Yearly Archives: 2024

The Top NVIDIA HGX B200 Server Supermicro SYS-422GA-NBRT-LCC at OCP 2024

Post Syndicated from Patrick Kennedy original https://www.servethehome.com/the-top-nvidia-hgx-b200-server-supermicro-sys-422ga-nbrt-lcc-intel-ocp-2024/

We saw the Supermicro SYS-422GA-NBRT-LCC the next generation of the company’s industry-leading liquid-cooled NVIDIA HGX B200 platform

The post The Top NVIDIA HGX B200 Server Supermicro SYS-422GA-NBRT-LCC at OCP 2024 appeared first on ServeTheHome.

Избори октомври 2024 – карта на секциите в чужбина

Post Syndicated from Боян Юруков original https://yurukov.net/blog/2024/karta-sekcii-2024-10/

На 27-ми октомври ще се проведат избори за Народно събрание. Извън България ще може да се гласува в 719 секции на 623 места. На две от тях във Франция – Бокузе и Маринян – все още не е определен точен адрес. На 116 от останалите места ще има поне една секция, в която ще може да се гласува с машина.

Днес изпратих персонален мейл на около 3000 абонирали се за новини покрай проекта Glasuvam.org. В него всеки получи най-близките три секции до града, където са отбелязали, че е най-удобно за тях. При промяна на адресите или други детайли покрай секцията, ще пратя съпътстващо писмо с нови подробности.

Писмото, както винаги до сега, беше съпътствано с няколко важни съвета за процеса на га

  • Изборният ден започва в 7:00 сутринта местно време и свършва в 8:00 часа вечерта
  • Може да гласува всеки български гражданин независимо дали е подал заявление или не
  • Секциите отбелязани горе са актуални към 18-ти октомври. Възможно е в следващата седмица да има промени или корекции. Затова Ви препоръчвам да проверите преди изборния ден отново на картата и на сайта на МВнР.
  • Независимо от отбелязаната в заявлението Ви секция, ако сте подали такова, може да гласувате където и да е в чужбина
  • В чужбина може да гласува всеки български гражданин независимо от обичайното му пребиваване. Това означава, че ако пътувате зад граница по работа или на почивка, може да упражните гласа си в близка до Вас секция. Отново, няма значение дали сте подавали заявление.
  • Ако все пак сте в България по време на изборите, може да гласувате само по постоянен адрес. Тогава попълвате приложение 22, че не сте гласували в чужбина и са длъжни да Ви отбележат. Присъствате в списъка и след името Ви е отбелязано МВнР.
  • В чужбина за Народно събрание има възможност да гласувате само за партия/коалиция. Възможност за преференции, каквито има в страната, няма. Причината за това е ефективното блокиране на МИР Чужбина от една страна и липсата на дистанционно гласуване от друга. Така гласът Ви помага на шанса за парламентарно представяне. Запознайте се също с бюлетината
  • Препоръчвам да се гласува с машина, където това е възможно. Гласуването с машина гарантира, че гласът Ви ще бъде преброен и няма шанс да бъде отбелязан като невалиден.
  • Препоръчвам да се гласува възможно най-рано, тъй като опитът показва, че с хартиено гласуване с напредването на деня стават струпвания на някои места. Ако имате съмнения и спомени за такива и имате друга близка секция с по-малко натоварване, препоръчваме да отидете там. На картата на Glasuvam.org може също да споделяте и преглеждате обратна връзка от други колко са чакали на това място.

Не на последно място, когато приключи някой в чужбина с гласуването, независимо дали се е абонирал или не, има възможност да отбележи на картата при секцията, в която е упражнил правото си на глас колко време му е отнел целия процес. Това дава възможност на тези след него да знаят, че се минава бързо или се въоръжат с търпение.

Повече за проекта в помощ за гласуване, както и подобни статии за предходни избори, ще намерите в архива.

The post Избори октомври 2024 – карта на секциите в чужбина first appeared on Блогът на Юруков.

Седмицата (14–19 октомври)

Post Syndicated from Боряна Телбис original https://www.toest.bg/sedmitsata-14-19-oktomvri/

Седмицата (14–19 октомври)

Тази седмица в сряда, когато стана ясно, че изчезналата ден по-рано Биляна е намерена мъртва, се оказах в компанията на човек, който съвсем отговорно заяви, че либералната демокрация е виновна, че жените имат следродилна депресия. Покрай него имаше няколко жени, всичките майки, някои от тях на съвсем малки деца. 

Не се поколеба да продължи.

Познатият рефрен „Баба ти само следродилна депресия е имала“ прерасна в тотално отричане на наличието на такова състояние/заболяване. Оказа се, че и то, като всичко друго лошо, е внедрено в съзнанието ни от прогнилия Запад и в днешно време жените са едни лигли, които не искат да раждат деца, а когато все пак родят – изпадат в депресия.

Човекът, за когото говоря, е 50-годишен, интелигентен, образован, работодател, баща, партньор, живеещ и работещ в столицата, с достъп до ток, течаща вода, интернет, модерна инфраструктура (доколкото това важи за София) и всякакви други блага на цивилизацията.

Имаше ли смисъл да обяснявам и да споря? Не.
Направих ли го? Да.

Моя грешка.
Продължаваме нататък.

Единствената причина, поради която споменавам тази история, е следната: ако покрай вас има жена, която е родила дете в последната година, питайте я какво ѝ е в главата. Може и да реши да ви сподели. Имайте предвид, че нещата, които се случват с жените след раждане, са спектър. Не всичко е клинична следродилна депресия със суицидни мисли. Има го и т.нар. baby blues, и различни други депресивно-тревожни състояния, които може и да не налагат намесата на специалист, но при всички положения налагат подкрепа.

Между другото, ние думи за тези състояния нямаме. Просто не говорим за тях, не са в полезрението ни, не са ни важни вероятно, затова и не сме си измислили думи. В този ред на мисли, баба ми и да е имала следродилна депресия, не е имала възможност изобщо да каже какво ѝ има. Камо ли да отиде да я диагностицират.

Ескимосите имат цял кош думи за лед, защото им трябват, за да назовават различните видове лед. Народите, които имат отношение към менталното здраве, разполагат с повече думи за различните състояния, защото им е важно да ги назовават точно. Ние си нямаме. Затова може и да ви е направило впечатление как изведнъж всяка втора жена в социалните мрежи е имала следродилна депресия. Не е, за да се намажат и на тази филия (поне повечето). Просто действително всяка втора жена е изпитала нещо. И вероятно не е имала с кого да го сподели, защото я е било страх и срам.

Толкова за депресиите. Минаваме към по-весели неща.

Пеевски и Борисов – титаните на българската политика. За тяхното евентуално падение и заместване с нещо друго или някой друг е тазседмичният анализ на Емилия Милчева.

На българската политическа класа и по-конкретно на тежкия еснафлък, който я тресе и облива, е посветен текстът на Валентин Вълканов. Изключително добра статия, препоръчвам горещо. 

Продължаваме с поредицата на Николета Атанасова „Несломимата Украйна“. Този път Николета разказва за ветерани, които работят във фабрики. Някои правят сувенири с вградени куршуми, други – дронове.

Имаме и страхотен материал от Екатерина Петрова, която разглежда произхода на чудната дума „калабалък“ и връзката ѝ с Швеция. Аз съм склонна да я използвам за почти всичко случващо се в България. Толкова е удобна!

Михаил Ангелов е направил подробен обзор на победителите в научните категории в тазгодишните Нобелови награди. Кои са и какъв е приносът им в съответните научни области, може да разберете от актуалните научни новини.

И последно: вижте текста на Антония Апостолова в рубриката ни „На второ четене“. Този път Антония чете „Спомен за гората“ и ни разказва защо тази малка книга е особено голяма.

Приятно четене на „Тоест“! 

Ако харесвате работата ни и искате да ни подкрепите, може да го направите от червения бутон по-долу.

Подкрепете ни

Metasploit Weekly Wrap-Up 10/18/2024

Post Syndicated from Spencer McIntyre original https://blog.rapid7.com/2024/10/18/metasploit-weekly-wrap-up-10-18-2024/

ESC15: EKUwu

Metasploit Weekly Wrap-Up 10/18/2024

AD CS continues to be a popular target for penetration testers and security practitioners. The latest escalation technique (hence the the ESC in ESC15) was discovered by Justin Bollinger with details being released just last week. This latest configuration flaw has common issuance requirements to other ESC flaws such as requiring no authorized signatures or manager approval. Additionally, templates must be schema version 1 which enables an attacker to craft a signing request with a custom set of EKU OIDs which will be present in the issued certificate. By overriding the OIDs, the template can be used in a few ways with the most useful being as a certificate enrollment agent. With a valid enrollment agent certificate, a user can issue certificates for other users which, when combined with the builtin “User” certificate, can enable Kerberos authentication to a wide variety of services.

This week’s release of Metasploit has added support to our existing AD CS related modules for identifying and exploiting ESC15.

The auxiliary/admin/ldap/ad_cs_cert_template module can be used along with the new esc15_template to create a vulnerable certificate or (by leveraging ESC4) update an existing certificate to be vulnerable to ESC15.
The auxiliary/gather/ldap_esc_vulnerable_cert_finder module has been updated to identify vulnerable certificate templates.
The auxiliary/admin/dcerpc/icpr_cer module has been updated with the new ADD_CERT_APP_POLICY option to enable users to add EKUs by OID, thus enabling exploitation of ESC15.

For exploitation steps, see the ESC15 section of our AD CS documentation.

New module content (2)

WordPress WP Fastest Cache Unauthenticated SQLi (CVE-2023-6063)

Authors: Alex Sanford, Julien Voisin, and Valentin Lobstein
Type: Auxiliary
Pull request: #19473 contributed by Chocapikk
Path: scanner/http/wp_fastest_cache_sqli
AttackerKB reference: CVE-2023-6063

Description: This adds an auxiliary module to dump user credentials through a Time-based SQL injection present in WP Fastest Cache Plugin <= 1.2.2.

BYOB Unauthenticated RCE via Arbitrary File Write and Command Injection (CVE-2024-45256, CVE-2024-45257)

Authors: Valentin Lobstein and chebuya
Type: Exploit
Pull request: #19485 contributed by Chocapikk
Path: unix/webapp/byob_unauth_rce
AttackerKB reference: CVE-2024-45257

Description: This adds an exploit module for BYOB unauthenticated RCE (CVE-2024-45256, CVE-2024-45257).

Enhanced Modules (2)

Modules which have either been enhanced, or renamed:

  • #19482 from Chocapikk – The module allows users to select between the two vulnerabilities (c_only_fields for CVE-2024-8522 and c_fields for CVE-2024-8529) and includes options such as specifying the number of rows to retrieve (COUNT).
  • #19538 from zeroSteiner – This adds support for ESC15 to various AD CS related modules.

Enhancements and features (6)

  • #19108 from smashery – Adds a new API, create_process, which supports creating processes against an open session from an array of args, rather than from a commandline string that needs to go through a subshell. This pull request also fixes multiple module compatibility issues across different session types, i.e. targeting Meterpreter/PowerShell/Cmd/Unix sessions should now behave consistently when running post exploitation and local privilege escalation modules that execute processes.
  • #19497 from Chocapikk – This adds an helper library for the development of WordPress SQLi modules.
  • #19539 from smashery – This adds functionality to keep the new LDAP sessions alive beyond a server’s idle timeout.
  • #19540 from smashery – Update Metasploit’s HTTP request User Agent strings for October 2024.
  • #19549 from zeroSteiner – This pull request includes multiple fixes and improvements to the Meterpreter payloads. zeroSteiner fixed a stdapi_fs_ls: Operation failed: 1 error when running the ls command with the Java Meterpreter. cdelafuente-r7 has updated the Java Meterpreter payload to now run on newer OpenJDK versions on Alpine Linux hosts. wolfcod has made improvements for running the C Meterpreter on Windows XP machines when creating remote threads, as well as fixing a memory leak in the sysinfo command.
  • #19561 from cdelafuente-r7 – Updates the gather/ldap_esc_vulnerable_cert_finder module to now register the detected vulnerabilities into the Metasploit database if it is currently active.

Bugs fixed (2)

  • #19495 from cdelafuente-r7 – Fixes an edgecase crash in the admin/kerberos/get_ticket module when the supplied cert_file contained a subjectAltName extension with an unexpected value present.
  • #19563 from adfoster-r7 – Updates exploits/linux/http/metabase_setup_token_rce to support older versions.

Documentation

You can find the latest Metasploit documentation on our docsite at docs.metasploit.com.

Get it

As always, you can update to the latest Metasploit Framework with msfupdate
and you can get more details on the changes since the last blog post from
GitHub:

If you are a git user, you can clone the Metasploit Framework repo (master branch) for the latest.
To install fresh without using git, you can use the open-source-only Nightly Installers or the
commercial edition Metasploit Pro

A customer’s journey with Amazon OpenSearch Ingestion pipelines

Post Syndicated from Navnit Shukla original https://aws.amazon.com/blogs/big-data/a-customers-journey-with-amazon-opensearch-ingestion-pipelines/

This is a guest post co-written with Mike Mosher, Sr. Principal Cloud Platform Network Architect at a multi-national financial credit reporting company.

I work for a multi-national financial credit reporting company that offers credit risk, fraud, targeted marketing, and automated decisioning solutions. We are an AWS early adopter and have embraced the cloud to drive digital transformation efforts. Our Cloud Center of Excellence (CCoE) team operates a global AWS Landing Zone, which includes a centralized AWS network infrastructure. We are also an AWS PrivateLink Ready Partner and offer our E-Connect solution to allow our B2B customers to connect to a range of products through private, secure, and performant connectivity.

Our E-Connect solution is a platform comprised of multiple AWS services like Application Load Balancer (ALB), Network Load Balancer (NLB), Gateway Load Balancer (GWLB), AWS Transit Gateway, AWS PrivateLink, AWS WAF, and third-party security appliances. All of these services and resources, as well as the large amount of network traffic across the platform, create a large number of logs, and we needed a solution to aggregate and organize these logs for quick analysis by our operations teams when troubleshooting the platform.

Our original design consisted of Amazon OpenSearch Service, selected for its ability to return specific log entries from extensive datasets in seconds. We also complemented this with Logstash, allowing us to use multiple filters to enrich and augment the data before sending to the OpenSearch cluster, facilitating a more comprehensive and insightful monitoring experience.

In this post, we share our journey, including the hurdles we faced, the solutions we thought about, and why we went with Amazon OpenSearch Ingestion pipelines to make our log management smoother.

Overview of the initial solution

We originally wanted to store and analyze the logs in an OpenSearch cluster, and decided to use the AWS-managed service for OpenSearch called Amazon OpenSearch Service. We also wanted to enrich these logs with Logstash, but there was no AWS-managed service for this, so we needed to deploy the application on an Amazon Elastic Compute Cloud (Amazon EC2) server. This setup meant that we had to implement a lot of maintenance of the server, including using AWS CodePipeline and AWS CodeDeploy to push new Logstash configurations to the server and restart the service. We also needed to perform server maintenance tasks such as patching and updating the operating system (OS) and the Logstash application, and monitor server resources such as Java heap, CPU, memory, and storage.

The complexity extended to validating the network path from the Logstash server to the OpenSearch cluster, incorporating checks on Access Control Lists (ACLs) and security groups, as well as routes in the VPC subnets. Scaling beyond a single EC2 server introduced considerations for managing an auto scaling group, Amazon Simple Queue Service (Amazon SQS) queues, and more. Maintaining the continuous functionality of our solution became a significant effort, diverting focus from the core tasks of operating and monitoring the platform.

The following diagram illustrates our initial architecture.

Possible solutions for us:

Our team looked at multiple options to manage the logs from this platform. We possess a Splunk solution for storing and analyzing logs, and we did assess it as a potential competitor to OpenSearch Service. However, we opted against it for several reasons:

  • Our team is more familiar with OpenSearch Service and Logstash than Splunk.
  • Amazon OpenSearch Service, being a managed service in AWS, facilitates a smoother log transfer process compared to our on-premises Splunk solution. Also, transporting logs to the on-premises Splunk cluster would incur high costs, consume bandwidth on our AWS Direct Connect connections, and introduce unnecessary complexity.
  • Splunk’s pricing structure, based on storage in GBs, proved cost-prohibitive for the volume of logs we intended to store and analyze.

Initial designs for an OpenSearch Ingestion pipeline solution

The Amazon team approached me about a new feature they were launching: Amazon OpenSearch Ingestion. This feature offered a great solution to the problems we were facing with managing EC2 instances for Logstash. First, the new feature removed all the heavy lifting from our team of managing multiple EC2 instances, scaling the servers up and down based on traffic, and monitoring the ingestion of logs and the resources of the underlying servers. Second, Amazon OpenSearch Ingestion pipelines supported most if not all of the Logstash filters we were using in our current solution, which allowed us to use the same functionality of our current solution for enriching the logs.

We were thrilled to be accepted into the AWS beta program, emerging as one of its earliest and largest adopters. Our journey began with ingesting VPC flow logs for our internet ingress platform, alongside Transit Gateway flow logs connecting all VPCs in the AWS Region. Handling such a substantial volume of logs proved to be a significant task, with Transit Gateway flow logs alone reaching upwards of 14 TB per day. As we expanded our scope to include other logs like ALB and NLB access logs and AWS WAF logs, the scale of the solution translated to higher costs.

However, our enthusiasm was somewhat dampened by the challenges we faced initially. Despite our best efforts, we encountered performance issues with the domain. Through collaborative efforts with the AWS team, we uncovered misconfigurations within our setup. We had been using instances that were inadequately sized for the volume of data we were handling. Consequently, these instances were constantly operating at maximum CPU capacity, resulting in a backlog of incoming logs. This bottleneck cascaded into our OpenSearch Ingestion pipelines, forcing them to scale up unnecessarily, even as the OpenSearch cluster struggled to keep pace.

These challenges led to a suboptimal performance from our cluster. We found ourselves unable to analyze flow logs or access logs promptly, sometimes waiting days after their creation. Additionally, the costs associated with these inefficiencies far exceeded our initial expectations.

However, with the assistance of the AWS team, we successfully addressed these issues, optimizing our setup for improved performance and cost-efficiency. This experience underscored the importance of proper configuration and collaboration in maximizing the potential of AWS services, ultimately leading to a more positive outcome for our data ingestion processes.

Optimized design for our OpenSearch Ingestion pipelines solution

We collaborated with AWS to enhance our overall solution, building a solution that is both high performing, cost-effective, and aligned with our monitoring requirements. The solution involves selectively ingesting specific log fields into the OpenSearch Service domain using an Amazon S3 Select pipeline in the pipeline source; alternative selective ingestion can also be done by filtering within pipelines. You can use include_keys and exclude_keys in your sink to filter data that’s routed to destination. We also used the built-in Index State Management feature to remove logs older than a predefined period to reduce the overall cost of the cluster.

The ingested logs in OpenSearch Service empower us to derive aggregate data, providing insights into trends and issues across the entire platform. For additional detailed analysis of these logs including all original log fields, we use Amazon Athena tables with partitioning to quickly and cost-effectively query Amazon Simple Storage Service (Amazon S3) for logs stored in Parquet format.

This comprehensive solution significantly enhances our platform visibility, reduces overall monitoring costs for handling a large log volume, and expedites our time to identify root causes when troubleshooting platform incidents.

The following diagram illustrates our optimized architecture.

Performance comparison

The following table compares the performance of the initial design with Logstash on Amazon EC2, the original OpenSearch Ingestion pipeline solution, and the optimized OpenSearch Ingestion pipeline solution.

  Initial Design with Logstash on Amazon EC2 Original Ingestion Pipeline Solution Optimized Ingestion Pipeline Solution
Maintenance Effort High: Solution required the team to manage multiple services and instances, taking effort away from managing and monitoring our platform. Low: OpenSearch Ingestion managed most of the undifferentiated heavy lifting, leaving the team to only maintain the ingestion pipeline configuration file. Low: OpenSearch Ingestion managed most of the undifferentiated heavy lifting, leaving the team to only maintain the ingestion pipeline configuration file.
Performance High: EC2 instances with Logstash could scale up and down as needed in the auto scaling group. Low: Due to insufficient resources on the OpenSearch cluster, the ingestion pipelines were constantly at max OpenSearch Compute Units (OCUs), causing log delivery to be delayed by multiple days. High: Ingestion pipelines can scale up and down in OCUs as needed.
Real-time Log Availability Medium: In order to pull, process, and deliver the large number of logs in Amazon S3, we needed a large number of EC2 instances. To save on cost, we ran fewer instances, which led to slower log delivery to OpenSearch. Low: Due to insufficient resources on the OpenSearch cluster, the ingestion pipelines were constantly at max OCUs, causing log delivery to be delayed by multiple days. High: The optimized solution was able to deliver a large number of logs to OpenSearch to be analyzed in near real time.
Cost Saving Medium: Running multiple services and instances to send logs to OpenSearch increased the cost of the overall solution. Low: Due to insufficient resources on the OpenSearch cluster, the ingestion pipelines were constantly at max OCUs, increasing the cost of the service. High: The optimized solution was able to scale the ingestion pipeline OCUs up and down as needed, which kept the overall cost low.
Overall Benefit Medium Low High

Conclusion

In this post, we highlighted my journey to build a solution using OpenSearch Service and OpenSearch Ingestion pipelines. This solution allows us to focus on analyzing logs and supporting our platform, without needing to support the infrastructure to deliver logs to OpenSearch. We also highlighted the need to optimize the service in order to increase performance and reduce cost.

As our next steps, we aim to explore the recently announced Amazon OpenSearch Service zero-ETL integration with Amazon S3 (in preview) feature within OpenSearch Service. This step is intended to further reduce the solution’s costs and provide flexibility in the timing and number of logs that are ingested.

About the Authors

Navnit Shukla serves as an AWS Specialist Solutions Architect with a focus on analytics. He possesses a strong enthusiasm for assisting clients in discovering valuable insights from their data. Through his expertise, he constructs innovative solutions that empower businesses to arrive at informed, data-driven choices. Notably, Navnit Shukla is the accomplished author of the book titled “Data Wrangling on AWS.” He can be reached via LinkedIn.

Mike Mosher is s Senior Principal Cloud Platform Network Architect at a multi-national financial credit reporting company. He has more than 16 years of experience in on-premises and cloud networking and is passionate about building new architectures on the cloud that serve customers and solve problems. Outside of work, he enjoys time with his family and traveling back home to the mountains of Colorado.

Single sign-on SSO for Amazon OpenSearch Service using SAML and Keycloak

Post Syndicated from Sajeev Attiyil Bhaskaran original https://aws.amazon.com/blogs/big-data/single-sign-on-sso-for-amazon-opensearch-service-using-saml-and-keycloak/

A standard use case for customers is to integrate existing identity providers (IdPs) with Amazon OpenSearch Service. OpenSearch Service offers built-in support for single sign-on (SSO) authentication for OpenSearch Dashboards, and uses SAML protocol. The SAML authentication for OpenSearch Service lets you integrate your existing third-party IdPs, such as Okta, Ping Identity, OneLogin, Auth0, ADFS, Azure Active Directory, and Keycloak, with OpenSearch Service dashboards.

In this post, we walk you through how to configure service provider-initiated authentication for OpenSearch Dashboards by using OpenSearch Service and Keycloak. We also discuss how to set up users, groups, and roles in Keycloak and configure their access to OpenSearch Dashboards.

Solution overview

The following diagram illustrates the SAML authentication flow for this solution.

image1

The sign-in flow consists of the following steps.

  1. The user opens a browser to navigate to the OpenSearch Dashboards endpoint of OpenSearch Service in a virtual private cloud (VPC), for example https://vpc-abc123.us-east-1.es.amazonaws.com/_dashboards.
  2. The service provider (OpenSearch Service) uses the information about the IdP (Keycloak) to generate a SAML authentication request. The service provider redirects SAML authentication requests back to the browser.
  3. The browser relays the SAML authentication request to Keycloak. Keycloak parses the SAML authentication request and asks for the user to insert their login and password to authenticate.
  4. After a successful authentication, Keycloak generates a SAML authentication response that includes authenticated user details from Keycloak and sends the encoded SAML response to the browser.
  5. The browser relays the SAML response to OpenSearch Service Assertion Consumer Service (ACS) URL.
  6. OpenSearch Service validates the SAML response. If the validation checks are passed, the user is redirected to the front page of OpenSearch Dashboards. The authorization is performed according to the roles mapped to the user.

Prerequisites

To complete this walkthrough, you should have the following set up:

  • An OpenSearch Service domain running OpenSearch or Elasticsearch version 6.7 or later with fine-grained access control enabled within a VPC.
  • Keycloak installed and configured. In this post, we created the IdP in the same VPC of the OpenSearch domain. There is no need for a direct connection between the IdP and the service provider, so you can have the IdP in a different network as well.
  • A properly configured security group for OpenSearch Service and Keycloak IdP server to receive inbound traffic from users.
  • A browser with network connectivity to both Keycloak and OpenSearch Dashboards.

Enable SAML authentication for OpenSearch Service

The first step is to enable SAML authentication for OpenSearch Service. Complete the following steps:

  1. On the OpenSearch Service console, open the details page for your OpenSearch Service domain.
  2. On the Security configuration tab, choose Edit.
  3. Select Enable SAML authentication.

image2

Enabling this option automatically populates different IdP URLs, which is required to configure SAML support in the Keycloak IdP. Note down the values under Service provider entity ID and SP-initiated SSO URL. The OpenSearch Dashboards login flow can be configured either as service provider-initiated or IdP-initiated. The service provider-initiated login flow is initiated by OpenSearch Service, and the IdP-initiated login flow is initiated by the IdP (for example, Keycloak). In this post, we use a service provider-initiated login flow.

image3

Configure Keycloak as IdP

During the SAML authentication process, when the user is authenticated, the browser receives a SAML assertion token from Keycloak and forwards it to OpenSearch Service. The OpenSearch Service domain authorizes the user with backend roles according to the attributes presented in the token.

To configure Keycloak as IdP, complete the following steps:

  1. Log in to the Keycloak IdP admin console with admin user privileges (for example, https://<Keycloak server>:8081/admin/).
  2. Choose Create Realm.
  3. For Realm name, enter a name (for example, Amazon_OpenSearch) and choose Create.

For managing OpenSearch Service specific roles, users, and groups, you first create a separate client realm that provides a logical space to manage objects.

  1. In the navigation pane, choose your realm, then choose Clients.
  2. Choose Create client.
  3. In the General Settings window, for Client type, choose SAML
  4. For Client ID, use the service provider entity ID you copied earlier, then choose Next
    image6
  5. Under Login settings, enter the service provider-initiated SSO URL copied from earlier (for example, https://vpc-abc123.us-east-1.es.amazonaws.com/_dashboards/_opendistro/_security/saml/acs) and choose Save.image7
  6. On the client settings tab, under Signature and Encryption, turn on Sign Assertions and keep all other options as default, then choose Save.
    image8
  7. On the Keys tab, under Signing keys config, turn Client signature required off.

image9

Configure Keycloak users, roles, and groups

After you have configured the Keycloak IdP client for OpenSearch Service, you can create roles, groups, and users on the IdP side. For this post, we create two roles, two groups, and two users, as listed in the following table.

Users Groups Roles
super_user_1 super_user_group super_user_role
readonly_user_1 readonly_user_group readonly_user_role

Complete the following steps:

  1. In the navigation pane for your realm, choose Realm roles.
  2. Choose Create role.image10
  3. For Role name, enter a name (for this post, super_user_role) and choose Save.image11
  4. Repeat these steps to create a second role, readonly_user_role.

Now let’s create groups, assign the roles to the groups, and map the users to the groups.

  1. Under your realm, choose Groups in the navigation pane.
  2. Choose Create group.
  3. For Name, enter a group name (for example, super_user_group) and choose Save.image12
  4. Repeat these steps to create a second group, readonly_user_group.

When the new groups are created, they will be listed on the Groups page.

image13

  1. On the details page for each group, on the Role mapping tab, choose Assign role.image14
  2. For the group super_user_group, select the role super_user_role and choose Assign.

image15

  1. Repeat these steps to assign the role readonly_user_role to the group readonly_user_group.

The last step is to create users and assign them to groups so they automatically inherit group privileges. For this post, we create two users, super_user_1 and readonly_user_1, with dashboard admin and dashboard read-only privileges, respectively.

  1. Under your realm, choose Users in the navigation pane.
  2. Choose Create new user.
  3. Under General, configure the user details, including user name, first name, last name, and email, then choose Create.

  1. Set a temporary password on the Credentials tab after you create the user.
  2. Choose Add user and repeat these steps to add your second user, readonly_user_1.
  3. To join a user to a specific group, choose Join Group on the Groups tab of the respective user.

image17

  1. Select the group the user is joining and choose Join. For example, the user super_user_1 is joining the group super_user_group.

  1. Repeat these steps for the user readonly_user_1 to join the group readonly_user_group.

Next, you can remove the default role mapping for the users because you already assigned the roles to their respective groups.

  1. On the Role Mapping tab, select the default role.
  2. Unassign the default role for the user by choosing Unassign and then Remove.
  3. Repeat these steps for the other user.

image19

  1. Choose Client scopes in the navigation pane.
  2. In the Name column, choose role_list.

image20

  1. On the Mappers tab, choose role list.

image21

  1. Turn on Single Role Attribute and choose Save.

Download SAML metadata from Keycloak

The configuration of Keycloak is now complete, so you can download the SAML metadata file from Keycloak. The SAML metadata is in XML format and is needed to configure SAML in the OpenSearch Service domain.

  1. Under your realm, choose Realm settings in the navigation pane.
  2. On the General tab, choose SAML 2.0 Identify Provider Metadata under Endpoints.image23

This will generate an IdP metadata file in another window. This XML file contains information on the provider, such as a TLS certificate, SSO endpoints, and the IdP entity ID.

  1. Download this XML file locally so you can upload this file on the OpenSearch Service console in later steps.

Integrate OpenSearch Service SAML with Keycloak

To integrate OpenSearch Service with the Keycloak IDP, you need to upload the IdP metadata XML file on the OpenSearch Service console.

  1. On the OpenSearch Service console, navigate to your domain.
  2. Choose Security configuration, then choose Edit.
  3. Under Metadata from IdP, choose Import from XML file to import the file and auto-populate the IdP entity ID.

Alternatively, you can copy and paste the contents of the entity ID property from the metadata file.

image24

  1. For SAML master backend role, enter super_user_role.

This means that a user with this role is provided manager user privileges to the cluster, but can only use permissions within OpenSearch Dashboards.

image25

  1. Expand the Additional settings section
  2. For Roles key, enter an attribute from the assertion (in our case, Role) and choose Save Changes.image26

Test the OpenSearch Dashboards SAML authentication with Keycloak

You’re now ready to test the SAML integration with Keycloak as an IdP.

  1. Choose the OpenSearch Dashboards URL provided on OpenSearch Service console.

It will automatically redirect you to the Keycloak sign-in page for authentication.

  1. Enter the admin user name (super_user_1) and password and choose Sign In.

Upon successful authentication, it will redirect you to the home page of OpenSearch Dashboards. If you encounter issues at this step, refer to SAML troubleshooting for common issues.

Internally, the security plugin maps the backend role super_user_role to the reserved security roles all_access and security_manager. Therefore, Keycloak users with the backend role super_user_role are authorized with the privileges of the manager user in the domain. To grant read-only dashboard access to user readonly_user_1, log in to OpenSearch Dashboards as the user super_user_1. Then map the role readonly_user_role as a backend role for the reserved security role opensearch_dashboards_read_only.

When establishing access control for the cluster, it’s crucial to carefully manage the permissions granted to users, adhering to the principle of least privilege. By having both super_user_role with administrative capabilities and read-only readonly_user_role, you can strike a balance. This approach allows a small number of trusted users to have full administrative access within OpenSearch Dashboards, while also enabling read-only access for other stakeholders who require visibility but don’t need more access.

At the time of writing, if you specify the <SingleLogoutService /> details in the Keycloak metadata XML, when you sign out from OpenSearch Dashboards, it will call Keycloak directly and try to sign the user out. This doesn’t work currently with some of the versions of OpenSearch Service, because Keycloak expects the sign-out request to be signed with a certificate that OpenSearch Service doesn’t currently support. If you remove <SingleLogoutService /> from the metadata XML file, OpenSearch Service will use its own internal sign-out mechanism and sign the user out on the OpenSearch Service side. No calls will be made to Keycloak for signing out.

Clean up

If you don’t want to continue using the solution, delete the resources you created:

  • OpenSearch Service domain
  • VPN and Keycloak instance

Conclusion

In this post, you learned how to configure Keycloak as an IdP to access OpenSearch Dashboards using SAML. To learn more about OpenSearch Service and SAML integration, refer to SAML authentication for OpenSearch Dashboards. Stay tuned for a series of posts focusing on SAML integrations with OpenSearch Service and Amazon OpenSearch Serverless.

About the Author

image27Sajeev is a Senior Cloud Engineer (Big Data & Analytics) and a Subject Matter Expert for Amazon OpenSearch Service. He works closely with AWS customers to provide them architectural and engineering assistance and guidance. He dives deep into big data technologies and streaming solutions and leads onsite and online sessions for customers to design the best solutions for their use cases.

Закон за управление на информационните и комуникационните технологии в обществения сектор

Post Syndicated from Bozho original https://blog.bozho.net/blog/4412

Ключова реформа, без която няма да имаме устойчива дигитализация в обществения сектор, е приемането на изцяло нов закон за управление на информационните и комуникационните технологии в обществения сектор, за да може всички дигитални инициативи да бъдат успешни и държавата да може да си управлява информационните технологии адекватно, вкл. по отношение на киберсигурността и ограничаването на чуждестранни цифрови влияния.

Подготвили сме този закон, с който да се поправят множество системни проблеми, които сме идентифицирали в последните години. В предстоящата дълга публикация ще опиша основните направления, в т.ч.:

  • Преструктуриране на административните структури
  • Споделени ИТ услуги
  • Споделени ресурси на електронното управление
  • Рамкови споразумения и системна интеграция
  • Въвеждане на нови ръководни длъжности за дигитална трансформация
  • Централен орган за покупки
  • Стандартизация на експлоатацията
  • Предварително обсъждане на технически спецификации
  • Механизми за установяване и покриване на нуждите

Преструктуриране на административните структури

В момента структурата на Министерството на електронното управление включва една инфраструктурна агенция, която се занимава с мрежи и облак и самото министерство, което се занимава с политики. Темата „киберсигурност“ е разделена между двете, а има и Информационно обслужване, чийто принципал е министърът, което се занимава с т.нар. „системна интеграция“. Със закона целта е да се стигне до следната структура: министерство, агенция за киберсигурност, агенция за споделени услуги и ресурси и системен интегратор (Информационно обслужване).

Агенцията за споделени услуги и ресурси ще се занимава, както и досега, с поддръжката и развитието на държавния облак, на единната електронна съобщенителна мрежа, както и на хоризонталните системи на електорнното управление. Двете агенции ще работят по специален класификатор на длъжностите и ще имат облекчена структура спрямо другите административни стурктури, защото иначе би се получило излишно раздуване на щат. По отноешние на т.нар. обща администрация, ще използват тази на министерството като споделена (напр. по отношение на управление на човешки ресурси).

Агенцията за киберсигурност, освен с настоящите задължения на МЕУ и изпълнителната агенция по линия на киберсигурността, и бъдещите задължения по втората директива за мрежова и информационна сигурност, ще трябва да извършва дейности по противодействие на чуждестранна намеса в информационното пространство. Дефиницията и функциите на агенцията в това отношение са заимствени от френската агенция VIGINUM, като дефиницията е: координирана информационна намеса, която отговаря на всяко от следните условия: а) насочена е срещу основен интерес на страната; б) използва информация, която е едновременно невярна и опасна; в) използва неавтентични методи за разпространение на информацията; г) произтича с висока степен на вероятност от трета страна;“.

Споделени ИКТ услуги

В администрацията има множество дейности, които могат да бъдат изнесени от администрациите и споделяни (от т.нар. центрове за споделени услуги – практика, използвана в бизнеса отдавна). Със закона се дефинира кръгът на тези услуги (напр. поддръжка на мрежи, на периферни устройства, специализирани одити, управление на проекти и много други). Съз законопроекта се въвежда класификатор на услугите, както и детайлизиране на видовете услуги.

Началото на такава реформа дадохме през 2022 г., като събрахме информация от всички администрации за дейности по поддръжка, като целта беше да преназначим всички в изпълнителната агенция към министерството, което позволява по-добро управление на човешките ресурси, по-адекватно заплащане, стандартизиране и централизиране на процеси, изпозлване на единни информационни системи и др.

Отделно от това, в секторите „Образование“ и „Здравеопазване“ следва да бъдат създадени териториални центрове за споделени услуги, които да обслужваат лечебни и здравни заведения и училища и детски градини. Общините ще могат да се групират, за да ползват такива споделени услуги.

Споделени ресурси на електронното управление

Споделените ресурси на електронното управление са централизираните системи, които могат (и трябва) да се ползват от всички администрации. Това в момента включва: държавния облак, единната електронна съобщителна мрежа, защитения интернет възел (internet exchange), както и хоризонталните системи на електронното управление: системата за междурегистров обмен (RegiX), системата за електронна автентикация, системата за сигурно електронно връчване, портала за електронно управление egov.bg, системата за електронни плащания pay.egov.bg.

Към тези системи в законопроекта се добавят няколко други, които са от изключителна важност за киберсигурността и проследимостта на действията и трябва да бъдат въведени максимално бързо: централизиран; регистър за проследимост на събитията и централизирана система за оторизиране и проследяване на администраторските достъпи.

Създава се и правна рамка за устойчивото развитие на тези системи, както и задължение за тяхното използване – вместо всяка администрация сама да си купува хардуер, всички да са длъжни да използват държавния облак, който пък от своя страна следа да бъде развит до качествена „инфраструктура като услуга“, а не както е в момента – ръчно-крачен режим за заявяване на виртуални машини.

Предвижда се и фонд за развитие на софтуера с отворен код, по примера на Германия и други държави, които финансират разработването на ключови за държавната администрация компоненти с отворен код.

Рамкови споразумения и системна интеграция

Основен дефицит на управлението на информационните технологии е липсата на предвидимост и на гъвкавост. Изграждането на нови системи отнема години (а понякога – десетилетие), дори дребни нови функционалности са много отвъд сроковете. Идентифицираните нужди преминават през бавен процес и докато се стигне до това, те да бъдат обезпечени, изискванията са се променили.

В други европейски държави се използват два подхода, понякога в комбинация – рамкови споразумения и национален системен интегратор. В подготвения законопроект има и двата.

Рамковите споразумения по образец, одобрен от МЕУ, следа да покриват основни ИТ услуги, от които има нужда администрацията. Те следва да бъдат сключвани от министерства и да могат да се използват в цялата структура на министерството (т.е. и от всички агенции към него). По този начин ще се постигне бързина и икономии от мащаба. Най-често тези рамкови споразумения биха били с консорциуми, защото спектърът от услуги е доста широк и няма много компании, които да предлагат целия набор на достатъчно добро ниво. Това ще намали разходите, тъй като ще се заплаща на малки части, при реална нужда, а не както в момента – на големи парчета, при които възможността за оценка на разходите е трудна.

Този ред ще е приложим за повечето институции. За няколко специфични институции ще се прилага същият подход, но с точно определен интегратор – по всяка вероятност Информационно обслужване. Точният кръг на администрациите, които със закон ще бъдат определени да използват услугите на системния интегратор, ще може да се обновява веднъж годишно през Закона за бюджета, а не както в момента – понякога на всеки 2 седмици с решение на Министерския съвет.

Този подход се използва в доста европейски държави, като системният интегратор (държавна собственост) се явява лице, осъществяващо публични функции и гарантира устойчивост на ключови регистри и системи в държавата. Развил съм тази концепция още през 2021 г., като смятам, че електронното управление вече е основна функция на държавата и тя не може да бъде аутсорсната по отношение на някои критични дейности. Например ако Търговският регистър спре, държавата се срива. Ако данните от имотния регистър се загубят, имаме сериозен проблем (макар нотариалните актове да са при собствениците). Ако частно лице има достъп до цялата здравна информация на всички пациенти, се създава сериозен риск. Още повече, че в някои случаи има квази-монополиация от една фирма, поради т.нар. vendor lock-in. За да се избегнат тези рискове, е нужен вътрешен за държавата капацитет за основни ИТ услуги.

В същото време, такава концентрация на ключови системи в системния интегратор крие рискове. За ограничаване на тези рискове, в законопроекта се въвеждат редица контролни механизми, в т.ч.: одит от Сметната палата на цялостната дейност, забрана за участие в открити процедури (което би било проблем за конкуренцията, защото интеграторът може да субсидира участието в открити процедури със „сигурните пари“, които получава като лице, осъществяващо публична функция с изкючителни права), въвеждане на двустепенна форма на управление, изслушване на изпълнителния директор в ресорната парламентарна комисия преди назначаване (което задължително е с конкурс), ограничения за превъзлагане, годишни отчети за дейността и най-вече – пълна прозрачност на дейността и на финансирането от държавата.

Тук обикновено има реакция „как така държавата ще прави тези неща сама, това е комунизъм“. Но както писах по-горе, това е основна функция на държавата в 21-ви век. Както държавата не си аутсорства армията и полицията, така според мен не може да си аутсорства дългсорочното познание за ключови регистри. Може някои дейности да бъдат възлагани на външни изпълнители, но основното познание за тези ключови системи трябва да остане вътре в държавата, за да се избегнат зависимости. Едно е да наемеш фирма да ти построи и поддържа път, друго е никой в държавта да не знае как работи системата за обществени поръчки, напр.

Другият аргумент е, че за да аутсорснеш нещо (което ще бъдат мнозинството от дейностите в ИКТ), трявва да имаш вътрешен капацитет да управляваш аутсорсинга. Напр. чрез (споделен) project management office, чрез професионално консултиране на подготовката на технически спецификации, чрез експертно участие в приемането на резултата – особено при приемането в момента има сериозни дефицити, защото по спецификация се поръчва Мерцедес (образно казано), а накрая се получава Москвич с ламарини на Мерцедес, обаче никой в приемателната комисия не разбира, не може да отвори капака и подписва.

Комбинацията от рамкови споразумения, системна интеграция, споделени услуги и ресурси, и развиване на вътрешния капацитет за управление на ИКТ в администрациите (описан в следващата точка), ще даде възможност държавата най-накрая да влезе в релси с информационните технологии.

Въвеждане на нови ръководни длъжности за дигитална трансформация

В администрацията в момента няма определена длъжност с лидерска роля в информационните технологии. Обикновено ИТ директорът (с малки изключения), не участва в стратегическото развитие на администрацията, на нейните услуги и вътрешни процеси. ИТ директорът организира наличието на интернет, компютри и принтери, да се купят лицензи за софтуера за информационна сигурност, и участва в писането на технически спецификации за обществени поръчки. Нужно е да има Chief Information Officer, който да се занимава не просто с технологичната част, а с промяната на вътрешните процеси и да докладва директно на министъра, а не да е „в трета глуха“ на административната йерархия, някъде като началник на отдел в общтата администрация. Затова предлагаме създаването на „Секретар по информационни технологии“, с ясно определени правомощия в Закона за администрацията.

Паралелно с това предлагаме и регламентиране на законово ниво на т.нар. Chief information security officer, или в случая – секретар по информационна сигурност. В момента такива трябва да има по силата на подзаконовата уредба към Закона за киберсигурност, но много често тази длъжност или е незаета, или се съвместява от някой друг, или се аутсорства, или се дава на човек, който е сравнително ниско в йерархията. Затова въвеждането на законово ниво, с ясни функции, трябва да подобри това, като в същото време, в комбинация с повишеното заплащане за ИТ длъжности, да привлече компетентни експерти.

Третата роля е секретар по управление на риска – chief risk officer. Рискът е нещо трудно да осмисляне в администрацията, която работи по строги процеси, но по много причини е важно да има човек с екип, който да управлява рисковете. Всяка административна структура има различни рискове, които в момента не се управляват, а ИТ рисковете са само част от тях.

В законопроекта се предвижда и отделен раздел на класификатора по Закона за държавния служител, предвиден само за ИТ длъжности.

Централен орган за покупки

В администрацията постоянно се купуват стандартни неща – лаптопи, принтери, лицензи за често-срещан софтуер. В много държави това е организирано през т.нар. „централен орган за покупки“, където има сключени рамкови споразумения с максимални отстъпки (поради големия обем), и след това купуването става (образно казано) с едно натискане на мишката, вместо едногодишни процедури по ЗОП или по-кратки, под праговете, които в следващите години „избухват“ като цена. В някои случаи към тези покупки има нужда и от услуги по внедряване, които също ще бъдат предоставяни през системата, от оторизираните партньори на съответния доставчик, на предварително определени цени.

По този начин ще бъдат спестени средства (заради по-големите отстъпки) и време (заради по-бързия процес) по закупуване и внедряване в експлоатация. Централният орган за покупки ще е задължителен за централната администрация, но ще може да се използва и от местната и от съдебната власт, по тяхна преценка.

Със закона се предвижда централният орган за покупки за ИКТ да бъде към Министерството на електронното управление. Такъв беше заложен и в програмата на предишното редовно правителство, но уреждането му на законово ниво повишава шанса да бъде изпълнен по правилния начин.

Стандартизация на експлоатацията

В момента внедряването в експлоатация на системи е на етап „дивия запад“. Кое как се внедрява, как се правят промени в продукционна среда, какво се мониторира и как се реагира, какво се одитира – всичко е ad-hoc, и често не се случва. Системи падат, защото никой не ги мониторира, в продукционна среда се внедряват неща, които не са тесвани; системите в продукционна среда се различават от това, което е предадено на възложителя.

Затова със законопроекта се въвежда стандартизиран ред за внедряване в експлоатация, задължения за мониторинг, както и за оперативна устойчивост – предвижда се разпоредбите на DORA (регламент за финансовия сектор) да се прилагат и за системи със стратегическо значение. Въвежда се и задължение за регулярни специализирани одити на стратегически системи.

Със законопроекта се въвежда т.нар. total cost of ownership (обща цена за притежаване на активите). Към момента такива изчисления не се правят при избор на дадена технология, продукт или подход (build vs buy). И често държавата харчи пари за изцяло нова разработка на нещо, което съществува на по-ниска цена или обратното – плаща прескъпи лицензи за продукти, чиято функционалност използва на 5% и може да разработи сравнително лесно. Сходен проблем има и при закупуването на лицензи, особено при все по-популярния subscription модел. Затова се въвежда задължение за изчисляване на TCO.

Предварително обсъждане на технически спецификации

Един от проблемите, който се забелязва във всички сектори, но и в конкретно в ИТ, е че техническата спецификация се появява на бял свят с обявяването на обществената поръчка. Това води до следния проблем: ако в нея има проблеми, недообмислени апсекти, заключващи критерии за конкретен доставчик, единственият начин тя да се промени, е да се прекрати процедурата, което пък води до допълнително забавяне.

Затова със законопроекта се въвежда предварителна стъпка на обществено обсъждане на техническите спецификации, за да може всички участници да преценят има ли дискриминационни критерии или изисквания, чието изпълнение би създало рискове за целия проект.

Механизми за установяване и покриване на нуждите

Информационните технологии са изключително динамични, нови решения на стари проблеми се появяват непрекъснато, а съществуващите решения търпят съществени промени, вкл. концептуални. Законът за обществените поръчки дава формалната част на възлагането, но не дава структуриран процес на предшестващите стъпки. Със законопроекта се въвежда конкретика в процесите по установяване на нуждите на организациите и начините за тяхното покриване.

Понякога решението е „build vs buy“ (да изградиш нова система или да си купиш лиценз за съществуваща, която да „настроиш“ спрямо твоите нужди), понякога има решения, за които администрацията дори не подозира, че могат да решат техни дългогодишни проблеми в дадена сфера, понякога, за да стигнеш до работеща концепция, е нужно да получиш обратна връзка от бизнес какви са възможните подходи.

Ако някоя администрация подходи по-креативно към тези проблеми, това оставя съмнения за злоупотреби: напр. защо питаш фирмите да ти кажат как да подходиш към проблема? Защо приемаш фирма Х, която да ти предложи иновативно решение? Защо внедряваш пилотно продукт, който не си избрал по реда на ЗОП, и след това не получава ли той примущество? Затова със законпроекта се въвждат няколко такива механизма, по които процесите да бъдат ясни и да се ограничи риска от злоупотреби: пазарно проучване (да не се бърка с пазарна консултация, което е съществуващ ред в ЗОП), заявка за предложения (request for offer), пилотно внедряване (с гаранции, че това няма да даде преимущество при последваща процедура по ЗОП), диалог за иновации (при който съвместно се идентифицират проблеми и потенциални решения). Всяка една стъпка от тези процеси се документира и публикува, така че да има пълна проследимост и прозрачност.

Заключение

Законопроектът е с много широк обхват и прави съществена реформа във всички структури на държавата. Смятам, че такъв е крайно необходим, за да може държавата да изпълнява основните си функции в 21-ви век, да намали разходите за ИКТ, да повиши качеството на предоставяните услуги и да гарантира устойчивост на информационните си ресурси.

Материалът Закон за управление на информационните и комуникационните технологии в обществения сектор е публикуван за пръв път на БЛОГодаря.

[$] The long road to lazy preemption

Post Syndicated from corbet original https://lwn.net/Articles/994322/

The kernel’s CPU scheduler currently offers several preemption modes that
implement a range of tradeoffs between system throughput and response time.
Back in September 2023, a discussion
on scheduling led to the concept of “lazy preemption”, which could
simplify scheduling in the kernel while providing better results. Things
went quiet for a while, but lazy preemption has returned in the form of this patch series
from Peter Zijlstra. While the concept appears to work well, there is
still a fair amount of work to be done.

Justice Department Indicts Tech CEO for Falsifying Security Certifications

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2024/10/justice-department-indicts-tech-ceo-for-falsifying-security-certifications.html

The Wall Street Journal is reporting that the CEO of a still unnamed company has been indicted for creating a fake auditing company to falsify security certifications in order to win government business.