Тестирование IT-систем *

В новых версиях ядра Linux может появиться «чёрный экран смерти» при возникновении фатальной ошибки Kernel Panic.

Вы, конечно, знаете, что совсем недавно в Москве прошел киберфестиваль Positive Hack Days 2. Вы точно слышали, что одним из центральных его событий была кибербитва Standoff 13. Это противостояние белых хакеров и защитников виртуальных государств. 

Но… вы, наверное, не знаете, что атакующая команда DreamTeam стала ШЕСТИкратным победителем этой кибербитвы. И вы точно не в курсе, что в ее составе 6 специалистов “Совкомбанк Технологии”. Рассказываем, как все было. 

Microsoft предупредила пользователей об ошибке, из-за которой штатные приложения в Windows 10 отображают диалоговое окно «Открыть с помощью» с уведомлением «Как вы хотите открыть этот файл?» при попытке щёлкнуть правой кнопкой мыши по значку программы и запустить там выполнение задачи.

AMD представила свою программу Bug Bounty, предусматривающую вознаграждение до $30 тысяч за обнаружение системных ошибок. Компания сотрудничает с поставщиком облачной безопасности Intigriti в рамках этой программы.

1 июня 2024 года СДЭК сообщил, что со 2 июня компания возобновила приём отправлений курьерами, а с оформленными ранее до сбоя заказами всё в порядке. Специалисты СДЭК продолжают выполнять необходимые действия по восстановлению полной работоспособности всех сервисов компании.

1 июня 2024 года журнал «Хакер» в качес­тве экспе­римен­та и в рамках празднования 25-летия своей продуктивной деятельности объявил о продолжении на своём сайте хакер­ского квеста, который по задум­ке дол­жен был занять энтузиастов и профильных IT-специалистов.

Эксперты из Black Lotus Labs раскрыли технические детали сетевого инцидента по ИБ, произошедшего в октябре 2023 года. Хакерская атака с помощью вредоносного ПО заблокировала за 72 часа 600 тыс. клиентских маршрутизаторов (в основном модели Wi-Fi роутеров ActionTec T3200 и ActionTec T3260, а также Sagemcom) клиентов американского интернет-провайдера Windstream. По оценке экспертов, атака затронула около 49% сетевых устройств компании, который были установлены в домовладениях пользователей на среднем западе США.

Инженер, исследователь и белый хакер Джо Гранд (aka Kingpin) помог восстановить пароль от программного криптокошелька с 43,6 биткойнами. Пользователь Майк 11 лет назад сгенерировал 20-значный пароль с помощью инструмента RoboForm, а потом сохранил этот пароль в зашифрованном контейнере TrueCrypt. К сожалению, контейнер был поврежден, а Майкл потерял доступ к паролю, оставив свой кошелёк с биткойнами недоступным. На момент их покупки в 2013 году это количество крипатовалюты стоило около $4 тыс. В 2024 году количество криптомонет во вновь открытом кошельке оценивается в $3 млн.

31 мая 2024 года в онлайн-формате пройдет конференция ConfQA. Эксперты из «ЛАНИТ Экспертизы» (входит в группу ЛАНИТ), X5 Tech и других компаний обсудят актуальные вопросы тестирования производительности оборудования, приложений, а также особенности обучения и подготовки молодых специалистов в области QA.

«ЛАНИТ Экспертиза» специализируется на тестировании информационных систем и ПО и предоставляет услуги по всем типам независимого тестирования ПО и созданию QA-команд. 31 мая в 10:00 наши коллеги из «ЛАНИТ Экспертизы» приглашают всех желающих присоединиться к тематической конференции ConfQA, которая позволит ближе познакомиться со спецификой тестирования в 2024 году.

R-Style Softlab (входит в группу РСХБ) приглашает на бесплатный вебинар «Платформы для быстрой разработки, тестирования и развертывания ПО». Спикеры рассмотрят современные подходы к разработке ПО, помогающие компаниям адаптироваться к быстро меняющимся условиям рынка и сократить время выхода на рынок.

17 мая 2024 года журнал «Хакер» в качес­тве экспе­римен­та и в рамках празднования 25-летия своей продуктивной деятельности запус­тил на своём сайте хакер­ский квест, который по задум­ке дол­жен занять энтузиастов и профильных IT-специалистов на этих выход­ных.

15 мая 2024 года вышла стабильная версия свободного программного сетевого анализатора Wireshark 4.2.5.

8 мая 2024 года вышла первая бета-версия языка программирования Python 3.13.0b1 (3.13.0 beta 1) для тестирования с экспериментальным JIT-компилятором и улучшенным интерактивным интерпретатором на основе PyPy.

6 мая 2024 года исследователи по ИБ из Leviathan в рамках подробного технического описания сетевого инцидента раскрыли детали атаки TunnelVision (CVE-2024-3661), позволяющую злоумышленнику перенаправить VPN-трафик через манипуляции с DHCP при наличии доступа к локальной сети или контроле над беспроводной сетью.

Добрый день! Два суетных рабочих дня между выходными — это время для дайджеста наших материалов за последние два месяца. Расположили их по смыслу и нашему усмотрению, а не по календарной дате выхода.

Читаем, пока читается и не наступили следующие выходные

А что по деньгам? Пишем резюме и осваиваем Big Bounty

Мы в Бастион всегда находимся в поиске: и новых идей для статей, и новых коллег. Во вторых мы по понятным причинам заинтересованы чуть больше. Наш лид рекрутинга Альбина Семушка подготовила полноценный гайд для кандидатов и хедхантеров: что писать в резюме, какая ситуация на рынке труда, как рекрутеру и кандидату найти друг друга.

Найм хакеров: советы для всех участников процесса

Другие же компании ищут безопасников «на стороне» и обращаются к программе Big Bounty. Да, поиск багов стоит денег: тратить ресурсы придется и на внедрение, и на поддержку, и на развитие направления. Можно ли сэкономить на Big Bounty? И как в погоне за выгодой не потерять эффективность? Поговорили об этом с Лукой Сафоновым.

Рассуждаем о деньгах и безопасности в этом материале 

Походкой пентестера 

В марте-апреле мы опубликовали два материала об инфраструктурном пентесте:

Инфраструктурный пентест по шагам: сканирование и получение доступа — статья целиком посвящена сканированию сетевой инфраструктуры — второму этапу пентеста, который следует после разведки. Если при разведке мы ищем IP-адреса и различные точки входа в инфраструктуру, то при сканировании — внимательно исследуем все найденное.

Инфраструктурный пентест по шагам: боковое перемещение и повышение привилегий в сети — в этом материале мы разбираемся в анализе парольных политик, ACL и DNS, ищем способы бокового перемещения и проводим обзор основных актуальных техник повышения привилегий.

Из-за бага в системе бронирования в авиакомпании American Airlines сотрудники в аэропорту и в самолётах ожидают, что на борт поднимется не 101-летняя женщина, а принесут годовалого ребёнка.

Тинькофф Банк приступил к испытаниям нового инновационного сервиса под названием «Фрод-рулетка», который будет направлен на борьбу с телефонными мошенниками. Согласно информации от пресс-службы банка, данный сервис представляет собой систему, где подключенные случайным образом пользователи будут изображать жертв преступников, тем самым создавая дополнительные препятствия для мошеннической деятельности.

Энтузиаст из США обнаружил, что футболка с изображением знака Stop («Стоп») в большинстве попыток (судя по видео, в трёх из четырёх раз) может приостанавливать на дороге беспилотные такси. Роботизированная система автомобилей Waymo воспринимает стоящего на обочине человека с большим знаком на Stop на груди в качестве дорожного знака.

Эксперты Microsoft в техническом блоге компании назвали три причины, по которым пользователям Windows не следует использовать iPerf3, популярный инструмент для сетевого тестирования, разработанный ESnet. Разработчики Microsoft рекомендуют использовать для задач по анализу пропускной способности сети инструменты ntttcp и ctsTraffic.

В рамках подготовки патчей для Linux 6.9-rc4 Линус Торвальдс решил бороться с парсерами конфигурационных файлов Kconfig, которые не могут правильно обрабатывать табуляции.