Тестирование IT-систем *

15 мая 2024 года вышла стабильная версия свободного программного сетевого анализатора Wireshark 4.2.5.

8 мая 2024 года вышла первая бета-версия языка программирования Python 3.13.0b1 (3.13.0 beta 1) для тестирования с экспериментальным JIT-компилятором и улучшенным интерактивным интерпретатором на основе PyPy.

6 мая 2024 года исследователи по ИБ из Leviathan в рамках подробного технического описания сетевого инцидента раскрыли детали атаки TunnelVision (CVE-2024-3661), позволяющую злоумышленнику перенаправить VPN-трафик через манипуляции с DHCP при наличии доступа к локальной сети или контроле над беспроводной сетью.

Добрый день! Два суетных рабочих дня между выходными — это время для дайджеста наших материалов за последние два месяца. Расположили их по смыслу и нашему усмотрению, а не по календарной дате выхода.

Читаем, пока читается и не наступили следующие выходные

А что по деньгам? Пишем резюме и осваиваем Big Bounty

Мы в Бастион всегда находимся в поиске: и новых идей для статей, и новых коллег. Во вторых мы по понятным причинам заинтересованы чуть больше. Наш лид рекрутинга Альбина Семушка подготовила полноценный гайд для кандидатов и хедхантеров: что писать в резюме, какая ситуация на рынке труда, как рекрутеру и кандидату найти друг друга.

Найм хакеров: советы для всех участников процесса

Другие же компании ищут безопасников «на стороне» и обращаются к программе Big Bounty. Да, поиск багов стоит денег: тратить ресурсы придется и на внедрение, и на поддержку, и на развитие направления. Можно ли сэкономить на Big Bounty? И как в погоне за выгодой не потерять эффективность? Поговорили об этом с Лукой Сафоновым.

Рассуждаем о деньгах и безопасности в этом материале 

Походкой пентестера 

В марте-апреле мы опубликовали два материала об инфраструктурном пентесте:

Инфраструктурный пентест по шагам: сканирование и получение доступа — статья целиком посвящена сканированию сетевой инфраструктуры — второму этапу пентеста, который следует после разведки. Если при разведке мы ищем IP-адреса и различные точки входа в инфраструктуру, то при сканировании — внимательно исследуем все найденное.

Инфраструктурный пентест по шагам: боковое перемещение и повышение привилегий в сети — в этом материале мы разбираемся в анализе парольных политик, ACL и DNS, ищем способы бокового перемещения и проводим обзор основных актуальных техник повышения привилегий.

Из-за бага в системе бронирования в авиакомпании American Airlines сотрудники в аэропорту и в самолётах ожидают, что на борт поднимется не 101-летняя женщина, а принесут годовалого ребёнка.

Тинькофф Банк приступил к испытаниям нового инновационного сервиса под названием «Фрод-рулетка», который будет направлен на борьбу с телефонными мошенниками. Согласно информации от пресс-службы банка, данный сервис представляет собой систему, где подключенные случайным образом пользователи будут изображать жертв преступников, тем самым создавая дополнительные препятствия для мошеннической деятельности.

Энтузиаст из США обнаружил, что футболка с изображением знака Stop («Стоп») в большинстве попыток (судя по видео, в трёх из четырёх раз) может приостанавливать на дороге беспилотные такси. Роботизированная система автомобилей Waymo воспринимает стоящего на обочине человека с большим знаком на Stop на груди в качестве дорожного знака.

Эксперты Microsoft в техническом блоге компании назвали три причины, по которым пользователям Windows не следует использовать iPerf3, популярный инструмент для сетевого тестирования, разработанный ESnet. Разработчики Microsoft рекомендуют использовать для задач по анализу пропускной способности сети инструменты ntttcp и ctsTraffic.

В рамках подготовки патчей для Linux 6.9-rc4 Линус Торвальдс решил бороться с парсерами конфигурационных файлов Kconfig, которые не могут правильно обрабатывать табуляции.

По информации СМИ, в марте и апреле 2024 года Великобританию наводнили поддельные почтовые марки со штрих-кодами, продающиеся в официальных магазинах. Примечательно, что с лета 2023 года в британской почтовой службе Royal Mail на марках специально добавили штрих-коды DataMatrix (двумерный матричный штрихкод), чтобы снизить уровень подделок. Но что-то пошло не так.

Российская компания «Анимационная студия Воронеж» представила 3D-редактор под названием «Анимационная 3D платформа» (проект создан при поддержке Российского фонда развития информационных технологий - РФРИТ) и систему управления анимационными проектами ProdTrack, с помощью которого можно отслеживать статус выполнения задач в контексте, иерархии и детализации, необходимой для производства фильмов.

По информации источников СМИ, «Почта России» планирует запустить трёхлетнюю программу Bug Bounty (выплату вознаграждений исследователям по ИБ за найденные в IT-системах и приложениях уязвимости). Госкомпания сделает это в рамках публикации тендера на тестирование своих IT-систем, чтобы избежать ситуаций с возможными утечками данных клиентов.

Amazon закрыла в США магазины с ИИ-технологией Just Walk Out, где клиенты могли брать товары и выходить без прохода через кассу. По информации СМИ, основной причиной прекращения этого проекта стала невозможность задействования автоматических систем в полном объёме, а за работой ИИ, оказывается, следили более тысячи сотрудников из Индии, которые в ручном режиме помогали покупателям Just Walk Out.

Стажировка стартует в апреле и продлится месяц. За это время ты попробуешь решить реальные задачи компании и поработаешь в продуктовой команде — опыт бесценный, особенно в начале карьерного пути.

Что ещё важно знать про стажировку:
?Поддержка экспертов-наставников
?Возможность трудоустройства

Всех участников ждёт отборочное тестирование и собеседование. Срок подачи заявки — до 7 апреля.
? Хочу на стажировку Москва
? Хочу на стажировку Уфа
? Хочу на стажировку Нижний Новгород

Если ты готов создавать тренды, учиться новому и развиваться вместе с ГНИВЦ, то нам по пути ❤️

26 марта 2024 года разработчики проекта Fedora запустили процесс бета-тестирования Fedora Linux 40. Бета-выпуск проекта ознаменовал переход на финальную стадию тестирования, при которой допускается только исправление критических ошибок. Релиз Fedora Linux 40 состоится 23 апреля.

По информации исследователей из iSoftware Updates, разработчики из Apple случайно установили даты развертывания прошивки версии 2.0.73 для для метки отслеживания вещей AirTag на «м/д/24» вместо используемого ранее формата типа «м/д/2023» или «м/д/2024». В этом случае получилось так, что все устройства получили обновление намного быстрее, чем обычно, когда прошивка распределяется волнами (как указано в листе развертывания), а не сразу на 100% устройств.

Еще одна программа по поиску уязвимостей в наших продуктах стартовала на платформе Standoff 365 Bug Bounty. За обнаруженные недостатки исследователи могут получить до 1 млн рублей.

Участвуй в отборочных соревнованиях, которые уже стартовали.

? Кибербитва пройдет с 22 по 25 мая на стадионе «Лужники» одновременно с фестивалем PHDays 2. Команды атакующих поделятся на два лагеря и будут ломать инфраструктуру виртуальных государств F и S на восьми отраслевых сегментах киберполигона.

Спойлер: призовой фонд — рекордные 7,5 млн руб.

Всем привет!

Мы с радостью анонсируем ожидаемое событие в жизни нашей компании! SM Lab приглашает вас на Big Hiring Day, который состоится 22-23 марта.

Это уникальное мероприятие, на котором специалисты по тестированию (QA), Java-разработчики, системные аналитики и аналитики данных смогут получить оффер за один день.

Мы готовы предоставить вам возможность познакомиться с нашими командами, узнать больше о наших проектах и условиях работы, а также пройти интервью и, возможно, получить предложение о работе на месте. Вас ждут возможности для профессионального роста, интересные проекты, дружелюбный коллектив и конкурентоспособное вознаграждение.

Чтобы принять участие, заполните форму регистрации до 21 марта.

Мы надеемся, что это событие станет важным шагом в вашей карьере. С нетерпением ждем встречи с вами! 

Приключение начинается!

Группа сетевых специалистов из Мичиганского университета представила в рамках двух научных работ (1 и 2) способы идентификации (VPN Fingerprinting) сетевых соединений к серверам на базе OpenVPN при мониторинге транзитного трафика клиентов. Исследователи раскрыли три способа идентификации протокола OpenVPN среди других сетевых пакетов, которые могут использоваться в системах инспектирования трафика для блокирования виртуальных сетей на базе OpenVPN.