Периодически переписываюсь с банком и страховой, и письма от них приходят вот в таком формате: есть имейл с вложением в формате html, по клику на который открывается браузер и уже там загружается текст письма
ну превед. ФБР тут раскололось, что они купили информацию об уязвимости в iPhone "только для взлома телефона", а вот делиться этой информацией они просто не могут по условиям контракта. " "The FBI purchased the method from an outside party so that we could unlock the San Bernardino device," Executive Assistant Director Amy Hess said in a statement obtained by The Daily Dot. "We did not, however, purchase the rights to technical details about how the method functions….As a result, currently we do not have enough technical detail about any vulnerability that would permit any meaningful review under the VEP [Vulnerabilities Equities Process]."
вот еще история, в какой-то мере соотносящаяся с историей Apple vs FBI. некоего чувака из Филадельфии (причем бывшего полицейского) подозревают в том, что у него есть на компьютере фоточки детской порнографии. Диски у него зашифрованы (причем с помощью FileVault, то есть у него Мак). Он отказывается предоставить пароль для расшифровки дисков, и поэтому уже 7 месяцев сидит в тюрьме. При этом ему вроде как и обвинение не предъявлено, а из тюрьмы все равно не выпускают, пока он "не будет полностью сотрудничать со следствием". естественно, там сразу начала фигурировать Пятая поправка к Конституции США (аналог 52 статьи Конституции РФ), что расшифровка диска — это типа как свидетельства против себя. При этом на компьютере, который ФБР смогли расшифровать, найдя recovery code на телефоне, ничего такого не нашли, а вот диски расшифровать не могут. короче, все плохо и адок http://arstechnica.com/tech-policy/2016/04/child-porn-suspect-jailed-for-7-months-for-refusing-to-decrypt-hard-drives/
Ars Technica
Child porn suspect jailed indefinitely for refusing to decrypt hard drives
Man to remain locked up "until such time that he fully complies" with court order.
Немножко деталей про решение суда в США, по которому их правоохранительные органы якобы получили право взламывать компьютеры по всему миру. Суть такая, что Верховный Суд США принял поправку к процедурным правилам, по которым судьи могут выдавать ордеры для правоохранительных органов для удаленного обыска электронных инструментов, которые находятся не в их юрисдикции. В эпоху Интернета устройства действительно смогут быть где угодно, поэтому ФБР из Сан-Франциско может захотеть провести обыск на компьютере в НЬю-Йорке. Но с этим изменением в теории судья может дать согласие на обыск компьютера в любой точке мира, и тут уже начинаются коллизии. В целом ситуацию с требованием probable cause это не отменяет, то есть у судьи должны быть основания для такого решения, но выглядит и правда нехорошо. Хорошие новости, что это изменение должно получить оценку Конгресса США. Если до 1 декабря Конгресс никак не отреагирует, эта поправка превратится в закон. Но вот проблема в том, что перед выборами Конгрессу точно будет не до этого, нужен кто-то активный типа Apple, который бы лоббировал обсуждение этого решения в Конгрессе. Вот само решение Верховного Суда http://www.supremecourt.gov/orders/courtorders/frcr16_8mad.pdf
про то, как девелоперы заливают в гитхаб токены ботов для Slack, а потом через эти токены можно добывать всякую информацию о пользователях, например https://labs.detectify.com/2016/04/28/slack-bot-token-leakage-exposing-business-critical-information/
Кстати, про эти "удаленные электронные обыски", о которых я писал чуть выше. Там есть еще один важный момент: цель расследования — человек, в данном случае, должен пользоваться каким-нибудь ПО для анонимизации, например, Tor.
А Рейтерс тут, кстати, пишут, что якобы ФБР заплатила за возможность взлома iPhone 5c меньше 1 млн долларов. как обычно, верить ФБР никак нельзя http://www.reuters.com/article/us-apple-encryption-idUSKCN0XQ032
Reuters
FBI paid under $1 million to unlock San Bernardino iPhone: sources
(This version of the story corrects paragraph 3 to $1.3 million instead of $1.3 billion.)
А вот тут - хорошая коллекция информации по поводу того, как так могло получиться, что злоумышленники смогли залогиниться в аккаунт телеграмма соратника Навального https://cpunks.org/pipermail/cypherpunks/2016-April/012958.html
мораль, кстати, такова, что неважно, пидарасы МТС или нет, а вот двухфакторную авторизацию лучше активировать
про фейковых хакеров, шантажирующих сайты в интернете угрозами ДДоС атак https://motherboard.vice.com/read/fake-lizard-squad-pretend-hackers?a
VICE
Even Fake Hackers Can Make A Lot of Money on the Internet
Some clever idiots are extorting businesses by pretending to be famous hackers.
не то, чтобы про infosec, но тоже интересно. В прошлом году во флориде пропали два подростка — ушли на лодке рыбу ловить и с концами. месяц назад лодку таки нашли, рядом с Бермудскими островами — перевернутую и залитую водой. айфон, соответственно, тоже в воде пролежал столько времени и здоровья ему это не добавило. Теперь родители очень хотят посмотреть, что там на телефоне и вроде как даже Apple согласилась помочь и изучить этот телефон. интересно, что можно добыть с телефона, 8 месяцев пробывшего в воде океана http://www.nbcnews.com/news/us-news/apple-agrees-examine-iphone-florida-teens-lost-sea-lawyer-n565001
NBC News
Apple Agrees to Examine Cellphone of Teens Lost at Sea
The tech giant has agreed to analyze the cellphone used by Austin Stephanos and Perry Cohen, who vanished off the coast of Florida last summer.
Кевин Митник (вам же не надо рассказывать кто такой Кевин?) отлично ответил одной стороннице ФБР с мантрой "мне нечего прятать". Там весь тред интересен, если что https://twitter.com/kevinmitnick/status/726739740532289536
Twitter
.@marlysal @techinsider Can you do me a favor and backup your phone and send it to me? You have nothing to hide, right?
Конечно, новость дня (а то и года) - якобы тот факт, что создатель биткойна признался в том, что он - этот создатель. По крайней мере, австралиец Крейг Райт, которого давно в этом подозревали, сам признал это. Однако, все не так просто и в его искренности есть большие сомнения: https://dankaminsky.com/validating-satoshi-or-not/ и https://www.reddit.com/r/Bitcoin/comments/4hf4xj/creator_of_bitcoin_reveals_identity/d2pfnk6 к подписи, которую он использует в качестве доказательств, есть вопросы
Dan Kaminsky's Blog
Validating Satoshi (Or Not)
SUMMARY: Yes, this is a scam. Not maybe. Not possibly. Wright is pretending he has Satoshi’s signature on Sartre’s writing. That would mean he has the private key, and is likely to b…
познавательная статья о простой уязвимости сайта pwnedlist.com, которая позволяла бы выкачать почти 900 млн записей о скомпрометированных аккаунтах. сам сайт предоставлял сервис для компаний по трекингу того, всплывали ли домены этих компаний в различных утечках и взломах информации — например, я админ из Apple, я регистрируюсь как ответственный за apple.com, и каждый раз, когда какие-то юзеры где-то в очередном взломе всплыли с этим доменом в почте, я получаю уведомления — а теперь у них нашли уязвимость (уже исправили), которая позволяла слить всю их базу http://krebsonsecurity.com/2016/05/how-the-pwnedlist-got-pwned/
результаты исследования о том, как все плохо в платформе "умного дома" Samsung https://cdn2.vox-cdn.com/uploads/chorus_asset/file/6410049/Paper27_SP16_CameraReady_SmartThings_Revised_1_.0.pdf