Yearly Archives: 2024

Securing Your Software Supply Chain with Amazon CodeCatalyst and Amazon Inspector

Post Syndicated from Piyush Mattoo original https://aws.amazon.com/blogs/devops/securing-your-software-supply-chain-with-amazon-codecatalyst-and-amazon-inspector/

Amazon CodeCatalyst is a unified service that streamlines the entire software development lifecycle, empowering teams to build, deliver, and scale applications on AWS.

DevSecOps is the practice of integrating security into all stages of software development. Rather than prioritizing features, it injects security into an earlier phase of the development process – baking it into design, coding, testing, deployment, and operations from the start. Extensive automation like policy checks, scanning, and more proactively uncovers risks.

Amazon Inspector Scan is a CodeCatalyst Action, a logical unit of work to be performed during a workflow run, which leverages software bill of materials (SBOM) generator (sbomgen) to produce a SBOM and ScanSbom to scan a provided CycloneDX 1.5 SBOM and report on any vulnerabilities discovered in that SBOM. An SBOM inventories third-party and open-source components in an application, documenting names, versions, licenses, dependencies, and more. It enables vital DevSecOps initiatives, such as checking an SBOM against CVE databases to rapidly identify vulnerable libraries needing remediation.

Introduction

This blog talks about the benefits of DevSecOps in general and the SBOM in particular. It provides a walkthrough of adding SBOM generation and scanning as a CodeCatalyst Action to an existing CodeCatalyst Workflow. A workflow is an automated procedure that describes how to build, test, and deploy your code as part of a CI/CD system. First, you will create a new Amazon CodeCatalyst project in the CodeCatalyst console. Next, you will modify the workflow to add the Amazon Inspector Scan action. Lastly, you will run the workflow and view the SBOM and vulnerabilities report.

Pre-requisites

Walkthrough

First, you will create a project using CodeCatalyst Blueprints. Blueprints setup a code repository with a working sample app, define cloud infrastructure and run pre-configured CI/CD workflows for your project.

Create a project from a blueprint

Go to your space by clicking your space name in the CodeCatalyst console. From your space, click Create Project. Upon selecting Start with a blueprint, you will select the Single-page application blueprint and click Next as shown in figure 1.

This diagram shows the Amazon CodeCatalyst Create Project screen where you can create the project using a specific blueprint

Figure 1 Amazon CodeCatalyst Create Project screen

You will then pick a suitable name for your project, for this post I will use SafeWebShip. Select the AWS IAM role associated with the space and account connection, then click on Create Project.

Next, you will take a look at the current workflow and add the Amazon Inspector Scan action to identify the packages and libraries that make up a software application and scan for vulnerabilities from the associated packages and libraries.

Review the current workflow

A workflow defines a series of steps, or actions, to take during a workflow run and can be assembled using YAML or a visual editor. Actions which require interaction with AWS resources like creation, modification, reading, and deletion occur in the customer’s AWS account, such as creating an Amazon Inspector task to scan an SBOM report.

Add SBOM generation and scanning to the workflow

To add the Amazon Inspector Scan action to the workflow:

  • Navigate to the CI/CD menu on the left side of your screen, and then click Workflows
  • Click on the onPushToMainPipeline workflow
  • Click the edit button to make changes to the workflow
  • Ensure the Visual tab is selected, then add a CodeCatalyst Action by clicking Actions at the top left of the screen
  • In the new Actions catalog pop-up, search Amazon Inspector Scan. Click the + at the bottom right of the action card as shown in figure 2

This diagram shows an Amazon CodeCatalyst Actions Catalog where the results are filtered based on your search. You can search for the "Amazon Inspect Scan" to be able to integrate that action into your Amazon CodeCatalyst workflow

Figure 2 Amazon CodeCatalyst Actions Catalog

  • Click the Configuration tab of the action and rename the action to inspector_sbom by clicking the pencil under action name
  • Select the environment from the Environment dropdown, AWS account connection and the Role you created earlier in the pre-requisite
  • Scroll down to Path and ensure it is “./” which represents the root of the source repository. The tool will traverse all of the directories of the source repository for supported manifest files to scan
  • The Scan Source should be REPO. The action can scan directories or source repository and a container image. For the purpose of this blog, you will be scanning an existing source repository
  • The tool can be configured to run scanners that will inspect container images, packages, archive, directory, and binary scanners. For the purpose of this blog, you will be using javascript-nodejs scanner. You can skip the rest of the scanners. You can read the action’s documentation from the action’s catalog page for a full list of supported scanners
  • Scroll down to Severity Threshold, type medium to fail the action if a vulnerability of medium or greater is found
  • Skip Files determines the files to skip and should be public/ since you are scanning a public repository
  • Depth specifies the depth of directory traversal when generating the SBOM. You should pick Depth as 1 to scan all the files in the root directory of the public repository. Other inputs that are relevant to container images can be ignored as the source repository is only being scanned
  • The action produces two files, the SBOM in CycloneDX v1.5 format from sbomgen and the vulnerability report from ScanSbom. Click the Outputs tab of the action, under Artifacts click Add artifact
  • Name the Build artifact name as SBOM
  • Paste the Files produced by build with the followinginspector_sbom_report.json
  • Click Add artifact again
  • Name the Build artifact name as SBOM_VULNERABILITIES
  • Paste the Files produced by build with the following

inspector_scan_report.json

This diagram show the Amazon CodeCatalyst Workflow Screen with input options pre-filled. The inputs depend on whether you want to scan a local application or a container image

Figure 3 Amazon CodeCatalyst Workflow Screen

As a best practice, you don’t want to build your project unless it has passed the security scan.

Do the following:

  • From the visual diagram of the workflow, click the Build action
  • With new menu pop-up to the right, in the pre-loaded inputs tab, and under Depends on – optional, select the Add actions dropdown menu and select the inspector_sbom action
  • Click x next to the action name to leave the action input menu

Finally, in order to save our changes to the workflow do the following:

  • Click Validate
  • Once you see a banner at the top of the page that says the workflow definition is valid, click Commit then click Commit once more to publish the changes to the workflow.

Run the workflow and view artifacts

After committing your changes to the workflow. There should be a new workflow run automatically as the trigger to the workflow is a code push.

Currently, SBOM CycloneDX v1.5 is not supported via CodeCatalyst Reports. Therefore, the report can not be visualized under the Reports feature of Amazon CodeCatalyst. However, the SBOM in CycloneDX v1.5 and the scan report are provided as artifacts for you to download and are stored as part of a workflow run.

To access the reports, do the following:

  • Navigate to the CI/CD menu on the left side of your screen, and then click Workflows
  • Click on the onPushToMainPipeline workflow
  • The current view is the Latest state, Click Runs
  • When the workflow, or CI/CD pipeline, runs, it is referred to as a run. Runs that are in progress are under Active runs and Runs history contains all previous workflow runs. Click the Run ID under latest run
  • Once the workflow run page loads, click Artifacts
  • On the Artifacts page, you should notice SBOM, CycloneDX v1.5, and SBOM_VULNERABILITIES, scan of the SBOM for vulnerabilities as shown in figure 4. Both of these artifacts can be downloaded and viewed on your local machine

This diagram show the Amazon CodeCatalyst Workflow Artifact Screen showing the two artifacts resulting from the Amazon CodeCatalyst workflow execution

Figure 4 Amazon CodeCatalyst Workflow Artifact Screen

The SBOM report will be downloaded as inspector_sbom_report.json. In the SBOM report, all the components that make up the software application are available to view. Each listed component is identified by its name and version as shown in figure 5.

This diagram shows the Amazon Inspector Scan SBOM Artifact listing all the components that make up the software application.

Figure 5 Amazon Inspector Scan SBOM Artifact

The scan of the SBOM report for vulnerabilities will be downloaded as inspector_scan_report.json. In the scan report example below, there are 41 medium vulnerabilities and 32 high vulnerabilities. Since the threshold was set to “medium,” the build failed so these vulnerabilities can be addressed.

This diagram shows the Amazon Inspector Scan Vulnerability Artifact. You can see that there are 41 medium vulnerabilities and 32 high vulnerabilities.

Figure 6 Amazon Inspector Scan Vulnerability Artifact

The scan report details the vulnerabilities, links to the affected components, and contains information on the vulnerability like description and CVE reference identifier as shown in figure 6 and figure 7.

This diagram is a continuation of the Amazon Inspector Scan Vulnerability Artifact. The scan report details the vulnerabilities, links to the affected components, and contains information on the vulnerability like description and CVE reference identifier

Figure 7 Amazon Inspector Scan Vulnerability Artifact continued

Clean Up

If you have been following along with building this workflow, you should delete the resources you deployed so you do not continue to incur charges.

First, delete the stack titled DevelopmentFrontendStack-* that has been deployed from the AWS CloudFormation console in the AWS account you associated when you launched the blueprint. Second, delete the project from CodeCatalyst by navigating to Project settings and clicking the Delete project button

Conclusion

In this blog, we demonstrated how you can integrate security practices into a development pipeline using Amazon CodeCatalyst and Amazon Inspector. You created a project from a blueprint that came pre-configured with a workflow. Next, you modified the workflow to add DevSecOps practices to the pipeline through SBOM generation and scanning. Finally, you ran the workflow and viewed the SBOM and vulnerabilities report. It is essential to secure application dependencies during modern software development. For improved software supply chain security, Amazon CodeCatalyst and Amazon Inspector connect effortlessly. Add this action to your existing or new workflows to improve code security. This is necessary in today’s circumstances to protect your software supply chain. Learn more about Amazon CodeCatalyst and get started today!

Piyush Mattoo

Piyush Mattoo is a Senior Solution Architect for Financial Services Data Provider segment at Amazon Web Services. He is a software technology leader with over a decade long experience building scalable and distributed software systems to enable business value through the use of technology. He has an educational background in Computer Science with a Masters degree in Computer and Information Science from University of Massachusetts. He is based out of Southern California and current interests include outdoor camping and nature walks.

Omar Faruk

Omar Faruk is a Partner Solutions Architect at Amazon Web Services. He helps long-tail technology and consulting partners to design, build and operate their and shared customers’ workloads in AWS. He is passionate about serverless and DevOps. Outside work, he enjoys family time and travel.

Jeff Graham

Jeff Graham is a Partner Solutions Architect at Amazon Web Services. He helps MSP partners design, implement, and optimize scalable, secure, and cost-effective solutions on AWS while providing technical guidance and enablement. He is passionate about serverless and front-end technologies. Outside work, he enjoys travel and working out.

James Rehfeld

James Rehfeld is a Senior Cloud Application Architect within ProServe at Amazon Web Services. He helps customers design and build applications that tackle complex business challenges. He is passionate about automation and well-architected solutions. Outside work, he enjoys running, video games and traveling with his family.

Електронно досъдебно производство

Post Syndicated from Bozho original https://blog.bozho.net/blog/4368

Вчера писах за моите 12 приоритета в следващиа парламент. Ще започна подробното представяне от последната точка:

„12. Въвеждане на електронно досъдебно производство, защото към момента досъдебните производства са папки с документи, които подлежат на подмяна, изтичане и нерегламентиран достъп и водят до неефективност.“

Досъдебната фаза е етапът на наказателното производство, на който се установява престъплението, извършва разследването, събират се доказателствата, прилагат се СРС-та (подслушване, следене), налагат се мерки за принуда (задържане, подписка и др.), установяват се обвиняемите и се подготвя обвинението, за да бъде внесено в съда.

Всичко това в момента е в папки на хартия. Това позволява доказателства да се подменят (някой да промени ДП на 10), да изтича информация, без да има сигурна следа кой е имал достъп (затова напр. разпити изтичат в предизборни кампании), да изтича информация в рамките на разследването.

Напр. за да се извърши претърсване, трябва разследващите (МВР напр.) да го поискат от прокурора, а той да поиска разрешение от съда. Документите за това преминават на хартия през няколко деловодства, с множество деловодители и докато дойде време за претърсването, престъпниците вече са разбрали.

Има единна иформационна система за противодействие на престъпността, която обаче не се използва за самите документи по досъдебното производство и за обмен с разследващите органи и със съда.

Дигитализацията на досъдебното производство ще може да ограничи и някои злоупотреби на прокуратурата, напр. около следствената тайна – в комбинация с други законови промени, които подготвяме, ще може (полу)автоматично да се установява коя информация е следствена тайна и коя – не.

От друга страна ще подпомогне прокурорите с представянети на цялата информация на едно място, показването на сходни престъпления, служебното извличане на данни за обвиняемите и др.

Често ни обвиняват, че реформата в прокуратурата, която искаме, се ограничава до смяната на главния прокурор. Нищо подобно – искаме да заложим всички предпоставки за ефективна работа на прокуратурата и за ограничаване на злоупотребите от нейна страна с политически цели.

#26 #107

Материалът Електронно досъдебно производство е публикуван за пръв път на БЛОГодаря.

Седмицата (23–28 септември)

Post Syndicated from Боряна Телбис original https://www.toest.bg/sedmitsata-23-28-septemvri/

Седмицата (23–28 септември)

Седмицата започна с един почивен ден, компенсиращ „несправедливия“ факт, че Денят на независимостта на България тази година се падна в неделя. По този начин ние като нация се възползвахме от изконното си право на последен дълъг уикенд в Гърция. Понякога си мисля, че ако пак така дружно като нация си останем в Гърция, отвъд границата, на наша територия, нищо няма да се промени. През три месеца ще има избори, все ще се намери кой да гласува – дето се вика, поне самите кандидат-депутати ще си гласуват. После ще си се коалират, ще си управляват, ще си играят на държава. А пък ние ще си почиваме, че то и бездруго си е голям зор да се оцелява в тази страна. 

Но дългият уикенд свърши. Зимата идва, както казват в „Игра на тронове“. И се задава една дълга предизборна кампания. Колко пък да е дълга, ще кажете. Като се има предвид фактът, че това са седмите парламентарни избори за три години, кампанията, макар и само един месец, ми се струва не просто дълга, а непоносимо вечна. Като зимата, която идва.

Във връзка с изборите е и тазседмичният анализ на Емилия Милчева, озаглавен „Седмото пришествие на същите“. В него тя разглежда стратегиите за реденето на листите с кандидат-депутати. Там (и в листите, и в стратегиите) няма нищо вълнуващо и това е проблемът. 

Съвсем скоро предстоят и изборите в САЩ, затова светът гледа към Америка с все по-голям интерес. В този брой на „Тоест“ имаме материал от Искрен Иванов, който също обръща поглед на запад, към Съединените щати, но не коментира изборите, а въпроса дали Америка губи стратегическата си инициатива. Какъв е отговорът според него – в текста на Искрен тук

Към Запада ли гледаме, или се превръщаме в прилежни членове на Граждани за евразийско развитие? Това се чуди Светла Енчева в коментара си тази седмица. Защо ли се усеща, че с всеки следващ законопроект или предложение за изменение на съществуващо законодателство страната ни е тласкана към държавни и обществени модели, намиращи се в разрив с идеите на евроатлантическата общност, към която уж принадлежим?

Продължаваме да се мятаме между Запада и Изтока и се заклещваме някъде из Ориента с втората част от текста на Атанас Шиников „За ориенталския махмурлук, Корана и домашнярката“. В нея той продължава да нищи някои важни въпроси за алкохола в арабския свят. Изключително любопитна е и първата част. Ако сте я пропуснали, бързо да поправите грешката си тук

Научните новини на Михаил Ангелов са суперинтересни. Има комети, астероиди, птичи грип, фораминифери (ако не знаете какво е това, ей сега ще разберете)… Накратко казано: научните новини са по-добрите новини! Препоръчвам ги горещо.

Тази седмица своя дебют при нас направи младата журналистка Теодора Станимирова. Тя разглежда изключително важната тема как България подкрепя своите глухи граждани. Какви са проблемите с практическото приложение на относително новия Закон за жестовия език, ни разказва Теодора.

Оставям ви със Стихотворението на месеца и с благодарност, че сме заедно. „Тоест“ е медия, която се издържа изцяло от подкрепата на верните си читатели. С други думи, ако вас ви няма, го няма и „Тоест“.

Приятно четене!

Подкрепете ни

Leverage IAM Roles for email sending via SES from EC2 and eliminate a common credential risk

Post Syndicated from Zip Zieper original https://aws.amazon.com/blogs/messaging-and-targeting/leverage-iam-roles-for-email-sending-via-ses-from-ec2-and-eliminate-a-common-credential-risk/

Sending automated transactional emails, such as account verifications and password resets, is a common requirement for web applications hosted on Amazon EC2 instances. Amazon SES provides multiple interfaces for sending emails, including SMTP, API, and the SES console itself. The type of SES credential you use with Amazon SES depends on the method through which you are sending the emails.

In this blog post, we describe how to leverage IAM roles for EC2 instances to securely send emails via the Amazon SES API, without the need to embed IAM credentials directly in the application code, link to a shared credentials file, or manage IAM credentials within the EC2 instance. By adopting the approach outlined in this blog, you can enhance security by eliminating the risk of credential exposure and simplify credential management for your web applications.

Solution Overview

Below we provide step-by-step instructions to configure an IAM role with SES permissions to use on your EC2 instance. This allows the EC2 hosted web application to securely send emails via Amazon SES without storing or managing IAM credentials within the EC2 instance. We present an option for running EC2 and SES in the same AWS account, as well as an option to accommodate running EC2 and SES in different AWS accounts. Both options offer a way to enhance security and simplify credential management.

Either option begins with creating an IAM role with SES permissions. Next, the IAM role is attached to your EC2 instance, providing it with the necessary permissions for SES without needing to embed IAM credentials in your application code or on a file in the EC2 instance. In option 2, we’ll add cross-account permissions that allow the code on the EC2 instance in account “A” to send email via the SES API in account “B”. We also provide a sample Python script that demonstrates how to send an email from your EC2 instance using the attached IAM role.

Option 1 – SES and EC2 are in a single AWS account

In a typical scenario where an EC2 instance is operating in the same AWS account as SES, the process of using an IAM role to send emails via SES is straightforward. In the steps below, you’ll configure and attach an IAM role to the EC2 instance. You’ll then update a sample Python script to use the permissions provided by the attached IAM role to send emails via SES. This direct access simplifies the SES sending process, as no explicit credential management is required in the code, nor do you need to include a shared credentials file on the EC2 instance.

Option_1-Single_AWS_Account

EC2 & SES in the same AWS Account

Prerequisites – single AWS account for EC2 and SES

  • A single AWS account in a region that supports SES
  • Verified domain or email identity in Amazon SES.
    • Make note of a verified sending email address here: ___________
  • EC2 instance (Linux) in running state
    • If you don’t have a EC2 instance create one (Linux)
  • Administrative Access to Amazon SES, IAM and EC2 consoles.
  • Access to a recipient email address to receive test emails from the python script.
    • Make note of a SES verified recipient email address to send test emails here: ___________

Step 1 – Create IAM Role for EC2 instance with SES Permissions

To start, create an IAM role that grants the necessary permissions to send emails using Amazon SES by following these steps:

  • Sign in to the AWS Management Console and open the IAM console.
  • In the navigation pane, choose “Roles,” and then choose “Create role.”
  • Choose the trusted entity type as “AWS service” and select “EC2” as the service that will use this role, then click ‘Next
  • Search for and select the “AmazonSESFullAccess” policy from the list (or create a custom policy with the necessary SES permissions), then click ‘Next’.
  • Provide a name for your role (e.g., EC2_SES_SendEmail_Role).
  • Click “Create role“.

Step 2 – Attach the IAM Role to EC2 instance.

Next, attach the IAM role to your EC2 instance:

  • Open the EC2 Management Console.
  • In the navigation pane, choose “Instances,” and select the running EC2 instance to which you want to attach the IAM role.
  • With the instance selected, choose “Actions,” then “Security,” and “Modify IAM role.
  • Choose the IAM role you created (EC2_SES_SendEmail_Role) from the drop-down menu and click “Update IAM role.”

Step 3 – Create a sample python script that sends emails from the EC2 instance with the attached role.

  • Now that your EC2 instance is configured with the necessary permissions, you can set up an example Python script to send emails via Amazon SES using the IAM Role. Here, we’re using the AWS SDK for Python (Boto3), a powerful and versatile library to interact with the SES API endpoint. Before running the example script, ensure that Python, pip (the package installer for Python), and the Boto3 library are installed on your EC2 instance:
    • Run the ‘python3 –version‘ command to check if Python is installed on your EC2 instance. If Python is installed, the version will be displayed, otherwise you’ll receive a ‘command not found’ or similar error message.
      • If python is not installed, run the command ‘sudo yum install python3 -y
    • Run the ‘pip3 --version‘ command to check if pip is installed on your EC2 instance. If pip3 is installed, is installed, the version will be displayed, otherwise you’ll receive a ‘command not found’ or similar error message.
      • If pip3 is not installed, run the command ‘sudo yum install python3-pip
    • Install the Boto3 Library which allows Python scripts to interact with AWS services including SES. Run the command ‘pip3 install boto3‘ to install (or update) Boto3 using pip.
  • Save the code below as a Python file named ‘sesemail.py‘ on your EC2 instance.
  • Edit 'sesemail.py‘ and replace the placeholder values of SENDER, RECIPIENT, and AWS_REGION with your values (see prerequisites). Do not modify any “” marks.

[copy]

import boto3
from botocore.exceptions import ClientError

SENDER = "[email protected]"
RECIPIENT = "[email protected]"
#CONFIGURATION_SET = "ConfigSet"
AWS_REGION = "us-west-2"
SUBJECT = "Amazon SES Test Email (SDK for Python) using IAM Role"
BODY_TEXT = ("Amazon SES Test (Python)\r\n"
             "This email was sent with Amazon SES using the "
             "AWS SDK for Python (Boto)."
            )
            
BODY_HTML = """<html>
<head></head>
<body>
  <h1>Amazon SES Test (SDK for Python) using IAM Role</h1>
  <p>This email was sent with
    <a href='https://aws.amazon.com/ses/'>Amazon SES</a> using the
    <a href='https://aws.amazon.com/sdk-for-python/'>
      AWS SDK for Python (Boto)</a>.</p>
</body>
</html>
            """            

CHARSET = "UTF-8"

client = boto3.client('ses',region_name=AWS_REGION)

try:
    response = client.send_email(
        Destination={
            'ToAddresses': [
                RECIPIENT,
            ],
        },
        Message={
            'Body': {
                'Html': {
                    'Charset': CHARSET,
                    'Data': BODY_HTML,
                },
                'Text': {
                    'Charset': CHARSET,
                    'Data': BODY_TEXT,
                },
            },
            'Subject': {
                'Charset': CHARSET,
                'Data': SUBJECT,
            },
        },
        Source=SENDER,
    )   
except ClientError as e:
    print(e.response['Error']['Message'])
else:
    print("Email sent! Message ID:"),
    print(response['MessageId'])
  • Run ‘python3 sesmail.py‘ to execute the Python script.
  • When ‘python3 sesmail.py‘ runs successfully, an email is sent to the RECIPIENT(check the inbox), and the command line will display the sent Message ID.

Option 2 – SES and EC2 are in different AWS accounts

In some scenarios, your EC2 instance might operate in a different AWS account than SES. Let’s call the EC2 AWS account “A” and SES AWS account “B”. Because the AWS resources in account A don’t automatically have permission to access AWS resources account B, we need some way to allow the code on EC2 to assume a role in the SES Account using the AWS Security Token Service (STS). This involves a method that generates temporary credentials that include an access key, secret access key, and session token, which are only valid for a limited time.

option-2

EC2 & SES in different AWS Accounts

In the steps below, you’ll configure and attach an IAM role to the EC2 instance in account “A” such that it can run an example Python script. This Python script can use the permissions provided by the attached IAM role to send emails via SES in account “B”. This approach leverages cross-account access and simplifies sending email from the EC2 in account A via SES in account B. As with Option 1, no explicit credential management is required in the code running on EC2, nor do you need to include a shared credentials file on the Ec2 instance.

Prerequisites – different AWS accounts for EC2 and SES (use cross-account access)

  • An AWS account “A” with:
    • EC2 instance (Linux) in running state. (If you don’t have a EC2 instance, create one using Amazon Linux)
    • Administrative Access to Amazon IAM and EC2 consoles.
    • Make note of your “A” AWS account ID here: ________________
  • An AWS account “B” with:
    • Verified domain (or email identity for testing only) in Amazon SES
      • Make note of a verified sending email address here: ___________
    • Administrative Access to Amazon SES and IAM consoles.
      • Make note of your “B” AWS account ID here: ________________
    • In the steps below, you will create a “SES_Role_for_account_A” role.
      • Make note of the ARN of the “SES_Role_for_account_A” role here: ___________
    • Access to a recipient email address to receive test emails from the python script.
      • Make note of a SES verified recipient email address to send test emails here: ___________

Step 1 – Create IAM Role in the SES “B” account

  • Sign in to the SES “B” account via the AWS Management Console and open the IAM console.
  • In the navigation pane, choose “Roles,” and then choose “Create role“.
  • Choose the trusted entity type as ‘AWS account’ and select ‘Another AWS account’.
  • Add the AWS account ID where your EC2 instance resides (AWS account “A” in the prerequisites) and click ‘Next’.
  • Search for and select the “AmazonSESFullAccess” policy or create a custom policy with the necessary SES permissions, then click ‘Next’.
  • Provide a name for your role (e.g., ‘SES_Role_for_account_A').
  • Click “Create role“.
  • Copy the arn for the new SES_Role_for_account_A (you’ll need the arn in the next step).

Step 2 – Create a IAM policy in the EC2 “A” account that allows this role to assume the SES_Role_for_account_A role you just created in the SES “B” Account.

  • Sign in to the EC2 “A” account via the AWS Management Console and open the IAM console.
  • In the navigation pane, choose “Policies,” and then choose “Create Policy”.
  • Choose the service as ‘EC2’ and select policy editor as JSON.
  • Copy the policy below, and in the policy editor, replace the Resource with the arn of theSES_Role_for_account_A in the SES account “B” (you created this in step 1).

[copy, paste into policy editor & replace the arn with SES_Role_for_account_A]

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::<SES_Account_ID>:role/<Role_Name>"
}
]
}

  • Click ‘Next’ and provide a name for your role (e.g., EC2_Policy_for_account_B).
  • Click ‘Create the Policy

Step 3 – Create an IAM role in the EC2 “A” account, and attach the previously created IAM policy (EC2_Policy_for_account_B) to it.

  • In the EC2 “A” account IAM console navigation pane, choose “Roles,” and then choose “Create role.”
  • Choose the trusted entity type as “AWS service” and select “EC2” as the service, then click ‘Next’.

  • Filter by type “customer managed”, search for (EC2_Policy_for_account_B) and select that policy and ‘Next’ (note – if you are using AWS Session Manger to remotely connect to your EC2 instance, you may need to add the “AmazonSSMManagedInstanceCore” policy to the role).

  • Provide a name for your role (e.g., EC2_SES_in_account_B_role).
  • Click “Create role“.

Step 4 – Attach the IAM Role (EC2_SES_in_account_B_role) to the EC2 instance in AWS account “A”.

  • Open the EC2 Management Console in AWS account “A”
  •  In the navigation pane, choose “Instances,” and select the instance to which you want to attach the EC2_SES_in_account_B_role IAM role.
  • With the instance selected, choose “Actions,” then “Security,” and “Modify IAM role.”

  • Choose the IAM role you created (EC2_SES_in_account_B_role) from the drop-down menu.
  • Click “Update IAM role.”

Step 5 – Create a sample python script that sends emails via SES in AWS account “B” from the EC2 instance in AWS account “A” using the EC2 attached role.

  1. Now that your EC2 instance is configured with the necessary permissions, you can set up an example Python script to send emails via Amazon SES in AWS Account “B” using the IAM Role on EC2 in AWS Account “A”. We’ll use the AWS SDK for Python (Boto3), a powerful and versatile library to interact with the SES API endpoint. Before running the example script, ensure that Python, pip (the package installer for Python), and the Boto3 library are installed on your EC2 instance:
    • Run the ‘python3 –version‘ command to check if Python is installed on your EC2 instance. If Python is installed, the version will be displayed, otherwise you’ll receive a ‘command not found’ or similar error message.
      • If python is not installed, run the command ‘sudo yum install python3 -y
    • Run the ‘pip3 --version‘ command to check if pip is installed on your EC2 instance. If pip3 is installed, is installed, the version will be displayed, otherwise you’ll receive a ‘command not found’ or similar error message.
      • If pip3 is not installed, run the command ‘sudo yum install python3-pip
    • Install the Boto3 Library which allows Python scripts to interact with AWS services including SES. Run the command ‘pip3 install boto3‘ to install (or update) Boto3 using pip.
  1. Save the code below as a Python file named cross_sesemail.py on your EC2 instance.
    4b. Edit cross_sesemail.py and replace the placeholder values of the ROLE_ARN with ARN of the SES_Role_for_account_A you created in SES Account “B” (see prerequisites), SENDER, RECIPIENT, and AWS_REGION with your values (see prerequisites). Do not modify any “” marks.

[copy, edit & replace the ROLE_ARN]

import boto3
from botocore.exceptions import ClientError

# Replace with your role ARN in SES Account
ROLE_ARN = "arn:aws:iam::<Account_ID>:role/<Role_Name>"

# Create an STS client
sts_client = boto3.client('sts')

# Assume the role
assumed_role = sts_client.assume_role(
    RoleArn=ROLE_ARN,
    RoleSessionName="SESSession"
)

# Extract the temporary credentials
credentials = assumed_role['Credentials']

# Create an SES client using the assumed role credentials
ses_client = boto3.client(
    'ses',
    region_name='us-west-2',
    aws_access_key_id=credentials['AccessKeyId'],
    aws_secret_access_key=credentials['SecretAccessKey'],
    aws_session_token=credentials['SessionToken']
)

# Email parameters
SENDER = "[email protected]"
RECIPIENT = "[email protected]"
SUBJECT = "Amazon SES Test (SDK for Python) using cross-account IAM Role"
BODY_TEXT = ("Amazon SES Test (Python)\r\n"
             "This email was sent with Amazon SES using the "
             "AWS SDK for Python (Boto) using IAM Role."
            )
BODY_HTML = """<html>
<head></head>
<body>
  <h1>Amazon SES Test (SDK for Python) using IAM Role</h1>
  <p>This email was sent with
    <a href='https://aws.amazon.com/ses/'>Amazon SES</a> using the
    <a href='https://aws.amazon.com/sdk-for-python/'>
      AWS SDK for Python (Boto)</a> using IAM Role.</p>
</body>
</html>
            """
CHARSET = "UTF-8"

# Send the email
try:
    response = ses_client.send_email(
        Destination={
            'ToAddresses': [RECIPIENT],
        },
        Message={
            'Body': {
                'Html': {
                    'Charset': CHARSET,
                    'Data': BODY_HTML,
                },
                'Text': {
                    'Charset': CHARSET,
                    'Data': BODY_TEXT,
                },
            },
            'Subject': {
                'Charset': CHARSET,
                'Data': SUBJECT,
            },
        },
        Source=SENDER,
    )
except ClientError as e:
    print(e.response['Error']['Message'])
else:
    print("Email sent! Message ID:"),
    print(response['MessageId'])
  • Run the python script python3 cross_sesemail.py. When the email is sent successfully, the command line output will display the message ID of the sent email, and the recipient will receive an email.

Conclusion:

By implementing IAM roles for EC2 instances with SES permissions, you can securely send emails via the SES APIs from your web applications without the need to store or manage IAM credentials within the EC2 instance or application code. This approach not only enhances security by eliminating the risk of credential exposure, but also simplifies the management of credentials. With the step-by-step guide provided in this blog post, you can easily configure IAM roles for your EC2 instances and start sending emails via the Amazon SES API in a secure and efficient manner, regardless of whether your EC2 and SES resources reside in the same or different AWS accounts.

Next Steps:

  1. Sign up for the AWS Free Tier and try out Amazon SES with IAM roles for EC2 instances as demonstrated in this blog post.
  2. Consult the AWS documentation on IAM Roles for Amazon EC2 and Amazon SES for more detailed instructions and best practices.
  3. Join the AWS Community Forums to ask questions, share experiences, and learn from other AWS users who have implemented similar solutions for secure email sending from their web applications.

About the Authors

Manas Murali M

Manas Murali M

Manas Murali M is a Cloud Support Engineer II at AWS and subject matter expert in Amazon Simple Email Service (SES) and Amazon CloudFront. With over 5 years of experience in the IT industry, he is passionate about resolving technical issues for customers. In his free time, he enjoys spending time with friends, traveling, and exploring emerging technologies.

zip

Zip

Zip is an Amazon Pinpoint and Amazon Simple Email Service Sr. Specialist Solutions Architect at AWS. Outside of work he enjoys time with his family, cooking, mountain biking and plogging.

Metasploit Weekly Wrap-Up 09/27/2024

Post Syndicated from Christophe De La Fuente original https://blog.rapid7.com/2024/09/27/metasploit-weekly-wrap-up-09-27-2024/

Epic Release!

Metasploit Weekly Wrap-Up 09/27/2024

This week’s release includes 5 new modules, 6 enhancements, 4 fixes and 1 documentation update. Among the new additions, we have an account take over, SQL injection, RCE, and LPE! Thank you to all the contributors who made it possible!

New Module Content (5)

Cisco Smart Software Manager (SSM) On-Prem Account Takeover (CVE-2024-20419)

Authors: Michael Heinzl and Mohammed Adel
Type: Auxiliary
Pull request: #19375 contributed by h4x-x0r
Path: admin/http/cisco_ssm_onprem_account
AttackerKB reference: CVE-2024-20419

Description: This is a new module which exploits an account takeover vulnerability in Cisco Smart Software Manager (SSM) On-Prem <= 8-202206, by changing the password of the admin user to one that is attacker-controlled.

WhatsUp Gold SQL Injection (CVE-2024-6670)

Authors: Michael Heinzl and Sina Kheirkhah ( <Sina Kheirkhah (@SinSinology) of Summoning Team (@SummoningTeam)>
Type: Auxiliary
Pull request: #19436 contributed by h4x-x0r
Path: admin/http/whatsup_gold_sqli
CVE reference: ZDI-24-1185

Description: This is a new module which exploits a SQL injection vulnerability in WhatsUp Gold versions before v24.0.0. Successful exploitation allows an unauthenticated remote attacker to change the password of the admin user.

Vicidial SQL Injection Time-based Admin Credentials Enumeration

Authors: Jaggar Henry of KoreLogic, Inc. and Valentin Lobstein
Type: Auxiliary
Pull request: #19453 contributed by Chocapikk
Path: scanner/http/vicidial_sql_enum_users_pass
AttackerKB reference: CVE-2024-8503

Description: This adds a new auxiliary module that exploits a time-based SQL injection vulnerability in VICIdial to enumerate admin credentials. This auxiliary module is designed for MySQL databases and allows the retrieval of admin usernames and passwords through blind SQL injection.

Traccar v5 Remote Code Execution (CVE-2024-31214 and CVE-2024-24809)

Authors: Michael Heinzl, Naveen Sunkavally, and yiliufeng168
Type: Exploit
Pull request: #19416 contributed by h4x-x0r
Path: linux/http/traccar_rce_upload
AttackerKB reference: CVE-2024-24809

Description: This module exploits two vulnerabilities in Traccar v5.1 – v5.12 to obtain remote code execution: A path traversal vulnerability CVE-2024-24809 and an unrestricted file upload vulnerability CVE-2024-31214.

Local Privilege Escalation via CVE-2023-0386

Authors: Takahiro Yokoyama, sxlmnwb, and xkaneiki
Type: Exploit
Pull request: #19441 contributed by Takahiro-Yoko
Path: linux/local/cve_2023_0386_overlayfs_priv_esc
AttackerKB reference: CVE-2023-0386

Description: This adds an exploit module that leverages a flaw in the Linux kernel’s OverlayFS subsystem, which allows unauthorized access to the execution of the setuid file with capabilities (CVE-2023-0386). This enables a local user to escalate their privileges on the system.

Enhancements and Features (6)

  • #19397 from sjanusz-r7 – This replaces the Readline library with Reline.
  • #19448 from jvoisin – Adds a number of improvements to modules/post/multi/manage/screensaver.rb. A new UNLOCK action has been added. When the LOCK action is selected instead of only checking to see if xdg-screensaver lock exists on the target, the module will check for the presence of qdbus, dbus-send and loginctl. Improved error handling when running on Windows or Solaris has also been added.
  • #19451 from jvoisin – Before this change php NOP sleds would be comprised of only spaces. Now the space, tab, semi-colon, carriage return and line feed characters will all be used in a random assortment to generate NOP sleds when needed.
  • #19462 from jvoisin – This adds an Auto option to the Msf::Post::Linux::Compile library. This enables automatic selection of the compiler according to what is available locally on the target system.
  • #19467 from jvoisin – This updates the lib/msf/core/exploit/remote/http/wordpress/admin.rb library such that when generate_plugin method gets called and the payload type is not ARCH_PHP – the library will use the php_preamble/php_system_block combo instead of hardcoding system/base64, as system might not be available on some WordPress deployments, and the combo has some low-hanging evasions for this case. This change also randomizes the license header of the plugin.
  • #19478 from bcoles – Updates Metasploit to support new constants for RISCV32BE, RISCV32LE, RISCV64BE, RISCV64LE, LOONGARCH64.

Bugs Fixed (4)

  • #19184 from adfoster-r7 – This updates bundler version and fixes multiple warnings when booting msfconsole.
  • #19474 from sfewer-r7 – This fixes a bug in the DNS resolver on Windows platforms that prevented it from initializing.
  • #19475 from NtAlexio2 – This refactors the pipe_auditor scanner module to allow an RPORT argument to be specified and refactors it to follow more recent patterns used by SMB modules.
  • #19491 from jvoisin – Fixes a crash in lib/msf/core/payload/php.rb.

Documentation Added (1)

  • #19493 from adfoster-r7 – Improves the documentation for testing that the post exploitation API works against the currently opened sessions.

You can always find more documentation on our docsite at docs.metasploit.com.

Get It

As always, you can update to the latest Metasploit Framework with msfupdate
and you can get more details on the changes since the last blog post from
GitHub:

If you are a git user, you can clone the Metasploit Framework repo (master branch) for the latest.
To install fresh without using git, you can use the open-source-only Nightly Installers or the
commercial edition Metasploit Pro

Научни новини: Минилуни, комети, зоонози и фораминифери

Post Syndicated from Михаил Ангелов original https://www.toest.bg/nauchni-novini-miniluni-kometi-zoonozi-i-foraminiferi/

Това не е луна (а малък астероид)

Научни новини: Минилуни, комети, зоонози и фораминифери

Луната е стар другар на планетата ни, близо e до нея през по-голямата част от съществуването ѝ. Към момента най-широко приетата хипотеза е, че тя се е формирала след сблъсъка на обект с големината на Марс (Тея) и Протоземята. Поради близостта си до Слънцето и сравнително малката си маса след това събитие Земята не е успяла да привлече друг обект в постоянна орбита около себе си, затова Луната е нейният единствен постоянен естествен спътник.

Но понякога орбитата на някои астероиди минава близо до Земята и за известен период те са прихванати от нейното гравитационно поле. Тези събития може да са кратки – в рамките на няколко месеца астероидите само прелитат покрай планетата ни. Или по-дълги, продължаващи няколко години, като през този период обектите изминават една или повече пълни орбити около Земята. Тъй като са естествени спътници на планетата за известно време, могат да бъдат приети за своеобразни луни.

Примери за това са 2020 CD3, който напуска земното пространство през 2020 г., след като е прекарал там няколко години, и 2022 NX1, който е периодичен гост на планетата – прелетял е покрай нас през 1981 и 2022 г., а следващото му посещение трябва да е през 2051-ва.

Това предстои да стане и с астероида 2024 PT5, открит преди два месеца. Той е с размер около 10 м и е представител на групата астероиди Арджуна (наречени на хиндуистки герой) с орбити, сходни на земната. На 29 септември орбитата му ще се приближи до планетата дотолкова, че той ще стане минилуна до 25 ноември. Астероидът ще прелети отново покрай Земята на 9 януари 2025 г., след което ще се отправи на далечно пътешествие за 30 години, връщайки се при нас през 2055 г. Поради малкия си размер и голямото разстояние от Земята (около 10 пъти по-далеч от Луната) наблюдението на астероида ще бъде възможно само с големи телескопи. Имайки предвид характеристиките на орбитата му, учените отбелязват, че е малко вероятно обектът да е изкуствен.

Реално обектът няма да е същинска луна, тъй като няма да има стабилна орбита около планетата, но това е забавен начин да се гледа на сравнително рядък феномен.

Случаят обръща вниманието и към по-неприятния аспект на такива събития – сравнително късното откриване на малки обекти, които преминават близо до Земята. Въпреки че не са чак толкова опасни, колкото астероида, довел до загиването на динозаврите, те все пак могат да причинят огромни щети. Интензитетът на експлозията от метеорита, който избухна над Челябинск през 2013 г., се определя като над 20 пъти по-голям от този на бомбата, пусната над Хирошима. За справяне с проблема има предложени различни подходи, но техническите предизвикателства и необходимостта от финансиране са въпроси, на които все още няма точни отговори.

Посещение от комета

Преминаването на 2024 PT5 ще съвпадне с посещението и на друг далечен пътник – кометата C/2023 A3 (Tsuchinshan–ATLAS). Тя е забелязана първо в началото на 2023 г. от китайска обсерватория. След месец е наблюдавана от южноафриканската обсерватория ATLAS, открила и астероида по-горе. Кометата идва от облака на Оорт – своеобразна сфера от обекти, която обвива Слънчевата система и се намира след хелиопаузата. Счита се, че повечето комети, които наблюдаваме, са с такъв произход. Орбитата на A3 я отведе най-близо до Слънцето (т.нар. перихелий) на 27 септември.

След откриването ѝ кометата постоянно се наблюдава, за да се проследи нейният път и да се прецени състоянието ѝ. Тъй като в повечето случаи кометите не са много големи и при всяко преминаване покрай Слънцето отделят материал и са изложени на силни гравитационни сили, има голям риск от разделянето им на по-малки обекти, около които не може да се образува голяма опашка и които не достигат достатъчна яркост за наблюдение с просто око. Такъв беше случаят с C/2019 Y4 (ATLAS), която даваше първоначални индикации за отдавна невиждан интензитет, но няколко месеца преди да достигне перихелий, започна да се разпада.

В началото на юли беше публикувана статия, според която кометата е започнала да отделя по-малко прах, което е знак, че ядрото ѝ се е фрагментирало. Притесненията за това нараснаха поради липсата на наблюдения, но за радост на астрономите в началото на септември бяха публикувани редица съобщения, че кометата е видима и е с добра яркост. Южното полукълбо на Земята ще предостави по-добра възможност за наблюдение, което вече дава резултат – преди ден кометата е заснета над Чили с красива дълга опашка, видима и с просто око. Това показва, че най-вероятно A3 ще издържи на острия завой около Слънцето и ще можем да ѝ се полюбуваме.

Очаква се кометата да бъде видима в рамките на месец – от края на септември до края на октомври. До средата на октомври наблюденията ще са възможни рано сутрин, преди изгрев, ниско над хоризонта в посока изток, а след това привечер, след залез, в посока запад.

Зоонозите са все така актуални

Инфекциозните заболявания, които се предават от животни на човек, са предизвикателство, при справянето с което съвременната медицина продължава да изпитва трудности. При патогените, за които гостоприемник е само човекът, може да се разработи ваксина, която да помогне за почти пълното заличаване на заболяванията, причинени от тях. Примери за това са едрата шарка и полиомиелитът. Но когато вирусите могат да бъдат приютени в друг вид, особено див, изпълнението на тази задача става практически невъзможно. Въпреки че прескачането на междувидовата бариера се наблюдава рядко, то може да доведе до много сериозни последици, както показа пандемията от COVID-19.

Преди няколко дни беше публикувана нова информация, която допълнително подкрепя животинския произход на вируса причинител на последната пандемия (SARS-CoV-2). Проучването се базира на набор от данни, който е публикуван от Китайският център по заразни болести и съдържа информация от над 800 проби, събрани от пазара Хуанан в Ухан. Пробите са взети както от животни, останали непродадени след затварянето на пазара, така и от повърхности, с които животните са били в контакт – клетки, канали и др. Така събраният материал е бил секвениран с цел получаване на пълен набор от всички налични нуклеинови киселини – без значение от какъв вид са те.

Новият анализ успешно е определил от кой вид бозайник е пробата и дали в нея има следи от SARS-CoV-2. Благодарение на детайлната информация за конкретното местоположение, от което са събрани, учените са направили карта на пазара, в която могат да се видят огнищата на COVID и видовете, които са най-засегнати от него. Това са цивети и енотовидни кучета, които бяха уличени като преносители още в началото на пандемията, а също и по време на епидемията от SARS през 2002 г.

Тези проби са сравнени линиите на вируса, изолирани в началото на пандемията. Те са практически идентични, което е силен аргумент, че именно пазарът (или общ доставчик) е бил мястото, от което се е разпространило заболяването. Определена още в началото като малко вероятна, хипотезата за изкуствения произход на вируса вече е още по-съмнителна.

За съжаление, повечето животни са премахнати от пазара, преди китайският екип да започне събиране на проби, поради което директното установяване на произхода на вируса става невъзможно. Единственият достъпен материал са РНК и ДНК, останали по клетките, в които са държани животните. Въпреки това експертите се надяват, че благодарение на установяването на конкретни видове болни животни ще може да се проследи техният произход и да се проучи местната популация на прилепи, които са основният резервоар на коронавируси.

Проследяването на източника на новопоявилите се вирусни заболявания е от изключително значение, защото може да помогне както за превенция на разпространението им, така и за ускоряване на създаването на ваксини за тях. Въпросът е повече от актуален на фона на продължаващото разпространение на птичи грип в САЩ. Нов случай в Мисури буди притеснение, защото все още не е ясно как се е заразил пациентът.

Към момента вирусът е установен в 14 души в САЩ: деветима са се заразили след контакт с птици, а четирима – от крави. Източникът при най-новия случай не може да се установи и не е ясно дали става въпрос за пренос от човек, или друг вектор. Пациентът е постъпил в болница и при тест за грип е дал положителен резултат. Тъй като вирусът се е оказал различен от сезонните щамове, той е секвениран и е потвърдено, че е от птича разновидност. Пациентът се е възстановил и вече е изписан, но учените се тревожат най-вече поради неясния произход на заразата.

Данните от секвенирането не помагат да се разплете напълно мистерията. Секвенцията е непълна, което може да се дължи на това, че пробата е взета прекалено късно след острото развитие на вируса. Не може да се заключи със сигурност, че става въпрос за пренос от човек. Както вече е известно, вирусът се отделя в млякото на болни крави, така че неправилно обработено мляко може да бъде евентуален вектор.

Въпреки че към момента описаните случаи при хора са малко, вирусът е установен в много други бозайници – крави, лисици, мишки, еноти, котки, което означава, че прескачането на междувидовата бариера става често. Така потенциалните източници на зараза се увеличават. Расте и възможността на вируса да рекомбинира в по-агресивни щамове. Успокоителното е, че към момента няма данни за широко разпространение сред хора и в изявлението си Центърът за контрол и превенция на заболявания (CDC) определя риска за населението като нисък.

Пренареждане в Средиземно море

Глобалните промени в климата обикновено се свързват с температурни аномалии и по-непредвидимо време, но те влияят на всички части от екосферата. Повишаването на нивата на въглероден диоксид (CO2) в атмосферата има различен ефект върху различните организми. За растенията леко повишените нива могат да бъдат полезни – CO2 е източник на въглерод за техния метаболизъм. Наред с това, тъй като могат да отворят по-малко устицата си, за да приемат същото количество въглерод, те губят по-малко вода и така стават по-устойчиви на засушаване. Разбира се, това е деликатен баланс и над определена граница растенията започват да страдат.

Антропогенното покачване на CO2 влияе и на водните екосистеми – той се разтваря във водата и така понижава нейното pH, правейки я по-кисела. Един от подходящите хабитати за изследване на последиците от вкисляването на Световния океан е Средиземно море, което е по-алкално (с по-високо pH). Това се дължи на няколко специфични за него фактора. Един от тях са по-високите температури. Вследствие от тях изпаряването на вода е по-бързо. Те също имат значение и за способността на водата да поглъща CO2, по-топлите течности могат да задържат по-малко от газа. Морето също е със завишено съдържание на карбонати, които могат да формират кристали. При това се отделя CO2 и така концентрацията му във водата намалява.

Това помага за забавяне на процеса на вкисляване, но все пак pH на водата спада, като в западната част на морето това става по-бързо, отколкото в световен мащаб. Въпреки че промяната, погледната като абсолютна стойност, не е висока, трябва да се има предвид, че водните обитатели имат сравнително тесен диапазон от условия на околната среда, в който могат да се развиват.

Едни от тези организми са фораминиферите, микроскопични едноклетъчни, близки до радиолариите, които образуват защитна черупка от карбонати. Разглеждайки масата на обвивката на два вида в западната част на Средиземно море, учени са установили, че се забелязва голям спад след индустриалната революция, както и повишение в степента на нейната вариация – черупките са по-леки и отделните индивиди не са хомогенни, както се предполага в популациите им. За проследяване на масата през годините е използвано радиоизотопно датиране с помощта на няколко изотопа.

Най-вероятната хипотеза е, че промяната в масата на черупките на фораминиферите се дължи на променящите се условия в морето, като един от важните фактори е именно киселинността на водата – по-киселата среда води до по-трудно формиране и разграждане на обвивката от калциев карбонат.

Но природата е разнообразна и понякога лошите условия за един вид се оказват изключително подходящи за друг. Amphistegina lobifera е важен пясъкоформиращ вид, който се развива много добре в топли и бедни на хранителни вещества води. След като изчезва от Средиземно море преди около 6 млн. години, след построяването на Суецкия канал той се завръща от Червено море.

Оказва се, че видът е изключително пригоден за сегашните условия – издържа на по-широк температурен диапазон, има способността да се хибернира и създава междинна черупка от магнезиев карбонат, която е по-устойчива на киселинна среда. Всичко това води до бързото нарастване на неговите популации, което дори повдига дискусия дали трябва да бъде определен като инвазивен.

Дори да е така, той може да се окаже изключително ценен за държавите, близо до чиито брегове се развива, защото карбонатните му черупки са материал, който се превръща в прекрасни плажове. С повишаването на морското равнище отлагането на нов материал е от изключителна важност и според учените популациите към момента са толкова големи, че най-вероятно ще могат да компенсират промяната в нивото. Отлаганията по някои брегове в Турция са около един сантиметър годишно, а сегашните нива на покачване на морското равнище се определят на половин сантиметър годишно. Друга добра новина е, че според наличната информация видът ще продължи да процъфтява в региона още дълго – той е еволюирал в сходни условия и сега се завръща в позната среда.

Amazon EMR Serverless observability, Part 1: Monitor Amazon EMR Serverless workers in near real time using Amazon CloudWatch

Post Syndicated from Kashif Khan original https://aws.amazon.com/blogs/big-data/amazon-emr-serverless-observability-part-1-monitor-amazon-emr-serverless-workers-in-near-real-time-using-amazon-cloudwatch/

Amazon EMR Serverless allows you to run open source big data frameworks such as Apache Spark and Apache Hive without managing clusters and servers. With EMR Serverless, you can run analytics workloads at any scale with automatic scaling that resizes resources in seconds to meet changing data volumes and processing requirements.

We have launched job worker metrics in Amazon CloudWatch for EMR Serverless. This feature allows you to monitor vCPUs, memory, ephemeral storage, and disk I/O allocation and usage metrics at an aggregate worker level for your Spark and Hive jobs.

This post is part of a series about EMR Serverless observability. In this post, we discuss how to use these CloudWatch metrics to monitor EMR Serverless workers in near real time.

CloudWatch metrics for EMR Serverless

At the per-Spark job level, EMR Serverless emits the following new metrics to CloudWatch for both driver and executors. These metrics provide granular insights into job performance, bottlenecks, and resource utilization.

WorkerCpuAllocated The total numbers of vCPU cores allocated for workers in a job run
WorkerCpuUsed The total numbers of vCPU cores utilized by workers in a job run
WorkerMemoryAllocated The total memory in GB allocated for workers in a job run
WorkerMemoryUsed The total memory in GB utilized by workers in a job run
WorkerEphemeralStorageAllocated The number of bytes of ephemeral storage allocated for workers in a job run
WorkerEphemeralStorageUsed The number of bytes of ephemeral storage used by workers in a job run
WorkerStorageReadBytes The number of bytes read from storage by workers in a job run
WorkerStorageWriteBytes The number of bytes written to storage from workers in a job run

The following are the benefits of monitoring your EMR Serverless jobs with CloudWatch:

  • Optimize resource utilization – You can gain insights into resource utilization patterns and optimize your EMR Serverless configurations for better efficiency and cost savings. For example, underutilization of vCPUs or memory can reveal resource wastage, allowing you to optimize worker sizes to achieve potential cost savings.
  • Diagnose common errors – You can identify root causes and mitigation for common errors without log diving. For example, you can monitor the usage of ephemeral storage and mitigate disk bottlenecks by preemptively allocating more storage per worker.
  • Gain near real-time insights – CloudWatch offers near real-time monitoring capabilities, allowing you to track the performance of your EMR Serverless jobs as and when they are running, for quick detection of any anomalies or performance issues.
  • Configure alerts and notifications – CloudWatch enables you to set up alarms using Amazon Simple Notification Service (Amazon SNS) based on predefined thresholds, allowing you to receive notifications through email or text message when specific metrics reach critical levels.
  • Conduct historical analysis – CloudWatch stores historical data, allowing you to analyze trends over time, identify patterns, and make informed decisions for capacity planning and workload optimization.

Solution overview

To further enhance this observability experience, we have created a solution that gathers all these metrics on a single CloudWatch dashboard for an EMR Serverless application. You need to launch one AWS CloudFormation template per EMR Serverless application. You can monitor all the jobs submitted to a single EMR Serverless application using the same CloudWatch dashboard. To learn more about this dashboard and deploy this solution into your own account, refer to the EMR Serverless CloudWatch Dashboard GitHub repository.

In the following sections, we walk you through how you can use this dashboard to perform the following actions:

  • Optimize your resource utilization to save costs without impacting job performance
  • Diagnose failures due to common errors without the need for log diving and resolve those errors optimally

Prerequisites

To run the sample jobs provided in this post, you need to create an EMR Serverless application with default settings using the AWS Management Console or AWS Command Line Interface (AWS CLI), and then launch the CloudFormation template from the GitHub repo with the EMR Serverless application ID provided as the input to the template.

You need to submit all the jobs in this post to the same EMR Serverless application. If you want to monitor a different application, you can deploy this template for your own EMR Serverless application ID.

Optimize resource utilization

When running Spark jobs, you often start with the default configurations. It can be challenging to optimize your workload without any visibility into actual resource utilization. Some of the most common configurations that we’ve seen customers adjust are spark.driver.cores, spark.driver.memory, spark.executor.cores, and spark.executors.memory.

To illustrate how the newly added CloudWatch dashboard worker-level metrics can help you fine-tune your job configurations for better price-performance and enhanced resource utilization, let’s run the following Spark job, which uses the NOAA Integrated Surface Database (ISD) dataset to run some transformations and aggregations.

Use the following command to run this job on EMR Serverless. Provide your Amazon Simple Storage Service (Amazon S3) bucket and EMR Serverless application ID for which you launched the CloudFormation template. Make sure to use the same application ID to submit all the sample jobs in this post. Additionally, provide an AWS Identity and Access Management (IAM) runtime role.

aws emr-serverless start-job-run \
--name emrs-cw-dashboard-test-1 \
 --application-id <APPLICATION_ID> \
 --execution-role-arn <JOB_ROLE_ARN> \
 --job-driver '{
 "sparkSubmit": {
 "entryPoint": "s3://<BUCKETNAME>/scripts/windycity.py",
 "entryPointArguments": ["s3://noaa-global-hourly-pds/2024/", "s3://<BUCKET_NAME>/emrs-cw-dashboard-test-1/"]
 } }'

Now let’s check the executor vCPUs and memory from the CloudWatch dashboard.

This job was submitted with default EMR Serverless Spark configurations. From the Executor CPU Allocated metric in the preceding screenshot, the job was allocated 396 vCPUs in total (99 executors * 4 vCPUs per executor). However, the job only used a maximum of 110 vCPUs based on Executor CPU Used. This indicates oversubscription of vCPU resources. Similarly, the job was allocated 1,584 GB memory in total based on Executor Memory Allocated. However, from the Executor Memory Used metric, we see that the job only used 176 GB of memory during the job, indicating memory oversubscription.

Now let’s rerun this job with the following adjusted configurations.

Original Job (Default Configuration) Rerun Job (Adjusted Configuration)
spark.executor.memory 14 GB 3 GB
spark.executor.cores 4 2
spark.dynamicAllocation.maxExecutors 99 30
Total Resource Utilization

6.521 vCPU-hours

26.084 memoryGB-hours

32.606 storageGB-hours

1.739 vCPU-hours

3.688 memoryGB-hours

17.394 storageGB-hours
Billable Resource Utilization

7.046 vCPU-hours

28.182 memoryGB-hours

0 storageGB-hours

1.739 vCPU-hours

3.688 memoryGB-hours

0 storageGB-hours

We use the following code:

aws emr-serverless start-job-run \
--name emrs-cw-dashboard-test-2 \
 --application-id <APPLICATION_ID> \
 --execution-role-arn <JOB_ROLE_ARN> \
 --job-driver '{
 "sparkSubmit": {
 "entryPoint": "s3://<BUCKETNAME>/scripts/windycity.py",
 "entryPointArguments": ["s3://noaa-global-hourly-pds/2024/", "s3://<BUCKET_NAME>/emrs-cw-dashboard-test-2/"],
 "sparkSubmitParameters": "--conf spark.driver.cores=2 --conf spark.driver.memory=3g --conf spark.executor.memory=3g --conf spark.executor.cores=2 --conf spark.dynamicAllocation.maxExecutors=30"
 } }'

Let’s check the executor metrics from the CloudWatch dashboard again for this job run.

In the second job, we see lower allocation of both vCPUs (396 vs. 60) and memory (1,584 GB vs. 120 GB) as expected, resulting in better utilization of resources. The original job ran for 4 minutes, 41 seconds. The second job took 4 minutes, 54 seconds. This reconfiguration has resulted in 79% lower cost savings without affecting the job performance.

You can use these metrics to further optimize your job by increasing or decreasing the number of workers or the allocated resources.

Diagnose and resolve job failures

Using the CloudWatch dashboard, you can diagnose job failures due to issues related to CPU, memory, and storage such as out of memory or no space left on the device. This enables you to identify and resolve common errors quickly without having to check the logs or navigate through Spark History Server. Additionally, because you can check the resource utilization from the dashboard, you can fine-tune the configurations by increasing the required resources only as much as needed instead of oversubscribing to the resources, which further saves costs.

Driver errors

To illustrate this use case, let’s run the following Spark job, which creates a large Spark data frame with a few million rows. Typically, this operation is done by the Spark driver. While submitting the job, we also configure spark.rpc.message.maxSize, because it’s required for task serialization of data frames with a large number of columns.

aws emr-serverless start-job-run \
--name emrs-cw-dashboard-test-3 \
--application-id <APPLICATION_ID> \
--execution-role-arn <JOB_ROLE_ARN> \
--job-driver '{
"sparkSubmit": {
"entryPoint": "s3://<BUCKETNAME>/scripts/create-large-disk.py"
"sparkSubmitParameters": "--conf spark.rpc.message.maxSize=2000"
} }'

After a few minutes, the job failed with the error message “Encountered errors when releasing containers,” as seen in the Job details section.

When encountering non-descriptive error messages, it becomes crucial to investigate further by examining the driver and executor logs to troubleshoot further. But before further log diving, let’s first check the CloudWatch dashboard, specifically the driver metrics, because releasing containers is generally performed by the driver.

We can see that the Driver CPU Used and Driver Storage Used are well within their respective allocated values. However, upon checking Driver Memory Allocated and Driver Memory Used, we can see that the driver was using all of the 16 GB memory allocated to it. By default, EMR Serverless drivers are assigned 16 GB memory.

Let’s rerun the job with more driver memory allocated. Let’s set driver memory to 27 GB as the starting point, because spark.driver.memory + spark.driver.memoryOverhead should be less than 30 GB for the default worker type. park.rpc.messsage.maxSize will be unchanged.

aws emr-serverless start-job-run \
—name emrs-cw-dashboard-test-4 \
—application-id <APPLICATION_ID> \
—execution-role-arn <JOB_ROLE_ARN> \
—job-driver '{
"sparkSubmit": {
"entryPoint": "s3://<BUCKETNAME>/scripts/create-large-disk.py"
"sparkSubmitParameters": "--conf spark.driver.memory=27G --conf spark.rpc.message.maxSize=2000"
} }'

The job succeeded this time around. Let’s check the CloudWatch dashboard to observe driver memory utilization.

As we can see, the allocated memory is now 30 GB, but the actual driver memory utilization didn’t exceed 21 GB during the job run. Therefore, we can further optimize costs here by reducing the value of spark.driver.memory. We reran the same job with spark.driver.memory set to 22 GB, and the job still succeeded with better driver memory utilization.

Executor errors

Using CloudWatch for observability is ideal for diagnosing driver-related issues because there is only one driver per job and driver resources used is the actual resource usage of the single driver. On the other hand, executor metrics are aggregated across all the workers. However, you can use this dashboard to provide only an adequate amount of resources to make your job succeed, thereby avoiding oversubscription of resources.

To illustrate, let’s run the following Spark job, which simulates uniform disk over-utilization across all workers by processing very large NOAA datasets from several years. This job also transiently caches a very large data frame on disk.

aws emr-serverless start-job-run \
--name emrs-cw-dashboard-test-5 \
--application-id <APPLICATION_ID> \
--execution-role-arn <JOB_ROLE_ARN> \
--job-driver '{
"sparkSubmit": {
"entryPoint": "s3://<BUCKETNAME>/scripts/noaa-disk.py"
} }'

After a few minutes, we can see that the job failed with “No space left on device” error in the Job details section, which indicates that some of the workers have run out of disk space.

Checking the Running Executors metric from the dashboard, we can identify that there were 99 executor workers running. Each worker comes with 20 GB storage by default.

Because this is a Spark task failure, let’s check the Executor Storage Allocated and Executor Storage Used metrics from the dashboard (because the driver won’t run any tasks).

As we can see, the 99 executors have used up a total of 1,940 GB from the total allocated executor storage of 2,126 GB. This includes both the data shuffled by the executors and the storage used for caching the data frame. We don’t see the full 2,126 GB being utilized from this graph because there might be a few executors out of the 99 executors that weren’t holding much data when the job failed (before these executors could start processing tasks and store the data frame chunks).

Let’s rerun the same job but with increased executor disk size using the parameter spark.emr-serverless.executor.disk. Let’s try with 40 GB disk per executor as a starting point.

aws emr-serverless start-job-run \
--name emrs-cw-dashboard-test-6 \
--application-id <APPLICATION_ID> \
--execution-role-arn <JOB_ROLE_ARN> \
--job-driver '{
"sparkSubmit": {
"entryPoint": "s3://<BUCKETNAME>/scripts/noaa-disk.py"
"sparkSubmitParameters": "--conf spark.emr-serverless.executor.disk=40G"
}
}'

This time, the job ran successfully. Let’s check the Executor Storage Allocated and Executor Storage Used metrics.

Executor Storage Allocated is now 4,251 GB because we’ve doubled the value of spark.emr-serverless.executor.disk. Although there is now twice as much aggregated executors’ storage, the job still used only a maximum of 1,940 GB out of 4,251 GB. This indicates that our executors were likely running out of disk space only by a few GBs. Therefore, we can try to set spark.emr-serverless.executor.disk to an even lower value like 25 GB or 30 GB instead of 40 GB to save storage costs as we did in the previous scenario. In addition, you can monitor Executor Storage Read Bytes and Executor Storage Write Bytes to see if your job is I/O intensive. In this case, you can use the Shuffle-optimized disks feature of EMR Serverless to further enhance your job’s I/O performance.

The dashboard is also useful to capture information about transient storage used while caching or persisting the data frames, including spill-to-disk scenarios. The Storage tab of Spark History Server records any caching activities, as seen in the following screenshot. However, this data will be lost from Spark History Server after the cache is evicted or when the job finishes. Therefore, Executor Storage Used can be used to do an analysis of a failed job run due to transient storage issues.

In this particular example, the data was evenly distributed among the executors. However, if you have a data skew (for, example only 1–2 executors out of 99 process the most amount of data, and as a result, your job runs out of disk space), the CloudWatch dashboard won’t accurately capture this scenario because the storage data is aggregated across all the executors for a job. For diagnosing issues at the individual executor level, we need to track per-executor-level metrics. We explore more advanced examples of how per-worker-level metrics can help you identify, mitigate, and resolve hard-to-find issues through EMR Serverless integration with Amazon Managed Service for Prometheus.

Conclusion

In this post, you learned how to effectively manage and optimize your EMR Serverless application using a single CloudWatch dashboard with enhanced EMR Serverless metrics. These metrics are available in all AWS Regions where EMR Serverless is available. For more details about this feature, refer to Job-level monitoring.

About the Authors

Kashif Khan is a Sr. Analytics Specialist Solutions Architect at AWS, specializing in big data services like Amazon EMR, AWS Lake Formation, AWS Glue, Amazon Athena, and Amazon DataZone. With over a decade of experience in the big data domain, he possesses extensive expertise in architecting scalable and robust solutions. His role involves providing architectural guidance and collaborating closely with customers to design tailored solutions using AWS analytics services to unlock the full potential of their data.

Veena Vasudevan is a Principal Partner Solutions Architect and Data & AI specialist at AWS. She helps customers and partners build highly optimized, scalable, and secure solutions; modernize their architectures; and migrate their big data, analytics, and AI/ML workloads to AWS.

[$] Debian changes OpenSSH packaging

Post Syndicated from jzb original https://lwn.net/Articles/991088/

In the wake of the XZ
backdoor, the Debian project has revisited some of the
patches included in its OpenSSH
packages to improve security. The outcome of this is that the project
will be splitting out support for Kerberos key exchange into a
separate set of packages, though not until after the Debian 13
(“trixie”) release expected next year. The impact on Debian users
should be minimal, but it is an interesting look into the changes
Linux distributions make to upstream software as well as some of the
long-term consequences of those choices.

Седмото пришествие на същите

Post Syndicated from Емилия Милчева original https://www.toest.bg/sedmoto-prishestvie-na-syshtite/

Седмото пришествие на същите

Изглежда, че в българските избиратели още се крие жилав като плевел оптимизъм, щом реденето на листите за седмите за три години парламентарни избори предизвиква интерес – макар изборите да не са важни за гражданите, ако се съди по активността за гласуване. Вместо натиск върху политиците да не шикалкавят, а да дадат честни отговори за коалиране, вървят гадания като на хвърлен боб кой е в немилост и кой – фаворит, като че ли подредбата има значение за някой друг освен за самите кандидат-депутати и за вождовете, поставили ги там. 

Колко е представителна демокрацията

В крайна сметка, колкото и да влязат в парламента, ще имат по-силна връзка с партийната централа, отколкото с избирателния си район. Защо ли не ги наричат партийни вместо народни представители? В крайна сметка партията ги спуска или отстранява, поради което връзката между депутата и района, който представлява, в повечето случаи е прекъсната. Нововъведението на ГЕРБ – да издига за водачи успешни кметове с по 4–5 мандата, които след това ще се оттеглят в общините си и ще оставят следващите в листите, е мюре за електората и недотам честно. 

В българската политика е практика и политиците да водят по две листи, както и да сменят избирателните си райони за всеки вот. А именно свързаността на депутата с избирателния му район е важен елемент от функционирането на представителната демокрация. Личната ангажираност винаги дава по-силна мотивация за решаване на проблемите.

Ако депутатът има силна връзка с избирателния си район, той е по-добре запознат с местните проблеми, нужди и приоритети. Когато е в редовен контакт с хората от региона, е подложен на по-пряк контрол, тъй като се създава механизъм за обратна връзка. Избирателите мога да държат отговорен „своя“ депутат дали и как изпълнява обещанията си. Народният представител също ще е по-полезен на общността, като насочва ресурси и участва в създаването на закони, които отговарят на реалните ѝ нужди. 

Ако тези механизми работят, избирателите знаят, че гласът им е чут и техните проблеми са взети под внимание, което е от съществено значение за поддържането на легитимността на демократичните институции. В началото на българския Преход, когато дори не функционираха демократични институции, депутатите имаха много по-здрави връзки с избирателните си райони и избягваха да пропускат приемните си дни.

Впоследствие тези контакти изтъняха, а платформи като Facebook и YouTube станаха основни канали за комуникация между избраници и избиращи, което прави връзките по-малко лични и много по-масови, едностранчиви и по-скоро имиджови, отколкото ефективни.

С изключение на Ахмед Доган и Делян Пеевски, всички лидери на парламентарно представените партии се скупчиха в трите избирателни района в София, осигуряващи общо 46 мандата. Тази софиоцентричност, която се проявява не само в най-голямото население, най-голямата икономическа активност и най-високите средни заплати, взема връх и в парламентарната конкуренция. 

ГЕРБ заложи на фундамента си

Монополист в местната власт, ГЕРБ заложи на няколко кметове за водачи – от една страна, символно, от друга – практично в стремежа да постигне целта от 80 депутати в 51-вия парламент. За разлика от изпълнителната власт, където редовни и служебни правителства се редуват за по 6–7 месеца, местната стои стабилно и харчи милионите, одобрени с бюджета за 2024 г. Инвестиционната програма на общините за периода 2024–2026 г., гласувана от парламента към бюджета, е за 6,2 млрд. лв. Само за 2024 г. средствата са 4,5 млрд. лв. Така, докато е в ход дестабилизацията на парламентарната република, доминираната от ГЕРБ и от доскоро единното ДПС местна власт е осигурена, а значи и свързаните с нея бизнеси.

За кметове като Живко Тодоров (Стара Загора) и Димитър Николов (Бургас), изкарали по няколко мандата, преутвърждаването им като регионални лидери няма да е проблем. За кмета на Смолян Николай Мелемов, който трудно спечели своя четвърти пореден мандат, ще е изпитание. В Пловдив-град кметът Костадин Димитров е втори след лидера Бойко Борисов, който и заяви, че се разчита „да привлече гласове и да бъде част от витрината за постиженията на партията“.

В София бившата кметица Йорданка Фандъкова е водач на листата в 24-ти МИР на фона на остра кампания срещу настоящия кмет Васил Терзиев (ПП–ДБ–„Спаси София“) и неуспехите му да се справи с наследството на ГЕРБ – над 20-те милиона задължения на столичния градски транспорт, конфликта с местни общности заради проекта на ул. „Опълченска“, лошата комуникационна политика и др.

ПП–ДБ залага на София

Значението, което в коалицията отдават на София, където печелят най-много гласове и депутатски места, особено силно проличава при настоящото разпределение на листите без значими промени. Целта обаче е да си върнат поне 100 000 избиратели, след като изгубиха три пъти повече на вота на 9 юни.

В ПП–ДБ така и не успяха да се споразумеят по искането на „Да, България“ за нови критерии и механизми за номинации, при които да имат тежест свършената работа, отварянето към гражданското общество и разпознаваемостта. Предимството отново е на страната на „Продължаваме промяната“, която има водачи в двайсет многомандатни избирателни района, „Да, България“ – в пет, а партньорът ѝ в „Демократична България“ (ДБ) – ДСБ, получава три челни места. 

В ДБ залагат на изпитаната тактика на гласуване с преференции, която обикновено пренарежда листите. В Пловдив-град например издателят Манол Пейков е четвърти в листата на ПП–ДБ, но е лидер по преференции досега. Първи в пловдивската листа е съпредседателят на ПП Асен Василев, втори е председателят на Правната комисия Стою Стоев, също от ПП, трета е Катя Панева от ДБ. Във Варна начело отново е Даниел Лорер от ПП, но на предишните избори Стела Николова от ДБ, тогава четвърта, пренареди листата със своите 3280 гласа подкрепа, или 16% от всички гласове за ПП–ДБ.

Политици, знакови за ДБ, няма да водят листи – Ивайло Мирчев и Божидар Божанов са в софийските листи, но не на първите позиции, докато Атанас Атанасов е втори в една от тях, а Антоанета Цонева е трета в Бургас, което почти сигурно я оставя и извън парламента. Цонева, която беше водач в Разград на предишния вот, бе изместена с преференции от Джипо Джипов, а сега той е водач. Синът на Никола Джипов Николов, председател на Икономическата комисия по времето на Иван Костов, е предприемач в региона и трети мандат общински съветник в Разград.

ДПС се бори със себе си

Разцепеното Движение за права и свободи ще води битка със… себе си. ДПС – Ново начало и Алиансът за права и свободи ще сблъскат местни активисти и кметове, преминали в единия или в другия лагер. В най-силния за ДПС район – Кърджали, осигуряващ пет мандата, трима кметове, верни на Делян Пеевски – на Кърджали, Черноочене и Джебел, се изправят срещу депесарите на Доган, силни в другите четири общини – Ардино, Момчилград, Крумовград и Кирково. 

Конфликтът в района, където е най-голямата организация на ДПС, ще е особено остър предвид факта, че центърът Кърджали премина към олигарха, партийна креатура на почетния председател Ахмед Доган. Самият Доган води листата в Кърджали, а срещу него е кметът първи мандат Ерол Мюмюн, когото „изпитваше“ миналия септември в Сараите заедно с Хасан Азис. Ходът да се изправи Мюмюн е доста символен – той се опитва да убеди избирателите, че именно с него се слага ново начало за Кърджали с ремонтите на улици и разчистването на дълговете от Азис.

В Бургас листата на ДПС – Ново начало води бившият кмет на община Руен – Исмаил Осман. От тази община са и повечето гласове за ДПС в района. След него е бившият вътрешен министър Калин Стоянов, който обаче е и водач на листата на ДПС – Ново начало в София-област – обещание, дадено му по-рано от самия Пеевски.

Иначе нищо ново в кампанията на двете ДПС-та. Доган пак напомня за Възродителния процес, Пеевски обещава възмездие за същото и двамата горещо уверяват, че ще работят за хората. Но всеки опит на Доган да омаловажи ролята си в създаването на феномена „Пеевски“ е комичен, както е комичен и опитът да дистанцира ДПС от зависимостите в съдебната система. Контролът на това задкулисие обаче засега остава в ръцете на Пеевски, доказателство за което са акциите на прокуратурата и Антикорупционната комисия срещу кметове, останали верни на Доган и свитата му.

Един от проблемите за лагера на Доган е, че старите „автентични“ лица на ДПС досега оставяха изборите в ръцете на Пеевски и кръга му, а сега ще им се наложи да правят кампания. 

Разцеплението в ДПС обаче намали значително конкуренцията за второто място, оспорвано още от предишните избори. Тогава ДПС, ръководено от Делян Пеевски, се класира второ. Сега битката ще е между ПП–ДБ и „Възраждане“. Националпопулистите обаче ще бъдат отслабени заради „Величие“ и МЕЧ, които се борят да прескочат 4-процентовата бариера и са на терена за един и същи електорат. За парченце от него ще се борят, доколкото им е по силите със заявените ретролисти, и БСП и трудно скрепената коалиция. 

Всички те се надяват на участие в едно бъдещо управление, където им се привиждат властови позиции и порции. По-далечни стратегии засега няма, само опити да е още от същото.

Губи ли Америка стратегическата си инициатива, или по-скоро я възражда?

Post Syndicated from Искрен Иванов original https://www.toest.bg/gubi-li-america-strategicheskata-si-initsiativa-ili-po-skoro-ya-vuzrajda/

Губи ли Америка стратегическата си инициатива, или по-скоро я възражда?

Системата на международните отношения днес отразява две противоречащи си реалности, които дават повод на много анализатори да говорят за залеза на Америка и за края на „американския век“. От една страна, това се дължи на възпламеняването на регионални конфликти и глобални кризи, които бяха приспани след края на Студената война. А от друга – на стремежа на САЩ да съхрани глобалния либерален ред и системата от съюзи, които създаде след края на Втората световна война. 

Деклинизмът като феномен не е ново явление в американската политическа реалност и най-общо изразява идеята, че упадъкът на Америка, на нейния модел и на глобално ѝ лидерство са неизбежни, предстоящи, а в някои случаи – дори необходими. 

И все пак къде се крият корените на деклинизма и дали днес сме свидетели на този упадък, за който говорят поколения от автори и политици? Обречен ли е американският модел и какво кара толкова много хора все още да гледат към него като към най-предпочитаната форма на обществено-политически отношения? Струва си да си зададем и въпроса защо, след като политическото семейство на т.нар. недемокрации е толкова голямо, то все пак не може да представи културно-исторически образци, които да сплотят човечеството зад идеи, по-устойчиви от тези на либералната демокрация? Отговорите на поставените въпроси ще се опитаме да потърсим в този анализ.

Деклинизмът в САЩ като политическа реалност

Учените с безспорен принос към теорията на международните отношения, като бащата на меката сила Джоузеф Най и автора на цивилизационната теория Самюъл Хънтингтън, приемат, че деклинизмът е присъщ не просто на САЩ, но и на всяка велика сила, която обективно се старае да осъзнае границите на своята мощ.

Ето защо трудно бихме приели, че деклинизмът е модерна политическа реалност, и смело може да кажем, че в Америка той датира не от Голямата депресия, както твърдят много автори, а от самото възникване на САЩ. Американският проект в своята същност инкорпорира деклинизма като опция за развитието си най-малкото защото първият опит за конституция на младата държава – т.нар. Устав на Конфедерацията, се проваля с гръм и трясък. Последван е от Конституцията на САЩ, която задава основите на едно устойчиво държавно-политическо обединение, което коренно се отличава от автократичния модел на европейските колониални империи. 

Сходен е историческият казус с Гражданската война в САЩ и опитите на робовладелците да запазят привилегирования си статут, превърнал ги в потомствени аристократи. И въпреки че тогава мнозина се съмняват в оцеляването на Америка, тя възкръсва от това разделение много по-силна и по-единна, отколкото в първите години на своето съществуване.

Годините след Испанско-американската война (1898), която поставя началото на модерната американска дипломация, също не са леки за американците. Изолационистката фракция в САЩ чертае черни сценарии в Конгреса, предупреждавайки, че всяка намеса в европейските конфликти може да коства на Америка нейната независимост. По подобен начин се държат и авторите на много расистки закони, които виждат в доктрините на президентите Теодор Рузвелт и Хауърд Тафт заплаха за националната сигурност заради политиката на доларовата дипломация, която постепенно започва да измества европейците от икономическите им позиции в Далечния изток. Иронично, но мнозина от авторите на тези закони по-късно ще подкрепят Конгреса на САЩ в решението му да обяви война на Централните сили.

И макар изолационисткият дух да става особено популярен по време на Голямата депресия, когато хиляди американци губят собствеността си, президентът Франклин Рузвелт ще открие, че най-прагматичният начин Америка да бъде съживена е включването ѝ във Втората световна война, което ѝ позволява по-късно да закрепи стойността на банкрутиралия щатски долар към тази на златото.

За разлика от годините на Студената война, когато външнополитическият дебат в Америка изобщо изключва изолационистката линия, днес в САЩ се появиха много радетели на тази политика, някои от които поразително приличат на своите предшественици от времената на Конфедерацията и Голямата депресия. Сред тях се открояват имената на Кристофър Лейн, Чарлс Купчан и Иън Бремър, които – въпреки различията в подходите си – застъпват тезата, че краят на еднополюсния модел неизбежно ще доведе и до упадъка на Америка като велика сила. 

Общото между тези автори е, че те приемат САЩ като хегемон, който се опитва да наложи свой модел на развитие в глобалната политика, а различното – че всеки от тях има своя визия за това какво ще замени Pax Americana. Подобни разсъждения се приемат с охота от много китайски учени, европейски популисти и крайнодесни фракции в Америка, чиято цел е да докажат, че времето на американския модел изтича и той трябва да бъде заменен с някаква утопична форма на мирно съжителство, в която всеки да избира сам пътя на своето геополитическо развитие. Утопична, защото, от една страна, историята на човечеството сочи, че хората много повече обичат да воюват, отколкото да живеят в мир, а от друга – тъй като в условията на една анархична международна система без глобален център на власт основното, което движи отношенията между държавите, е конкуренцията.

В упадък ли е Америка?

Твърдението, че краят на еднополюсния модел и на американското глобално лидерство са двете страни на една и съща монета, звучи убедително, но и крайно подвеждащо. Причината е, че много деклинисти възприемат твърдата и меката сила на САЩ като тясно свързани със способността им да проектират влиянието си в глобалната политика. Пример в това отношение е Студената война, по време на която светът е двуполюсен във военно-стратегическо отношение, но еднополюсен в икономическо, защото повече от половината световни разплащания се извършват в щатски долари. Това дава повод на много анализатори от школата на структурния реализъм, като Робърт Джървис и Кенет Уолц, да твърдят, че въпреки ядрения паритет между суперсилите съветският експеримент е обречен на провал, тъй като плановата икономика изкуствено потиска свободата на инициатива и пазара. 

През 70-те години на миналия век Джак Снайдър – преподавател в Колумбийския университет в Ню Йорк, дори измисля понятието „стратегическа култура“, сравнявайки културата на СССР с тази на САЩ. Резултатите от неговото изследване, по-късно използвани от ЦРУ в стратегиите им за контраразузнаване, доказват, че пазарната икономика е двигателят на свободата в САЩ, а социалистическият модел ограничава гражданите в тяхното развитие, което не позволява на съветския лагер да разгърне пълния си потенциал в икономическо и културно отношение. Най-голямото доказателство за теорията на Снайдър идва през 1992 г., когато СССР се разпада, а по-голямата част от социалистическия блок тръгва по пътя на демокрацията и пазарния модел.

Казано с други думи, еднополюсният модел от 90-те години на миналия век наистина вече не съществува, но самият характер на еднополюсността също се е променил значително по три основни причини. 

Първата е възходът на Китай, който се дължи най-вече на факта, че социализмът с китайски характеристики отразява функционирането на държавен тип капитализъм, който способства за развитието на средната класа и формира устойчив модел на политическо поведение, колкото и авторитарно да е то. 

Втората причина е завръщането на руския неоимпериализъм, който през 90-те години на миналия век беше потиснат от плахата европейска надежда, че след разпада на СССР Русия може да се превърне в истинска демокрация. Уви, това не стана, защото Кремъл предпочете да вложи ресурсите на страната в изграждането на мощна олигархия, вместо да ги инвестира в един по-добър живот за руснаците.

Новата олигархична класа стимулира сериозна вълна от национализъм, която намери своя завършен израз в стремежа да се възстанови Съветската империя с аргумента, че разпадът ѝ е най-голямата геополитическа катастрофа на XX в. 

И трето, широкото разтваряне на ножицата между много богати и бедни в развитите демокрации стана причина голяма част от крайнодесните и популистките движения в САЩ и Европа да надигнат глава и да поставят под въпрос ценностите на либералната демокрация.

На фона на тези три геополитически реалности еднополюсният модел наистина се свива, но неговият характер, неговата природа изначално остават същите. Или по-просто казано: кой диктува правилата в глобалната политика, се определя от три неща – оръжия, култура, икономика. 

Във военно-стратегическо отношение САЩ имат само един сериозен опонент – Китай, и то все още не се знае доколко това твърдение е основателно предвид факта, че не сме виждали как работят китайските технологии на бойното поле. Учени като Греъм Алисън например лансират тезата, че за военнотехнологичен паритет между САЩ и Китай може да се говори едва когато установим каква е боеспособността на Пекин. 

Оставяме настрани явното нежелание на Китай да воюва с Америка и голямото подозрение, с което той гледа на дружбата между Русия и Северна Корея. В икономическо отношение Америка е образец за това как функционира невидимата ръка на пазара, и последните завои в нейната ценностна политика са най-голямото доказателство за това.

Свободата, която излъчва американският икономически модел, се състои в принципа на равния старт, даващ възможност на всеки гражданин да реализира пълния си потенциал, както и да понесе отговорността, в случай че продуктът – било то научен, политически или какъвто и да е – не се продава на пазара. 

Единственото предизвикателство в това отношение е кризата на средната класа, но по този проблем се работи усърдно и систематично. Първата стъпка вече беше направена с плана на администрацията на Байдън да обложи богатите с 25% корпоративен данък, който да бъде заделен в полза на семействата, получаващи доходи на средна класа. Нещо повече, за разлика от китайската средна класа, американската разполага с правата и свободите, които са ѝ гарантирани от Конституцията и дават право на гражданите сами да избират политиците си. Тук с пълна тежест важи и един факт, който се подценява от много привърженици на т.нар. алтернативни системи – че китайската средна класа е пряко зависима от американската. Икономиките на двете страни са свързани и точно поради тази причина Вашингтон и Пекин все още не са във война помежду си.

Културата като символ на американското глобално лидерство

Културата е основната променлива, която придава легитимност на политиката на Великите сили именно защото тя предопределя външнополитическата им философия. Проблемите, с които се сблъскват САЩ, не са малко, но устойчивият характер на американската демокрация ѝ помага значително лесно да балансира периодите на сътресения в страната. Най-значимото предизвикателство в това отношение е поляризацията на обществото в Америка и най-вече изборът на Доналд Тръмп за американски президент, довело до зараждането на радикални фракции, чийто стремеж беше да извършат своеобразна културна революция в страната. 

Допълните ефекти обаче дойдоха дори по-рано – при администрацията на Обама, когато Русия се възползва от затрудненията, които САЩ изпитваха в Близкия изток с ИДИЛ, и индиректно започна да всява разделение в американското общество с помощта на дезинформация. Тази стратегия кулминира в избирането на Тръмп за първи президентски мандат и в появата на популистки лидери в Европа, които се сплотиха около кандидатурата му за втори мандат. Ефектите бяха смекчени от администрацията Байдън–Харис, която успешно постигна целта си да бъде обединител за американците след събитията от 6 януари 2021 г.

Въпреки огромните сътресения, които преживяха САЩ, и тежките щети върху авторитета им, краят на Pax Americana така и не дойде. Осъзнатият елит в Америка предприе бързи крачки към изграждането на нови културни парадигми, които да сплотят Запада срещу опитите на автокрациите да започнат нова Студена война, а идеологиите на алтернативата в крайна сметка се оказаха привлекателни единствено за реваншистки актьори като Иран и Северна Корея, които искат да си отмъстят на САЩ. 

За разлика от демократичния лагер, който е обединен от общи ценности, тоталитарният е воден единствено от идеята да ревизира Pax Americana. Като изключим това, той представлява разнородно семейство от режими, които коренно се различават помежду си като стратегически култури и нагласи.

Ето защо той е относително неспособен да постигне координация и да излъчи единни културно-политически образци, които да са алтернатива на либералната демокрация. 

Американската култура, от друга страна, продължава да генерира визията за свят, основан на правила, които произтичат не от закона на джунглата, а от човешките права, демокрацията и равенството между хората. Тези ценности може и да не могат да бъдат приложени универсално, както смяташе Фукуяма, но са единствените, които са в състояние да гарантират човешкото достойнство и – доколкото това е възможно – мирното съществуване на човешката цивилизация. Макар и несъвършена като лидер, Америка е единствената велика сила, която може да понесе тази мисия, защото в най-голяма степен олицетворява стремежа на хората да бъдат истински свободни.

И така, отговорът на изначалния въпрос е: не, Америка не губи стратегическата си инициатива. Тя я възражда, защото, за разлика от останалите политически семейства, демокрациите имат механизми, чрез които да коригират политиката си тогава, когато допускат грешки. Гражданската война, Голямата депресия, Виетнамската война, Ирак и Афганистан… Това са само част от примерите за моменти, в които САЩ падат и отново се изправят, тъй като отказват да се предадат и да предадат доверието на своите съюзници.

Същото става и в момента, когато войната в Украйна обединява политически и ценностно демокрациите, и то не просто европейските, но и голяма част от азиатските. Мощният външнополитически заряд, който излъчва културата на САЩ, съчетаващ американския ядрен чадър, свободата на пазарния модел и защитата на човешките права, направи много от европейските и азиатските съюзници на Вашингтон преуспяващи и свободни държави, чиято сигурност Америка разглежда и гарантира като част от своята. 

И обратно, много страни, които избират да бъдат партньори на автокрациите, се превръщат в хибридни режими с власт, почиваща не върху правилата, а върху силата. Не за друго, а защото майките автокрации не се интересуват как живеят съюзниците им, а доколко са им лоялни. 

Финалният въпрос е защо тогава САЩ не направят света истински свободен, а отговорът е философски. Защото не можеш да накараш никого да бъде насила свободен. Да избереш автокрацията пред демокрацията е уви, съзнателен избор, който Америка винаги е уважавала и ще уважава. Да си американски съюзник обаче не е въпрос на патриотична гордост или пасивна привилегия. Това е отговорност, при която няма място за самосъжаление и компромиси. Демокрацията е борба, и то постоянна. Но за разлика от онази утопична борба, която проповядва марксизъм-ленинизмът и която дели човечеството на класи, либералната демокрация, зачената в САЩ, е тази, която примирява класовата борба и дава на хората онова, което те наистина заслужават – правото на добър, достоен и свободен живот. 

Security updates for Friday

Post Syndicated from daroc original https://lwn.net/Articles/992030/

Security updates have been issued by Debian (chromium and trafficserver), Fedora (chromium), Mageia (apache-mod_jk, gnome-shell, kernel, kmod-xtables-addons, and kmod-virtualbox, kernel-linus, and python3), Oracle (container-tools:ol8, dovecot, emacs, expat, firefox, git-lfs, gtk3, kernel, nano, net-snmp, osbuild-composer, python3, python3.11, python3.12, ruby:3.3, and virt:ol and virt-devel:rhel), Slackware (boost), SUSE (kernel), and Ubuntu (configobj, cups, cups-browsed, cups-filters, libcupsfilters, and libppd).

Expanding Cloudflare’s support for open source projects with Project Alexandria

Post Syndicated from Veronica Marin original https://blog.cloudflare.com/expanding-our-support-for-oss-projects-with-project-alexandria

At Cloudflare, we believe in the power of open source. It’s more than just code, it’s the spirit of collaboration, innovation, and shared knowledge that drives the Internet forward. Open source is the foundation upon which the Internet thrives, allowing developers and creators from around the world to contribute to a greater whole.

But oftentimes, open source maintainers struggle with the costs associated with running their projects and providing access to users all over the world. We’ve had the privilege of supporting incredible open source projects such as Git and the Linux Foundation through our open source program and learned first-hand about the places where Cloudflare can help the most.

Today, we’re introducing a streamlined and expanded open source program: Project Alexandria. The ancient city of Alexandria is known for hosting a prolific library and a lighthouse that was one of the Seven Wonders of the Ancient World. The Lighthouse of Alexandria served as a beacon of culture and community, welcoming people from afar into the city. We think Alexandria is a great metaphor for the role open source projects play as a beacon for developers around the world and a source of knowledge that is core to making a better Internet. 

This project offers recurring annual credits to even more open source projects to provide our products for free. In the past, we offered an upgrade to our Pro plan, but now we’re offering upgrades tailored to the size and needs of each project, along with access to a broader range of products like Workers, Pages, and more. Our goal with Project Alexandria is to ensure every OSS project not only survives but thrives, with access to Cloudflare’s enhanced security, performance optimization, and developer tools — all at no cost.

Building a program based on your needs

We realize that open source projects have different needs. Some projects, like package repositories, may be most concerned about storage and transfer costs. Other projects need help protecting them from DDoS attacks. And some projects need a robust developer platform to enable them to quickly build and deploy scalable and secure applications.

With our new program we’ll work with your project to help unlock the following based on your needs:

  • An upgrade to a Cloudflare Pro, Business, or Enterprise plan, which will give you more flexibility with more Cloudflare Rules to manage traffic with, Image Optimization with Polish to accelerate the speed of image downloads, and enhanced security with Web Application Firewall (WAF), Security Analytics, and Page Shield, to protect projects from potential threats and vulnerabilities.

  • Increased requests to Cloudflare Workers and Pages, allowing you to handle more traffic and scale your applications globally.

  • Increased R2 storage for builds and artifacts, ensuring you have the space needed to store and access your project’s assets efficiently.

  • Enhanced Zero Trust access, including Remote Browser Isolation, no user limits, and extended activity log retention to give you deeper insights and more control over your project’s security.

Every open source project in the program will receive additional resources and support through a dedicated channel on our Discord server. And if there’s something you think we can do to help that we don’t currently offer, we’re here to figure out how to make it happen.

Many open source projects run within the limits of Cloudflare’s generous free tiers. Our mission to help build a better Internet means that cost should not be a barrier to creating, securing, and distributing your open source packages globally, no matter the size of the project. Indie or niche open source projects can still run for free without the need for credits. For larger open source projects, the annual recurring credits are available to you, so your money can continue to be reinvested into innovation, instead of paying for infrastructure to store, secure, and deliver your packages and websites. 

We’re dedicated to supporting projects that are not only innovative but also crucial to the continued growth and health of the internet. The criteria for the program remain the same:

  • Operate solely on a non-profit basis and/or otherwise align with the project mission.

  • Be an open source project with a recognized OSS license.

If you’re an open source project that meets these requirements, you can apply for the program here.

Empowering the Open Source community

We’re incredibly lucky to have open source projects that we admire, and the incredible people behind those projects, as part of our program — including the OpenJS Foundation, OpenTofu, and JuliaLang.

OpenJS Foundation

Node.js has been part of our OSS Program since 2019, and we’ve recently partnered with the OpenJS Foundation to provide technical support and infrastructure improvements to other critical JavaScript projects hosted at the foundation, including Fastify, jQuery, Electron, and NativeScript.

One prominent example of the OpenJS Foundation using Cloudflare is the Node.js CDN Worker.  It’s currently in active development by the Node.js Web Infrastructure and Build teams and aims to serve all Node.js release assets (binaries, documentations, etc.) provided on their website. 

Aaron Snell explained that these release assets are currently being served by a single static origin file server fronted by Cloudflare. This worked fine up until a few years ago when issues began to pop up with new releases. With a new release came a cache purge, meaning that all the requests for the release assets were cache misses, causing Cloudflare to go forward directly to the static file server, overloading it. Because Node.js releases nightly builds, this issue occurs every day.

The CDN Worker plans to fix this by using Cloudflare Workers and R2 to serve requests for the release assets, taking all the load off the static file server, resulting in improved availability for Node.js downloads and documentation, and ultimately making the process more sustainable in the long run.

OpenTofu

OpenTofu has been focused on building a free and open alternative to proprietary infrastructure-as-code platforms. One of their major challenges has been ensuring the reliability and scalability of their registry while keeping costs low. Cloudflare’s R2 storage and caching services provided the perfect fit, allowing OpenTofu to serve static files at scale without worrying about bandwidth or performance bottlenecks.

The OpenTofu team noted that it was paramount for OpenTofu to keep the costs of running the registry as low as possible both in terms of bandwidth and also in human cost. However, they also needed to make sure that the registry had an uptime close to 100% since thousands upon thousands of developers would be left without a means to update their infrastructure if it went down.

The registry codebase (written in Go) pre-generates all possible answers of the OpenTofu Registry API and uploads the static files to an R2 bucket. With R2, OpenTofu has been able to run the registry essentially for free with no servers and scaling issues to worry about.

JuliaLang

JuliaLang has recently joined our OSS Sponsorship Program, and we’re excited to support their critical infrastructure to ensure the smooth operation of their ecosystem. A key aspect of this support is enabling the use of Cloudflare’s services to help JuliaLang deliver packages to its user base.

According to Elliot Saba, JuliaLang had been using Amazon Lightsail as a cost-effective global CDN to serve packages to their user base. However, as their user base grew they would occasionally exceed their bandwidth limits and rack up serious cloud costs, not to mention experiencing degraded performance due to load balancer VMs getting overloaded by traffic spikes. Now JuliaLang is using Cloudflare R2, and the speed and reliability of R2 object storage has so far exceeded that of their own within-datacenter solutions, and the lack of bandwidth charges means JuliaLang is now getting faster, more reliable service for less than a tenth of their previous spend.

How can we help?

If your project fits our criteria, and you’re looking to reduce costs and eliminate surprise bills, we invite you to apply! We’re eager to help the next generation of open source projects make their mark on the internet.

For more details and to apply, visit our new Project Alexandria page. And if you know other projects that could benefit from this program, please spread the word!