Периодически переписываюсь с банком и страховой, и письма от них приходят вот в таком формате: есть имейл с вложением в формате html, по клику на который открывается браузер и уже там загружается текст письма

ну превед. ФБР тут раскололось, что они купили информацию об уязвимости в iPhone "только для взлома телефона", а вот делиться этой информацией они просто не могут по условиям контракта. " "The FBI purchased the method from an outside party so that we could unlock the San Bernardino device," Executive Assistant Director Amy Hess said in a statement obtained by The Daily Dot. "We did not, however, purchase the rights to technical details about how the method functions….As a result, currently we do not have enough technical detail about any vulnerability that would permit any meaningful review under the VEP [Vulnerabilities Equities Process]."

вот еще история, в какой-то мере соотносящаяся с историей Apple vs FBI. некоего чувака из Филадельфии (причем бывшего полицейского) подозревают в том, что у него есть на компьютере фоточки детской порнографии. Диски у него зашифрованы (причем с помощью FileVault, то есть у него Мак). Он отказывается предоставить пароль для расшифровки дисков, и поэтому уже 7 месяцев сидит в тюрьме. При этом ему вроде как и обвинение не предъявлено, а из тюрьмы все равно не выпускают, пока он "не будет полностью сотрудничать со следствием". естественно, там сразу начала фигурировать Пятая поправка к Конституции США (аналог 52 статьи Конституции РФ), что расшифровка диска — это типа как свидетельства против себя. При этом на компьютере, который ФБР смогли расшифровать, найдя recovery code на телефоне, ничего такого не нашли, а вот диски расшифровать не могут. короче, все плохо и адок http://arstechnica.com/tech-policy/2016/04/child-porn-suspect-jailed-for-7-months-for-refusing-to-decrypt-hard-drives/

очередной апдейт OpenSSL. it never ends, this shit.

Немножко деталей про решение суда в США, по которому их правоохранительные органы якобы получили право взламывать компьютеры по всему миру. Суть такая, что Верховный Суд США принял поправку к процедурным правилам, по которым судьи могут выдавать ордеры для правоохранительных органов для удаленного обыска электронных инструментов, которые находятся не в их юрисдикции. В эпоху Интернета устройства действительно смогут быть где угодно, поэтому ФБР из Сан-Франциско может захотеть провести обыск на компьютере в НЬю-Йорке. Но с этим изменением в теории судья может дать согласие на обыск компьютера в любой точке мира, и тут уже начинаются коллизии. В целом ситуацию с требованием probable cause это не отменяет, то есть у судьи должны быть основания для такого решения, но выглядит и правда нехорошо. Хорошие новости, что это изменение должно получить оценку Конгресса США. Если до 1 декабря Конгресс никак не отреагирует, эта поправка превратится в закон. Но вот проблема в том, что перед выборами Конгрессу точно будет не до этого, нужен кто-то активный типа Apple, который бы лоббировал обсуждение этого решения в Конгрессе.  Вот само решение Верховного Суда http://www.supremecourt.gov/orders/courtorders/frcr16_8mad.pdf

про то, как девелоперы заливают в гитхаб токены ботов для Slack, а потом через эти токены можно добывать всякую информацию о пользователях, например https://labs.detectify.com/2016/04/28/slack-bot-token-leakage-exposing-business-critical-information/

Кстати, про эти "удаленные электронные обыски", о которых я писал чуть выше. Там есть еще один важный момент: цель расследования — человек, в данном случае, должен пользоваться каким-нибудь ПО для анонимизации, например, Tor.

А Рейтерс тут, кстати, пишут, что якобы ФБР заплатила за возможность взлома iPhone 5c меньше 1 млн долларов. как обычно, верить ФБР никак нельзя http://www.reuters.com/article/us-apple-encryption-idUSKCN0XQ032

А вот тут - хорошая коллекция информации по поводу того, как так могло получиться, что злоумышленники смогли залогиниться в аккаунт телеграмма соратника Навального https://cpunks.org/pipermail/cypherpunks/2016-April/012958.html

мораль, кстати, такова, что неважно, пидарасы МТС или нет, а вот двухфакторную авторизацию лучше активировать

про фейковых хакеров, шантажирующих сайты в интернете угрозами ДДоС атак  https://motherboard.vice.com/read/fake-lizard-squad-pretend-hackers?a

не то, чтобы про infosec, но тоже интересно. В прошлом году во флориде пропали два подростка — ушли на лодке рыбу ловить и с концами. месяц назад лодку таки нашли, рядом с Бермудскими островами — перевернутую и залитую водой. айфон, соответственно, тоже в воде пролежал столько времени и здоровья ему это не добавило. Теперь родители очень хотят посмотреть, что там на телефоне и вроде как даже Apple согласилась помочь и изучить этот телефон. интересно, что можно добыть с телефона, 8 месяцев пробывшего в воде океана http://www.nbcnews.com/news/us-news/apple-agrees-examine-iphone-florida-teens-lost-sea-lawyer-n565001

Кевин Митник (вам же не надо рассказывать кто такой Кевин?) отлично ответил одной стороннице ФБР с мантрой "мне нечего прятать". Там весь тред интересен, если что  https://twitter.com/kevinmitnick/status/726739740532289536

Конечно, новость дня (а то и года) - якобы тот факт, что создатель биткойна признался в том, что он - этот создатель. По крайней мере, австралиец Крейг Райт, которого давно в этом подозревали, сам признал это. Однако, все не так просто и в его искренности есть большие сомнения: https://dankaminsky.com/validating-satoshi-or-not/ и https://www.reddit.com/r/Bitcoin/comments/4hf4xj/creator_of_bitcoin_reveals_identity/d2pfnk6 к подписи, которую он использует в качестве доказательств, есть вопросы

познавательная статья о простой уязвимости сайта pwnedlist.com, которая позволяла бы выкачать почти 900 млн записей о скомпрометированных аккаунтах. сам сайт предоставлял сервис для компаний по трекингу того, всплывали ли домены этих компаний в различных утечках и взломах информации — например, я админ из Apple, я регистрируюсь как ответственный за apple.com, и каждый раз, когда какие-то юзеры где-то в очередном взломе всплыли с этим доменом в почте, я получаю уведомления — а теперь у них нашли уязвимость (уже исправили), которая позволяла слить всю их базу http://krebsonsecurity.com/2016/05/how-the-pwnedlist-got-pwned/

результаты исследования о том, как все плохо в платформе "умного дома" Samsung https://cdn2.vox-cdn.com/uploads/chorus_asset/file/6410049/Paper27_SP16_CameraReady_SmartThings_Revised_1_.0.pdf

если в крации — то все очень плохо