Тестирование IT-систем *

25 февраля в московском офисе Mail.ru Group пройдет второй митап сообщества тестировщиков MosQA. Сообщество основано сотрудниками нашей компании как площадка для обмена опытом, экспертизой и поддержка для всех, кто связан с процессами тестирования в своих проектах. В программе митапа: 4 технических доклада и свободное общение.

Описание докладов, ссылка на регистрацию и все детали по митапу под катом. Регистрируйтесь сами и приглашайте коллег!

10 декабря мы запустили очередную, 14-ю по счету лабораторию тестирования на проникновение Test lab. На сайте лабораторий зарегистрировано уже более 30.000 участников со всего мира. Если коротко: атакующему предстоит выполнить поиск и эксплуатацию уязвимостей и ошибок конфигураций в сетевых сервисах и веб-приложениях, декомпилировать клиентские приложения на Python, C, Java, повысить привилегии, обойти WAF и использовать скомпрометированные узлы для дальнейшего развития атаки.

Лаборатории Test lab — это бесплатные площадки для развития навыков анализа защищённости в корпоративной среде. Каждая лаборатория уникальна, имеет единую инфраструктуру, полноценную легенду и множество векторов атак, из которых участникам необходимо составить результативный сценарий компрометации.

При разработке лабораторий основными критериями являются реалистичность, актуальность заложенных уязвимостей и методов их эксплуатации, максимально приближая действия атакующих к реальным условиям.

Несмотря на постоянно растущее количество регистраций (более 30.000), за 4 дня работы новой лаборатории в ней приняли участие менее 500 атакующих, из которых только 105 смогли скомпрометировать хотя бы 1 систему.

Замминистра связи Максим Паршин сообщил на конференции «Цифровое государство и электронные сервисы для граждан» о том, что концепция электронного паспорта уже принята на уровне правительства, но в нее могут внести дополнения.

Паршин напомнил, что, согласно концепции, новые паспорта будут представлять собой пластиковые карточки с биометрическими данными. По его словам, однако, в них могут добавить и иную информацию, в частности, данные водительского удостоверения.

23 октября в московском офисе Mail.ru Group пройдет первый митап Открытого сообщества тестировщиков MosQA. Сообщество основано сотрудниками нашей компании как площадка для обмена опытом, экспертизой и поддержка для всех, кто связан с процессами тестирования в своих проектах. Первое событие символично пройдет в офисе Mail.ru Group. В программе митапа: знакомство с сообществом, 3 технических доклада и специальная афтепати.

Описание докладов, ссылка на регистрацию и все детали по митапу под катом. Регистрируйтесь сами и приглашайте коллег!

System Preferences (не отвечает)

В начале октября вышло обновление macOS под названием Catalina (10.15), которое повлекло ряд технических проблем и вызвало волну критики со стороны пользователей и разработчиков. Дошло до того, что некоторые разработчики сравнивают macOS Catalina по качеству с Windows Vista, одной из самых неудачных ОС в истории Microsoft (см. статью macOS 10.15 Vista).

Данные телеметрии, которые отправляются в Microsoft добровольными участниками программы тестирования Windows Insiders

В последних обновлениях Windows 10 стало очень много багов. Практически после каждого билда Microsoft выпускает патч с исправлением ошибок. И этому есть причина.

Бывший разработчик Microsoft Джерри Берг (Jerry Berg) объясняет, в чём дело. По его словам, в последние годы Microsoft ради экономии поменяла метод тестирования операционной системы. Раньше в компании работал большой отдел тестеров на зарплате. Потом их сократили, а тестирование переложили на широкое сообщество (бесплатных) добровольцев, которые участвуют в программе Windows Insider.

Наш онлайн-университет GeekUniversity запускает факультет тестирования ПО. За 12 месяцев студенты освоят современные технологии и инструменты тестировщика, научатся выстраивать процессы обеспечения качества продукта (QA), приобретут компетенции, необходимые для работы в крупной IT-компании или на фрилансе, наполнят портфолио проектами и смогут презентовать их на собеседовании. По окончании обучения гарантировано трудоустройство.

В тестовой предварительной сборке Windows 10 Insider Preview Build 18970 (20H1) для участников программы Windows Insider расширен функционал процедуры восстановления ОС — появилась возможность переустановки операционной системы по сети из облака.

Две недели назад на Хабре писали о найденной уязвимости в системе электронного голосования на выборах в Мосгордуму. Разработчики обещали ее устранить, но как выяснилось это породило новую уязвимость.

Компания Microsoft выпустила новую предварительную сборку Windows 10 Insider Preview Build 18963 (20H1) для участников программы Windows Insider.

Данная сборка относится к ветви разработки RS_PRERELEASE следующего крупного обновления Windows 10, которое ожидается весной (март-апрель) 2020 года.

В Microsoft напоминают, что разработка данного функционального обновления находится на ранней стадии, поэтому текущие сборки могут содержать довольно неприятные ошибки (may contain bugs that might be painful for some).

Её дочь зовут Помогите! Меня заставляют подделывать паспорта

Специалист по безопасности под ником Droogie решил, что на его новом автомобильном номере должно быть написано NULL. В основном ради шутки, но был и скрытый смысл. Он надеялся, что благодаря такому хаку сможет избежать штрафов за превышение скорости (по понятной причине). Вышло совсем наоборот, о чём исследователь рассказал на хакерской конференции DEF CON 2019 в своём выступлении 11 августа (презентация "Go NULL Yourself or: How I Learned to Start Worrying While Getting Fined for Other’s Auto Infractions": pdf, зеркало).

Искусственный интеллект могут внедрить в российские вузы для контроля за успеваемостью студентов, рассказал директор Центра EDCrunch University НИТУ «МИСИС» Нурлан Киясов.

Как и было обещано, на Едином портале госуслуг открылись для публичного тестирования прототипы пяти суперсервисов.

Суперсервисы — это комплексы государственных услуг, сгруппированные по типичным жизненным ситуациям. Здесь услуги можно получить онлайн в сокращённые сроки: «Суперсервисы — это следующий шаг в развитии электронных услуг, когда государство берет на себя заботу о документах, пока гражданин занят своими делами, — сказано на первой странице. — Сервис распознает, что нужно человеку в жизненной ситуации, подбирает услуги, напоминает о положенных выплатах и присылает уведомление, когда всё готово. Без бумажных документов и очередей, точно вовремя».

По плану, заполнение электронного заявления должно занимать не более десяти минут, а расходы на оплату труда чиновников, оказывающих госуслуги, сократят на 30%. Многих уволят.

В течение месяца Министерство цифрового развития, связи и массовых коммуникаций (Минкомсвязь) начнёт открытое публичное тестирование прототипов пяти первых суперсервисов для российских граждан. Тестирование начнётся или на портале госуслуг, или на отдельном портале, это ещё не решили.

Суперсервисы — это комплексы государственных услуг, сгруппированные по типичным жизненным ситуациям. Здесь услуги можно получить онлайн в сокращённые сроки.

Среди прочего, суперсервисы умеют проактивно взаимодействовать с гражданами: рассылать пуш-уведомления, SMS и использовать разные методы коммуникации, чтобы предупреждать ничего не подозревающих людей о льготах, которые им полагаются, необходимости оформить какие-то документы и так далее.

Исследователи из Корнеллского университета описали влияние микросервисов на стек аппаратных и программных технологий и представили открытый бенчмарк DeathStarBench, с помощью которого проводился анализ.

На конференции BlackHat Asia эксперты из компании Outflank показали как недокументированные возможности макросов позволяют обойти антивирусную защиту. Они создали Evil Clippy — инструмент, включающий основные техники для создания заражённых файлов. Он манипулирует файлами форматов MS Office 2003 (doc и xls) и 2007 (docm и xlsm).

Специалисты по кибербезопасности Амстердамского свободного университета обнаружили новый механизм взлома облачной виртуальной машины. Механизм предусматривает несколько этапов. Для взлома используется небезызвестная технология Rowhammer.

Первый этап заключается в том, чтобы арендовать облачную виртуальную машину, или несколько машин, на одном хосте с жертвой.