Федеральный апелляционный суд США на этой неделе признал незаконной деятельность Агентства Национальной Безопасности (NSA), которое занималось произвольным прослушиванием разговоров американских граждан и массовым сбором сетевых данных, которые были разоблачены бывшим сотрудником этой организации Эдвардом Сноуденом. Но до окончательного разрешения проблемы массовой слежки пока ещё далеко.
Коллегия из трёх анонимных судей Второго окружного апелляционного суда округа Нью-Йорк вынесла вердикт, что трактовка официальными лицами США Патриотического акта, введённого для упрощения деятельности разведки после терактов 11 сентября, является неверной. Согласно разделу 215 Патриотического акта, силовым структурам США даётся право по распоряжению специального тайного суда организовывать сбор данных, объёмы которого самим Патриотическим актом никак не регулируются. В ответ на разоблачения Эдварда Сноудена представители АНБ оправдали сбор различных метаданных о телефонных звонках (количество звонков, адресаты, продолжительность разговоров и тому подобная информация) именно этим разделом. Посчитав это объяснение недостаточным, неправительственный Американский союз защиты гражданских свобод (ACLU) подал в суд на АНБ в окружной суд Нью-Йорка, который в 2013 году подтвердил законность действий силовых структур. Впрочем, общественная организация после этого подала протест в апелляционный суд, который теперь занял антиправительственную позицию. Судьи посчитали, что возможность сбора данных по санкции специального суда не означает того, что АНБ имеет право собирать и хранить вообще все мета-данные общения граждан США, так как это вступает в противоречие с различными законами о конфиденциальности частной жизни.
Тем не менее, этот вердикт суда не ведёт напрямую к отмене скандальной деятельности АНБ. Данный апелляционный суд даёт оценку трактовкам законов и указов, поэтому он фактически просто даёт рекомендации окружным судам, как понимать смысл различных законов. Таким образом, дело ACLU против АНБ возвращается в тот же окружной суд, который в 2013 году занял сторону правительственной разведки, но теперь судья должен вынести вердикт о законности действий NSA с учётом вердикта апелляционного суда. Кроме того, АНБ обладает возможностью отменить вынесенный в Нью-Йорке вердикт, оспорив его в Верховном суде США. Таким образом, даже в судебном процессе пока стоит многоточие, и окончательное решение вопроса о вине администрации США в целом и руководства АНБ в частности пока является делом очень далёкой перспективы. Но, как сообщают специалисты по американскому праву, даже если АНБ подаст прошение в Верховный суд, то самым большим реальным успехом для силовиков будет принятие дела к рассмотрению, потому что главная судебная инстанция США обычно предпочитает вообще не принимать такие апелляции к рассмотрению, а если и принимает, то только в исключительных случаях отменяет постановления федеральных окружных апелляционных судов. Таким образом, Верховный суд позволяет выиграть время и отложить решение обычного окружного суда на несколько лет. Но в любом случае, решение апелляционного суда является второй крупной победой над АНБ после самого разоблачения деятельности этой структуры Сноуденом.
Что касается законотворческой деятельности, то разделы Патриотического акта, в том числе и раздел 215, обладают «сроком годности», и должны переутверждаться каждые несколько лет. Очередным сроком принятия решения о продлении этого раздела является 1 июня этого года, и уже несколько месяцев в Конгрессе США (высший законодательный орган государства) идут ожесточённые споры о том, в каком виде этот раздел должен быть утверждён. Нижняя палата Конгресса, Палата представителей, считает, что Патриотический акт должен быть подвергнут глубокой реформе и дополнен актом Свободы (FREEDOM Act), который сильно ограничивает полномочия тайных судов разведки и АНБ, а также вводит должность Специального Защитника, который будет в состоянии оспорить любое решение тайных судов. Этот акт Свободы, созданный по иронии судьбы одним из основных авторов Патриотического акта Джеймсом Сенсенбреннером, был поддержан Администрацией Президента Барака Обамы, рядом IT-корпораций, таких как Microsoft, Facebook, Twitter, Google, а также общественными организациями, такими как вышеупомянутая ACLU и широкоизвестные фонды Электронных Рубежей (EFF), Wikimedia и Mozilla. Впрочем, в верхней палате Конгресса — Сенате — большинство пока не убеждено, что стоит вносить какие-либо кардинальные изменения в Патриотический акт. Глава фракции большинства республиканец Митч МакКоннел заявил, раздел 215 не нуждается в коренных правках, поэтому принимать акт Свободы до того, пока не будет консенсуса глупо и опрометчиво. Глава демократов в Сенате, находящихся в меньшинстве, Гарри Рид заявил, что будет использовать все возможные процедурные рычаги, чтобы отложить или отменить попытки большинства продлить действие раздела 215 без значительных изменений. По мнению сторонников акта Свободы, решение апелляционного суда Нью-Йорка о трактовке Патриотического акта может стать одним из оснований по срыву голосования о продлении действия спорных положений закона.
Подводя итог, необходимо отметить, что несмотря на то, что действия АНБ были подвергнуты общественному остракизму как в США, так и в мире, это силовое ведомство по-прежнему обладает широкими возможностями по продолжению массовой слежки на законных основаниях. Даже при самых благоприятных сценариях, когда Сенат примет большинством акт Свободы, а Верховный суд откажется рассматривать апелляции АНБ, юридическое давление на разведку сможет принести свои плоды не ранее 2016 года.
Конференция для разработчиков Google I/O состоится уже в конца мая, а первые слухи об анонсах уже начали попадать в СМИ. Сама компания Google в расписании события сообщила, что будет анонсирована новая версия Android под кодовым обозначением M, а источники информационного агентства Bloomberg сообщили об одной из функций — центре приватности пользователя.
По словам анонимного сотрудника Google, знакомого с ходом разработки Android, корпорация намерена позволить владельцам Android-устройств добиться большего контроля над тем, что делают сторонние приложения с их данными. С самой первой версии системы Google создала систему разрешений, которые запрашиваются приложениями перед установкой, и у пользователей был ограниченный выбор — либо согласиться на всё, либо отказаться и остаться без приложения. В итоге такой ситуации появились различные приложения, такие как калькуляторы или фонарики, которые выполняли простую функцию, но при этом требовали массу разрешений от доступа в Интернет до определения геолокации пользователя. Такое поведение не всегда свидетельствовало о вредоносности приложения, но такие разрешения иногда требовались запрограммированными в дистрибутив программы рекламными SDK для монетизации продукта. Но в любом случае эта ситуация вызывала недовольство многих технически подкованных пользователей и общественных организаций (таких как Фонд Электронных Рубежей — EFF), которые требовали от Google принять меры против неконтролируемых разрешений. По словам источника Bloomberg эта просьба наконец будет удовлетворена в Android M, но полного контроля за разрешениями пользователю дано не будет. В системе появится рычаги управления за наиболее критичными к приватности частями разрешений — доступу к контактам, сообщениям, фотогалерее снимков и геолокации.
Деталей о реализации этой функции источник издания сообщать не стал, поэтому пока не очень понятно, будет ли это частью самой открытой системы, либо войдёт в состав закрытого собственнического пакета Google Mobile Services, но потребует современной версии Android. В Android 4.3 Jelly Bean входил скрытый пакет App Ops, который также позволял контролировать разрешения, но в одной из ревизий Android 4.4 KitKat эта функция была удалена с мотивировкой, что она была включена в пользовательскую версию системы по ошибке. Впрочем, в альтернативных реализациях Android, таких как CyanogenMod, этот пакет продолжает поставляться по умолчанию. Что касается Android M, то из программы конференции стало известно, что Google всерьёз собирается войти в сегмент «тяжёлого» корпоративного рынка, связанного не с «белыми воротничками», а с встраиваемыми системами, переносными терминалами и другими похожими направлениями, где правит Windows Embedded Compact и QNX. Маловероятно, что собственно выпуск системы состоится в конце мая, поэтому Google, возможно, повторит прошлогодний опыт с Android L, когда на конференции будет анонс ключевых функций и API, будет показан предварительный образ системы, а затем осенью состоится официальный релиз системы вместе с семейством Nexus-устройств.
В четверг была представлена очередная версия системы управления контентом WordPress, которая закрывает две существовавших в ней уязвимости межсайтового скриптинга (XSS), позволяющие злоумышленникам получать доступ к веб-сайтам. Одна из них располагается в пакете иконок Genericons, используемом в популярных темах и аддонах, включая тему по умолчанию TwentyFifteen. Исследователи из компании Sucuri ранее сообщили, что уже обнаружили использование данных уязвимостей.
Чтобы задействовать первую уязвимость, нужно заставить пользователей пройти по специально созданным ссылкам, после чего открывается доступ к куки-файлам аутентификации. Если жертвой является администратор сайта, можно получить доступ ко всему сайту.
Уязвимость можно сделать менее опасной, удалив файл example.html или обновившись до версии WordPress 4.2.2. После её установки происходит сканирование директории сайта на предмет обнаружения и устранения уязвимого файла HTML.
Новая версия закрывает и другую уязвимость XSS, которая позволяет анонимным пользователям получать доступ к сайтам, а также усиливает защиту XSS в визуальном редакторе.
Меньше трёх месяцев прошло с момента скандала с рекламным приложением Superfish на компьютерах Lenovo, а китайский производитель уже успел попасть в новую историю. Специалисты компании IOActive Майкл Милвич и Софман Талмат обнаружили сразу три уязвимости к инструменте обновления под названием System Update.
Одна уязвимость разрешает дистанционные и локальные атаки с заменой доверенных приложений Lenovo на поддельные, которые могут запускаться с повышенными полномочиями. Ещё одна уязвимость даёт локальным пользователям возможность выполнять команды с правами администратора.
IOActive, прежде чем делать свои открытия достоянием общественности, поставила в известность представителей Lenovo, и в прошлом месяце было выпущено закрывающее уязвимости обновление приложения. Его рекомендуется установить на версию System Update 5.6.0.27 или более ранние. Другие вариантом является простая переустановка операционной системы Windows без приложений от Lenovo.
Проверить версию можно, открыв Lenovo System Update, нажав зелёный знак вопроса в правом верхнем углу и выбрав раздел About. Уязвимости относятся к компьютерам Lenovo серий ThinkPad, ThinkCenter, ThinkStation, B, E, K и V.
На этой неделе появилось официальное расписание запланированной на конец месяца конференции разработчиков Google I/O. Благодаря мероприятию под названием Android for Work, которое состоится 28 мая (его описание уже было убрано с сайта Google) стало известно о существовании операционной системы под названием Android M.
В описании говорится следующее: «Android M принесёт возможности операционной системы Android на все виды рабочих мест. Это открывает огромные новые рынки перед сотнями миллионами устройств для работников малых предприятий, для тех, у кого нет рабочего стола, логистов и складских рабочих».
Также в расписании значится сессия под названием What's New in Android. На таких мероприятиях обычно обсуждаются новые функции будущем версии операционной системы. В настоящее время на Android Lollipop работают менее 10% Android-устройств, однако разработчики не собираются снижать темпы развития своей платформы.
На прошлогодней конференции Google I/O была анонсирована Android L, в итоге превратившаяся в Android Lollipop. Тогда была выпущена предварительная версия для разработчиков, а дебют финальной версии системы состоялся в октябре. Вполне вероятно, в этом году Google повторит этот порядок действий. Слухи говорят также об анонсе интерфейса голосового управления устройствами (Voice Access) и нового локационного сервиса.