15 мая 2024 года вышла стабильная версия свободного программного сетевого анализатора Wireshark 4.2.5.
Тестирование IT-систем *
Тестируем все и вся
Вышла первая бета-версия языка программирования Python 3.13.0b1
8 мая 2024 года вышла первая бета-версия языка программирования Python 3.13.0b1 (3.13.0 beta 1) для тестирования с экспериментальным JIT-компилятором и улучшенным интерактивным интерпретатором на основе PyPy.
Эксперты Leviathan раскрыли детали атаки TunnelVision, позволяющей перенаправить VPN-трафик через манипуляции с DHCP
6 мая 2024 года исследователи по ИБ из Leviathan в рамках подробного технического описания сетевого инцидента раскрыли детали атаки TunnelVision (CVE-2024-3661), позволяющую злоумышленнику перенаправить VPN-трафик через манипуляции с DHCP при наличии доступа к локальной сети или контроле над беспроводной сетью.
Бастион — первый дайджест весны
Добрый день! Два суетных рабочих дня между выходными — это время для дайджеста наших материалов за последние два месяца. Расположили их по смыслу и нашему усмотрению, а не по календарной дате выхода.
Читаем, пока читается и не наступили следующие выходные
А что по деньгам? Пишем резюме и осваиваем Big Bounty
Мы в Бастион всегда находимся в поиске: и новых идей для статей, и новых коллег. Во вторых мы по понятным причинам заинтересованы чуть больше. Наш лид рекрутинга Альбина Семушка подготовила полноценный гайд для кандидатов и хедхантеров: что писать в резюме, какая ситуация на рынке труда, как рекрутеру и кандидату найти друг друга.
Найм хакеров: советы для всех участников процесса
Другие же компании ищут безопасников «на стороне» и обращаются к программе Big Bounty. Да, поиск багов стоит денег: тратить ресурсы придется и на внедрение, и на поддержку, и на развитие направления. Можно ли сэкономить на Big Bounty? И как в погоне за выгодой не потерять эффективность? Поговорили об этом с Лукой Сафоновым.
Рассуждаем о деньгах и безопасности в этом материале
Походкой пентестера
В марте-апреле мы опубликовали два материала об инфраструктурном пентесте:
Инфраструктурный пентест по шагам: сканирование и получение доступа — статья целиком посвящена сканированию сетевой инфраструктуры — второму этапу пентеста, который следует после разведки. Если при разведке мы ищем IP-адреса и различные точки входа в инфраструктуру, то при сканировании — внимательно исследуем все найденное.
Инфраструктурный пентест по шагам: боковое перемещение и повышение привилегий в сети — в этом материале мы разбираемся в анализе парольных политик, ACL и DNS, ищем способы бокового перемещения и проводим обзор основных актуальных техник повышения привилегий.
Истории
Из-за бага в системе бронирования в авиакомпании American Airlines принимают 101-летнюю женщину за годовалого ребёнка
Из-за бага в системе бронирования в авиакомпании American Airlines сотрудники в аэропорту и в самолётах ожидают, что на борт поднимется не 101-летняя женщина, а принесут годовалого ребёнка.
Тинькофф запускает фрод-рулетку: пранкеры против мошенников
Тинькофф Банк приступил к испытаниям нового инновационного сервиса под названием «Фрод-рулетка», который будет направлен на борьбу с телефонными мошенниками. Согласно информации от пресс-службы банка, данный сервис представляет собой систему, где подключенные случайным образом пользователи будут изображать жертв преступников, тем самым создавая дополнительные препятствия для мошеннической деятельности.
Энтузиаст из США обнаружил, что футболка с изображением знака «Стоп» может приостанавливать на дороге беспилотные такси
Энтузиаст из США обнаружил, что футболка с изображением знака Stop («Стоп») в большинстве попыток (судя по видео, в трёх из четырёх раз) может приостанавливать на дороге беспилотные такси. Роботизированная система автомобилей Waymo воспринимает стоящего на обочине человека с большим знаком на Stop на груди в качестве дорожного знака.
Microsoft отговаривает от использования iPerf3 для тестирования сети в Windows и рекомендует ntttcp и ctsTraffic
Эксперты Microsoft в техническом блоге компании назвали три причины, по которым пользователям Windows не следует использовать iPerf3, популярный инструмент для сетевого тестирования, разработанный ESnet. Разработчики Microsoft рекомендуют использовать для задач по анализу пропускной способности сети инструменты ntttcp и ctsTraffic.
Линус Торвальдс решил бороться с парсерами Kconfig, которые не могут правильно обрабатывать табуляции
Великобританию наводнили поддельные почтовые марки со штрих-кодами, продающиеся в официальных магазинах
По информации СМИ, в марте и апреле 2024 года Великобританию наводнили поддельные почтовые марки со штрих-кодами, продающиеся в официальных магазинах. Примечательно, что с лета 2023 года в британской почтовой службе Royal Mail на марках специально добавили штрих-коды DataMatrix (двумерный матричный штрихкод), чтобы снизить уровень подделок. Но что-то пошло не так.
«Анимационная студия Воронеж» представила 3D-редактор «Анимационная 3D платформа»
Российская компания «Анимационная студия Воронеж» представила 3D-редактор под названием «Анимационная 3D платформа» (проект создан при поддержке Российского фонда развития информационных технологий - РФРИТ) и систему управления анимационными проектами ProdTrack, с помощью которого можно отслеживать статус выполнения задач в контексте, иерархии и детализации, необходимой для производства фильмов.
«Почта России» планирует запустить трёхлетнюю программу Bug Bounty для проверки своих IT-систем
По информации источников СМИ, «Почта России» планирует запустить трёхлетнюю программу Bug Bounty (выплату вознаграждений исследователям по ИБ за найденные в IT-системах и приложениях уязвимости). Госкомпания сделает это в рамках публикации тендера на тестирование своих IT-систем, чтобы избежать ситуаций с возможными утечками данных клиентов.
Amazon закрыла в США магазины Just Walk Out, где клиенты могли брать товары и выходить без прохода через кассу
Amazon закрыла в США магазины с ИИ-технологией Just Walk Out, где клиенты могли брать товары и выходить без прохода через кассу. По информации СМИ, основной причиной прекращения этого проекта стала невозможность задействования автоматических систем в полном объёме, а за работой ИИ, оказывается, следили более тысячи сотрудников из Индии, которые в ручном режиме помогали покупателям Just Walk Out.
Ближайшие события
Приглашаем на стажировку ГНИВЦ по направлению QA
Стажировка стартует в апреле и продлится месяц. За это время ты попробуешь решить реальные задачи компании и поработаешь в продуктовой команде — опыт бесценный, особенно в начале карьерного пути.
Что ещё важно знать про стажировку:
?Поддержка экспертов-наставников
?Возможность трудоустройства
Всех участников ждёт отборочное тестирование и собеседование. Срок подачи заявки — до 7 апреля.
? Хочу на стажировку Москва
? Хочу на стажировку Уфа
? Хочу на стажировку Нижний Новгород
Если ты готов создавать тренды, учиться новому и развиваться вместе с ГНИВЦ, то нам по пути ❤️
Начался этап бета-тестирования Fedora Linux 40
26 марта 2024 года разработчики проекта Fedora запустили процесс бета-тестирования Fedora Linux 40. Бета-выпуск проекта ознаменовал переход на финальную стадию тестирования, при которой допускается только исправление критических ошибок. Релиз Fedora Linux 40 состоится 23 апреля.
Разработчики из Apple установили даты развертывания прошивки 2.0.73 для метки AirTag на «м/д/24» вместо «м/д/2024»
По информации исследователей из iSoftware Updates, разработчики из Apple случайно установили даты развертывания прошивки версии 2.0.73 для для метки отслеживания вещей AirTag на «м/д/24» вместо используемого ранее формата типа «м/д/2023» или «м/д/2024». В этом случае получилось так, что все устройства получили обновление намного быстрее, чем обычно, когда прошивка распределяется волнами (как указано в листе развертывания), а не сразу на 100% устройств.
Запускаем программу багбаунти для MaxPatrol SIEM и MaxPatrol VM
Еще одна программа по поиску уязвимостей в наших продуктах стартовала на платформе Standoff 365 Bug Bounty. За обнаруженные недостатки исследователи могут получить до 1 млн рублей.
Не пропусти самое крутое событие этого года — кибербитву Standoff 13
Участвуй в отборочных соревнованиях, которые уже стартовали.
? Кибербитва пройдет с 22 по 25 мая на стадионе «Лужники» одновременно с фестивалем PHDays 2. Команды атакующих поделятся на два лагеря и будут ломать инфраструктуру виртуальных государств F и S на восьми отраслевых сегментах киберполигона.
Спойлер: призовой фонд — рекордные 7,5 млн руб.
22 и 23 марта — Big Hiring Day от SM lab
Всем привет!
Мы с радостью анонсируем ожидаемое событие в жизни нашей компании! SM Lab приглашает вас на Big Hiring Day, который состоится 22-23 марта.
Это уникальное мероприятие, на котором специалисты по тестированию (QA), Java-разработчики, системные аналитики и аналитики данных смогут получить оффер за один день.
Мы готовы предоставить вам возможность познакомиться с нашими командами, узнать больше о наших проектах и условиях работы, а также пройти интервью и, возможно, получить предложение о работе на месте. Вас ждут возможности для профессионального роста, интересные проекты, дружелюбный коллектив и конкурентоспособное вознаграждение.
Чтобы принять участие, заполните форму регистрации до 21 марта.
Мы надеемся, что это событие станет важным шагом в вашей карьере. С нетерпением ждем встречи с вами!
Исследователи раскрыли три способа определения сеансов OpenVPN в транзитном трафике
Группа сетевых специалистов из Мичиганского университета представила в рамках двух научных работ (1 и 2) способы идентификации (VPN Fingerprinting) сетевых соединений к серверам на базе OpenVPN при мониторинге транзитного трафика клиентов. Исследователи раскрыли три способа идентификации протокола OpenVPN среди других сетевых пакетов, которые могут использоваться в системах инспектирования трафика для блокирования виртуальных сетей на базе OpenVPN.
Вклад авторов
alizar 1017.4NatalyaRukol 876.0phillennium 775.0Molechka 657.0m1rko 569.6jnechaeva 432.0curiousGeorge 407.0olegchir 398.0Peter_Zhizhin 376.0