ЦРУ обвинили в слежке за Конгрессом

ЦРУ обвинили в слежке за Конгрессом

В США разворачивается новый скандал вокруг ЦРУ. Шпионское ведомство на этот раз обвиняется в незаконном просмотре компьютеров специального сенатского комитета по разведке. Как заявила во вторник его председатель — сенатор-демократ Дайэнн Файнстайн, действия ЦРУ можно квалифицировать как нарушение Конституции и уголовного законодательства страны.

Речь идет о расследовании, которое с 2009 года ведут сотрудники ее аппарата в отношении возможных правонарушений, допущенных при реализации программы по задержанию и проведению допросов подозреваемых в терроризме лиц. Она осуществлялась в период президентства Буша-младшего в рамках антитеррористической кампании. Несколько лет назад правительство США вынуждено было признать существование этой программы, о которой узнали вездесущие СМИ, а затем и вовсе свернуть ее, передает ИТАР-ТАСС.

Теперь же, как выясняется, ЦРУ проникало в компьютерную сеть сенатского комитета по разведке, чтобы следить за ходом расследования, и даже удаляло оттуда отдельные документы, которые, по всей видимости, могли дискредитировать сотрудников спецслужб. В период с февраля по май 2010 года было таким образом удалено около 900 страниц материалов.

Выступая на заседании сената, Файнстайн напомнила о том, как ЦРУ в свое время уничтожило видеозаписи, на которых были зафиксированы допросы с пристрастием двух членов террористической группировки "Аль-Каида". Ряд правозащитных организаций США квалифицировал тогда действия Лэнгли как сокрытие улик, позволяющих сделать однозначный вывод о применении американскими спецслужбами, по крайней мере, в прошлом, пыток в отношении лиц, подозреваемых в причастности к террористической деятельности.

По словам Файнстайн, действия ЦРУ "могли подорвать конституционные рамки", касающиеся надзорных функций Конгресса. Она не исключила также, что помимо конституционных норм был нарушен ряд федеральных законов и президентский исполнительный указ, строго запрещающий шпионскому ведомству осуществлять слежку внутри страны. Как признала сенатор, она добивалась от ЦРУ извинений и признания того, что проникновение в компьютерную сеть сената является неподобающим. "Однако я не добилась ни того, ни другого", — с возмущением заметила она.

Любопытно, что заявление Файнстайн прозвучало буквально за час до выступления в Совете по международным отношениям директора ЦРУ Джона Бреннана. Тот решительно отверг обвинения в том, что его ведомство незаконно просматривало компьютеры сенатского комитета по разведке. "Ничего и близко похожего нет, — сказал он. — Мы бы не стали этого делать".

По итогам своего расследования сенатский комитет по разведке должен обнародовать доклад. Подчиненные Файнстайн считают, что ЦРУ препятствует появлению этого документа на свет, постоянно ставя палки в колеса. Однако Бреннан и это категорически отверг. "Мы вовсе не пытаемся помешать его публикации", — добавил он.

Критика в адрес ЦРУ со стороны сенатора Файнстайн, представителя правящей Демократической партии, которая всегда демонстрировала свое лояльное отношение к спецслужбам, является показательной. Она свидетельствует о серьезном конфликте, который возник между шпионским ведомством и видными членами Конгресса. Наверное, не случайно, поэтому Белый дом вступился за директора ЦРУ. "Президент с огромным доверием относится к Джону Бреннану, к нашему разведывательному сообществу и нашим профессионалам в ЦРУ", — заявил журналистам пресс-секретарь Белого дома Джей Карни. Правда, от дальнейших комментариев он отказался, сославшись на продолжающееся расследование.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Плохо закрытая уязвимость в Apache Tomcat грозит захватом сервера

Участники проектов Apache Software Foundation перевыпустили патч к недавно закрытой в Tomcat уязвимости RCE, так как прежний оказался неполным. Обновления вышли в ветках 9.0, 10.1 и 11.0; их рекомендуется установить с поправкой на версию Java.

Проблема, возникшая в серверном софте из-за дефектного патча от 17 декабря, зарегистрирована как CVE-2024-56337. Уязвимости, которую так неудачно закрыли, был присвоен идентификатор CVE-2024-50379; степень угрозы оценена по CVSS в 9,8 балла.

Обе классифицируются как состояние гонки вида Time-of-Check Time-of-Use (TOCTOU). Согласно бюллетеню, подобная ошибка может возникнуть при работе в системе, не учитывающей регистр символов в именах файлов, где также включена запись для дефолтного сервлета Tomcat.

Эксплойт позволяет обойти защиту и загрузить на сервер вредоносные файлы с целью захвата контроля над системой.

Доработанный патч включен в состав сборок Tomcat 9.0.98, 10.1.34 и 11.0.2. Помимо установки апдейта пользователям придется внести изменения в настройки в соответствии с используемой версией Java:

  • Java 8 или 11 — выставить значение «false» для системного свойства sun.io.useCanonCaches (по умолчанию «true»);
  • Java 17 — вернуть sun.io.useCanonCaches в дефолтное значение «false» (если оно менялось);
  • Java 21 и выше — все оставить как есть (изменения не потребуются).
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru