Yearly Archives: 2024

Седмицата (9–14 декември)

Post Syndicated from Светла Енчева original https://www.toest.bg/sedmitsata-9-14-dekemvri/

Седмицата (9–14 декември)

Днес е събота, 14-ти. Това означава, че вчера беше петък, 13-ти. Ако сте суеверни, може би виждате някакъв фатализъм в този факт. Ако не, за вас вчерашният ден е бил просто последният работен ден на седмица, която не беше лишена от събития. Отпадна последната бариера пред пълноправното влизане на България и Румъния в Шенген. Прокуратурата поиска и получи имунитета на Кирил Петков заради ареста на Бойко Борисов, Севдалина Арнаудова и Владислав Горанов, разпореден преди повече от две години и половина. Сети се точно когато ПП–ДБ се опитват да прокарат закон, с който да се спре избирането на Борислав Сарафов за главен прокурор. Доналд Тръмп стана личност на годината на списание Time, а Мария Бакалова се появи на корицата на Vogue. И това съвсем не е всичко.

Като стана дума за Тръмп, преизбирането му няма как да не зарадва Румен Радев. В статията си „Кой (не) обича президента?“ Емилия Милчева анализира причините за тази радост. Всъщност Тръмп говори същите неща, които Радев повтаря години наред, а служебните му правителства реализират като политики. И дори от ЕС да продължават да се мръщят на българския държавен глава за проруските му позиции, резултатът от американските избори му придава допълнителна легитимност. А в България президентът назначава все повече свои хора на ключови позиции.

Продължаваме на вълната на вътрешната политика. Помните протестите през 2020 г., а може би и през 2013 г. Някои сме толкова стари, че помним и шествията в началото на 1997-ма. Опитвам се да (си) отговоря на въпроса защо в България вече няма масови протести. Не е да няма причина за такива…

Трудно е обаче да избягаме от реалността. Дори да потърсим убежище във видеоигрите, току-виж се оказало, че и те пресъздават нашия свят. За посткомунистическото във видеоигрите продължават да разговарят Миглена Николчина и Северина Станкева, а към тях се присъединява и Еньо Стоянов. Дали пък създаването на игрови утопии не допринася за развиване на усет към историята, за какъвто така наречената реалност не помага особено?

Познаването на историята може да ни помогне да преосмислим и настоящите си възгледи. Ако за нас например ислямът е по дефиниция хомофобска религия, статията на Атанас Шиников „Той е моя вяра, мой свят, болест моя, лекар мой. Хомосексуалност и ислям“ може сериозно да ни разколебае. Чрез нея се запознаваме с изобилие от прелюбопитни исторически свидетелства на ислямската култура, възпяващи еднополовата любов. Нямам търпение да прочета и продължението на статията.

От миналото (далечно и не толкова) прехождаме към настоящето. Преди четвърт век моя приятелка беше медицинска сестра. Едно от основните ѝ задължения беше да скача върху буйстващи пациенти и да ги връзва, за да им се направи електрошок. После стана болногледачка в старчески дом в Германия. И първото, което научи, беше, че към обитателите на дома трябва да се отнася с уважение, колкото и безпомощни и дементни да са те. И да им благодари, че са ѝ дали възможност да ги обгрижи. Сетих се за тази история, докато четях как Надежда Цекулова разговаря с д-р Неда Бакалова защо е важно българските лекари да се обучават и в чужбина. Не е заради парите, нито само заради модерната техника. А най-вече заради отношението към хората.

Освен в здравеопазването, човешкото отношение е от ключово значение и в образованието. Когато бях ученичка, всички проблеми с ученето се обясняваха с три думи: мързел, глупост и невъзпитаност. Никой не говореше за дефицит на вниманието, дислексия или хиперактивност. Какво е дискалкулия и защо никой не ѝ обръща внимание? – пита Донка Дойчева-Попова. От статията ѝ научаваме, че това състояние означава затруднения дори при елементарни аритметически операции и е официално признато за заболяване. То може да се дължи на генетични нарушения, но също и на училищната среда и семейството. При всички случаи децата с дискалкулия имат нужда от подкрепа, а не от заклеймяване.

Като си говорим за човешки неща, комай най-човешкото нещо е културата. „Това (б)е стена“ е дебютната статия на Ина Иванова за „Тоест“. В нея тя ни разказва за инсталацията на Йоанна Елми и Стефан Иванов. Берлинската стена е история, но наследството ѝ не си е отишло – като потребност да поставяме бариери, да се самоопределяме, разграничавайки се от останалите. Все пак обаче можем да живеем и заедно.

Дойде време и за препоръките ми. Чувствате ли се понякога като аутсайдери – било сред колегите си, сред роднините си, сред приятелите или изобщо? Ако да, може би ще се съгласите с мен, че това усещане за невписване много се изостря по празници, когато от нас се очаква да демонстрираме задружност и да изглеждаме преливащи от щастие. Ако описанието ви е познато или пък не, но ви е любопитно „да влезете в обувките“ на някой, който е рядка птица в средата си, от сърце препоръчвам сериала „Някой някъде“ (Somebody Somewhere), чийто трети сезон върви сега по Max.

Сериалът е отчасти автобиографичен за Бриджит Евърет, която играе главната героиня Сам – чудачка на средна възраст, завърнала се в родния Манхатън. Но не този в Ню Йорк, а в Канзас. В центъра на сериала е приятелството на Сам с Джоул (Джеф Хилър) – също чудак, че и гей, а около тях кръжи малка, но задружна група „странни птици“. Макар че „нормалните“ им близки (в лицето основно на сестрата на Сам) все намират за какво да ги упрекват, в един момент се оказва, че и техният живот не е толкова образцов, а по-скоро са живели в заблуда.

Вместо трейлър ми се ще да споделя с вас една сцена от първия сезон, в която Бриджит Евърет и Джеф Хилър изпълняват песента Don’t Give Up на Питър Гейбриъл с участието на Кейт Буш:

Прави ли ви впечатление, че напоследък статиите в „Тоест“ са повече от преди? То е, защото се развиваме. Но пък колкото повече са статиите, толкова по-голяма нужда имаме от вашата подкрепа. Защото при нас трудът – авторски, редакторски, коректорски – се заплаща.

Подкрепете ни

Какво е дискалкулия и защо никой не ѝ обръща внимание?

Post Syndicated from original https://www.toest.bg/kakvo-e-diskalkulia-i-zashto-nikoy-ne-i-obrusta-vnimanie/

Какво е дискалкулия и защо никой не ѝ обръща внимание?

Добрите умения за смятане са поне толкова важни, колкото и добрите умения за четене. И това далеч не важи само за годините, които прекарваме в училище, а се разпростира върху целия ни живот. Хората, срещащи затруднения при смятането, имат по-трудно ежедневие (при пазаруване, при паркиране и при множество действия в работата и в свободното си време) и същевременно са силно ограничени в избора си на професия.

Какво представлява дискалкулията?

За дискалкулия говорим, когато човек среща затруднения още при първите стъпки в аритметиката – събиране, изваждане, умножение и деление. Това означава, че дискалкулията е стабилно в развитието си разстройство, което в повечето случаи започва много рано, още в детската градина, и остава непроменено до напреднала възраст. 

В Международната класификация на болестите намираме дискалкулията в група F81: Специфични разстройства на училищните умения, F81.2 Специфично разстройство на аритметичните умения. В DSM (Diagnostic and Statistical Manual of Mental Disorders) тя е под номер 315.1 – „С нарушения в математическата грамотност (разбиране на числа, запомняне на аритметични факти, точно или плавно смятане, точни математически разсъждения)“.

От неврокогнитивна гледна точка дори елементарното смятане е сложен процес. За него ни е нужно цифрово познание. Цифровото познание обхваща всички мисловни процеси, които засягат разбирането и преработването на числата (произнесени числа; числа, записани с арабски цифри), както и процеса на смятане (наум или писмено). Цифровото познание (когниция) се различава в множество аспекти от останалите когнитивни процеси и френската изследователка Мари-Паскал Ноел проследява следните три аспекта на числата:

  • те представляват определен аспект от реалността – става въпрос за големина, съответно и за сила;
  • обект са на специфични мисловни процеси, например смятане, сравняване на големини, равенства и т.н.;
  • могат да бъдат представени по различен начин, например числа, написани с арабски цифри; написани с думи; написани с римски цифри и т.н.

Същевременно, когато говорим за числа, според Станислас Деан имаме предвид различни видове кодиране:

  • аналогово представяне на величини: сравняване на големини, поредност, преценяване, симултанно разбиране;
  • визуална арабска форма на числото: четене и писане на числа, многоцифрени операции, равенства;
  • вербално-фонологична форма на числото: писмена и вербална входяща и изходяща информация, броене, събиране, умножение и т.н.

Това показва, че дори само едно липсващо звено в необходимите за смятането взаимовръзки може да причини трайно спиране на процеса на разбиране на математическите действия. 

Любопитен пример от действителността

Б. е във втори клас и е с диагностицирана дискалкулия. Вече сме имали няколко срещи, но още не мога да разбера основната причина да не може да борави с числата над 10. Използваме специални материали (познати от Монтесори), в които единиците са кубчета, а десетиците са пръчица от десет кубчета. Показвам количеството за 11 и построявам кубче върху пръчица, казвайки – „Виж, направих думата – един-на-десет – единадесет!“. 

Б. се ококорва и след кратък размисъл признава: 

Аз не знаех, че тази дума означава това! Може ли да пробваме и с другите думи?

Така установих, че детето е научило думите за числата от 11 до 19 като думи на чужд език, без да е разбрало значението им и без да може да си ги представя количествено. Доверието, което бяхме създали в предишните ни срещи, помогна на Б. да сподели с мен нещо, от което се е срамувал, защото е виждал, че съучениците му се справят, и за което не би се сетил, дори да попита. Защото как питаме за неща, които не знаем, че съществуват?

Откъде (може да) идва дискалкулията?

Причините за дискалкулия са доста разнообразни. Тя може да се дължи на невробиологични предпоставки, например заболявания, доказани като генетични нарушения – спина бифида, синдром на Уилямс, хромозомни дефекти, засягащи Х хромозомата. 

Все още са малко, но съществуват изследвания, които доказват различната структура на мозъка при хора с дискалкулия. При тях са намалени нервните пътеки, които свързват париеталните дялове помежду им и със задната част на слепоочния дял (темпорален), която участва във възприемането на визуално представени обекти и написани думи. Доказана е намалена активност на теменните дялове (особено на интрапариеталната бразда) при задачи за сравнение на големини, сравняване на числа и при смятане. Доказано е също, че сивото вещество в интрапариеталната бразда и околните области е с по-ниска плътност при диагностицирана дискалкулия.

Интересен е и генетичният компонент на това разстройство. При еднояйчните близнаци има 12 пъти по-висок риск, ако единият от близнаците е с дискалкулия. При двуяйчните този риск е 8 пъти по-висок. При братя и сестри, от които само един е засегнат, има 5 до 10 пъти по-висок риск и някое от другите деца да покаже същия дефицит. Това говори изцяло в подкрепа на невробиологичните причини за дискалкулията. 

И все пак никое проучване не може да даде един-единствен правилен отговор на въпроса откъде идва дискалкулията, защото тя е хетерогенно разстройство. Рисковите фактори за нейната поява се крият в три основни полета.

Първото е на индивидуалните особености, които включват липсата на концентрация, нарушено внимание, памет, мотивация, вродени слухови нарушения и др. Децата със синдром на дефицит на вниманието (и хиперактивност) – СДВ(Х), например имат 2,5 пъти по-голяма предразположеност към дискалкулия – тук бихме потърсили причината първо в концентрацията и паметта.

Второто поле е училищната среда. Огромно значение тук имат методите на преподаване, личността на учителя, учебниците и помагалата, съучениците. 

Третата важна част е социокултурната и семейната среда, които, освен че влияят пряко върху психологическите компоненти от първото поле – на индивидуалните способности, – включват в себе си езиковото развитие, стимулите за учене, помощните средства и много други. 

Тези три полета се влияят взаимно и са силно зависими едно от друго. Ето толкова сложна е плетеницата, свързана с произхода на дискалкулията.

На всички гореизброени фактори обаче не трябва да се гледа като на предпоставки за дискалкулия, а като вероятност, като на рискови фактори, които биха могли да улеснят появата ѝ, но не водят непременно до нея.

Диагностицирането на дискалкулията е особено необходимо, защото специализираните тестове могат много точно да покажат дали е само временно, или трайно затруднение, към което трябва да се подходи индивидуално и специфично. Те също така помагат по-бързо и ефективно да се установят точните слаби места, към които да се насочи помощта. 

За съжаление, най-често дискалкулията остава скрита до IV–V клас, когато заради рязкото повишаване на трудността математиката става непостижима за децата, които по някакъв начин само са избягвали срещаните затруднения. Често родителите казват, че проблемът се е появил едва в V клас, а преди това детето е смятало съвсем добре. Това обаче не е така, защото детето не е разбрало или не умее да прилага техники и логика, които не е усвоило поради една или друга причина. Всеки учител и родител може да бъде нащрек за ранните признаци на дискалкулия, а някои от тях са следните:

  • затруднения при класифициране – детето не може да намери общ признак и на основата на него да групира предмети;
  • затруднения при серийност – невъзможност за времево проследяване на процеси, неумение да подрежда по височина, брой и т.н.
  • липсващо разбиране за вариации – при разделянето на количество (например 5 камъчета се разделят на група от 2 и група от 3, но детето не разпознава, че количеството остава същото);
  • несигурност или грешки при броене (62, 61, 60, 79);
  • неяснота при пространствени, времеви и количествени изрази;
  • затруднения в пространственото ориентиране;
  • неразбиране на взаимовръзки (ако 6+2=8, то 8–2=6);
  • липси при стойност и позиция (От какво се състои 10? Отговорът често е „едно и нула“.)

Какво да правим, ако сме учители на деца с дискалкулия?

Опитваме се да осигурим възможно най-позитивната учебна среда. Старайте се да не сравнявате децата едно с друго. Дайте им възможност да ви се доверят в личен разговор и да се почувстват разбрани. Дайте им да „пипнат“ числата – използвайте топчета, камъчета, разделяйте ги на групи и ги събирайте пак. 

Много важно е да визуализирате числата с позицията им на числовата ос. Опитайте се да създадете представа за отделните едноцифрени числа в главата на всяко от децата. Имайте предвид, че във всеки клас има поне няколко ученици с дефицит в математическите умения, и бъдете нащрек за тях. Тези деца се нуждаят от повече време за същото количество работа, затова се постарайте да го осигурявате при контролни и класни работи, а също и при външни оценявания. Не задавайте въпроса „Какво толкова не му разбираш, нали го обясних?“.

Какво правим, ако сме родители на дете с дискалкулия?

Подкрепяме и разбираме детето. Не го наричаме мързеливо или неставащо за математика. Защото, макар и да ни изглежда така (детето не иска да пише домашните си по математика или е избягало от час, боли го корем в деня на контролното и т.н.), това е единствената защита, която познава. То вече е научило, че дори да се старае, пак не се получава, затова се опитва всячески да заобиколи следващото неизбежно разочарование под формата на лоша оценка. Детето е развило вече коморбидно разстройство – освен че се затруднява, то има и страх от математиката, защото е натрупало негативен опит с множество неуспехи. 

Математиката, четенето, писането в детска възраст се асоциират с образователни постижения, водещи до по-добри оценки и съответно до по-добро образование (избор на учебно заведение). Доказано е, че в зряла възраст този избор има пряка връзка със социалния ни статус. 

Често казваме за някого или за себе си, че не ни бива в математиката, и така незабелязано създаваме впечатлението, че няма какво да се направи по въпроса. А това изобщо не е така. Дискалкулията не пречи да имаме съвсем нормален, дори успешен живот. Защото математиката далеч не е всичко, от което се нуждаем, но поне част от нея е неизбежна, за да сме пълноценни първо за себе си, а после и за света около нас.

Ясно ни е, че всички някак преминават през образователната система и излизат рано или късно от нея. Въпреки множеството доказателства, че затруднения от типа на дискалкулията имат пряко влияние върху бъдещия социален статус на засегнатия, както и върху професионалната му реализация, икономическия му статус, кредитната му репутация, включително и върху здравния му статус, то е наистина учудващо защо все още в България затруднения като дискалкулията са абсолютно непознати, но за сметка на това продължаваме да говорим за мързеливи деца.

Metasploit Weekly Wrap-Up 12/13/2024

Post Syndicated from Spencer McIntyre original https://blog.rapid7.com/2024/12/13/metasploit-weekly-wrap-up-12-13-2024/

It’s raining RCEs!

Metasploit Weekly Wrap-Up 12/13/2024

It’s the second week of December and the weather forecast announced another storm of RCEs in Metasploit-Framework land. This weekly release includes RCEs for Moodle e-Learning platform, Primefaces, WordPress Really Simple SSL and CyberPanel along with two modules to change password through LDAP and SMB protocol.

New module content (7)

Change Password

Author: smashery
Type: Auxiliary
Pull request: #19671 contributed by smashery
Path: admin/ldap/change_password

Description: This adds a module that is able to change a user’s password knowing the current value or reset a user’s password given the necessary permissions using LDAP.

SMB Password Change

Author: smashery
Type: Auxiliary
Pull request: #19666 contributed by smashery
Path: admin/smb/change_password

Description: This adds a module that is able to change a user’s password knowing the current value or reset a user’s password given the necessary permissions using SMB.

WordPress Plugin Perfect Survey 1.5.1 SQLi (Unauthenticated)

Authors: Aaryan Golatkar and Ron Jost
Type: Auxiliary
Pull request: #19701 contributed by aaryan-11-x
Path: scanner/http/wp_perfect_survey_sqli
AttackerKB reference: CVE-2021-24762

Description: This adds an auxiliary module that exploits CVE-2021-24762, an unauthenticated SQL Injection that allows dumping user credentials from the database.

Moodle Remote Code Execution (CVE-2024-43425)

Authors: Michael Heinzl and RedTeam Pentesting GmbH
Type: Exploit
Pull request: #19430 contributed by h4x-x0r
Path: linux/http/moodle_rce
AttackerKB reference: CVE-2024-43425

Description: This adds an exploit module for Moodle learning platform. The module exploits a command injection vulnerability in Moodle CVE-2024-43425 to obtain remote code execution. By default, the application will run in the context of www-data, so only a limited shell can be obtained.

Primefaces Remote Code Execution Exploit

Authors: Bjoern Schuette and h00die
Type: Exploit
Pull request: #19649 contributed by h00die
Path: multi/http/primefaces_weak_encryption_rce
AttackerKB reference: CVE-2017-1000486

Description: This adds a module which exploits a Java Expression Language RCE vulnerability in the Primefaces JSF framework. Primefaces versions prior to 5.2.21, 5.3.8 or 6.0 are vulnerable to a padding oracle attack, due to the use of weak crypto and default encryption password and salt.

WordPress Really Simple SSL Plugin Authentication Bypass to RCE

Authors: István Márton and Valentin Lobstein
Type: Exploit
Pull request: #19661 contributed by Chocapikk
Path: multi/http/wp_reallysimplessl_2fa_bypass_rce
AttackerKB reference: CVE-2024-10924

Description: This add an exploit module for a CVE-2024-10924, a vulnerability in the WordPress Really Simple Security plugin, versions 9.0.0 to 9.1.1.1 and allows unauthenticated attackers to bypass Two-Factor Authentication (2FA). By exploiting this flaw, an attacker can retrieve the administrator’s session cookie directly, enabling full control over the WordPress instance, including the ability to upload and execute arbitrary code.

CyberPanel Multi CVE Pre-auth RCE

Authors: DreyAnd, Luka Petrovic (refr4g), and Valentin Lobstein
Type: Exploit
Pull request: #19608 contributed by Chocapikk
Path: unix/webapp/cyberpanel_preauth_rce_multi_cve
AttackerKB reference: CVE-2024-51378

Description: Adds a CyberPanel Pre-Auth RCE exploit module for for the following CVEs: CVE-2024-51378, CVE-2024-51567, CVE-2024-51568. The module contains three separate actions which lets you specify which CVE you would like to exploit.

Enhanced Modules (2)

Modules which have either been enhanced, or renamed:

  • #19533 from Grezzo – This updates the existing multi/http/werkzeug_debug_rce module that only targeted older version of the vulnerable Werkzeug application that didn’t include any authentication. The update adds support for newer versions of Werkzeug that do support authentication. The updated module supports the following authentication methods:

Generated-Cookie: Uses information about the system (which may be gained, e.g. using a separate arbitrary file-read vulnerability) to calculate an authentication cookie which is then used
Known-Cookie: Uses a user-provided cookie to authenticate
Known-PIN: uses a user-provided PIN to authenticate
None: If authentication has been disabled, or is unsupported (e.g. in very old versions of Werkzeug)
When generating a cookie (and PIN), there are 3 different algorithms used, depending on the target selected by the user. This is because the algorithm used to generate the cookie/PIN has changed throughout the application’s development.

  • #19696 from smashery – This updates replaces the existing samr_computer module with a more general one that can also be used to add user accounts to active directory if the operator has the necessary permissions.

Enhancements and features (2)

  • #19703 from zeroSteiner – Adds additional documentation to the windows/dns_txt_query_exec module to help clarify how it works for users.
  • #19705 from ostrichgolf – Updates the exploits/linux/http/projectsend_unauth_rce module to include the CVE entry CVE-2024-11680 for ProjectSend r1295 – r1605 Unauthenticated Remote Code Execution.

Bugs fixed (3)

  • #19621 from zeroSteiner – This fixes the symlinks handling by the Java Meterpreter on Windows targets.
  • #19656 from sjanusz-r7 – Fixed an issue where an SSH session could sometimes be reported as alive when it has failed to open successfully against Windows running older versions of OpenSSH.
  • #19700 from jheysel-r7 – Fixes a bug where HTTP redirects were not handling HTTP query parameters correctly.

Documentation added (1)

  • #19714 from bwatters-r7 – Updates the exploits/linux/http/projectsend_unauth_rce module metadata to include CVE-2024-11680.

You can always find more documentation on our docsite at docs.metasploit.com.

Get it

As always, you can update to the latest Metasploit Framework with msfupdate
and you can get more details on the changes since the last blog post from
GitHub:

If you are a git user, you can clone the Metasploit Framework repo (master branch) for the latest.
To install fresh without using git, you can use the open-source-only Nightly Installers or the
commercial edition Metasploit Pro

[$] Facing the Git commit-ID collision catastrophe

Post Syndicated from corbet original https://lwn.net/Articles/1001526/

Commits in the Git source-code management system are identified by the
SHA-1 hash of their contents — though the specific hash may change someday. The full hash is a
160-bit quantity, normally written as a 40-character hexadecimal string.
While those strings are convenient for computers to work with, humans find
them to be a bit unwieldy, so it is common to abbreviate the hash values to
shorter strings. Geert Uytterhoeven recently proposed
increasing the length of those abbreviated hashes as used in the kernel
community, but the problem he was working to solve may not be as urgent as
it seems.

Modernize email sending with Amazon Simple Email Service and Proofpoint SER

Post Syndicated from Zip Zieper original https://aws.amazon.com/blogs/messaging-and-targeting/modernize-email-sending-with-amazon-simple-email-service-and-proofpoint-ser/

As organizations migrate to the cloud, managing email security and delivery becomes increasingly complex. This post explores how Amazon Simple Email Service (SES) and Proofpoint Secure Email Relay (SER) work together to provide a robust solution for modern email sending.

Shifting email workflows to the cloud

For many organizations, Simple Mail Transfer Protocol (SMTP) relay is a critical email delivery mechanism that facilitates the transmission of email messages between different domains and servers. When an email is sent to a recipient outside the sender’s domain, SMTP relay(s) ensures the message is routed correctly and delivered to the intended destination.

Traditionally, on-premises SMTP relay servers were used by messaging and security teams to manage email sending from on-premises applications on behalf of their organizations’ domains. This approach helps to:

  • Guard against brand damage and loss of sensitive data
  • Protect recipients from fraud
  • Provide straightforward control over email sending

However, as applications are modernized and migrated to the cloud, email sending has changed. Many organizations now outsource bulk email sending to cloud service providers such as Amazon SES. This shift has made it challenging for internal teams to regulate their organization’s email effectively.

Addressing modernization challenges

Amazon Web Services (AWS) is a popular choice for developing and modernizing applications, with Amazon SES offering a secure, scalable and cost effective service for applications to send email. To address the need for additional security and control over email, Proofpoint offers their popular Secure Email Relay (SER) on the AWS Marketplace.

Using Amazon SES with Proofpoint SER combines the convenience and features of Amazon SES with Proofpoint SER’s ability to:

  • Regulate and govern outbound application email
  • Support migration from on-premises relay to the cloud
  • Apply security controls to application emails

Email flow and security

SES Mail Manager allows emails to be conditionally routed from Amazon SES to Proofpoint SER. The process includes:

  1. Scanning emails with Proofpoint threat detection technologies
  2. Applying centrally managed Proofpoint SER policies
  3. Performing DKIM-signing and distributing DMARC compliant emails
  4. Sending mail to recipients

Two configuration options are available:

  1. Proofpoint SER handles distribution to final recipients (Figure 1)
  2. Emails are routed back to Amazon SES for distribution after Proofpoint SER processing (Figure 2)

In the first configuration, email is sent to SES and routed through a Mail Manager SMTP relay to Proofpoint SER where it is processed for threat detection, malware, spam, sensitive data, and more. In this configuration, Proofpoint SER distributes the email to recipients through a STMP relay or another email sending service beyond Proofpoint. Deliverability reporting, archiving, and other capabilities are left to Proofpoint or downstream providers.

SES to SER

Figure 1: Proofpoint SER applying security controls to application emails before sending.

In the second configuration, email is sent to SES which routes through a Mail Manager SMTP relay to Proofpoint SER to be processed for threat detection, malware, spam, sensitive data, and more. Proofpoint SER then sends the processed emails back to SES via Mail Manager STMP relay. Deliverability reporting, archiving and other capabilities such as Amazon Q Business can be provided by SES or other AWS services.

SES-SER-SESFigure 2. Security controls applied by Proofpoint SER before routing emails back to Amazon SES for distribution.

Conclusion

The integration of Amazon SES and Proofpoint SER offers a powerful solution for organizations looking to modernize their email sending processes while maintaining robust security. This collaboration allows businesses to leverage the scalability and convenience of cloud-based email services without compromising on control and protection.

Call to Action

Take the next step in modernizing your email infrastructure while enhancing security and control. To learn more about how Amazon SES and Proofpoint SER can benefit your organization:

Generative AI adoption and compliance: Simplifying the path forward with AWS Audit Manager

Post Syndicated from Kurt Kumar original https://aws.amazon.com/blogs/security/generative-ai-adoption-and-compliance-simplifying-the-path-forward-with-aws-audit-manager/

As organizations increasingly use generative AI to streamline processes, enhance efficiency, and gain a competitive edge in today’s fast-paced business environment, they seek mechanisms for measuring and monitoring their use of AI services.

To help you navigate the process of adopting generative AI technologies and proactively measure your generative AI implementation, AWS developed the AWS Audit Manager generative AI best practices framework. This framework provides a structured approach to evaluating and adopting generative AI technologies and addresses important aspects such as strategy alignment, governance, risk assessment, and security and operational best practices. You can use the framework within AWS Audit Manager as you implement generative AI workloads, to measure and monitor existing workloads through Audit Manager capabilities such as automated evidence collection and customized assessment reports.

In this blog post, we’ll cover the AWS Audit Manager generative AI best practices framework and how it can help you during your generative AI journey. We’ll highlight key considerations to prioritize when deploying generative AI workloads, and discuss how the framework can facilitate auditing and compliance with generative AI-specific controls using Audit Manager.

Starting the generative AI Journey

An important consideration in preparing for the introduction of generative AI in your organization is the need to align your risk management strategies with robust mitigation measures. Examples of potential risks include the following:

  • Data quality, reliability, and bias: Poor source-data quality used to train models might lead to inconsistent, inaccurate, or biased outputs, which can have significant financial and regulatory impact for organizations. For example, a language model trained on biased data might generate text that reinforces harmful stereotypes or propagates misinformation. Similarly, training AI on biased product reviews or ratings might lead to product suggestions that don’t accurately reflect product quality or user preferences.
  • Model explainability and transparency: The opaque nature of many generative AI models makes it challenging to understand how they arrive at specific outputs or decisions. For example, if a model is used to generate creative content, such as stories or learning materials, it could be difficult to understand why certain outputs are generated, including potential biases or inappropriate content.
  • Data privacy and security: Generative AI models are trained on vast amounts of data, which might inadvertently include sensitive or personal information. For example, a model trained to generate text could potentially produce sentences that contain personal details from its training data.

AWS empowers organizations to use this technology responsibly while helping them to align with best practices. As part of enabling organizations to create a comprehensive risk management strategy for generative AI systems, AWS has built the AWS Audit Manager generative AI best practices framework which is mapped to Amazon Bedrock and Amazon SageMaker in AWS Audit Manager.

Amazon Bedrock is a managed service that enables you to create, manage, and scale machine learning (ML) and AI services while facilitating adherence to security and defined compliance requirements. Amazon SageMaker is a fully managed ML service that can build, train, and deploy ML models for extended use cases that require deep customization and model fine-tuning.

You can use this framework to facilitate your auditing and compliance requirements by taking advantage of controls for more responsible, ethical, and effective deployment of generative AI models.

The framework is organized into four pillars, as follows:

  • Data Governance: Data is the foundation of generative AI models, and the quality and diversity of the training data can significantly impact the model’s performance and output. The Data Governance pillar focuses on facilitating data management practices such as data sourcing, data quality, data privacy, and data bias.
  • Model Development: This pillar focuses on the responsible development and testing of generative AI models and covers aspects such as model architecture selection, model training, and model evaluation.
  • Model Deployment: This pillar addresses the challenges associated with deploying generative AI models in production environments and covers aspects such as model deployment strategies, infrastructure considerations, and access controls.
  • Monitoring & Oversight: This pillar focuses on the ongoing monitoring and governance of generative AI models in production environments and addresses aspects such as model performance monitoring and incident response planning.

You can also use Amazon Bedrock Guardrails to provide an additional level of control on top of the protections built into foundation models (FMs) to help deliver relevant and safe user experiences that align with your organization’s policies and principles.

Each organization’s generative AI journey is unique, influenced by factors such as industry-specific regulations, risk appetite, and scale of generative AI deployment. By integrating the framework with Amazon Bedrock or Amazon SageMaker, you can customize the controls to your organization’s unique needs, aligning your generative AI deployments with your specific risk management strategies. This customization is especially valuable for highly regulated sectors, such as the financial sector.

For example, you can map the risk of inaccurate outputs to controls related to data quality and model validation. Similarly, you can map data security risks to controls related to access management and encryption.

Let’s consider an example that uses a subset of these risks to understand how you could perform this mapping. A financial services firm decides to use generative AI models to develop a chatbot capable of understanding complex customer inquiries and providing accurate and tailored responses for their customer portal. Although chatbots can greatly enhance customer experiences and operational efficiency, they also introduce risks that you need to understand and measure, so that you can develop a corresponding mitigation strategy.

An auditor within the internal audit function of the financial organization would like to use the AWS Audit Manager generative AI best practices framework to assess compliance with the following sample of risks associated with the application:

  • Responsible: Validating that the chatbot adheres to ethical principles, such as fairness and transparency, and avoids perpetuating biases or discrimination against certain customer segments.
  • Accurate: Verifying the reliability and accuracy of the chatbot’s responses, particularly when handling sensitive financial information or providing advice on complex financial products.
  • Secure: Protecting the integrity and security of the data being used to train the generative AI model from unauthorized access and validating that sensitive customer data is segregated from data used for training.

Example mapping

We’ve provided an example mapping here that illustrates how you can use the framework within Audit Manager to develop a risk management strategy. Based on your individual control objectives and organizational requirements, you can further customize controls, and evidence collection can be automated or manually defined. The example mapping is as follows:

  • Responsible: Implement mechanisms for AI model monitoring and explainability to detect and mitigate potential biases or unfair outcomes.
    • RESPAI3.8: Document Risks and Tolerances: Define, document, and implement specific controls to address identified risks and organizational risk tolerances.
    • RESPAI3.9: Develop AI RACI: Define organizational roles and responsibilities, lines of communication, and ownership of controls to address identified risks. Ensure that this mapping, measuring, and managing of generative AI risks is clear to individuals and teams throughout the organization.
    • RESPAI3.13: Continuous Risk Monitoring: Periodically perform retrospectives and review policies and procedures to determine if new risks should be considered, and if current risks are addressed based on AI performance, incidents, and user feedback.
    • RESPAI3.15: Ethical Guidelines: Develop and adhere to ethical guidelines for the deployment and usage of generative AI models.
  • Accurate: Implement robust data quality checks, model validation processes, and ongoing monitoring to ensure the accuracy and reliability of the generative AI chatbot’s outputs.
    • ACCUAI3.4: Regular Audits: Conduct periodic reviews to assess the model’s accuracy over time, especially after system updates or when integrating new data sources.
    • ACCUAI3.6: Source Verification: Ensure that the data source is reputable, reliable, and the data is of high quality.
    • ACCUAI3.14: Quality Data Sourcing: The accuracy of generative AI largely depends on the quality of its training data. Ensure that the data is representative, comprehensive, and free from biases or errors.
  • Secure: Implement robust access controls, data encryption, and security monitoring measures to protect the generative AI chatbot system and training data.
    • SECAI3.2: Data Encryption In Transit: Implement end-to-end encryption for the input and output data of the AI models to minimum industry standards.
    • SECAI3.3: Data Encryption At Rest: Implement data encryption at rest for data that’s stored to train the AI models, and for the metadata that’s produced by AI models.

      Note: This is an example of a control that can be configured with automated evidence collection using AWS Config as the underlying data source, or further customized with additional data sources according to the scope of the control.

    • SECAI3.7: Least Privilege: Document, implement, and enforce least privileged principles when granting access to generative AI systems.
    • SECAI3.8: Periodic Reviews: Document, implement, and enforce periodic reviews of users’ access to generative AI systems.

      Note: This is an example of a control that can be configured with manual evidence collection based on the specific policies and procedures defined by each organization.

    • SECAI3.15: Access Logging: Require and enable mechanisms that allow users to request access to generative AI models. Ensure that access requests are properly logged, reviewed, and approved.

Conclusion

It’s important for institutions, especially those in highly regulated sectors, to proactively address new developments that relate to generative AI. Using the AWS Audit Manager generative AI best practices framework as part of a comprehensive risk management strategy can help you stay ahead of the curve and embrace an agile and responsible approach to generative AI.

The guidance provided by the framework, together with the capabilities of Audit Manager, Amazon Bedrock and SageMaker can help you establish secure and controlled environments for generative AI implementation, automate evidence collection and risk assessments, and monitor and mitigate potential risks. By embracing the potential of generative AI while adhering to best practices, you can position your organization at the forefront of innovation while maintaining the trust and confidence of stakeholders and customers.

 
If you have feedback about this post, submit comments in the Comments section below. If you have questions about this post, contact AWS Support.
 

Kurt Kumar
Kurt Kumar

Kurt is a Security Consultant at AWS Professional Services and is passionate about helping customers implement secure environments. He has over 14 years of experience in security assurance across audit, risk, and compliance functions and currently holds CISA, CISSP, Associate C|CISO, AWS Security Specialty, AWS Certified AI Practitioner and AWS SysOps Administrator – Associate certifications. Outside of work, he enjoys watching Formula 1 and travelling.

[$] Providing precise time over the network

Post Syndicated from daroc original https://lwn.net/Articles/1000434/

Handling time in a networked environment is never easy. The

Network Time Protocol (NTP) has been used to synchronize clocks across the
internet for almost 40 years — but, as computers and networks get faster, the
degree of synchronization it offers is not sufficient for some use cases. The

Precision Time Protocol (PTP) attempts to provide more precise
time synchronization, at the
expense of requiring dedicated kernel and hardware
support. The Linux kernel has

supported PTP since 2011, but the protocol has recently seen

increasing use in data centers. As PTP becomes more widespread, it may be
useful to have an idea how it compares to NTP.

Ultralytics Supply-Chain Attack

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2024/12/ultralytics-supply-chain-attack.html

Last week, we saw a supply-chain attack against the Ultralytics AI library on GitHub. A quick summary:

On December 4, a malicious version 8.3.41 of the popular AI library ultralytics ­—which has almost 60 million downloads—was published to the Python Package Index (PyPI) package repository. The package contained downloader code that was downloading the XMRig coinminer. The compromise of the project’s build environment was achieved by exploiting a known and previously reported GitHub Actions script injection.

Lots more details at that link. Also here.

Seth Michael Larson—the security developer in residence with the Python Software Foundation, responsible for, among other things, securing PyPi—has a good summary of what should be done next:

From this story, we can see a few places where PyPI can help developers towards a secure configuration without infringing on existing use-cases.

  • API tokens are allowed to go unused alongside Trusted Publishers. It’s valid for a project to use a mix of API tokens and Trusted Publishers because Trusted Publishers aren’t universally supported by all platforms. However, API tokens that are being unused over a period of time despite releases continuing to be published via Trusted Publishing is a strong indicator that the API token is no longer needed and can be revoked.
  • GitHub Environments are optional, but recommended, when using a GitHub Trusted Publisher. However, PyPI doesn’t fail or warn users that are using a GitHub Environment that the corresponding Trusted Publisher isn’t configured to require the GitHub Environment. This fact didn’t end up mattering for this specific attack, but during the investigation it was noticed as something easy for project maintainers to miss.

There’s also a more general “What can you do as a publisher to the Python Package Index” list at the end of the blog post.

CentOS Stream 10 and EPEL 10 released

Post Syndicated from jzb original https://lwn.net/Articles/1002044/

The CentOS Project has announced
the general availability of CentOS Stream 10. See the release notes for information
on new features, changes, and removed software. The Extra Packages for
Enterprise Linux (EPEL) 10 repository is also available,
and will be adding minor version repositories:

For the EPEL 9 release, we started building packages about six months
before the RHEL 9 release by using CentOS Stream 9 as the initial
build environment. For EPEL 10, we’re expanding on that approach and
doing the same thing for each minor version of RHEL 10. We will have
separate DNF repositories for each minor version of RHEL 10, including
CentOS Stream 10 as the leading minor version. Packages built for one
minor version will carry forward to the next minor version. You can
find more details about this structure in our branching documentation.

LWN covered
Stream 10 and EPEL 10 on December 11.

Кой (не) обича президента?

Post Syndicated from Емилия Милчева original https://www.toest.bg/koy-nie-obicha-priezidienta/

Кой (не) обича президента?

Дали Доналд Тръмп е обяснил на Румен Радев тайната на MAGA – как да направи България велика (отново), а българският президент му е казал, че Крим е руски (чий да е!)? 

След церемонията по откриването на възстановената катедрала „Нотр Дам“ в Париж, Радев е написал:

С новоизбрания президент на САЩ Доналд Тръмп обсъдихме войната в Украйна и възможностите за нейното най-бързо прекратяване с дипломатически средства.

Някои политици в България сигурно са погледнали със завист на документирания факт от срещата на експлозивния и непредсказуем мултимилиардер, който ще встъпи в длъжност на 20 януари, и резервирания и леко смутен бивш пилот на изтребител, комуто остават две години до края на втория президентски мандат. Със задоволство са реагирали пò на изток. Бъдещият американски президент казва онова, което Радев говореше през всичките тези години, а неговите служебни правителства реализираха като политики. Например едно от тях отказа България да е част от обществената поръчка на ЕС за 1 милион 155-милиметрови артилерийски снаряда. Какво че в Брюксел се мръщеха на изявленията му за Украйна. Ето че американският президент го насърчава!

Радев се радва на неизменно висок рейтинг в България, а за първи път в най-новата история президентският кръг е фактор, който постепенно се сдоби със собствена политическа тежест далеч извън партията, която го издигна. Назначенията, които прави в един или друг регулатор съобразно своите конституционни правомощия, не са подчинени на партийна селекция. Илия Лингорски, чиято звезда в политиката изгря с НДСВ и т.нар. царски юпита, бе назначен от Радев за член на Управителния съвет на Българската народна банка през 2022 г., а наскоро и Любомир Каримански, допреди време политик от „Има такъв народ“, също бе избран от президента в УС на БНБ. В Съвета за електронни медии назначи Къдринка Къдринова, която смени Соня Момчилова и е известна с прокремълските си позиции. Радев изпрати „свои“ и в Конституционния съд – бившия декан на юридическия факултет и бивш служебен министър на образованието Сашо Пенов и Невин Фети, съветничка по правни въпроси в Президентството. 

Благодарение на правомощието на президента, че без негов указ нови посланици не могат да бъдат назначени, той се сдоби с персонално своя квота – не просто одобрени, а подбрани от него персони. „Негов“ е посланикът в НАТО Николай Милков, изпратен без много шум от служебния кабинет с премиер Гълъб Донев два дни преди вота на 2 април 2023 г. Милков беше външен министър в този кабинет. При служебните управления на Радев са извършени доста посланически назначения в ключови и на пръв поглед недотам държави, като Черна гора, Албания, Азербайджан. 

Кохорта от кадри, подбрани от президент с нескрити проруски симпатии, не просто влияе, а доминира в много сектори предвид отслабеното влияние на партиите и тяхната политическа немощ да обновят парламентарните си квоти. 

Отношенията на системните и антисистемните партии с държавния глава често се менят в зависимост от конюнктурата и ползите, които могат да извлекат в дадена ситуация. От тази циклична конфронтация и подкрепа обаче губещите са те, тъй като действията им не почиват на дългосрочни политики. Резултатът е, че бивши президентски съветници и анализатори създадоха холограма на президентска партия, която ще е като героя от анимета Сайтама, побеждаващ с един удар. 

Променлива лоялност

На фона на партийния опортюнизъм Радев не се отклонява от онова, което вече е публично известно – българският президент споделя една по-скоро орбанистка, отколкото европейска позиция за войната в Украйна, и също като Георги Първанов се намесва в енергийната, освен във външната политика. Щенията му за повече власт нарастваха значително с всеки служебен кабинет, който назначаваше. 

В първия си президентски мандат Радев и ГЕРБ влизаха в сблъсъци, най-яростният от които беше за сделката за изтребителите, а държавният глава критикуваше властта за липса на прозрачност. После Радев започна да пита премиера и лидер на ГЕРБ Бойко Борисов има ли общи бизнес интереси с Делян Пеевски и дали е разпределял обществени поръчки в негова полза. После свали доверието си от третия кабинет на Борисов, а във втория мандат вече беше по-сдържан в русофилските си позиции.

Официално снемам доверие от правителството, което не действа в интерес на българските граждани и носи отговорност за острата криза в нашето общество.

След поредица конфликти, в т.ч. обвинения на Борисов, че Радев вдига дрон и го снима, вдигнатия юмрук на президента, дал сигнал за няколкомесечни протести срещу модела на Борисов/Гешев/Пеевски, има ново двайсет. ГЕРБ–СДС подкрепи близката до президента Наталия Киселова, издигната от БСП, за председател на 51-вия парламент. Ситуативният алианс даде повод на политолога Огнян Минчев да заяви, че този избор е плод на споразумение между Борисов и Радев.

Избирането на Наталия Киселова е резултат от споразумение по оста Борисов–Радев. С неафиширани договорености между центровете на власт може да бъде отпушена работата на парламента.

Към президента се „отпушва“ и „Продължаваме промяната“ – партията, чиито лидери Кирил Петков и Асен Василев получиха летящ старт от „Дондуков“ 2. След тяхното „С Вас сме, г-н президент!“ и призив да се гласува за Радев за втори мандат настъпи ледников период в двустранните отношения, но отново има затопляне. Този период включваше порицания от ПП–ДБ, също и от БСП заради договора, сключен с турската държавна компания „Боташ“ по време на президентски кабинет, заради твърдата неотстъпчивост на президента за промени в службите, както и заради стопирането на военна помощ за Украйна от подчинени на „Дондуков“ 2 правителства. Но през това време беше забележително, че ГЕРБ бяха в лагера на Румен Радев, без да бият тъпана, и за службите, и за договора с „Боташ“.

Последва шестата поправка на Конституцията, една от целите на която беше да отнеме правомощието на президента за избор на служебно правителство с аргумента, че получава безконтролна власт. Тя бе предложена от ПП–ДБ, изработена и подкрепена съвместно с ГЕРБ и ДПС с персоналното участие на Делян Пеевски. От нея в Конституцията остана малка следа – механизмът за разследване на главния прокурор и неговите заместници, и начинът, по който се формира служебно управление. А ПП–ДБ вече дори не се опитват да защитят законодателството си – президентът да избира премиер измежду определен кръг лица. С избора на Киселова първото в този кръг е най-близко до него.

Забележително е как проевропейските партии преглъщат прокремълския уклон на президента, когато им е нужно, за да обединят усилия срещу Пеевски, и как само допреди година президентът беше обект на критика заради властовите амбиции, нараснали покрай служебните правителства. Сега отново са съюзници: президентът демонстративно не покани ДПС – Ново начало на консултации за кабинет с аргумента, че политическата сила „настоява категорично за незабавни нови избори“, и напомни за „компрометираното лице“. 

… лидерът на тази парламентарна група е санкциониран от две партньорски държави – САЩ и Великобритания, за грандкорупция. Това някак си се забравя от редица други институции, но не и от Президентството и няма да се забрави.

Кирил Петков го изтълкува като доказателство, че декларацията за санитарен кордон около Пеевски и партията му действа.

Президентът вчера показа, че е приел санитарния кордон, защото само „Ново начало“ не са поканени на консултации.

Но декларацията за санитарен кордон не е само изолацията на Пеевски, която би могла да се осъществи и при формиране на мнозинство – в нея са заложени и конкретни законодателни промени. Президентът не е показал, че ги подкрепя. Сега той е в ролята на загрижен за нацията политик, който насърчава останалите да успеят да формират редовен кабинет и да проявят отговорност. Точно това следва да говори. Иначе, вървят слухове, че вече се нарежда следващото служебно правителство с вътрешен министър, познат от служебните кабинети на президента.

В тази каца с мед има и лъжица катран. Публикация в британското издание The Times, трибуна на консерваторите, замеси името на президента и на бившата лидерка на БСП Корнелия Нинова в шпионския скандал с шестимата българи, свързани с руските служби. Според нея групата има „силна връзка с г-жа Корнелия Нинова и г-н Румен Радев, както и чадър от бивш-заместник председател на ДАНС“.

Последва парламентарно питане до служебния премиер Димитър Главчев от ген. Атанас Атанасов, лидера на ДСБ, част от ДБ. В отговор президентът поиска службите, които останаха под влиянието на ГЕРБ, Пеевски и самия него, „да разсеят спекулациите за такава връзка“. 

Какво би се случило, ако я потвърдят?