Стахановец выпустил тайм-трекер для менеджеров HR-служб

Стахановец выпустил тайм-трекер для менеджеров HR-служб

Стахановец выпустил тайм-трекер для менеджеров HR-служб

Компания «Стахановец» сообщает о выпуске нового решения - тайм-трекера, ориентированного специально под актуальные потребности менеджеров HR-служб. «Квант» представляет детальный отчет о том, сколько времени отработал каждый сотрудник, фиксирует опоздания и ранние уходы, помогает обнаружить проблемы с неравномерной нагрузкой сотрудников, организовать работу с удаленным персоналом и анализировать возможные отклонения в поведении сотрудников.

Пользователи комплекса «Стахановец» неоднократно делились практическими примерами. Чаще всего в компании или отделе 80% работы выполняют 20% персонала. Остальные, в лучшем случае, не наносят прямого вреда бизнесу. Опасность заключается не только в «балласте», раздувающем статью расходов на фонд оплаты труда, но и в выгорании лидеров. «Перегорев» в сезон, работники решают увеличить «заслуженное» время отдыха с одного часа обеденного перерыва до 30-40% рабочего времени, занимаясь онлайн-шоппингом или переписываясь в социальных сетях. В итоге, к следующему пику продаж компания подходит с отделом, в котором 60%-80% времени уходит на развлечения.

«Квант» позволит найти «лидеров» и «отстающих», обнаружить и своевременно ликвидировать неравномерность нагрузки в рамках отделов или всей компании. Программа продемонстрирует с точностью до секунды, на что расходуется рабочее время и сформирует удобный отчет для руководителя. Благодаря программе любой HR-менеджер также найдет работников, злоупотребляющих социальными сетями и играми. Прогулы, опоздания и ранние уходы фиксируются «Квантом» в автоматическом режиме.

Синхронизация со СКУД существенно повышает точность и объективность данных, собранных комплексом. «Квант» умеет фиксировать не только приходы и уходы, но и то время, которое сотрудник «добирается» до своего рабочего места. Около  87% работников считают нормой перед началом трудового дня некоторое время отдохнуть в «курилке»,  или пообщаться с коллегами за чашечкой кофе.

«Стахановец Квант» позволит проанализировать и «стандартные» алгоритмы поведения персонала. Ретроспективно сравнивая действия работника в течение дня за различные периоды можно выявить возможные отклонения, свидетельствующие о целенаправленном вредительстве. Не менее важен подобный анализ и во время испытательного срока.

«Квант» поможет организовать и контролировать работу и с удаленным персоналом, а также наладить эффективные модели работы с сотрудниками, получающими почасовую оплату.

«Квант» не замедляет работу ПК, не влияет на работу программ, и полностью незаметен для работника. Установка происходит «в один клик» и не требует особых технических знаний или навыков. Программа поддерживает работу с различными типами устройств биоидентификации.

Функциональность программы рассчитана на возрастающие потребности компаний СМБ в сфере мониторинга персонала и повышению производительности труда без существенных финансовых вложений. Тестовый доступ «Стахановец Квант» можно получить на сайте. Программа также доступна для покупки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость в OpenSSH: имена пользователей позволяют выполнить код

Исследователь безопасности Дэвид Лидбитер обнаружил уязвимость в OpenSSH — CVE-2025-61984 — которая демонстрирует: даже мелкие особенности парсинга команд и поведения shell могут привести к удалённому выполнению кода.

Суть проблемы проста и неприятна: в OpenSSH (до версии 10.1) контрол-символы в именах пользователей, полученных из ненадёжных источников, могли не отфильтровываться.

Когда такое «имя» подставлялось в ProxyCommand (через переменную %r), OpenSSH формировал строку для exec, которую запускал через shell. Если в этой строке оказывались символы вроде $[ и символы новой строки, некоторые оболочки (например, bash) могли интерпретировать это так, что первая команда аварийно завершается, а затем выполняется то, что идёт после — то есть возможна инъекция команды.

Эксплуатация требует специфической связки: конфигурация, использующая ProxyCommand с %r, уязвимая оболочка и «входной» источник имени пользователя, который злоумышленник контролирует. Практический пример — злоумышленный .gitmodules, где в URL подставляют строку вроде:

[submodule "foo"]
  path = foo
  url = "$[+]\nsource poc.sh\n@foo.example.com:foo"

Если SSH-конфиг содержит строку вроде

ProxyCommand some-command %r@%h:%p

и вы запускаете git clone --recursive, то в подходящих условиях может выполниться source poc.sh — до установления самого соединения.

Важно понимать: условия для успешной атаки нишевые, но реальны — инструментальная цепочка Git → SSH → shell и автоматизация (CI/CD) дают атакующему много точек входа. Проблема усугубляется тем, что OpenSSH фильтровал многие метасимволы, но пропустил $ и [ — и это создало неожиданный вектор.

Исправление уже включено в OpenSSH 10.1: разработчики начали проверять и запрещать управляющие символы в именах пользователей через iscntrl() в ssh.c. То есть долгосрочное решение — обновиться до 10.1 или новее.

Если обновиться сразу нельзя, Лидбитер предлагает два практических временных шага. Во-первых, брать имя пользователя в одинарные кавычки в ProxyCommand, чтобы предотвратить подстановку:

ProxyCommand some-command '%r@%h:%p'

(Обратите внимание: одинарные кавычки нужны именно потому, что двойные не защитят от $[ — оболочка всё ещё будет их обрабатывать.) Во-вторых, по умолчанию отключить SSH-подмодули в Git и не позволять автоматические URL-хендлеры, которые могут передавать непроверенные SSH-команды:

git config --global protocol.ssh.allow user

Главный вывод — не полагаться на то, что «маленький» символ или строка не принесут беды: при передаче входа от ненадёжных источников через несколько инструментов даже неочевидная каверза в парсинге может стать критической. Рекомендуется как можно скорее обновить OpenSSH или применить временные защитные меры в конфигурациях ProxyCommand и политиках Git.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru