisel laimul võivad nende jaoks ka reaalsed tagajärjed olla ning juba olidki lugudes uued tegelased – mina ja mu tolleaegne tüdruksõber.

Kui eelmises loos oli tegu „ainult“ emotsionaalse traumaga, siis 2009. aasta veebruaris avaldas Eesti Ekspress loo naisest, kes Soome kohtus oma eksmehe vastu võidu saavutas, kuna kohalikud võimud ei leidnud seadusandlusest ühtki asjassepuutuvat pügalat (Kärmas, 2009). Artikli ilmumise ajaks oli – küll napilt nädal varem – juba kooskõlastusringile jõudnud Karistusseadustiku muutmise seaduse eelnõu, millega seadusesse lisandus § 157² „Teise isiku identiteedi ebaseaduslik kasutamine“ (Riigikantselei, 2009). Probleemi hakati tunnetama seadusandja tasemel.

Ometi ei olnud sellest seadusemuudatusest kasu, kui välismaised kurjategijad möödunud aasta alguses mu ema Google’i konto enda valdusesse said ja kõigile kontaktidele petukirja laiali saatsid – justkui oleks konto omanik Bradfordis varguse ohvriks langenud ja vajaks nüüd kiiret rahalist abi (Karmo, 2014). Kuna tegu oli rahvusvahelise juhtumiga – ohver Eestis, teenusepakkuja Ameerikas, kurjategija ei-tea-kus – tunnistas politsei taaskord võimetust aidata. Umbes samal ajal oli sarnaseid juhtumeid Eestis teisigi. Seejuures olid identiteedivargad jälgede kustutamisel üsna põhjalikud: Google’i konto pandi üsna kiiresti pärast ülevõtmist kinni ning loodi sama kasutajanimega uus. Nii ei toiminud ka standardsed viisid konto taastamiseks.

Mis selles viimases juhtumis siis nii hullu oli? Mäletan omast kogemusest, kui palju aega ja energiat kulus uue Google’i konto tegemisele, kogu info vanalt kontolt uuele migreerimisele, arvete ja muu olulise info uuele aadressile tellimisele jms tegevustele. Seejuures oli minu vana konto minu käsutuses. Antud juhul tuligi emal eelkõige kõigi oluliste teenusepakkujatega lepingud ümber teha – arved uuele e-posti aadressile suunata. Lisaks – kuidas teavitada kõiki kontakte uuest aadressist, kui kontaktibaas „hävis“ koos kontoga? Paari päeva jooksul tuli murelikele petukirja saanud tuttavatele selgitada, et tegelikult ei ole midagi hullu juhtunud ja raha ei pea saatma – või siis lihtsalt noogutada järjekordse teavituse peale, et keegi saadab tema e-posti aadressilt kahtlaseid petukirju. Nutitelefon ja tahvelarvuti tuli uuele Google’i kontole ümber seadistada. Oleks vana konto krediitkaardiga seotud olnud, tulnuks ka krediitkaart sulgeda. Seda nimekirja võiks veel üsna pikalt jätkata. Niisiis – üheainsa konto kaotamisest tekkis omajagu ebamugavusi ja planeerimata lisatööd. Oleks võinud tekkida muidki sekeldusi, näiteks mõne vanale aadressile saadetud arve maksmata jätmise tõttu. Seejuures oli kurjategijate esmane eesmärk justnimelt identiteedivargus – saata usaldusväärse nime tagant sõpradele-tuttavatele rahasooviga kiri. Mõni nõrgema eesti keele oskusega ohver oleks vabalt võinudki õnge minna.

Igal juhul on identiteedivarguse näol tegu kuriteoga, mis väärib ennetamist ja karistamist. Ennetamise osas saavad palju ära teha kasutajad ise – kasutades mitmeastmelist kasutajatuvastust või vähemalt turvalisi paroole – aga eelkõige siiski teenusepakkujad ja tarkvaraarendajad, tehes turvalise isikutuvastuse võimalikult mugavaks. Sest kui kasutaja saab valida, eelistab ta esimese hooga alati mugavust turvalisusele. Suureks abiks on kindlasti ka muutuv suhtumine Internetti ja identiteedivargustesse – tundub, et enam ei peeta seda massiliselt süütuks mänguks. Õnneks.

Kristjan Karmo
ASA Quality Services

Algselt avaldatud 18.01.2015 Kristjani isiklikus blogis: Küber-identiteedivargus - süütu nali või tõsine kuritegu?

Uued koolitused testijatele: testimise südame saladused ja muudatustest rõõmu tundmine

Veebruaris on AKAs tulemas kaks uut koolitust testijatele. Õpime testimise südame saladusi ning muudatustest rõõmu tundmist.

Testimise südame terviseks!

Testianalüüs on testimise süda - kui see on kehvasti tehtud, lipsavad vead testijate silme eest läbi, hammustavad meid live'is ning põhjustavad kõigile osapooltele sõnulseletamatuid kannatusi. Esimene uutest koolitustest ongi testianalüütiku koolitus.
Kes on testianalüütik? Testianalüütiku rollis olev inimene üritab tarkvara ja IT süsteeme üle kavaldada: mõtleb välja, missugused stsenaariumid ja toimimised on võimalikud ja mis peaks juhtuma. Hea testianalüütik on ka hea nõuete-spetsifikatsioonide kritiseerija ja uuristaja - ta saab juba spetsifikatsioonist aru, et nii ei saa need asjad toimida või siis osa informatsiooni on jäänud kirja panemata. Niisiis on testianalüüs vajalik selleks, et testid leiaksid võimalikult palju vigu (kui neid on) ja seda juba spetsifikatsioonidest/analüüsidest/ülesandepüstitustest. Hea testianalüütik ei kohku ära isegi sel juhul, kui kirjapandud nõudeid justkui ei olegi või testimiseks on jäänud "tervelt" 60 minutit aega.

Teisest küljest võtab nii testide kirjutamine kui ka läbiviimine üksjagu aega, seega ei saa teste olla ülemäära palju. Tarkvarasüsteemid on enamasti aga keerukad ja võib tekkida tunne, et "põhjalikuks testimiseks" tuleks testida kõikvõimalikke andmete kombinatsioone ja infovoogusid. Testianalüütiku ülesanne on hoida kaalukausse tasakaalus - et testid leiaksid üles olulised vead, aga samas võtaksid mõistliku aja.

Koolitus läheb Sinu jaoks täie ette, kui tahad teada saada, kuidas:
- kasutada erinevaid meetodeid testide disainimiseks ja nende hulga optimeerimiseks,
- kasutada uurivat testimist, kus sobilik,
- üle kavaldada (lisaks tarkvarale) ka spetsifikatsioone,
- mitte üle pingutada testide dokumenteerimisega (aga ka mitte alahinnata selle väärtust),
- leida ja valida testidisaini abistavaid töövahendeid,
- koostada kasutusmugavuse, juurdepääsetavuse (accessibility) jt mittefunktsionaalsete nõuete teste.

Kuna koolitus järgib täpselt ISTQB Certified Tester Advanced Level Test Analyst programmi, siis sobib pärast koolitust ka vastavale sertifikaadieksamile minna.
Koolitus toimub 02. - 05. veebruaril Tallinnas. Koolituse maksumus on 2000€+KM (ei sisalda sertifikaadieksami tasu 250€, KM ei lisandu).

Kõik muutub... testimine samuti

Teine on agiilse testija koolitus. Milleks on vaja üldse säärast koolitust testijate jaoks välja mõelda? On ju olemas lihtsalt Scrumi metoodika koolitused ning põhjalikud Scrum Masteri ja Product Owneri koolitused. Need on loomulikult kasulikud ja vajalikud, aga nende otseseks sihtrühmaks ei ole siiski testija. Neis on palju kasulikku infot, kuid suurem rõhk on eelkõige juhtimisteemadel. Pahatihti ei peetagi vajalikuks testijat sellisele koolitusele saata - "projektijuht ju juhib ja korraldab kõik ära, küll ta saab testijatega ka hakkama". Noh, võib-olla tõesti, aga kas poleks kõigil tiimiliikmetel parem ja mugavam elu, kui kõik räägivad "sama keelt"?

Agiilse testija koolitusel tehaksegi esmalt selgeks põhitõed - mis see agiilne tarkvaraarendus üldse on ja kuidas seda süüa tuleb. See on aga ainult pool võitu, mistõttu tavalisest Scrumi metoodika koolitusest jääb õigele testijale natuke väheseks.
Võiks ju arvata, et testimine on ikka testimine, sõltumata arendusmetoodikast. Ühest küljest on see muidugi õige, sest näiteks vigade otsimine-raporteerimine toimub igal juhul. Teisest küljest aga on agiilsel testimisel väga iseloomulikud võimalused, mida oskuslikult ära kasutades ei ole ohtu, et testimine muutuks pudelikaelaks.

Muuhulgas saavad vastuse järgmised küsimused:
- Kuidas tervitada muudatusi (nt nõuetes) ilma ööund ja liigseid närvirakke kaotamata?
- Mind kutsuti retrole esindama testijate tundeid ja mõtteid. Appi, mida ma rääkima peaksin?
- Äripool ju testib kogu aeg ja võtab tarkvara vastu. Kas nüüd lastakse testijad lahti? Testija roll agiilses tarkvaraarenduses.
- Mis asi on kasutajalugu? Kas ma pean koostama ka testilood? Kus (mis vahendis) ma testilood koostama pean?
- Mida teha, kui keegi ütleb, et "meie dokumentatsioon on koodis"?
- Mul läheb testilugude koostamise peale liiga palju aega ja ma ei jõua testimiseni! APPI! Mida teha?
- "Mina" vs "meie" vs "teie": ma olen arendusmeeskonna täieõiguslik liige, me kõik võitleme ühe eesmärgi nimel, ent samas ma ju torpedeerin nende tööd - kuidas on lood testija sõltumatusega agiilses arendustiimis?
- Äri vahetu osalus agiilses arenduses on oluline. Kuidas nendega (näiteks leitud vigade teemal) suhelda, kui sõnad "integratsioon", "socket", "koormusjaotur" jm külvavad pigem segadust kui selgust. Kas ma pean raporteerima vigu topelt - ühed arendajatele ja teised ärile?
- Missugused oskused (sh pehmed oskused) on agiilses tarkvaraarenduses testijale olulised?

Agiilse testija koolitus vastab ISTQB Certified Tester Foundation Level Agile Extension õppekavale ja pärast koolitust on osalejal julge tunne minna vastavat sertifikaadieksamit sooritama.

Koolitus toimub 10. - 11. veebruaril Tallinnas. Koolituse maksumus 1200€+KM (ei sisalda sertifikaadieksami tasu 250€, KM ei lisandu).

Mis neid kahte koolitust ühendab?

Koolitaja Lloyd Roden (www.lloydrodenconsultancy.com), loomulikult. Lisaks koolitamisele on Lloyd ka tegevkonsultant tarkvara kvaliteedi alal ning populaarne esineja erinevatel konverentsidel alates Nordic Testing Daysist kuni EuroStarini. Mõned tema koolitusi iseloomustavad märksõnad on:
- näited oma konsultatsioonitöödest,
- kohe kasutusele võetavad "vidinad",
- hea tunnetus sellest, mis tüüpi "konksudega" küsimused on eksamil,
- mänguline stiil informatsiooni ajukäärdude vahele istutamiseks,
- lisaväärtuseks hea huumorimeel :)


Registreerimine ja küsimused on teretunud aadressil maili [at] asaquality.ee