Yearly Archives: 2024

[$] Smart pointers for the kernel

Post Syndicated from daroc original https://lwn.net/Articles/992055/

Rust has a plethora of smart-pointer types, including reference-counted
pointers, which have special support in the compiler to make them
easier to use. The Rust-for-Linux project would like to reap those same benefits
for its smart pointers, which need to be written by hand to conform to
the

Linux kernel
memory model. Xiangfei Ding
presented at Kangrejos about the work to enable custom
smart pointers to function the same as built-in smart pointers.

The Main Components of an Attack Surface Management (ASM) Strategy

Post Syndicated from Jon Schipp original https://blog.rapid7.com/2024/10/04/the-main-components-of-an-attack-surface-management-asm-strategy/

The Main Components of an Attack Surface Management (ASM) Strategy

In part one of this blog series, we looked at some of the core challenges that are driving the demand for a new approach to Attack Surface Management. In this second blog I explore some of the key technology approaches to ASM and also some of the core asset types we need to understand. We can break the attack surface down into two key perspectives (or generalized network locations), each of which covers hybrid environments (Cloud, On-Premise):

  • External (EASM) – Public facing, internet exposed cyber assets
  • Internal  – Private network accessible cyber assets

External (EASM)

Today, most available ASM solutions are focused on External Attack Surface Management (EASM) which provides an attacker’s perspective of an organization, an outside-in view. In fact, it’s common for organizations, and some analyst firms,  to refer to EASM as ASM. However, while this is important, it is only a small, and partial view of the attack surface in most organizations.

EASM seeks to understand an organization’s external attack surface by collecting telemetry about an organization’s internet exposed, public facing assets. This telemetry is derived from different data sources such as vulnerability & port scans, system fingerprinting, domain name searches, TLS certificate analysis and more. It provides valuable insights into the low hanging fruit that attackers will target. Core EASM capability is the equivalent of pointing a vulnerability scanner at your known external IP address range.However, unless your external environment is most of your business, this visibility alone is not enough and leaves organization’s with a limited, partial view of their attack surface.

Internal

The internal attack surface is often the largest portion of an organization’s digital footprint. Attackers frequently gain footholds in organization’s through identity, ransomware, and supply-chain attacks, among many other attack vectors. Organization’s need visibility into their internal attack surface to gain real insight into their digital estate and to be able to reduce their risk by understanding how their most vulnerable and business critical systems are connected, monitored, and protected.

Today, most organizations that have adopted an ASM approach are manually correlating asset information in spreadsheets from various sources to combine business context with the security controls deployed on those assets so they can answer basic questions about their security tool coverage & deployment gaps, and measure their compliance adherence.

The data sources in these spreadsheets typically include their directory services such as Active Directory, combined with outputs from common security controls such as EDR or vulnerability scanning.. Not only is this manual process time-consuming but the information is often out of date by the next morning.

Organization’s need a more scalable solution to this problem, which has led to the development of CAASM solutions to address this challenge..

Introducing CAASM, a new approach to attack surface and exposure management

Over the last few years an approach has emerged to address the attack surface discovery & visibility problem in a scalable, holistic way. It’s a long acronym that stands for Cyber Asset Attack Surface Management (CAASM).

CAASM is the security team’s take on asset management, but it’s much more than that. It addresses the internal visibility problem by aggregating and correlating asset information across an organization’s security and IT tools, providing a clearer, more accurate picture of an organization’s attack surface. Foundational to CAASM is a correlation engine and data model that builds relationships across different types of assets, controls, exposures and more.  This technology is able to provide the best representation of an asset with full context from IT and security tools. It enables IT, SecOps, DevOps, and CloudOps teams to operate with the same information by breaking tool sprawl and data silos, enabling better visibility, communication, prioritization, and remediation of risk.

CAASM solutions work by ingesting data from IT, business applications, and security tools through simple API integrations that pull in asset data from each respective tool on a continuous basis, identifying unique assets through aggregation, de-duplication and correlation. This provides the best picture of your digital estate by breaking down the data silos and tool deployment gaps.  The more data you ingest from your environment the more accurate the picture of your attack surface becomes.

These solutions are continuing to evolve today to treat identities as assets, create software inventories, and map SaaS applications as part of the attack surface. When seeking a holistic attack surface solution, you should ensure it includes the following key features for optimal visibility:

  • External Attack Surface Management
  • Internal Attack Surface Management
  • Unified data correlation engine
  • Cloud resource aware
  • Identities
  • Software Inventory

Key Asset Types to Drive Attack Surface Visibility

NIST has a definition of asset that is very broad but will suffice for this article:

“An item of value to stakeholders…the value of an asset is determined by stakeholders in consideration of loss concerns across the entire system life cycle. Such concerns include but are not limited to business or mission concerns.

Based on this definition, we will further narrow down the scope to focus on types of cyber assets that add the most value in understanding the Attack Surface. Let’s start with the most basic: machines.

Traditional Assets (Machines)

Often referred to simply as “assets,” these primarily include your employee and business application compute devices,  such as workstations and servers. Due to the fast paced evolution of digital infrastructure, this definition is quickly expanding to include infrastructure like virtual machines, containers, and object stores, or new asset categories are being created in  Attack Surface Management solutions. The important thing is to make sure you have visibility into the cyber assets in your organization, however they’re defined.

Identities

Identities are the new perimeter, as some say, and are valuable assets to the business because they grant access to the business’s resources. Identity data suffers from the same data silo problems as other assets. Your company email address, for example, is typically used to authenticate and access many different business services and applications. If we can correlate data from sources like Active Directory, Okta, Google Suite, Office 365, KnowBe4 security training, we can provide security and IAM teams with visibility into not just the identities within the organization, but also key challenges in the identity attack surface, such as identities that have MFA disabled but also have Administrator access to key services.

A common challenge with identity discovery and attack surface management is that security teams attempt to map it using threat data. There is a significant difference in accuracy between detection rules and the identity source. For example, a service account that is actively enabled may be missed by aSIEM/XDR solution due to a lack of recent log activity, therefore excluding it from reports. By inventorying identities as assets, we can gather the status of the service account directly from the data source’s API. Both the identity telemetry data from the source (e.g. Okta, AD) and threat data (e.g SIEM/XDR) can be leveraged to give a more accurate picture of the state of the environment.

Software Inventory

With the rise of supply-chain attacks and the increased presence of unapproved or outdated software, visibility into software has become a key part of understanding your attack surface. Inventorying all software installed and running on an assets, combined with security context around that software from vulnerability scanners, NGAV and Threat Intelligence, gives teams the best visibility into understanding and measuring the risks posed by unapproved or unauthorized code. A software inventory helps answer questions like:

  • Which of my machines are running software that has a new, high-risk vulnerability?
  • Which machines are running legacy or outdated software?
  • What is the most vulnerable software in my environment that we should prioritize for remediation?
  • Am I over utilizing an application license?

Other types of ‘software adjacent’ assets include SaaS applications and web applications.

Now that we have identified the three major types of business assets to monitor in your attack surface, in the next blog we will explore how ASM solutions discover the assets in your environment and what to watch out for to ensure you have the best discovery capabilities so that you’re not missing large portions of your attack surface.

oath-toolkit: privilege escalation in pam_oath.so (SUSE Security Team Blog)

Post Syndicated from jzb original https://lwn.net/Articles/992948/

The SUSE Security Team Blog has a detailed
report on its discovery of a privilege escalation in the
oath-toolkit,
which provides libraries and utilities for managing one-time password
(OTP) authentication.

Fellow SUSE engineer Fabian Vogt approached our Security Team about
the project’s PAM module. A couple of years ago, the module gained a
feature which allows to place the OTP state file (called usersfile) in
the home directory of the to-be-authenticated user. Fabian noticed
that the PAM module performs unsafe file operations in users’ home
directories. Since PAM stacks typically run as root, this can easily
cause security issues.

Сигнал до “Биволъ” Ловният сезон стартира със сигнали за бракониерство на Витоша

Post Syndicated from Николай Марченко original https://bivol.bg/loven-sezon-vitosha.html

петък 4 октомври 2024


Прекомерната сеч, незаконните пътища, системното бракониерство и безразборен офроуд са част от сигнала от ловци и служители за едно от най-богатите държавни ловни стопанства, където се разполага и някогашната резиденция…

Designing Serverless Integration Patterns for Large Language Models (LLMs)

Post Syndicated from Chris McPeek original https://aws.amazon.com/blogs/compute/designing-serverless-integration-patterns-for-large-language-models-llms/

This post is written by Josh Hart, Principal Solutions Architect and Thomas Moore, Senior Solutions Architect

This post explores best practice integration patterns for using large language models (LLMs) in serverless applications. These approaches optimize performance, resource utilization, and resilience when incorporating generative AI capabilities into your serverless architecture.

Overview of serverless, LLMs and example use case

Organizations of all shapes and sizes are harnessing LLMs to build generative AI applications to deliver new customer experiences. Serverless technologies such as AWS Lambda, AWS Step Functions and Amazon API Gateway enable you to move from idea to market faster without thinking about servers. The pay-for-use billing model also allows for increased agility at an optimal cost.

The examples in this post leverage Amazon Bedrock, a fully managed service to access foundation models (FMs). The same principles apply to LLMs hosted on other platforms such as Amazon SageMaker. Amazon Bedrock allows developers to consume LLMs via an API without the complexities of infrastructure management. Amazon SageMaker is a fully managed service to build, train and deploy machine learning models.

The example use-case in this post is leveraging LLMs to create compelling marketing content for the launch of a new family SUV. Images of the vehicle were pre-generated using Amazon Titan Image Generator in Amazon Bedrock, which are shown below.

Three different images of a new family SUV generated by Amazon Titan Image Generator.

Example use case images generated using Titan Image Generator

As organizations adopt LLMs to power generative AI applications, serverless architectures offer an attractive approach for rapid development and cost-effective scaling. The following sections explore several serverless integration patterns to build cost-effective, performant, and fault-tolerant generative AI applications.

Direct AWS Lambda call

Architecture diagram showing AWS Lambda invoking Amazon Bedrock using the InvokeModel API call.

Direct call to Amazon Bedrock from AWS Lambda

The simplest serverless integration pattern is directly calling Bedrock in Lambda using the AWS SDK. Below is an example Lambda function using the Python SDK (boto3), calling the Bedrock InvokeModel API.

import json
import boto3
brt = boto3.client(service_name='bedrock-runtime')

def lambda_handler(event, context):
    body = json.dumps({
        "anthropic_version": "bedrock-2023-05-31",
        "max_tokens": 1000,
        "messages": [{
            "role": "user",
            "content": [{
                "type": "text",
                "text":"Create a 500 word car advert given these images and the following specification: \n {}".format(event['spec'])
            },
            {
                "type": "image",
                "source": {
                    "type": "base64",
                    "media_type": "image/jpeg",
                    "data": event['image']
                }
            }]
        }]
    })

    modelId = 'anthropic.claude-3-sonnet-20240229-v1:0'
    accept = 'application/json'
    contentType = 'application/json'
    response = brt.invoke_model(body=body, modelId=modelId, accept=accept, contentType=contentType)
    response_body = json.loads(response.get('body').read())

    return {
        'statusCode': 200,
        'body': response_body["content"][0]["text"]
    }

The above code requires the Lambda function execution role to have the correct AWS Identity and Access Management (IAM) permissions to Amazon Bedrock, specifically the bedrock:InvokeModel action.

The example uses the Anthropic Claude 3 Sonnet LLM and the Anthropic Claude Messages API for the payload. The InvokeModel call is synchronous and will therefore wait for a response from the LLM. Depending on the model and prompt, the call can take several seconds. Ensure your Lambda function timeout is set appropriately. In most cases it will need to be increased from the default of 3 seconds.

The boto3 client has a default timeout of 60 seconds. Depending on the use case, you may need to increase the boto3 client timeout as shown in the sample code below.

from botocore.config import Config
# Set the read timeout to 600 seconds (10 minutes)
config = Config(read_timeout=600)

# Create the Bedrock client with the custom read timeout configuration
boto3_bedrock = boto3.client(service_name='bedrock-runtime', config=config)

When working with LLMs, the generated text is often substantial, leading to increased response times or even timeouts. Amazon Bedrock provides the ability to stream responses using InvokeModelWithResponseStream which allows you to process and consume the generated text in chunks as it becomes available. This enables a faster response to the client and allows at least a partial response even if a timeout occurs.

When using response streaming with Lambda functions you should set the boto3 read_timeout to a lower value than the function execution timeout, meaning you will have the option to return at least some content. In some situations this is preferred to no response at all. For example, you might set your Lambda function timeout to 2 minutes and your boto3 read timeout to 90 seconds. This gives you 30 seconds to take additional action. Depending on the failure scenario, you might take various actions:

  • Transient errors such as rate limiting or service quotas: Consider backing off and retrying the request or load-balancing requests to another region with cross-region inference.
  • Timeout errors when the boto3 read timeout is hit: Decide whether to retry the request with a simplified prompt (or a shorter response length) or return a partial response.

Prompt chaining with AWS Step Functions    

The direct Lambda pattern works well for simple single-prompt inference. Accomplishing complex tasks with LLMs requires a technique called prompt chaining, where tasks are broken down into smaller well-defined subtask prompts and each prompt is fed to the LLM in a defined order.

Prompt chaining inside a single Lambda function can be time consuming, and may exceed the maximum Lambda timeout of 15 minutes in some cases. AWS Step Functions can be used to solve this issue by orchestrating calls to LLMs. Bedrock has an optimized integration for Step Functions which allows you to use Run as Job (.sync). This integration pattern means Step Functions will wait for the InvokeModel request to complete before progressing to the next state. With Step Functions Standard Workflows you only pay for state transitions, which reduces the cost for Lambda idle wait time.

The below example shows prompt chaining with Step Functions using direct integrations only. The example eliminates the need of custom Lambda code.

Workflow diagram for AWS Step Functions showing an example prompt chain to generate different text content for showroom vehicles.

Prompt chaining using AWS Step Functions

  1. The user input (vehicle description) is passed to Amazon Bedrock via the Step Functions optimized integration.
  2. The generated output of the InvokeModel API call is passed via the ResultPath to the next step.
  3. The state machine sets the input of the next step based on the output of the previous step using the Pass state.
  4. The output of each inference request continues to be passed between each step in the workflow.
  5. The last step runs an inference request and the final result is returned as the output of the state machine.

Another advantage to using AWS Step Functions to invoke the LLM is the built-in error handling. Step Functions can be setup to automatically retry on error and allows you to configure a backoff rate and add jitter to help control throttling. No custom coding is required.

View of the different error handling options in AWS Step Functions for a particular action. Including internal, max attempts, backoff rate, max delay and jitter.

Built-in error handling options for an action in an AWS Step Functions workflow

Handling throttling is particularly important when you are approaching the Bedrock service quota limits, such as the number of requests processed per minute for a particular model. Be aware that some limits are hard limits and cannot be adjusted. See the Bedrock service quotas documentation for the latest information.

Parallel prompts with AWS Step Functions

The performance of the application can be improved by breaking down tasks into smaller sub-tasks and running them in parallel. This can dramatically decrease the overall response time, especially for larger models and complex prompts. In the following example, parallel processing reduced the total execution time of the state machine from 30.8 seconds to 19.2 seconds, an improvement of 37.7% when compared to the same steps run in sequence.

The below example uses the Step Functions parallel state to perform Bedrock InvokeModel actions in parallel.

Example workflow showing prompt chaining using the AWS Step Functions parallel state.

Prompt chaining example using parallel state in AWS Step Functions

  1. The user input (vehicle description) is passed to Amazon Bedrock via the Step Functions optimized integration.
  2. The Step Functions parallel state allows branching logic to perform multiple steps in parallel.
  3. Complex inference tasks are run in parallel to reduce end-to-end execution time.
  4. Shorter tasks can be combined to balance branch execution time with longer running tasks.
  5. The generated output is combined and the final response returned.

In addition to the parallel state, the Step Functions map state can be used to run the same action multiple times in parallel with different inputs. For example if you wanted to generate marketing materials for 100 vehicles with data stored in Amazon S3 you could run the above workflow nested in a distributed map state.

Result caching

Generating text using LLMs can be a computationally intensive and a time-consuming process, especially for complex prompts or long content generation. To improve performance and reduce latency, caching should be used where possible by storing and reusing previously generated responses. This concept is explored in detail in Mastering LLM Caching for Next-Generation AI.

Caching can be implemented at different levels within your application architecture, each with its own advantages and trade-offs. Here are some examples:

  1. Caching inside the Lambda execution environment: if your Lambda function receives repeated prompts or inputs, you can store these results inside memory or the /tmp directory of a warmed execution environment.
  2. External caching services: to overcome the limitations of in-memory caching and leverage more robust caching solutions, you can integrate with external services to store previous results like Amazon ElastiCache (for Redis or Memcached) or Amazon DynamoDB.

The example below uses a Step Functions workflow to check for a cached response in DynamoDB before invoking the model. The cache key in this case could be the LLM prompt. This helps to reduce costs whilst improving performance. The example generates custom vehicle descriptions based on a particular persona, for example to focus on safety features and luggage space for a family, or performance specifications for a motorsport enthusiast.

Example AWS Step Functions workflow that uses Amazon DynamoDB to store and retrieve previously generated LLM responses.

Example AWS Step Functions that uses Amazon DynamoDB to cache LLM responses

When implementing caching, it is crucial to consider factors such as cache invalidation strategies, cache size limitations, and data consistency requirements. For example, if your LLM generates dynamic or personalized content, caching may not be suitable, as the responses could be stale or incorrect for different users or contexts.

Conclusion

This post explored integration patterns for consuming LLMs in serverless applications, enabling an efficient and reliable next generation experience for customers. Single-prompt inference can be achieved with AWS Lambda using the AWS SDK.

Responses from LLMs can be large and often leads to manipulating large text responses in memory, especially for Retrieval-Augmented Generation (RAG) use cases. It’s therefore important to select an optimal memory configuration for your function, and the recommended way to do this is using the AWS Lambda Power Tuning.

When more complex prompt chaining is required it’s best practice to explore Step Functions as a way to reduce idle wait time and avoid being limited by the Lambda 15 minute timeout. Step Functions also bring the benefits of an optimized integration for Bedrock, as well as the ability to handle errors and run tasks in parallel.

Remember that model choice is also an important consideration to balance cost, performance and output capabilities. This is discussed further in Choose the best foundational model for your AI applications.

To find more serverless patterns using Amazon Bedrock take a look at Serverless Land.

How Banfico built an Open Banking and Payment Services Directive (PSD2) compliance solution on AWS

Post Syndicated from Otis Antoniou original https://aws.amazon.com/blogs/architecture/how-banfico-built-an-open-banking-and-payment-services-directive-psd2-compliance-solution-on-aws/

This post was co-written with Paulo Barbosa, the COO of Banfico. 

Introduction

Banfico is a London-based FinTech company, providing market-leading Open Banking regulatory compliance solutions. Over 185 leading Financial Institutions and FinTech companies use Banfico to streamline their compliance process and deliver the future of banking.

Under the EU’s revised PSD2, banks can use application programming interfaces (APIs) to securely share financial data with licensed and approved third-party providers (TPPs), when there is customer consent. For example, this can allow you to track your bank balances across multiple accounts in a single budgeting app.

PSD2 requires that all parties in the open banking system are identified in real time using secured certificates. Banks must also provide a service desk to TPPs, and communicate any planned or unplanned downtime that could impact the shared services.

In this blog post, you will learn how the Red Hat OpenShift Service on AWS helped Banfico deliver their highly secure, available, and scalable Open Banking Directory — a product that enables seamless and compliant connectivity between banks and FinTech companies.

Using this modular architecture, Banfico can also serve other use cases such as confirmation of payee, which is designed to help consumers verify that the name of the recipient account, or business, is indeed the name that they intended to send money to.

Design Considerations

Banfico prioritized the following design principles when building their product:

  1. Scalability: Banfico needed their solution to be able to scale up seamlessly as more financial institutions and TPPs begin to utilize the solution, without any interruption to service.
  2. Leverage Managed Solutions and Minimize Administrative Overhead: The Banfico team wanted to focus on their areas of core competency around the product, financial services regulation, and open banking. They wanted to leverage solutions that could minimize the amount of infrastructure maintenance they have to perform.
  3. Reliability: Because the PSD2 regulations require real-time identification and up-to-date communication about planned or unplanned downtime, reliability was a top priority to enable stable communication channels between TPPs and banks. The Open Banking Directory therefore needed to reach availability of 99.95%.
  4. Security and Compliance: The Open Banking Directory needed to be highly secure, ensuring that sensitive data is protected at all times. This was also important due to Banfico’s ISO27001 certification.

To address these requirements, Banfico decided to partner up with AWS and Red Hat and use the Red Hat OpenShift Service on AWS (ROSA). This is a service operated by Red Hat and jointly supported with AWS to provide fully managed Red Hat OpenShift platform that gives them a scalable, secure, and reliable way to build their product. They also leveraged other AWS Managed Services to minimize infrastructure management tasks and focus on delivering business value for their customers.

To understand how they were able to architect a solution that addressed their needs while following the design considerations, see the following reference architecture diagram.

Banfico’s Open Banking Directory Architecture Overview:

Banfico's open banking directory architecture overview diagram

Breakdown of key components:

Red Hat OpenShift Service on AWS (ROSA) cluster: The Banfico Open Banking SaaS key services are built on a ROSA cluster that is deployed across three Availability Zones for high availability and fault tolerance. These key services support the following fundamental business capabilities:

  • Their core aggregated API platform that integrates with, and provides access to banking information for TPPs.
  • Facilitating transactions and payment authorizations.
  • TPP authentication and authorization, more specifically:
    • Checking if a certain TPP is authorized by each country’s central bank to check account information and initiate payments.
    • Validating TPP certificates that are issued by Qualified Trust Service Provider (QTSPs), which are: “regulated (Qualified) to provide trusted digital certificates under the electronic Identification and Signature (eIDAS) regulation. PSD2 also requires specific types of eIDAS certificates to be issued.” – Planky Open Banking Glossary
  • Certificate issuing and management. Banfico is able to issue, manage, and store digital certificates that TPPs can use to interact with Open Banking APIs.
  • The collection of data from central banks across the world to collect regulated entity details.

Elastic Load Balancer (ELB): A load balancer helps Banfico deliver their highly-available and scalable product. It allows them to route traffic across their containers as they grow, and perform health checks accordingly, and it provides Banfico customers access to the application workloads running on ROSA through the ROSA router layers.

Amazon Elastic File System (Amazon EFS): During the collection of data from central banks, either through APIs or by scraping HTML, Banfico’s workloads and apps use the highly-scalable and durable Amazon EFS for shared storage. Amazon EFS automatically scales and provides high availability, simplifying operations and enabling Banfico to focus on application development and delivery.

Amazon Simple Storage Service (Amazon S3): To store digital certificates issued and managed by Banfico’s Open Banking Directory, they rely on Amazon S3, which is a highly-durable, available, and scalable object storage service.

Amazon Relational Database Service (Amazon RDS): The Open Banking Directory uses Amazon RDS PostgreSQL to store application data coming from their different containerized services. Using Amazon RDS, they are able to have a highly-available managed relational database which they also replicate to a secondary Region for disaster recovery purposes.

AWS Key Management Service (AWS KMS): Banfico uses AWS KMS to encrypt all data stored on the volumes used by Amazon RDS to make sure their data is secured.

AWS Identity and Access Management (IAM): Leveraging IAM with the principle of least privilege allows the product to follow security best practices.

AWS Shield: Banfico’s product relies on AWS Shield for DDoS protection, which helps in dynamic detection and automatic inline mitigation.

Amazon Route 53: Amazon Route 53 routes end users to Banfico’s site reliably with globally dispersed Domain Name System (DNS) servers and automatic scaling. They can set up in minutes, and having custom routing policies help Banfico maintain compliance.

Using this architecture and AWS technologies, Banfico is able to deliver their Open Banking Directory to their customers, through a SaaS frontend as shown in the following image.

Banfico's Open Banking Directory SaaS front-end

Conclusion

This AWS solution has proven instrumental in meeting Banfico’s critical business needs, delivering 99.95% availability and scalability. Through the utilization of AWS services, the Open Banking Directory product seamlessly accommodates the entirety of Banfico’s client traffic across Europe. This heightened agility not only facilitates rapid feature deployment (40% faster application development), but also enhances user satisfaction. Looking ahead, Banfico’s Open Banking Directory remains committed to fostering safety and trust within the open banking ecosystem, with AWS standing as a valued partner in Banfico’s journey toward sustained success. Customers who are looking to build their own secure and scalable products in the Financial Services Industry have access industry AWS Specialists; contact us for help in your cloud journey. You can also learn more about AWS services and solutions for financial services by visiting AWS for Financial Services.

Security updates for Friday

Post Syndicated from daroc original https://lwn.net/Articles/992936/

Security updates have been issued by AlmaLinux (firefox, golang, linux-firmware, and thunderbird), Debian (kernel and zabbix), Fedora (firefox, pgadmin4, and php), Mageia (chromium-browser-stable, cjson, hostapd and wpa_supplicant, and openjpeg2), Oracle (firefox, flatpak, and go-toolset:ol8), Red Hat (cups-filters, firefox, grafana, linux-firmware, python3, python3.11, and python3.9), SUSE (expat, firefox, libpcap, and opensc), and Ubuntu (freeradius, imagemagick, and unzip).

Кой бърка в джигера*

Post Syndicated from Емилия Милчева original https://www.toest.bg/koy-burka-v-djigera/

Кой бърка в джигера*

Когато един санкциониран за корупция олигарх прочиства една парламентарна република от корупция, това е цинизъм. Главно обаче е признак за подчинена държава и конфликт на интереси. Не на последно място е и репутационно ребрандиране. Все едно наркобосът Пабло Ескобар да се бори срещу наркокартелите в Колумбия. 

В последните седмици Комисията за противодействие на корупцията (КПК), която де юре няма нищо общо с лидера на ДПС – Ново начало Делян Пеевски, подпомогната от прокуратурата, МВР и ДАНС, се активизира срещу високопоставени политици и бизнесмени. Общият знаменател, под който могат да бъдат поставени мишените, е близостта и свързаността им с почетния председател на ДПС Ахмед Доган – съперника на санкционирания за корупция от САЩ и Великобритания Пеевски и негов ментор. Приближените на Доган са конкуренция на „Ново начало“ за гласовете на българските мюсюлмани, тъй като принадлежат към Алианса за права и свободи (АПС) – другата част от ДПС, която се бори на изборите на 27 октомври на същия терен. 

Единната доскоро партия се разцепи на два лагера, всеки от които обвинява другия в преяждане с власт и нечестно забогатяване. Но само единият държи „бухалките“ – лагерът на Пеевски. Депутати от ПП–ДБ публично определиха Антон Славчев, шеф и на КПК, и на Комисията за конфискуване на незаконно придобитото имущество, като „лична бухалка на Пеевски“. От свършеното досега няма съмнение и отпада необходимостта от доказателства. Ако Доган беше инструментът за разпределяне на порциите, Пеевски е инструментът, който задвижва държавната машина за репресиране на политически противници. 

Бухалките

Силата на бухалките изпита първо самият Доган, останал без ТЕЦ – Варна и без дом, тъй като бе принуден да напусне обитаваните от него луксозни резиденции в столичния квартал „Бояна“ и парк „Росенец“. Близкият до Доган бизнесмен Румен Гайтански – Вълка пък бе арестуван заради необезпечен кредит от 150 млн. лв., отпуснат на свързана с него фирма през 2019 г., по време на третия мандат на ГЕРБ, от държавната Българска банка за развитие. 

Не бяха пропуснати кметове, останали верни на „автентичното ДПС“, както се самоопределя фракцията на Доган. Бившият вече кмет на Омуртаг Ешреф Ешрефов беше ударен още през февруари с показен арест, обвинен за участие в организирана престъпна група, свален от кметския пост, а наскоро Варненският апелативен съд отмени паричната му гаранция и потвърди оставането му под домашен арест. Последваха удари по варненската организация на ДПС. Филиз Хюсменова подаде оставка като депутатка от ДПС, избрана от Варна, а КПК започна разследване срещу бившия областен председател на ДПС Сали Табаков заради сделка за училищни автобуси, продадени на МОН. От дома му бяха иззети пари и злато за над 2 млн. лв. Софийската градска прокуратура го обвини и за пране на пари, но Апелативният съд в София отхвърли всички твърдения на обвинението.

Не закъсняха наказателните мерки и срещу кмета на Минерални бани четвърти мандат Мюмюн Искендер, единствения общински кмет в Хасковска област, заявил открито подкрепа за Доган. (Кметовете на Стамболово и Маджарово са в „Ново начало“.) На 20 септември Искендер беше арестуван заедно със сина си и общински служител заради разследване за злоупотреба с европейски средства от фонд „Земеделие“ при изграждане на къщи за гости, собственост на двете му деца. Хасковският окръжен съд го пусна вчера с мярка за неотклонение домашен арест, а активисти на ДПС (чудо невиждано!) издигнаха плакати с надпис „КОЙ“ и лика на Пеевски.

През цялото това време сайтове, близки до Пеевски, бълват ежедневно скандални публикации и компромати за тези лица и дори дават „изпреварваща“ информация. Мишена от дълго време е един от приближените на Доган – водачът на листата на АПС в 30-ти МИР – Шумен и депутат от 50-тия парламент Джейхан Ибрямов, израснал в ДПС, където по-рано бе и заместник-председател на младежката организация. Съпругата му Биршен беше секретарка на Доган в продължение на 15 години. Преди месец името му беше замесено в престъпна схема – кухи фирми, фалшиви обороти и укриване на данъци, тъй като се оказа, че ползвал джип, иззет при акцията на ГДБОП и НАП срещу заподозрените. А преди два дни Ибрямов беше арестуван на паркинг в София при получаване на белязани 100 000 лв. и задържан за 72 часа. Оказва се, че един от обвинените по тази схема му предал сумата. (Как е бил привлечен от прокуратурата да „съдейства“, за да стане защитен свидетел, не е известно – засега.)

Но във Facebook BIRD даде двe интересни интерпретации.

 1. М. е въртял корупционен бизнес от следствения арест, като е уреждал нещо в Министерството на отбраната, което не му се е получавало, та е събрал едни 100 000, измъкнал се е от ареста и ги е дал на Ибрямов на паркинг на Кауфланд, за да уреди той бакиите в МО. Доблестните агенти на КПК обаче прихванали неговите планове, белязали парите и проследили всичко със СРС. 
2. Арестантът е склонил пред агентите на КПК да облекчи съдбата си като се пише кошаревски свидетел и занесе едни белязани пари на Ибрямов на паркинг на Кауфланд.
Но и в двата случая е странно, че Джейхан Ибрямов не си е задал въпроса: „Аджеба, за тоя Миро медиите нали писаха, че е в ареста?“

Първоначалните „информации“ бяха, че депутатът е арестуван по подозрения в купуване на гласове. Но по-късно стана ясно, че е за търговия с влияние. Според прокуратурата на 25 септември Ибрямов поискал 200 000 лв. от лицето М.Т., за да упражни влияние при вземане на решение от длъжностни лица от Министерството на отбраната във връзка със службата им, за което имало и записи, направени със специални разузнавателни средства. ЦИК единодушно и мълчаливо – с 13 гласа от 13 присъствали, взе решение да снеме имунитета му, направи го и председателката на парламента Рая Назарян (ГЕРБ) – решение, взето само за час, тъй като Джейхан Ибрямов има имунитет и като кандидат-депутат от АПС, и като действащ депутат от 50-тия парламент. Произнасянето на двете институции се наложи, тъй като съгласно промените в Конституцията Народното събрание остава действащо до изборите на 27 октомври и Ибрямов е и депутат от 50-тото НС.

А Биршен Ибрямова започва гладна стачка.

Съпругът ми продължава да бъде задържан, свален му е имунитетът и ще бъде задържан за още 72 часа. И затова аз като съпруга на Джейхан Ибрямов, като майка на двете ни деца, като дълг към моите родители обявявам гладна стачка до освобождаването на моя съпруг, която започва след малко пред Народното събрание, всъщност в „Триъгълника на единовластието“. Единовластието, защото господин Пеевски е човекът, който решава човешките съдби на всички ни.

Алиансът за права и свободи пък поиска изборите да бъдат отложени, докато ситуацията не се нормализира, и заплаши с протести. А Джевдет Чакъров поиска от президента Радев да обсъди този въпрос на заседанието на Консултативния съвет за национална сигурност – самият той не може да присъства, тъй като председател на парламентарната група е Пеевски. Но държавният глава не промълви и дума по тази тема след края на заседанието.

Контролирани репресии

Тази вълна от контролирани институционални репресии прилича на борба с корупцията, но само на пръв поглед. Допреди четири месеца двата лагера бяха едно и къщите за гости на Искендер и сделките на членове на ДПС не впечатляваха правоохранителните органи в България. 

От Алианса за права и свободи още преди две седмици заявиха, че държавните институции се използват за всяване на страх и психоза. Публично заявиха и че са се обърнали към служебния премиер Димитър Главчев и един от примерите е бил с областния управител на Хасково, който „неприкрито работи за коалицията ДПС – Ново начало. А Джевдет Чакъров призова институциите да поемат функциите си и да се спазват нормите на „правовата държава“. 

Но такава никога не е съществувала в България и ДПС има съществен принос за това състояние на невърховенство на правото. Почетният председател не е крил ролята си на контрольор на процесите в държавата, включително чрез своята „инструментална“ роля в управлението. В създаването и възхода на Пеевски като политически и паралелно с това икономически феномен Ахмед Доган има ключова роля и не може да бъде оневинен. Въпреки опитите му да омаловажи вината си с колективната отговорност.

А на функционерите на ДПС сега им се налага да изпитат онова, което обявилите се срещу модела „Пеевски“ в институциите, бизнеса, медиите, съдебната власт понасят от години. 

Мълчанието на служебния премиер Димитър Главчев, който още през юли беше обвинен от фракцията на Доган в зависимости от Пеевски заради смените на областни управители, показва на чия страна е ГЕРБ. А и МВР и новият му министър Илков подкрепят акциите, насочвани от Пеевски, след като се включват в ударните отряди на КПК и прокуратурата. Разни публични „говорители“, чертаейки имагинерни коалиции след изборите, поставят редом до ГЕРБ ДПС – Ново начало, защото евроатлантиците били там начело с Пеевски. Решението на Рая Назарян да отнеме имунитета на Джейхан Ибрямов също можеше да бъде предвидено с почти стопроцентова точност не само заради обоснованото предположение за позицията на ГЕРБ, но и заради влиянието на олигарха от ДПС.

А самият Пеевски не крие господарстването си, напротив – демонстрира го. Например преди седмица изпрати сигнал до Военно-окръжна прокуратура да изправи пред съда виновниците за насилствената смяна на имената на българските мюсюлмани. И ето че прокуратурата в лицето на военния прокурор Кирил Пейчинов, свързван с аферата „Осемте джуджета“, се задейства. В публикация във Facebook разследващият сайт BIRD разкри, че военни следователи ще издирват агенти на бившата ДС, за да записват показания.

Намираме за съществено да се установи престъпната роля и на предателите, които Държавна сигурност е инфилтрирала сред българските мюсюлмани, които първо са извършвали доносническа дейност, а на по-късен етап, използвайки справедливия гняв на жертвите на Възродителния процес, изградиха политико-икономически структури от мафиотско-олигархичен модел.

Прицелът е ясен – въпреки че над 53% от досиетата на ДС са унищожени, а част от тях „приватизирани“, сред ръководството на ДПС има достатъчно разкрити като агенти на ДС начело с Доган, чието досие е 10 тома. А така Пеевски (внук на зам.-шефа на ДС във Враца полк. Ангел Кръстев) показва, че изпълнява обещанието си „ДПС без ДС“. 

Дирижираните от Пеевски акции служат и за превенция на всеки, дръзнал да оспори позицията и могъществото му на политик, който е бръкнал в джигера не на ДПС, а на държавата… за да я „чисти“, да предупреди противниците и да сплаши останалите. 

В ефира на bTV бившият премиер Иван Костов употреби турската дума за дроб по отношение на политическите коментари на президента Румен Радев и отново припомни, че е първият, заявил, че Доган е проклятието за България. Но нито дума за Пеевски.

Президентът не може да бърка в джигера на партиите, защото не води до нищо добро.

„Как да се освободим от Пеевски? Той да не ни е пленил, че да се освобождаваме!“, каза видният политик от ГЕРБ и заместник-председател на партията Томислав Дончев. Изглежда, не намира нищо странно във факта, че един политик може да използва институциите като балистични ракети срещу различни свои противници. Та нали това правеше и ГЕРБ! В България „борбата с корупцията“ e бой по противниците, никога срещу своите; по-скоро разчистване на сметки и средство за политически натиск, отколкото осъзнати действия на почтени политици и служители на закона, чиято цел са осъдителни присъди. 

А все някой трябва да свърши мръсната работа. И изглежда, че никой не може да го направи по-добре от замърсителите, хванали в юмрук институциите.

* Джигер (тур.) – дроб (бял и черен).

На второ четене: „Завръщането на Буда“

Post Syndicated from Стефан Иванов original https://www.toest.bg/na-vtoro-chetene-zavrushtaneto-na-buda/

„Завръщането на Буда“ от Гайто Газданов

На второ четене: „Завръщането на Буда“

превод от руски Даря Хараланова, София: изд. „Аквариус“, 2022

Прекрасна, призрачна и донякъде присмехулна книга, която не би съществувала (както и останалите на Газданов) на български без силата на вкуса на нейнaта преводачка и издателка Даря Хараланова – за поредното ѝ постижение съм читателски благодарен. Пиша този текст именно на Международния ден на преводача и не желая да си представям литературата без преводачи. Честитя им празника и благодаря – за срещите, новите светове и предоставеното убежище. Без тях литературата нямаше да бъде дъга и може би щеше да познава граници. Международният ден на преводача се отбелязва именно след падането на Берлинската стена, от 1991 г. насам. На 30 септември се почита паметта на патрона на преводачите – св. Йероним Блажени, превел Библията на латински. Той е починал на този ден през 420 г.

В западната, че и в източната християнска култура не се завръща никакъв Буда, завръща се Христос. (В романа Буда е нещо като малтийския сокол – златна скулптура.) А ако това се случва, нещата вървят към своя финал, известен още като Второ пришествие, Парусия, или по-популярно като Страшния съд. Целта на пришествието е да се установи Божието царство на земята и да няма вече болка, скръб и глад.

Газданов е познал и трите отблизо. На 16-годишна възраст, през 1919-та, се включва в Гражданската война като белогвардеец танкист. След загубата на белогвардейците бяга със своята войскова част от Крим в Истанбул. Оттам се мести в Шумен, където има специално основана гимназия за руски бежанци. В този град завършва и средното си образование. През 1923 г. се включва в потока от хиляди руски емигранти за Париж. Във френската столица работи като чистач на локомотиви, слуша лекции по литературознание, социология и икономика в Сорбоната, работник е във фабрика на „Рено“, шофьор е на такси, радиоводещ в „Свободна Европа“.

На второ четене: „Завръщането на Буда“

Това, което е наистина специфично при Газданов, е, че сближава някои коренно различни неща. Руската литературна традиция и западния и френския модернизъм, метафизиката и криминалния жанр, Буда и Йероним –

екстазът на Буда например, предаден така убедително в златната статуетка, ми напомняше за някои образи в Лувъра и по-точно – за възторженото лице на свети Йероним.

Това сближаване на идеи и образи, които на пръв поглед не са никак близки, доставя голямо удоволствие и създава неочаквана и неповторима комбинация.

В романа на Газданов я има драмата на скиторещия и фланьорстващ парижки студент. Това е типичен образ в прозата, есеистиката и поезията от Бодлер насам. Образ, който в този случай – поради класическа любовна мъка и традиционна меланхолия – съвсем не знае какво да прави с живота си. До такава степен не знае, че често му се случва под всекидневната реалност да открива, че има една друга реалност и тя е по-голяма и плашеща. С укротен ужас и умерено нежелание той навлиза дълбоко в нея.

Под рутината и видимото, отвъд улиците, пасажите и музеите, студентът открива това, което Лакан би нарекъл „реалното“.

Томас Пинчън би го назовал „паралелната и неясна истина в дъното на нещата“. Уилям Бъроуз, самопровъзгласилият се „космонавт на вътрешното пространство“, би се чувствал комфортно в тази зона, владяна от сънища и видения, толкова близка до собствената му „интерзона“. Набоков, с цялата върволица от двойници, отражения и двойни дъна на историите на Газданов, би се чувствал като у дома си. Също както и Патриша Хайсмит. Казано накратко, това е писане в жанровия ключ на криминална история –

наричат книгите на Газданов именно „метафизични трилъри“ в духа на Достоевски, но в състояние на ирония и халюцинация.

Коренът на това писане е във внимателния прочит на Лотреамон и в разбирането на Рембо, че „аз е някой друг“, и вследствие на това главният герой през цялото време нито е само себе си, нито пребивава само в една-единствена реалност, а е попаднал в потока на съзнанието на автора си, който го поставя във въобразими и невъобразими ситуации:

… някакъв друг, призрачен свят ме съпътстваше винаги и навсякъде и почти всеки ден, понякога в стаята, понякога на улицата, в гората или в парка аз преставах да съществувам – аз, сам по себе си такъв и такъв, роден там и там, през еди-коя си година, преди няколко години завършил гимназия, а сега посещаващ лекции в еди-кой си университет – и вместо мен с властна неизбежност се появяваше някой друг.

Газданов се опитва да превърне в ясновидец героя си, а формулата за това е ясна – такъв се става, отново според Рембо, „с дълго, огромно и системно разстройване на всичките сетива. На всички форми на любов, страдание, лудост“. И писателят създава изключително вълнуващо пътешествие с лунапарково влакче през всички тези гари, за да се стигне до финалната спирка. Тя, поне привидно, е щастлива и любовна.

В хода на този параноичен реализъм, в който нищо не е каквото изглежда „и не знаеш билото преди бе ли всъщност, или сега го измисли“, както пише Рупчев, научаваме много за руските имигранти в Париж. За случайни и съдбоносни срещи в Люксембургската градина. За живота и манипулациите на просяци, новобогаташи и израснали в Тунис фатални жени и алчните им сутеньори. За лекотата, с която хора си разменят местата и ролите в живота или биват прелъстени и убити. За влиянието на изкуството и културата върху внимателни или неопитни читатели. За важността да имаш око за детайла.

В свят с перманентна криза на идентичността и ценностите тази книга може да е като отрезвяващо самоиронично огледало. В отражението Газданов може да е като водач. Или като преводач, като възторжен и екстатичен свети Йероним, който облекчава тревогите, като ги описва в детайли и така ги прави по-малко страшни и катастрофални.

Европа живее като убиец, преследван от кървави спомени и угризения на съвестта, в очакване на нови държавни престъпления. Не, аз съм твърде стар за това, изморен съм. Непрекъснато ми се иска топлина и спокойствие. Толкова години съм мръзнал и гладувал, без надежда, в неясно очакване на смъртта или на някакво чудо, че сега, мисля си, имам право на почивка и на някои илюзорни и сантиментални утехи, вероятно последните, които са ми отредени.

Горното в някаква степен важи не само за Европа, а уют и утеха са нужни и днес. Масово. Особено във всекидневния и прекалено близък, смешен и болезнен български и международен абсурд, вонящ на кич, страдание и посредственост. Проблемът понякога е, че, както и в книгата, завръщането на Буда може да е спасително за един и пагубно за друг. И за всеки, който познава радост и мир, има поне сто пъти по толкова, които познават болка и нещастие. Или война.

Активните дарители на „Тоест“ получават постоянна отстъпка в размер нa 20% от коричната цена на всички заглавия от каталога на издателство „Аквариус“, както и на няколко други български издателства в рамките на партньорската програма Читателски клуб „Тоест“. За повече информация прочетете на toest.bg/club.

Никой от нас не чете единствено най-новите книги. Тогава защо само за тях се пише? „На второ четене“ е рубрика, в която отваряме списъците с книги, публикувани преди поне година, четем ги и препоръчваме любимите си от тях. Рубриката е част от партньорската програма Читателски клуб „Тоест“. Изборът на заглавия обаче е единствено на авторите – Стефан Иванов и Антония Апостолова, които биха ви препоръчали тези книги и ако имаше как веднъж на две седмици да се разходите с тях в книжарницата.