АНБ шпионило за посетителями WikiLeaks

АНБ шпионило за посетителями WikiLeaks

Спецслужбы США и Великобритании шпионили как за сотрудниками сайта разоблачений Wikileaks, так и за рядовыми читателями скандального ресурса. Об этом свидетельствуют новые документы экс-сотрудника американских спецслужб Эдварда Сноудена, представленные интернет-журналом The Intercept.

Согласно этим данным, Агентство национальной безопасности США (АНБ) в 2010 году включило Ассанжа в список лиц, которые подлежат отслеживанию и преследованию (в список также входят подозреваемые в членстве в международной террористической сети "Аль-Каида") за серию публикаций о войне в Афганистане. Указывается также, что АНБ добивалось признания Wikileaks вредоносным сайтом, чтобы получить расширенные полномочия в отношении его сотрудников, сообщает cybersecurity.ru.

"Третий документ, датированный 2012 годом, продемонстрировал, что британский партнер АНБ - Штаб правительственной связи (ШПС) также шпионил за Wikileaks и его читателями", - сообщил портал.

Ассанж, скрывающийся в лондонском посольстве Эквадора, который предоставил ему политическое убежище, отреагировал на эти данные призывом назначить специального прокурора для расследования действий спецслужб.

"Wikileaks жестко осуждает безрассудное и незаконное поведение АНБ, - подчеркнул Ассанж. - Мы призываем администрацию Обамы назначить спецпрокурора для расследования масштабов криминальной активности АНБ в отношении СМИ, включая Wikileaks, ее сотрудников и партнеров".

WikiLeaks, специализировавшийся на публикации секретных документов правительств и спецслужб, был особенно популярен в 2010 году, когда на нем публиковались данные о преступлениях, совершенных армией США в Ираке и Афганистане. Сегодня же основатель портала Wikileaks Джулиан Ассанж в прямом эфире телеканала CNN рассказал, что его настораживает в заявлении президента США о реформе Агентства национальной безопасности и ограничении международной слежки. Также он сообщил, что в начале следующей недели с ответом на заявление Барака Обамы выступит Эдвард Сноуден.

Ассанж подчеркнул, что речь о реформе АНБ вообще не зашла бы, если бы программист Эдвард Сноуден не раскрыл информацию о секретных методах междунарожной слежки: «Без Эдварда Сноудена и других разоблачителей сегодняшнее заявление Обамы было бы невозможно».
В выступлении Обамы Ассанжа смущает то, что никаких обещаний о прекращении слежки так и не последовало: «Главе государства не делает чести 40-минутное выступление, в течение которого он почти ничего не сказал». «В речи Обамы было много лжи; например, он говорил, что АНБ никогда не допускала в своей деятельности злоупотреблений», - сказал австралиец.

По его словам, обещания Обамы не дают сколько-нибудь надёжных гарантий, что слежка АНБ действительно будет ограничена. «Меня беспокоит, что ничего не было сказано Обамой про ограничения для спецслужб на законодательном уровне, - подчеркнул Ассанж. - Мы не услышали от президента ничего о сколько-нибудь значительной защите технологического бизнеса в США».
«Когда в мире действует такая сильная спецслужба, как АНБ, конституционное управление в США и других странах находится под угрозой», - напомнил Ассанж.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Плохо закрытая уязвимость в Apache Tomcat грозит захватом сервера

Участники проектов Apache Software Foundation перевыпустили патч к недавно закрытой в Tomcat уязвимости RCE, так как прежний оказался неполным. Обновления вышли в ветках 9.0, 10.1 и 11.0; их рекомендуется установить с поправкой на версию Java.

Проблема, возникшая в серверном софте из-за дефектного патча от 17 декабря, зарегистрирована как CVE-2024-56337. Уязвимости, которую так неудачно закрыли, был присвоен идентификатор CVE-2024-50379; степень угрозы оценена по CVSS в 9,8 балла.

Обе классифицируются как состояние гонки вида Time-of-Check Time-of-Use (TOCTOU). Согласно бюллетеню, подобная ошибка может возникнуть при работе в системе, не учитывающей регистр символов в именах файлов, где также включена запись для дефолтного сервлета Tomcat.

Эксплойт позволяет обойти защиту и загрузить на сервер вредоносные файлы с целью захвата контроля над системой.

Доработанный патч включен в состав сборок Tomcat 9.0.98, 10.1.34 и 11.0.2. Помимо установки апдейта пользователям придется внести изменения в настройки в соответствии с используемой версией Java:

  • Java 8 или 11 — выставить значение «false» для системного свойства sun.io.useCanonCaches (по умолчанию «true»);
  • Java 17 — вернуть sun.io.useCanonCaches в дефолтное значение «false» (если оно менялось);
  • Java 21 и выше — все оставить как есть (изменения не потребуются).
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru