Zestawienie tygodniowe 7 – 14 luty

Kłopoty Apple z atakami zero day

Po raz drugi w ciągu ostatnich dwóch miesięcy firma z Cupertino wydała aktualizacje iOS, iPadOS i macOS, aby rozwiązać krytyczny błąd bezpieczeństwa WebKit (CVE-2022-22620), który naraża urządzenia Apple na ataki polegające na zdalnym wykonywaniu kodu.

„Przetwarzanie złośliwie spreparowanej zawartości internetowej może prowadzić do wykonania dowolnego kodu. Apple zdaje sobie sprawę, że ten problem mógł być aktywnie wykorzystywany” – podała firma w komunikacie.

Jak to zwykle bywa, Apple nie podało szczegółowych informacji na temat zakresu ataku, docelowej platformy ani żadnych wskaźników włamania, aby pomóc obrońcom w poszukiwaniu oznak infekcji.

Błąd WebKit, naprawiony w systemach iOS 15.3.1, iPadOS 15.3.1 i macOS Monterey 12.2.1, to błąd związany z uszkodzeniem pamięci, który został zgłoszony przez anonimowego badacza. Apple powiedział, że kod WebKit został oczyszczony dzięki ulepszonemu zarządzaniu pamięcią.

Jest to drugi „aktywnie wykorzystywany” zero-day naprawiony przez Apple w pierwszych dwóch miesiącach 2022 roku. Pod koniec ubiegłego miesiąca firma zdecydowała się ujawnić exploity zero-day, które trafiały na problem z uszkodzeniem pamięci w IOMobileFrameBuffer.

CIA i problemy z prywatnością

Według dwóch przedstawicieli Demokratów z Senackiej Komisji ds. Wywiadu, CIA ma tajne, nieujawnione repozytorium danych, które zawiera informacje zebrane o Amerykanach. Chociaż ani agencja, ani prawodawcy nie ujawnili szczegółów na temat danych, senatorowie twierdzą, że CIA od dawna ukrywała szczegóły programu przed opinią publiczną i Kongresem.

W kwietniu 2021 r. Senatorowie Ron Wyden z Oregonu i Martin Heinrich z Nowego Meksyku wysłali list do najwyższych urzędników wywiadu, wzywając do odtajnienia programu. W czwartek zostały udostępnione: duża część listu, wraz z dokumentami przesłanymi przez CIA. Część informacji zostało zaczernione. Wyden i Heinrich powiedzieli, że program działał „poza ustawowymi ramami, które zdaniem Kongresu i opinii publicznej regulują tę kolekcję (danych)”.

Od dawna istnieją obawy dotyczące tego, jakie informacje gromadzi agencja wywiadowcza w kraju, częściowo napędzane wcześniejszymi naruszeniami wolności obywatelskich Amerykanów. CIA i Agencja Bezpieczeństwa Narodowego mają działać za granicą i generalnie nie mogą prowadzić dochodzeń w sprawie Amerykanów ani amerykańskich firm. Jednak rozległy zbiór zagranicznych komunikatów agencji szpiegowskich często przypadkowo zawiera wiadomości i dane Amerykanów.

Agencje wywiadowcze są zobowiązane do podjęcia kroków w celu ochrony informacji dotyczących amerykańskich obywateli, w tym do usuwania nazwisk z raportów, chyba że zostaną uznane za istotne dla dochodzenia.

Obaj senatorowie od dawna naciskali na większą przejrzystość ze strony agencji wywiadowczych. Prawie dziesięć lat temu pytanie, które Wyden zadał szefowi szpiegów, zapowiadało krytyczne rewelacje na temat programów masowego nadzoru NSA.

W 2013 r. Wyden zapytał ówczesnego dyrektora National Intelligence Jamesa Clappera, czy NSA zebrała „w ogóle jakiekolwiek dane dotyczące milionów lub setek milionów Amerykanów”. Clapper początkowo odpowiedział: „Nie”. Później powiedział: „Nieświadomie”. Po czym, w tym samym roku, administrator systemów Edward Snowden ujawnił dostęp NSA do danych masowych pozyskiwanych za pośrednictwem amerykańskich firm internetowych i dostawców telekomunikacyjnych. Te rewelacje wywołały światowe kontrowersje i nowe przepisy w Kongresie.

Clapper przeprosił później w liście do senackiej komisji ds. wywiadu, nazywając swoją odpowiedź dla Wydena „wyraźnie błędną”.

Zgodnie z listem Wydena i Heinricha, program zbierania danych CIA działa poza prawami uchwalonymi i zreformowanymi przez Kongres, ale podlega Rozkazowi Wykonawczemu 12333. Dokumentowi, który szeroko reguluje działalność społeczności wywiadowczej i został po raz pierwszy podpisany przez prezydenta Ronalda Reagana w 1981 roku.