Тестирование IT-систем *

Профильные источники СМИ раскрыли кодовые названия iOS 19, macOS 16 и других обновлений Apple, которые компания планирует выпустить в 2025 году.

Энтузиаст и разработчик под ником Nolen запустил сайт с миллионом чекбоксов, которые можно активировать или выключать онлайн.

25 июня 2024 года Microsoft выпустила патч KB5039299 против ошибки, из-за которой штатные приложения Windows 10 отображали диалоговое окно «Открыть с помощью».

В новых версиях ядра Linux может появиться «чёрный экран смерти» при возникновении фатальной ошибки Kernel Panic.

Вы, конечно, знаете, что совсем недавно в Москве прошел киберфестиваль Positive Hack Days 2. Вы точно слышали, что одним из центральных его событий была кибербитва Standoff 13. Это противостояние белых хакеров и защитников виртуальных государств. 

Но… вы, наверное, не знаете, что атакующая команда DreamTeam стала шестикратным победителем этой кибербитвы. И вы точно не в курсе, что в ее составе 6 специалистов “Совкомбанк Технологии”. Рассказываем, как все было. 

Microsoft предупредила пользователей об ошибке, из-за которой штатные приложения в Windows 10 отображают диалоговое окно «Открыть с помощью» с уведомлением «Как вы хотите открыть этот файл?» при попытке щёлкнуть правой кнопкой мыши по значку программы и запустить там выполнение задачи.

AMD представила свою программу Bug Bounty, предусматривающую вознаграждение до $30 тысяч за обнаружение системных ошибок. Компания сотрудничает с поставщиком облачной безопасности Intigriti в рамках этой программы.

1 июня 2024 года СДЭК сообщил, что со 2 июня компания возобновила приём отправлений курьерами, а с оформленными ранее до сбоя заказами всё в порядке. Специалисты СДЭК продолжают выполнять необходимые действия по восстановлению полной работоспособности всех сервисов компании.

1 июня 2024 года журнал «Хакер» в качес­тве экспе­римен­та и в рамках празднования 25-летия своей продуктивной деятельности объявил о продолжении на своём сайте хакер­ского квеста, который по задум­ке дол­жен был занять энтузиастов и профильных IT-специалистов.

Эксперты из Black Lotus Labs раскрыли технические детали сетевого инцидента по ИБ, произошедшего в октябре 2023 года. Хакерская атака с помощью вредоносного ПО заблокировала за 72 часа 600 тыс. клиентских маршрутизаторов (в основном модели Wi-Fi роутеров ActionTec T3200 и ActionTec T3260, а также Sagemcom) клиентов американского интернет-провайдера Windstream. По оценке экспертов, атака затронула около 49% сетевых устройств компании, который были установлены в домовладениях пользователей на среднем западе США.

Инженер, исследователь и белый хакер Джо Гранд (aka Kingpin) помог восстановить пароль от программного криптокошелька с 43,6 биткойнами. Пользователь Майк 11 лет назад сгенерировал 20-значный пароль с помощью инструмента RoboForm, а потом сохранил этот пароль в зашифрованном контейнере TrueCrypt. К сожалению, контейнер был поврежден, а Майкл потерял доступ к паролю, оставив свой кошелёк с биткойнами недоступным. На момент их покупки в 2013 году это количество крипатовалюты стоило около $4 тыс. В 2024 году количество криптомонет во вновь открытом кошельке оценивается в $3 млн.

31 мая 2024 года в онлайн-формате пройдет конференция ConfQA. Эксперты из «ЛАНИТ Экспертизы» (входит в группу ЛАНИТ), X5 Tech и других компаний обсудят актуальные вопросы тестирования производительности оборудования, приложений, а также особенности обучения и подготовки молодых специалистов в области QA.

«ЛАНИТ Экспертиза» специализируется на тестировании информационных систем и ПО и предоставляет услуги по всем типам независимого тестирования ПО и созданию QA-команд. 31 мая в 10:00 наши коллеги из «ЛАНИТ Экспертизы» приглашают всех желающих присоединиться к тематической конференции ConfQA, которая позволит ближе познакомиться со спецификой тестирования в 2024 году.

R-Style Softlab (входит в группу РСХБ) приглашает на бесплатный вебинар «Платформы для быстрой разработки, тестирования и развертывания ПО». Спикеры рассмотрят современные подходы к разработке ПО, помогающие компаниям адаптироваться к быстро меняющимся условиям рынка и сократить время выхода на рынок.

17 мая 2024 года журнал «Хакер» в качес­тве экспе­римен­та и в рамках празднования 25-летия своей продуктивной деятельности запус­тил на своём сайте хакер­ский квест, который по задум­ке дол­жен занять энтузиастов и профильных IT-специалистов на этих выход­ных.

15 мая 2024 года вышла стабильная версия свободного программного сетевого анализатора Wireshark 4.2.5.

8 мая 2024 года вышла первая бета-версия языка программирования Python 3.13.0b1 (3.13.0 beta 1) для тестирования с экспериментальным JIT-компилятором и улучшенным интерактивным интерпретатором на основе PyPy.

6 мая 2024 года исследователи по ИБ из Leviathan в рамках подробного технического описания сетевого инцидента раскрыли детали атаки TunnelVision (CVE-2024-3661), позволяющую злоумышленнику перенаправить VPN-трафик через манипуляции с DHCP при наличии доступа к локальной сети или контроле над беспроводной сетью.

Добрый день! Два суетных рабочих дня между выходными — это время для дайджеста наших материалов за последние два месяца. Расположили их по смыслу и нашему усмотрению, а не по календарной дате выхода.

Читаем, пока читается и не наступили следующие выходные

А что по деньгам? Пишем резюме и осваиваем Big Bounty

Мы в Бастион всегда находимся в поиске: и новых идей для статей, и новых коллег. Во вторых мы по понятным причинам заинтересованы чуть больше. Наш лид рекрутинга Альбина Семушка подготовила полноценный гайд для кандидатов и хедхантеров: что писать в резюме, какая ситуация на рынке труда, как рекрутеру и кандидату найти друг друга.

Найм хакеров: советы для всех участников процесса

Другие же компании ищут безопасников «на стороне» и обращаются к программе Big Bounty. Да, поиск багов стоит денег: тратить ресурсы придется и на внедрение, и на поддержку, и на развитие направления. Можно ли сэкономить на Big Bounty? И как в погоне за выгодой не потерять эффективность? Поговорили об этом с Лукой Сафоновым.

Рассуждаем о деньгах и безопасности в этом материале 

Походкой пентестера 

В марте-апреле мы опубликовали два материала об инфраструктурном пентесте:

Инфраструктурный пентест по шагам: сканирование и получение доступа — статья целиком посвящена сканированию сетевой инфраструктуры — второму этапу пентеста, который следует после разведки. Если при разведке мы ищем IP-адреса и различные точки входа в инфраструктуру, то при сканировании — внимательно исследуем все найденное.

Инфраструктурный пентест по шагам: боковое перемещение и повышение привилегий в сети — в этом материале мы разбираемся в анализе парольных политик, ACL и DNS, ищем способы бокового перемещения и проводим обзор основных актуальных техник повышения привилегий.

Из-за бага в системе бронирования в авиакомпании American Airlines сотрудники в аэропорту и в самолётах ожидают, что на борт поднимется не 101-летняя женщина, а принесут годовалого ребёнка.

Тинькофф Банк приступил к испытаниям нового инновационного сервиса под названием «Фрод-рулетка», который будет направлен на борьбу с телефонными мошенниками. Согласно информации от пресс-службы банка, данный сервис представляет собой систему, где подключенные случайным образом пользователи будут изображать жертв преступников, тем самым создавая дополнительные препятствия для мошеннической деятельности.