Дървената мафия остава недосегаема Фирми на ГЕРБ и ДПС източват по 100 млн. лв годишно от горски и ловни стопанства

Post Syndicated from Екип на Биволъ original https://bivol.bg/iztochvat_100mln-lv_godisno_ot_gorite.html

събота 26 март 2022


Фирми около ГЕРБ и ДПС са източили не по-малко от 20 млн. лв. от 20 държавни горски и ловни стопанства за последните 3-4 месеца. Схемата е продължение на дългогодишна порочна…

Седмицата (21–26 март)

Post Syndicated from Светла Енчева original https://toest.bg/editorial-21-26-march-2022/

Колко хубаво би било да започнем този бюлетин с „Войната свърши“! Но уви, през изминалата седмица войната на Русия срещу Украйна закръгли един месец. Мащабът на разрушенията, броят на жертвите и начините за оцеляване на живите в най-засегнатите райони – дори опитът да си представим тези неща надхвърля прага на поносимост.

Емилия Милчева

През седмицата се закръгли още нещо – правителството навърши 100 дни. На тази тема е посветен обзорът на Емилия Милчева „Стоте дни. Променливо, но без Промяна“. За този период е приет бюджетът за 2022 г., сменен е министърът на отбраната и няколко държавни институции се сдобиха с нови ръководители. Но обещаното повишаване на равнището на ваксинация срещу COVID-19 така и не се осъществи, нито преструктурирането на Антикорупционната комисия. А в контекста на войната енергийната криза ще се задълбочава. Управляващата коалиция така и не е станала единен отбор, а „Продължаваме промяната“ още не е регистрирана партия. Коментарът на Емилия е публикуван, преди парламентът да гласува на първо четене закриването на специализираното правосъдие.

Венелина Попова

„Де са ти, Гешев, осъдените олигарси?“, пита Венелина Попова. Статията ѝ тази седмица е за нежеланието на прокуратурата да разпита намиращия се в Дубай Васил Божков, за когото не пропуска да отбележи, че е обвинен за 19 престъпления. Името му нашумя отново след арестите на Бойко Борисов, Владислав Горанов и Севделина Арнаудова, извършени въз основа на негов сигнал. Според публично изразени мнения на юристи, както и според вътрешния министър Бойко Рашков няма процесуални пречки за разпита на Божков, който е един от най-богатите олигарси в България. С действията си досега обаче главният прокурор Иван Гешев демонстрира двойни стандарти по отношение на това кого обвинява, кого арестува и кого разпитва.

Откакто започна войната, изгледах украинския сериал „Слуга на народа“, в който Володимир Зеленски влиза в бъдещото си амплоа – на президент на Украйна. В статията си Слуга на народа срещу пропагандата“ споделям впечатления от сериала. Видя ми се важно да го направя, защото той поставя под въпрос не само много от опорните точки на Русия, а и част от нашите собствени стереотипи. За нас например е естествено, че какъвто език говориш, такава е и националната ти идентичност. И не е трудно да повярваме, че рускоезичното население в Украйна е проруски настроено. Как тогава да си обясним факта, че самият сериал със Зеленски е на руски, което обаче не е предпоставка той да капитулира пред Русия?

Йоанна Елми

„Русия ще засили хибридната си война, за да предизвика разделение в България“, смята експертът по отбрана и сигурност Михаил Найденов. С него разговаря Йоанна Елми. Според експерта, ако страната ни не членуваше в НАТО, нямаше да може да се присъедини и към ЕС. Членството в този отбранителен съюз ни дава сигурност и международен авторитет. Хибридната война на Русия, от друга страна, е заплаха за нашата национална сигурност. А Русия, както знаем, възприема НАТО като враждебна на нея сила. Тя няма да преглътне, ако Украйна се присъедини към Алианса. Според Найденов Путин е започнал тази завоевателна война, за да попречи на Украйна да стане част от евро-атлантическата общност.

Зорница Христова

В колонката „По буквите“ Зорница Христова ни представя поредните три нови книги, привлекли вниманието ѝ. Първата от тях е „Петмез“ на Влада Урошевич. Книгата е като разширено стихотворение под формата на роман; като мазе, превърнато в бомбоубежище. Художничката Люба Халева превръща бялото поле на една страница в процеп, от който някой наблюдава насекомите на думите, а преводът на Русанка Ляпова е чуден.

Втората книга е стихосбирката „Да се откажеш от рая“ на Джак Гилбърт, в превод на Димитър Кенаров. Поезията на Гилбърт е апология на пътуването на скърбящата майка към Сиракуза, за което Сенека я призовава. Тя е защита на любовта към живота дори когато тази любов внушава вина.

Третата книга е „Войната, която промени Рондо“ от Романа Романишич и Андрий Лесив, издадена от „Софтпрес“. На пръв поглед историята е ясна и почти плакатна. Едно приказно градче е разрушено от войната, но накрая добрите побеждават лошите. По-интересни са обаче малките натрупвания на смисъла. А те отвеждат към неплакатното и човешкото в книгата. Темите на избраните от Зорница книги се спояват от стихотворението „Мечка страх“ на титуляря на „По буквите“ Марин Бодаков.

Докато сме на поетична вълна – на 21 март беше Международният ден на поезията. По този повод „Тоест“ публикува в социалните мрежи стихотворение на нидерландския поет Ремко Камперт. Преводът му на български от Мария Енчева е част от инициатива в подкрепа на Украйна на нидерландското издателство De Bezige Bij, което представя произведението на няколко европейски езика. Историята на стихотворението е свързана с бащата на Камперт, Ян, който е участвал в Съпротивата против нацизма и загива през 1943 г. в концлагер:

съпротивата не започва с големи думи
а с малки стъпки

както бурята с глухо бучене в двора
както котка на която е влязла пакост в ума

както широките реки
с малкия извор
притулен в гората

както морето от пламъци
със същата клечка
която пали цигара

както любовта с поглед
с докосване или нещо необикновено в гласа

с въпрос който задаваш на себе си
с това започва съпротивата

после задаваш въпроса на друг

„Един ден името Мариупол ще се върне като име на съдебен процес. Снимките на масовите гробове и разказите за глада ще оживеят наново в съдебната зала, името на почти всеки стрелец по града ще бъде научено, ще има присъди за виновните и техните командири.“ С тези думи започва хващащата за гърлото статия „Мариупол. Как за няколко дни изчезна цял град“, публикувана в „Свободна Европа“. Авторът ѝ може да е само Татяна Ваксберг. Освен че е наблюдавала процесите в Хага за военните престъпления в бивша Югославия и разбира от тази материя, в материалите ѝ няма излишни думи, а всичко казано попада право в целта.

Финалът на тазседмичния бюлетин отново е под знака на войната, но излъчва позитивизъм. В четвъртък в София се проведе шествие в подкрепа на Украйна. На него дойдоха толкова много хора, че краят им не се виждаше. Тази демонстрация създаде усещането, че София е нормална европейска столица, а България – уважаваща себе си европейска държава, която този път стои на правилната страна на историята. Ако и вие имате нужда от това усещане, за да компенсирате неприятния вкус от не особено последователната ни външна политика, ето един вдъхновяващ запис от въздуха, дело на Иво Петров:

Източник

Русия ще засили хибридната си война, за да предизвика разделение в България

Post Syndicated from Йоанна Елми original https://toest.bg/mihail-naydenov-interview-nato/

    • Москва ни разглежда от години като свой „троянски кон“ както в НАТО, така и в ЕС.
    • Крайнодесни, леви и т.нар. патриотични формации днес обслужват интересите на Москва в редица страни, включително и у нас.
    • Особено активни са руските действия в социалните мрежи, като целта е внасяне на разделение в обществото ни и въздействие върху процеса на вземане на решения на държавно стратегическо ниво.
    • Ако Украйна влезе в НАТО, обективно погледнато, за Русия няма да има никаква военна опасност. Тази опасност съществува само в изкривения, манипулиран от Кремъл наратив.
    • Истинската заплаха, която Путин вижда, е в утвърждаването на Украйна като модерна европейска демократична, правова държава, която може да стане пример за следване.
    • Хибридна лъжа е да се твърди, че България ще бъде въвлечена във война, ако предостави помощ под формата на оръжие и боеприпаси на Украйна.

Михаил Найденов е експерт по отбрана, национална и международна сигурност. От 2001 г. е граждански експерт в българското Министерство на отбраната. Има опит в отбранителната политика, анализирането и провеждането на стратегически прегледи на отбраната, НАТО и Общата политика за сигурност и отбрана на ЕС. Член е на УС на Атлантическия съвет на България. 

Йоанна Елми разговаря с Михаил Найденов за важността на членството на България в НАТО и за перспективите, които то отваря пред страната ни, както и за промените в международния ред вследствие на руската инвазия в Украйна. Мнението му, изразено в това интервю, е в личното му качество на експерт, а не на представител на Министерството на отбраната.

Задавам първия си въпрос така, както би го задал обикновеният български гражданин, незапознат в дълбочина с международната политика и отбрана: защо членството в НАТО е важно за България и какви ползи носи то? 

Българското членство в НАТО, постигнато през 2004 г., е плод на усилията на български политици и общественици, които през 90-те години на миналия век имаха прозорливостта, държавническото мислене и волята да поставят България в евро-атлантическото семейство на свободните западни демокрации. В противен случай България щеше до днес да си остане в сивата зона на нестабилност и неясно бъдеще, под постоянния зловреден натиск на Москва. Членството в НАТО е факт и това е фундаментален успех за нашата държава в нейната най-нова история, който отключи вратата и за присъединяването ни към ЕС през 2007 г.

Въпреки този резултат обаче, поради действието на негативните сили на носталгията и руското влияние у нас, членството ни в НАТО закъсня, като в началото на Прехода бяха изгубени ценни години, или както се изрази тогава професор Джефри Саймън – „седем изгубени години“. Това предопредели приемането ни в НАТО във вълната на разширяване от 2004 г., а не в тази от 1999 г., когато влязоха Чехия, Полша и Унгария. Нещо повече – факторите, причинили това закъснение, повлияха отрицателно и на трансформацията на българските въоръжени сили, като негативните последици от това се чувстват и до днес.

Ако трябва да се изразим образно, без присъединяване към клуба на сигурността и отбраната нямаше как България да стане част и от икономическия клуб на европейските проспериращи държави – Европейския съюз. Без сигурност няма доверие, а без доверие няма инвестиции и оттам – добър жизнен стандарт. Това днес у нас вече е позабравена истина, с която обаче тепърва ще се сблъсква Сърбия, която, ако не се определи ясно и не избере НАТО, няма да постигне членство в ЕС… Но това е отделна тема.

Днес НАТО носи сигурност. Ние сме част от системата за колективна отбрана. Имаме съюзници, които имат договорни задължения да ни помагат в случай на въоръжено нападение против нас. По силата на чл. 5 от Северноатлантическия договор това значи, че ако България бъде нападната, останалите съюзници ще ѝ се притекат на помощ с всички възможни сили и средства, с които разполагат, включително военни. Те няма да останат неутрални, нито пък ще кажат, че заради България не желаят да бъдат въвличани във война. „Един за всички, всички за един“ – това е основата, която обединява трийсет съюзници в едно цяло, и с това се съобразява всеки потенциален агресор.

Членството в НАТО освен това означава, че България има и международен авторитет на страна членка на най-силния и успешен съюз за колективна отбрана в света. Това също прибавя към относителната тежест на страната ни в международните отношения и осигурява допълнителни възможности за действие на българската дипломация.

Не на последно място, членството в НАТО осигурява възможности България да попълва своите дефицити от отбранителни способности с помощта на нашите съюзници. Това може да стане по различни начини. Държавата ни може заедно с други съюзници да участва в многонационални проекти по линия на НАТО за придобиване и съвместно използване на скъпоструващо въоръжение и техника например, което е разумно в условията на финансов недостиг. Освен това у нас може да бъдат разположени сили и средства на съюзници от НАТО, предвид рисковете и заплахите за сигурността ни във връзка с войната в Украйна.

Останалите държави от източния фланг на НАТО активно се възползват от тези възможности, като в повечето от тях вече има разположени усилени батальонни бойни групи на Алианса, които да ги защитават от евентуална руска агресия. Като свеж пример ще посоча и Словакия, която освен близо 2000 военнослужещи от НАТО ще има разположени на своя територия и зенитноракетни системи за противовъздушна и противоракетна отбрана „Пейтриът“, предоставени ѝ от Германия и Холандия.

Всичко това показва, че ползите от членството са видими и са много, стига обаче държавата да ги търси и да се възползва от тях.

Как реагира Русия на влизането на България в НАТО през 2004 г.? Наблюдавате ли единна дипломатическа и политическа реакция оттогава досега, или отношението на Русия към членството на България в Алианса става все по-враждебно? 

Естествено, че негативно. Руската федерация още от времето на президента Борис Елцин се е обявявала против разширяването на Алианса. Но този въпрос не зависи и не трябва да бъде оставян да зависи от Русия. България е суверенна страна и Москва няма право на вето върху тези решения. Това обаче не означава, че Кремъл няма да продължава и занапред да се опитва да влияе върху българската политика. Русия никога не е преставала да води хибридни враждебни действия против България. Тук трябва да си даваме сметка, че след 2014 г. руската хибридна война против държавите от НАТО и ЕС, в т.ч. и България, навлезе в качествено нова интензивна фаза. Хибридната война на Русия е системно предизвикателство за нашата национална сигурност.

Преди 20 години Русия беше наясно, че не може да спре разширяването на НАТО и българското членство е неизбежно, но се стремеше да запази максимално влияние върху нашата държава. Неслучайно Москва ни разглежда от години като свой „троянски кон“ както в НАТО, така и в ЕС. Това наименование идва от циничните думи на руския постоянен представител в ЕС Владимир Чижов през 2006 г., който в интервю пред „Капитал“ каза: „Ние разчитаме, че ще бъдете наш специален партньор, своеобразен троянски кон в ЕС.“ Съгласно тази логика София може да е част от двата съюза, но при условие че Кремъл може да влияе върху политическите решения в държавата. Така българското членство в НАТО и ЕС за Москва се явява повече възможност, отколкото заплаха.

Неслучайно и агресивната и скандална в своята риторика Елеонора Митрофанова, посланичката на Руската федерация у нас, говори, че „Русия никога не е подлагала на съмнение евро-атлантическия вектор на България“. От това личи руското схващане за членството ни в НАТО – наричат го „вектор“, все едно България води многовекторна политика на неутрална държава, равно отдалечена от всички световни и регионални центрове на сила. Това, което Москва не желае да приеме тук, е, че членството ни в НАТО не може да бъде някакъв „вектор“. Това членство е фундамент на нашата външна политика и политика за сигурност и отбрана.

Отсега нататък отношението на Русия, която разглежда във военната си доктрина НАТО де факто като заплаха, ще става все по-враждебно. Това обаче не трябва да ни безпокои, още по-малко – да ни разколебава да бъдем все по-силен съюзник в Алианса, с нарастващ реален принос към колективния възпиращ и отбранителен потенциал. Отсега нататък Москва ще използва всяка възможност, за да саботира както разполагането на сили на НАТО в България, така и усилията за изграждането и развитието на силна българска отбрана. Руската подривна дейност против българската отбрана ще бъде още по-интензивна.

Според много комуникационни експерти и журналисти, които работят с дезинформация, членството ни в НАТО е една от основните мишени на антидемократичната пропаганда. Какви са Вашите наблюдения? 

Това е част от хибридната война. Дезинформацията и пропагандата с помощта на информационните технологии ще продължават да бъдат използвани от Кремъл като средство за предизвикване на разделение в българското общество и за оказване на влияние върху процесите на вземане на вътрешнополитически решения. Тук трябва да отчитаме, че главната мишена на хибридните въздействия е процесът на вземане на решения. Ако Кремъл успее да подчини управляващите в дадена страна на своята воля и да ги накара да вземат решенията, които им внушава, тогава няма да има необходимост от използване на военна сила, за да бъде завладяна тази държава. Москва отдавна се стреми да въздейства по такъв начин върху процесите в България.

Съвсем очаквано, с началото на войната на Русия против Украйна се изостри и руската хибридна пропаганда. Особено активни са руските действия в социалните мрежи, като целта е внасяне на разделение в обществото ни и въздействие върху процеса на вземане на решения на държавно стратегическо ниво. Нещо повече, те са насочени и към популяризиране и формиране на нови политически субекти. Днес особено активна и зловредна е руската хибридна подривна информационна дейност, особено що се отнася до провеждането на отбранителната политика, възможностите за оказване на подкрепа за Украйна, участието на България в изграждането на възпиращия и отбранителния потенциал на Алианса, стратегическото ни партньорство със САЩ и др.

Има ли съществени разлики между членството в НАТО на други бивши комунистически републики и членството на Украйна? Защо то е такъв проблем за Путин? И проблем ли е наистина, или просто част от пропагандната риторика на Кремъл, която оправдава инвазията днес.

Кремъл е особено чувствителен към възможното членство на Украйна в НАТО. Това е развитие, което Владимир Путин няма да може да преглътне. Руската стратегия е да не допуска присъединяване на Украйна към НАТО не само защото тогава Русия ще има голяма обща граница с Алианса. Истинската заплаха, която Путин вижда, е в утвърждаването на Украйна като една модерна европейска демократична, правова държава – тя може да стане пример за следване не само от други страни от бившия СССР, намиращи се сега под руско влияние, но да бъде привлекателна и за самите руснаци както в политически, така и в икономически план. Тогава властта в Кремъл ще загуби още повече легитимност в очите на руския народ. А просперитетът на Украйна минава през интеграцията в НАТО и ЕС. Ето защо Путин започна тази завоевателна война. Диктаторът иска да разруши тази страна, ако не може да я завладее, и постоянно да я държи под заплаха от нова инвазия, вярвайки, че така Украйна няма да може да стане част от евро-атлантическата общност.

В същината си НАТО е отбранителен съюз. Има ли основание в твърденията на Владимир Путин, че НАТО е заплаха за Русия?

Абсолютно никакви. Ако Украйна влезе в НАТО, обективно погледнато, за Русия няма да има никаква военна опасност. НАТО не се готви да напада Русия и не разполага нападателни оръжия по границите си. Независимо какво казват стратегическите документи на федерацията, от страна на НАТО за Русия не произтича никаква реална опасност. Тази опасност съществува само в изкривения, манипулиран от Кремъл наратив.

През последните години наблюдавахме множество политици на международната сцена, които подлагаха НАТО на съмнение. Сред тях беше например бившият президент на САЩ Доналд Тръмп, който продължава да изразява възхищението си към политиката на Путин. Крайнодесният Матео Салвини също е част от този кръг. Съществуват ли вътрешни слаби звена и напрежение в Алианса, които го правят уязвим на атаки? Крият ли се зад тези популистки атаки истински проблеми във функционирането на съюза, които наистина трябва да се решат? 

След 2014 г. сме свидетели, но и потърпевши от редица негативни политически явления на Запад, дължащи се на руската хибридна подривна дейност. Кремъл използва в максимална степен грижливо изгражданите през годините връзки и зависимости сред част от политиците в редица западни държави. Крайнодесни, леви и т.нар. патриотични формации днес обслужват интересите на Москва в редица страни, включително и у нас. Оказва се, че патриотичният политически наратив притежава немалък потенциал, който Кремъл може да експлоатира.

Тепърва ще се използва от явни или прикрити проруски политици мантрата „национален интерес“ в посока отдалечаване на България от НАТО, като най-напред страната бъде фактически изведена от военните структури на Алианса, а впоследствие – неутрализирана като съюзник и в политически аспект. Това е целта на призивите да се търси първо „националният интерес“, да не допускаме „да ни налагат решения от Брюксел“, да не бъдем „въвличани във война“, да пазим неутралитет и т.н.

Всичко това прави Алианса по-слаб, което е в интерес на Москва. А ако тези схващания се наложат у нас като държавна политика, това наистина ще превърне България в руски „троянски кон“. Нещо повече – ще станем руската „врата към Балканите“, така както я вижда генерал Решетников. Според него Балканите са „традиционна зона“ на руското икономическо, културно и духовно влияние и без България Русия трудно ще достигне до Сърбия, Черна гора и Гърция. Поради тази причина се очаква Москва да изостри хибридната си война у нас, с поглед към дестабилизиране и на Балканите с използването на сръбския фактор.

Накрая ми се иска да обединя локалното и международното с оглед на войната в Украйна. Преди дни президентът Румен Радев заяви, че всякаква военна помощ за Украйна би означавала въвличане на България във война. Същевременно много страни членки на НАТО вече оказаха такава помощ. Каква е Вашата позиция и как я аргументирате? 

Хибридна лъжа е да се твърди, че България ще бъде въвлечена във война, ако предостави помощ под формата на оръжие и боеприпаси на Украйна. Това е опорна точка на Кремъл, която тук широко се използва за манипулиране на общественото мнение и за оказване на натиск върху вземащите решения. Факт е, че близо 30 са страните от Европа, включително неутралните Финландия и Швеция, които вече са предоставили оръжие на Украйна. Те обаче не са въвлечени във война с Русия. Наш морален дълг е да помогнем на Украйна да се защити. Тази държава се нуждае от нашата материална подкрепа сега, за да отблъсне агресора и да не допусне руските самолети и артилерия да разрушават градовете ѝ и да избиват нейните деца.

Нека тук си спомним за 1999 г., когато НАТО осъществи успешна операция, за да спре етническото прочистване в Косово. Тогава, без все още да е станала член на Алианса, България се държа като истински съюзник – предостави въздушното си пространство за бойните самолети на НАТО и впоследствие не позволи на Русия да осъществи полети над наша територия към Косово. Тогава пак имаше протести и шумни гласове на „пацифисти“ от левия спектър, но българското правителство взе това отговорно решение, без да бъдем въвлечени във война. И по това време имаше подобни манипулации, които бяха използвани за политически цели.

Спекулативната журналистика е най-ниската форма на журналистика, затова се извинявам за този въпрос. Но много българи се тревожат за бъдещето. Какво бихте казали на критиците, според които членството ни в НАТО е предпоставка България да бъде въвлечена във война при ескалация на ситуацията в Украйна? Възможна ли е такава ескалация? Как бихте определили стратегията и позицията на Алианса относно тази война. Според Вас подлежи ли тя на промени и ако да – при какви обстоятелства? 

Досега са изказвани различни прогнози какво би станало, ако ескалацията продължи и Путин прибегне до използването на оръжие за масово унищожение против народа на Украйна. Със сигурност тогава ще получи още по-силен отговор от западна посока. Нека обаче не влизаме в спекулации по темата. Те се правят с цел постигане на политически ефект и вземане на инспирирани от Кремъл решения.

Това, което е 100% сигурно, е, че в случай на нападение на страна членка, НАТО ще се намеси по силата на чл. 5 от Северноатлантическия договор. Тогава всички съюзници ще помагат на нападнатия съюзник. Ако териториалната цялост на държава от НАТО бъде нарушена, съюзниците ще се бият, докато тя бъде възстановена и армията на агресора бъде прогонена. Ето защо хората у нас не трябва да се тревожат за бъдещето си.

При това положение, предвид руската подривна дейност против държавата, също ще се чуват особено кресливи гласове, основно от „петата колона“ на Кремъл в България, които ще говорят против въвличането ни във война. И понеже задавате интересен въпрос, нека в този ред на мисли си позволим да предположим докъде биха стигнали поклонниците на Путин в България. Нека допуснем следното хипотетично развитие: дори и Русия да ни нападне, „патриотите“ у нас няма да искат да се отбраняваме, нито пък ще поискат помощ от НАТО по силата на чл. 5, за да не би България да бъде въвлечена във война… Това щеше да звучи смешно, ако не беше тъжно и най-вече зловредно и опасно. Но все пак нека помним, че сме защитени в системата за колективната отбрана и най-важното – ние сме НАТО.

Заглавна снимка: Стопкадър от интервю с Михаил Найденов пред БГНЕС от 21 април 2021 г.

Източник

По буквите: Урошевич, Гилбърт, Романишин и Лесив

Post Syndicated from Зорница Христова original https://toest.bg/po-bukvite-urosevik-gilbert-romanyshyn-lesiv/

В емблематичната си колонка, започната още през 2008 г. във в-к „Култура“, Марин Бодаков ни представяше нови литературни заглавия и питаше с какво точно тези книги ни променят. Вярваме, че е важно тази рубрика да продължи. От човек до човек, с нова книга в ръка.

„Петмез“ от Влада Урошевич

превод от македонски Русанка Ляпова, София: изд. „Жанет 45“ (2022)

От страница 28 чифт очи гледат текста – уголемени, внимателни. Бялото поле в горната част на страницата се е превърнало в процеп и някой наблюдава през него насекомите на думите. Гениално решение на художничката Люба Халева: този някой е едновременно и детето разказвач, чийто поглед е увеличително стъкло за лепкавите, сладостни детайли на предвоенния живот в крайградската къща и нейната градина, и авторът, и аз, читателката.

Обикаляме из градината бавно, както се обикаля из безвъзвратното – погледът всъщност слепва света. Разбира се, слепеният свят не прилича на истинския: картина, съставена от увеличени снимки, колаж от close-ups.

Мисля си, че това е разширено стихотворение под формата на роман. Разширено, за да събере повече, като мазе, превърнато в бомбоубежище. Време, което ни се иска да обитаваме, времеубежище, изгубен рай – но рай, чиято крайност е ясна от самото начало, от смазаната глава на змията под дървото още в първия абзац. От инстинкта за насилие дори у осемгодишния разказвач, този буквален „повелител на мухите“, подпалващ мравките със същото това увеличително стъкло, с което ги разглежда.

И моят поглед не е невинен. Още от началото читателят знае, че над този свят ще завалят бомби. От водното конче самолет на корицата, от фантасмагоричните планове на дядото да пусне над града балони с вещество, извлечено от отровата на черната мамба, тъй че пилотът да се дезориентира и да се върне, откъдето е дошъл. От реставраторската четка на езика – никой не реставрира това, което не е повредено. И моят поглед не е невинен – избързвам напред до бомбардировките. Свряна в мазето с героите, слушам изумена как насред капещите череши и бомби гърми Вагнер – дядото е пуснал грамофона в градината, за да използва културата на нашественика като щит. Полза никаква.

Носталгията по изгубения предвоенен живот не е (меко казано) рядко срещана тема в литературата. Но тази книга е особено подходяща за българския читател – изгубеният свят в нея е така близък, така възпроизводим, до пръснатите из страниците ѝ дословни рецепти – които аз, в своя си опит да слепя парченцата, мисля да изпробвам.

Чуден превод на Русанка Ляпова, апропо. Оставям на лично място думата „порязаница“ за „филия“, да си я ползвам.

„Да се откажеш от рая“ от Джак Гилбърт

превод от английски Димитър Кенаров, София: Издателство за поезия „ДА“ (2022)

Радвайте се на децата си, оставете и те да ви се радват, не се бавете; до дъно пийте чашата на щастието. За нищо не гарантира днешната нощ – позволих си твърде голяма отсрочка. За нищо не гарантира настоящият час.

Сенека, „Диалози“, превод Анна Николова

В „Утешение към Марция“ Сенека призовава скърбящата майка да си представи, че обмисля дали да тръгне на пътуване към Сиракуза. И че някой описва пред нея град, общ за богове и хора, лесове, разлюшкали върхари, гори, изпълнени с хиляди животни и разногласен птичи хор, луната, която винаги е различна от своя предишен образ, и кораби, търсещи непознати земи. И допълва, че тежкото, нездравословно лято ще разруши всички дарове на зимата, че ще се яви тиран – гибел за свободата, за справедливостта, „жаден за власт дори след като е срещнал Платон“, ще обезглавява за лека обида и ще покварява мъже и жени. Бихме ли тръгнали на път? И ако кажем „да“, кому да се сърдим?

Поезията на Джак Гилбърт е апология на това пътуване. Защита на обичта към живота дори когато жизнелюбието ти внушава вина. Вина, че си сключил сделката, според която насладата от света се заплаща със страдание; вина, че продължаваш да изпълняваш своите задължения по нея, като не се отказваш от щастието, докато страданието пъпли като муха в ноздрите на невинните. Една от темите в тази книга е задочен отговор на будизма с неговото предупреждение срещу прекомерната привързаност към живота в обичливата му крехкост:

Буда ни съветва, че трябва да изчистим всяка пречка
от пътя си. „Ако срещнеш майка си по пътеката,
убий я. Ако Буда застане на пътя ти, убий го.“
Но духът ми пее като умиращите цикади,
докато седя в задния двор и се целя в празна саксия.

Тези стихотворения са писани от тази страна на катастрофата, на унищожението. Любимата е мъртва, любовта е приключила, Икар е удавник. И все пак в тази катастрофа се съдържа и целият устрем на връхлитащия към нея свят, пронизителен като вик на петел, славещ великолепието на слънцето и луната, говорещ ни за небесното войнство. Катастрофата е част от цялата картина на света, която виждам, когато „стоя на себе си като на хълм и животът ми се разстила под мен“. Падането на Икар не е провал, а завършек на неговия триумф.

И тук идва другият страх – че това, изгубеното, което ни принадлежи само в онзи поглед от височината, може да не е видяно истински, да е чуто погрешно, така както и в най-голямата близост можем да останем непознаваеми един за друг.

Преследва ме
усещането, че тя говори
за ледени царе на смъртта, лавини,
реки и моменти на преходност.
А аз отговарям: „Да, да.
Обувки и пудинг.“

Мнозина говорят за яснотата в поезията на Гилбърт. Това, разбира се, е яснота отвъд ежедневния, прагматичен език; защото той е несъвършен инструмент, неспособен да ни изрази напълно. Яснотата на бездната.

Кийтс
е оставял празни места в черновите, за да охлади
жарта си, пространства, които да поемат точните думи

Толкова думи са междинни. Казваме „обичам те“, докато търсим език, който може да бъде чут.

В младостта си Джак Гилбърт е работил като пътуващ търговец, унищожител на гризачи и металург. Завършва философия на 38, година преди това издава първата си стихосбирка, Views of Jeopardy. Печели Yale Younger Poets Prize и е номиниран за „Пулицър“; следва бързо и бляскаво признание. Гилбърт му се радва шест месеца, след което се оттегля. Обикаля 20 години из Европа, пише общо пет стихосбирки. Повечето са свързани с жените, които е загубил – особено с покойната му съпруга Мичико. Ако чувството за загуба заплашва да ви парализира (а какво ли не губим тези дни), прочетете ги.

„Войната, която промени Рондо“ от Романа Романишин и Андрий Лесив

превод Христина Йотова, София: изд. „Софтпрес“ (2022)

На пръв поглед е ясна, почти плакатна история. Има едно приказно градче с едни приказни герои, идва войната и го разрушава, но героите я побеждават с помощта на светлината.

Разбира се, няма как това да е първият поглед, защото първото нещо, което човек забелязва, е изключителното оформление на книгата. То също е на границата на плакатното – по-точно на майсторския, модерен графичен дизайн, чиито родственици ще видите в селекциите за анимация или наградите за иновативна реклама. Книгата е ефектна още като книжно тяло, подбор и съчетание на цветовете (мътна резеда, тъмножълто, лилаво, детайлите в червено и магента), свой собствен визуален език (персонажите извън главните герои са дребни силуети в причудливи, условно антропоморфни форми в един цвят без детайли и светлосенки); елементите на колаж са дискретни и органични. По-интересни обаче са малките натрупвания на смисъла.

И тримата главни герои са направени от крехки материали – Данко е стъкло и електричество, Фабиан изглежда като кученце, направено от балон, Зирка е нещо като птица от сгъната надве-натри хартия. Самото градче е на практика целият свят – не само защото е кръгло („рондо“ значи и това), а и защото в него са маркирани класическа градина ала Версай, елемент от флорентинското Дуомо, два лабиринта, фар и пр. Основният фокус е оранжерията (сама по себе си нещо крехко, изискващо внимание и поддръжка) с пеещите цветя (чиито дълги латински названия трябва да се знаят, за да се грижиш правилно за тях). Има и къщичка, привързана с въженце – да не отлети от картината. Прозорците са от небе.

И ето го неплакатното, човешкото в тази книга. Цялата тази крехкост няма как да не бъде разрушена. Нито пък има как да се съпротивлява на това – освен с упоритата, поддържаща грижа, в случая грижа за нужната за растенията светлина. От нея зависи какво ще оцелее, когато читателят (в ролята на Времето) отгръща страниците. А то не е всичко – краищата на града са опърлени, той не е точно кръгъл, куполът на Дуомото е нащърбен, нещо в героите е пукнато, превързано, прогорено. Нещо е било безвъзвратно изгубено. Няма да ви лъжем, казва книгата. Рондо е тъжен и променен. И все пак нещо е било съхранено.

Романа Романишин и Андрий Лесив са мъж и жена, а и творчески тандем зад някои от най-забележителните книги на украинското издателство „Старият лъв“. Няколко години поред техни книги печелят награди в Болоня – не само тази за войната, а и книгата им за звуците и шумовете, книгата им за зрението. Аз избрах да отнеса у дома тази за звездите и маковите семена.

Позволявам си да завърша тазседмичната колонка със стихотворение от нейния титуляр; въпреки че той вероятно би възразил срещу промяната на формата, а и не само. Струва ми се, че някак споява темите на тези три книги.

Мечка страх

бях писал:
над нас лети невидим изтребител

тази нощ изтребителите станаха видими:
с Любо се разхождахме зад Художествената академия
и те започнаха да прииждат, все по-големи и тежки,
опаковани в маскировъчна хартия,
смазващи като играчки

изтребителите прииждаха от най-дълбокото детство –
и залегнахме на тревата

бях завършил същото стихотворение:
всичко подлежи на унищожение, абсолютно

днес ти казвам: не всичко

Активните дарители на „Тоест“ получават постоянна отстъпка в размер на 20% от коричната цена на всички заглавия от каталога на „Жанет 45“, както и на няколко други български издателства в рамките на партньорската програма Читателски клуб „Тоест“. За повече информация прочетете на toest.bg/club.
Заглавна илюстрация: © Александра Димитрова

Източник

Friday Squid Blogging: Unexpectedly Low Squid Population in the Arctic

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2022/03/friday-squid-blogging-unexpectedly-low-squid-population-in-the-arctic.html

Research:

Abstract: The retreating ice cover of the Central Arctic Ocean (CAO) fuels speculations on future fisheries. However, very little is known about the existence of harvestable fish stocks in this 3.3 million­–square kilometer ecosystem around the North Pole. Crossing the Eurasian Basin, we documented an uninterrupted 3170-kilometer-long deep scattering layer (DSL) with zooplankton and small fish in the Atlantic water layer at 100- to 500-meter depth. Diel vertical migration of this central Arctic DSL was lacking most of the year when daily light variation was absent. Unexpectedly, the DSL also contained low abundances of Atlantic cod, along with lanternfish, armhook squid, and Arctic endemic ice cod. The Atlantic cod originated from Norwegian spawning grounds and had lived in Arctic water temperature for up to 6 years. The potential fish abundance was far below commercially sustainable levels and is expected to remain so because of the low productivity of the CAO.

As usual, you can also use this squid post to talk about the security stories in the news that I haven’t covered.

Read my blog posting guidelines here.

Metasploit Weekly Wrap-Up

Post Syndicated from Spencer McIntyre original https://blog.rapid7.com/2022/03/25/metasploit-weekly-wrap-up-154/

Capture Plugin

Metasploit Weekly Wrap-Up

Capturing credentials is a critical and early phase in the playbook of many offensive security testers. Metasploit has facilitated this for years with protocol-specific modules all under the auxiliary/server/capture. Users can start and configure each of these modules individually, but now the capture plugin can streamline the process. The capture plugin can easily start 13 different services (17 including SSL enabled versions) on the same listening IP address including remote interfaces via Meterpreter. A configuration file can be used to select individual services to start and once finished, all services can easily be stopped using a single command.

To use the plugin, it must first be loaded. That will provide the captureg command (for Capture-Global) which then offers start and stop subcommands. In the following example, the plugin is loaded, and then all default services are started on the 192.168.159.128 interface.

msf6 > load capture
[*] Successfully loaded plugin: Credential Capture
msf6 > captureg start --ip 192.168.159.128
Logging results to /home/smcintyre/.msf4/logs/captures/capture_local_20220325104416_589275.txt
Hash results stored in /home/smcintyre/.msf4/loot/captures/capture_local_20220325104416_612808
[+] Authentication Capture: DRDA (DB2, Informix, Derby) started
[+] Authentication Capture: FTP started
[+] HTTP Client MS Credential Catcher started
[+] HTTP Client MS Credential Catcher started
[+] Authentication Capture: IMAP started
[+] Authentication Capture: MSSQL started
[+] Authentication Capture: MySQL started
[+] Authentication Capture: POP3 started
[+] Authentication Capture: PostgreSQL started
[+] Printjob Capture Service started
[+] Authentication Capture: SIP started
[+] Authentication Capture: SMB started
[+] Authentication Capture: SMTP started
[+] Authentication Capture: Telnet started
[+] Authentication Capture: VNC started
[+] Authentication Capture: FTP started
[+] Authentication Capture: IMAP started
[+] Authentication Capture: POP3 started
[+] Authentication Capture: SMTP started
[+] NetBIOS Name Service Spoofer started
[+] LLMNR Spoofer started
[+] mDNS Spoofer started
[+] Started capture jobs
msf6 >

NATed Services

This week Metasploit added features to libraries that provide listening services like HTTP, FTP, LDAP, etc. that allow them to be bound to an explicit IP address and port combination that is independent of what is typically the SRVHOST option. This is particularly useful for modules to be used in scenarios where the target needs to connect to Metasploit through either a NAT or port-forward configuration. The use of this feature mimics the existing functionality that’s provided by the reverse_tcp and reverse_http(s) payload stagers.

When a user needs the target to connect to 10.2.3.4, the Metasploit user would set that as the SRVHOST. If, however, that IP address is the external interface of a router with a port forward, Metasploit won’t be able to bind to it. To fix that, users can now set the ListernBindAddress option to one that Metasploit can listen on. In this case, the IP address that the router will forward the incoming connection to.

For example, with the network configuration:

Private IP: 172.31.21.26 (where Metasploit can bind to)
External IP: 10.2.3.4 (where the target connects to Metasploit)

The Metasploit module commands would be:

set srvhost 10.2.3.4
set ListenerBindAddress 172.31.21.26

set lhost 10.2.3.4
set ReverseListenerBindAddress 172.31.21.26

Enhancements and features (4)

  • #16249 from gwillcox-r7 – This expands on the work done in https://github.com/rapid7/metasploit-framework/pull/16164 and adds in a new library named Msf::Exploit::Remote::HTTP::Exchange which will allow for future Exchange library functions.
  • #16250 from zeroSteiner – Adds new ListenerBindPort and ListenerBindAddress options on modules which expose services such as HTTP, SMB, LDAP, FTP, etc. This allows users to specify a separate IP/Port to bind to, in addition to providing SRVHOST/SRVPORT values. These additional options are useful if Metasploit is running in a network behind a NAT, or when pivoting through a compromised target. The naming convention is similar to the payload options ReverseListenerBindAddress and ReverseListenerBindPort
  • #16298 from smashery – This adds the new "capture" plugin which can be used to easily start and stop credential-capturing services.
  • #16352 from adfoster-r7 – The discussion tag has been added to allow for more long term discussions. This will replace the existing Discussions tab, and issues marked as such will not be automatically closed.

Bugs fixed (12)

  • #16207 from h00die – The VNC libraries and associated modules have been updated to support more modern versions of VNC and to fix a few bugs so that they will work correctly with new VNC versions.
  • #16309 from HynekPetrak – This fixes an issue where the ssh_login module would crash when the channel used to execute the commands to gather the platform information reported that they failed.
  • #16317 from smashery – This fixes an issue with multiple modules that listen on UDP sockets where the modules were not closing and freeing the socket when their respective services were stopped.
  • #16325 from sjanusz-r7 – This PR replaces IO.read with File.binread, in scenarios where it’s obvious that we’re reading from binaries, to prevent an issue where not all of the file has been read correctly due to an additional EOL<->CRLF conversion that happens on Windows.
  • #16340 from bcoles – This fixes the APK injection behavior to use aapt2 if msfvenom is unable to rebuild the APK with apktool, allows more APKs to be compatible with msfvenom, and fixes a bug.
  • #16341 from h00die – This fixes a bug where the auxiliary/server/capture/vnc module would not output hashes in a format compatible with John The Ripper and a bug that was causing crashes due to assuming hashes always had an associated username. Additionally, support has been added for exporting VNC hashes into a JTR compatible format for later cracking and the hash_identify function has been updated to properly identify VNC hashes allowing for better hash detection.
  • #16353 from jmartin-r7 – A bug has been fixed in the Anemone library and in the HTTP crawler libraries and related module to allow pulling and setting of ssl_version from standardized options. This permits fine-grained user control and avoids issues related to missing or depreciated SSL versions in newer Ruby versions, which were at times preventing Metasploit from making successful connections to targets.
  • #16358 from bcoles – This change fixes a bug in the msfvenom APK injection code, where in some situations a suitable hook point could not be found.
  • #16367 from zeroSteiner – A bug was found in the way character escaping was done in apache_apisix_api_default_token_rce which has now been fixed. In addition, several updates have been made to better handle error cases that may occur when sending HTTP requests to the target.
  • #16368 from zeroSteiner – This improves response time when a cache miss occurs for commands not provided by msfconsole.
  • #16369 from sjanusz-r7 – This change fixes shell_to_meterpreter module to allow upgrading (or duplicating) Meterpreter sessions.
  • #16371 from AlanFoster – This fixes a crash in the WebSocket library used by the Kubernetes modules that would occur when a socket method was being called that’s only provided by the Rex version.
  • #16361 from bcoles – Thisadds docs for the adb_server_exec module.

Get it

As always, you can update to the latest Metasploit Framework with msfupdate
and you can get more details on the changes since the last blog post from
GitHub:

If you are a git user, you can clone the Metasploit Framework repo (master branch) for the latest.
To install fresh without using git, you can use the open-source-only Nightly Installers or the
binary installers (which also include the commercial edition).

Dream11: Blocking application attacks using AWS WAF at scale

Post Syndicated from Vatsal Shah original https://aws.amazon.com/blogs/architecture/dream11-blocking-application-attacks-using-aws-waf-at-scale/

As the world’s largest fantasy sports platforms with more than 120 million registered users, Dream11 runs multiple contests simultaneously while processing millions of user requests per minute. Their user-centric and data-driven teams make it a priority to ensure that the Dream11 application (app) remains protected against all kinds of threats and vulnerabilities.

Introduction to AWS WAF Security Automations

AWS WAF is a web application firewall that helps protect apps and APIs against common web exploits and bots. These attacks may affect availability, compromise security, or consume excessive resources. AWS WAF gives you control over how traffic reaches your applications. You can create security rules that control bot traffic and block common attack patterns, such as SQL injection or cross-site scripting (XSS.)

AWS WAF Security Automations use AWS CloudFormation to quickly configure AWS WAF rules that help block the following common types of attacks:

  • SQL injection
  • Cross-site scripting
  • HTTP floods
  • Scanners and probes
  • Known attacker origins (IP reputation lists)
  • Bots and scrapers

In this blog post, we will explain how Dream11 uses AWS WAF Security Automations to protect its application from scanners and probes attacks.

Scanner and probe automation

To understand the scanner and probe automation, let’s look at a realistic attack scenario for a standard app that is protected by AWS WAF. Let’s assume that a malicious user is trying to scan the app and identify loopholes using their custom tool. They plan to conduct injection attacks (such as SQLi, XSS) or directory brute force attacks.

The app, secured by AWS WAF, has rules in place to block requests if certain signatures and patterns are matched. AWS WAF cannot have all possible payload lists for each attack vector. This means that after some trial and errors, an attacker may find the payload that doesn’t get blocked by AWS WAF and try to exploit the vulnerability.

In this case, what if AWS WAF can detect the behavior of malicious user IPs and block it for a certain time period? Wouldn’t it be great if AWS WAF blocks the IP of a malicious user after receiving a couple of malicious requests? That way, new requests coming from that IP will be blocked without AWS WAF having to check all the rules in the web ACL. Any successful bypass attempts will also get blocked from that IP. Rather than permanently blocking the IP, this feature blocks the offending IP for a certain time period, discouraging the attacker from any further attempts. It acts as a first step of incident response. Here’s where automation can help.

Scanner and probe automation monitors Amazon CloudFront logs and analyses HTTP status codes for requests coming from different IPs. Based on the configured threshold of HTTP status codes, scanner and probe automation will update the malicious IP directly to the AWS WAF rule IPSet. It then blocks subsequent requests from that IP for a configured period of time.

The AWS WAF Security Automations solution creates an AWS WAF rule, an AWS Lambda function, and a Scanner and Probes Amazon Athena query. The Athena query parses Amazon CloudFront or Application Load Balancer access logs at regular intervals. It counts the number of bad requests per minute from unique source IP addresses. The Lambda function updates the AWS WAF IPSet rule to block further scans from IP addresses with a high error rate.

Scanner and probe solution

Solution architecture for scanner and probe automation (xxx represents the numbers as defined by the use case)

Figure 1. Solution architecture for scanner and probe automation (xxx represents the numbers as defined by the use case)

The workflow of the solution is as follows, shown in Figure 1:

  • CloudFront logs are pushed to the Amazon S3 bucket
  • Log Parser Lambda will run the Athena query to find the error code threshold for each unique IP
  • If the HTTP error threshold is crossed for any IP, the Lambda function will update the IP into an AWS WAF IPSet for a certain time
  • The IPSet is unblocked automatically after the time period is over

Customizing the AWS WAF Security Automation solution

Scanner and probe automation with rules will block traffic if the error rate for a particular IP crosses the threshold. It then adds the IP in the blocked IPSet. This IP is blocked for a configurable amount of time (for example, 12 hours, 2 days, 1 week).

During the customization of AWS WAF for Dream11, there were instances which required exceptions to the preceding rule. One was to prevent internal services/gateway IPs from getting blocked by the security automation. We needed to customize the rules for these predefined thresholds. For example: the solution should block the external traffic, but exclude any internal IP addresses.

The Dream11 Security team customized the Lambda logic to approve all internal NAT gateway IPs. Scanner and probe automation ignores these IPs even if there is a high number of errors from the approved IPs. Sample code is as follows:

log.info("[update_ip_set] \tIgnore the approved IP ")

if ip_type == "IPV4" and source_ip not in outstanding_requesters['ApprovedIPs']:  
                addresses_v4.append(source_ip)
elif ip_type == "IPV6" and source_ip not in outstanding_requesters['ApprovedIPs']:                     addresses_v6.append(source_ip)

Note: Create a JSON file with list of approved IPs and store it in APP_ACCESS_LOG_BUCKET
We will use the same S3 bucket to put our office-approved IPs as xyz.json file where we store our CloudFront access logs. This is configurable during CloudFormation template for Security Automation.

Code explanation:

  1. The custom code first validates the particular IP for which the error threshold is crossed against the approved IPs.
  2. If the IP belongs to the IPV4 or IPV6 format and isn’t an approved IP, it will be appended to the blocked IPSet for a certain period of time.

The customization of the Lambda function provides a security automation solution that doesn’t block any legitimate request. At the same time, it provides protection against scanner and probe attacks. AWS WAF security automation is an open-source solution and is hosted on GitHub.

Conclusion

In this blog post, we’ve given a brief overview of how you can reduce attacks by using AWS WAF Security Automations against scanners and probes. We’ve also illustrated the customization implemented by the Dream11 security team.

By automating your security operations, you will improve effective incident response. You can prioritize threats and handle cyber attacks automatically with automated courses of action. This reduces the need for human intervention, reduces response time, and addresses security issues without manual effort.

After implementing this at Dream11, we were able to create custom, application-specific rules that blocked attack patterns. This has provided application availability, secure resources, and has prevented excessive resource consumption. With this solution, we are able to provide the best fantasy sports experience for over 120 million users.

Read more about Security Automations in AWS WAF.

[$] 5.18 Merge window, part 1

Post Syndicated from original https://lwn.net/Articles/888736/

As of this writing, 4,127 non-merge changesets have found their way into
the mainline repository for the 5.18 development cycle. That may seem like
a relatively slow start to the merge window, but there are a lot of changes
packed into those commits. Read on for a summary of the most
significant changes to land in the first half of the 5.18 merge window.

Security updates for Friday

Post Syndicated from original https://lwn.net/Articles/889265/

Security updates have been issued by Debian (tiff), Fedora (nicotine+ and openvpn), openSUSE (bind, libarchive, python3, and slirp4netns), Oracle (cyrus-sasl, httpd, httpd:2.4, and openssl), Red Hat (httpd and httpd:2.4), Scientific Linux (httpd), SUSE (bind, libarchive, python3, and slirp4netns), and Ubuntu (firefox).

The Digital Citizen’s Guide to Navigating Cyber Conflict

Post Syndicated from Jen Ellis original https://blog.rapid7.com/2022/03/25/the-digital-citizens-guide-to-navigating-cyber-conflict/

The Digital Citizen’s Guide to Navigating Cyber Conflict

As security professionals, we are currently being bombarded with warnings and alerts of a heightened threat level due to the possibility that Russia will start to more aggressively leverage cyberattacks as part of their offensive. If you are feeling the pressure of getting everything done, check out this post that identifies the 8 most important emergency conflict actions for your security program.

This post is meant as a companion piece that gives advice for non-security-pro digital citizens to protect themselves and, by extension, help protect their organizations.

As security pros, we do not live in a perfect technical vacuum where we make system-wide Decisions That Will Be Obeyed by Everyone in Our Domain. Rather, we must acknowledge that our users are part of the equation. They can be tricked and manipulated. They lose devices or leave them unlocked in public. They may not follow policy, connecting to unsecured networks, using personal devices for work, or buying unvetted apps.

In other words, they make your life more complicated. But they are likely also watching the same news reports you are and may be wondering what they can do to help protect against the prospect of Russian aggression. This is your opportunity to harness that desire to help, and educate your non-security friends, family, and end users on making it through a cyber conflict. This could be a step toward inspiring them to think more about security in the long term.

1. Control who can access your accounts, apps, or devices

Password hygiene and password managers

These days, most technical devices or apps will give you the option to set up a password, PIN, or pattern. It’s highly recommended that you do so in addition to avoiding reusing passwords and changing them often.

If you follow that advice, you’ll end up with a lot of information to remember. This is where a password manager comes in. They automatically store and fill passwords as needed. They’ll also help you generate passwords if you want them to, ensuring each one is unique and adheres to the requirements of the site, app, or device. Some also offer other benefits, such as working across multiple devices so your passwords can sync across your laptop, tablet, and mobile. Another cool feature is the ability to share selected passwords with designees — for example, if you want to give a family member access to your Netflix account. There are plenty of decent and inexpensive password managers out there. Examples include LastPass, Bitwarden, 1Password, and Dashlane.

Turn on a second layer of protection for your accounts (2FA/MFA)

Having unique and hard-to-guess passwords is important, but it’s not a magical fix that will make you invulnerable to hacking. Cyberattackers will try to trick you into giving them your password, or they may try to guess or crack it. If you are reusing passwords (which is a bad bet), they may already have your password from a previous successful hack.

In situations such as these, having a second way to prove who you are when accessing your accounts is critical to help you protect your private data and accounts. This is referred to as two-step verification, two-factor authentication (2FA), or multi-factor authentication (MFA). The second step or factor might be a code sent to a trusted device, a physical token (such as a scannable key tab or a yubikey), or a biometric (such as your fingerprint or a facial scan). You don’t have to set up 2FA on everything (though it definitely doesn’t hurt to do so), but we strongly recommend you add it to anything holding very sensitive information, such as your online or mobile banking apps, your mobile phone, or other devices.

2. Pay attention to experts

Listen to your employer or other affiliated organization

Pay attention to all internal communications from your work/school/organization, as they likely have situation-specific guidance pertaining to any malicious activity against that organization. Be sure to follow any guidance or policies they issue.

Look out for alerts from apps and services

The vendors and other organizations you do business with should notify you if they are victims of a cyberattack. Look out for communications from them, but be cautious of anything asking you for info or to take an action, as these could be fraudulent. If you receive a communication asking you to take an action, instead of clicking on links within the email, we recommend going directly to the company website or using a search engine to find the information. You should find information to indicate whether it’s legitimate or a scam.

Relevant regional information

Ensure you know where to find information on local services and infrastructure — for example, your local government’s website, social media feeds, or other forms of local media, such as TV, radio and print.

Credit reports

One way that Russia may try to gain footholds on organizations is through identity theft of individuals. Signing up to credit reports — and actually paying attention to them — is one way to catch and respond to this activity early on. Many credit card companies offer this service for free.

3. Hope for the best, but prepare for the worst

Attacks against critical infrastructure

There is a lot of speculation that Russia will target cyberattacks at critical infrastructure. A great deal of effort is going into building resilience into these organizations and systems, and we hope that widespread outages will not occur. However, the Colonial Pipeline, JBS, and HSE attacks in 2021 highlighted the scale of disruption that can be caused by cyberattacks against critical infrastructure. In the same way you would plan for warnings of incoming hurricane activity, we recommend you consider what you might need to weather outages of power, water, or other critical services.

Backup your data offline

The major technology companies typically invest a great deal in cybersecurity to ensure your data is protected; however, they also may make for attractive targets of Russian hacking. They will also be just as affected as everyone else is in the case of power outages. If you are worried about being able to access information in these events, you may want to create an offline backup of your most essential data.

The guidance above focuses on the most critical actions to help individuals navigate the current threats of cyber conflict related to the Russian invasion of Ukraine. For more general advice to individuals for protecting your digital identity, check out this guide, which was created in a collaboration with the UK government’s Cyber Aware campaign.

Additional reading:

NEVER MISS A BLOG

Get the latest stories, expertise, and news about security today.

Ridiculously easy to use Tunnels

Post Syndicated from Abe Carryl original https://blog.cloudflare.com/ridiculously-easy-to-use-tunnels/

Ridiculously easy to use Tunnels

Ridiculously easy to use Tunnels

A little over a decade ago, Cloudflare launched at TechCrunch Disrupt. At the time, we talked about three core principles that differentiated Cloudflare from traditional security vendors: be more secure, more performant, and ridiculously easy to use. Ease of use is at the heart of every decision we make, and this is no different for Cloudflare Tunnel.

That’s why we’re thrilled to announce today that creating tunnels, which previously required up to 14 commands in the terminal, can now be accomplished in just three simple steps directly from the Zero Trust dashboard.

If you’ve heard enough, jump over to sign-up/teams to unplug your VPN and start building your private network with Cloudflare. If you’re interested in learning more about our motivations for this release and what we’re building next, keep scrolling.

Our connector

Cloudflare Tunnel is the easiest way to connect your infrastructure to Cloudflare, whether that be a local HTTP server, web services served by a Kubernetes cluster, or a private network segment. This connectivity is made possible through our lightweight, open-source connector, cloudflared. Our connector offers high-availability by design, creating four long-lived connections to two distinct data centers within Cloudflare’s network. This means that whether an individual connection, server, or data center goes down, your network remains up. Users can also maintain redundancy within their own environment by deploying multiple instances of the connector in the event a single host goes down for one reason or another.

Historically, the best way to deploy our connector has been through the cloudflared CLI. Today, we’re thrilled to announce that we have launched a new solution to remotely create, deploy, and manage tunnels and their configuration directly from the Zero Trust dashboard. This new solution allows our customers to provide their workforce with Zero Trust network access in 15 minutes or less.

CLI? GUI? Why not both

Command line interfaces are exceptional at what they do. They allow users to pass commands at their console or terminal and interact directly with the operating system. This precision grants users exact control over the interactions they may have with a given program or service where this exactitude is required.

However, they also have a higher learning curve and can be less intuitive for new users. This means users need to carefully research the tools they wish to use prior to trying them out. Many users don’t have the luxury to perform this level of research, only to test a program and find it’s not a great fit for their problem.

Conversely, GUIs, like our Zero Trust dashboard, have the flexibility to teach by doing. Little to no program knowledge is required to get started. Users can be intuitively led to their desired results and only need to research how and why they completed certain steps after they know this solution fits their problem.

When we first released Cloudflare Tunnel, it had less than ten distinct commands to get started. We now have far more than this, as well as a myriad of new use cases to invoke them. This has made what used to be an easy-to-navigate CLI library into something more cumbersome for users just discovering our product.

Simple typos led to immense frustration for some users. Imagine, for example, a user needs to advertise IP routes for their private network tunnel. It can be burdensome to remember cloudflared tunnel route ip add <IP/CIDR>. Through the Zero Trust dashboard, you can forget all about the semantics of the CLI library. All you need to know is the name of your tunnel and the network range you wish to connect through Cloudflare. Simply enter my-private-net (or whatever you want to call it), copy the installation script, and input your network range. It’s that simple. If you accidentally type an invalid IP or CIDR block, the dashboard will provide an actionable, human-readable error and get you on track.

Whether you prefer the CLI or GUI, they ultimately achieve the same outcome through different means. Each has merit and ideally users get the best of both worlds in one solution.

Ridiculously easy to use Tunnels

Eliminating points of friction

Tunnels have typically required a locally managed configuration file to route requests to their appropriate destinations. This configuration file was never created by default, but was required for almost every use case. This meant that users needed to use the command line to create and populate their configuration file using examples from developer documentation. As functionality has been added into cloudflared, configuration files have become unwieldy to manage. Understanding the parameters and values to include as well as where to include them has become a burden for users. These issues were often difficult to catch with the naked eye and painful to troubleshoot for users.

We also wanted to improve the concept of tunnel permissions with our latest release. Previously, users were required to manage two distinct tokens: The cert.pem and the Tunnel_UUID.json file. In short, cert.pem, issued during the cloudflared tunnel login command, granted the ability to create, delete, and list tunnels for their Cloudflare account through the CLI. Tunnel_UUID.json, issued during the cloudflared tunnel create <NAME> command, granted the ability to run a specified tunnel. However, since tunnels can now be created directly from your Cloudflare account in the Zero Trust dashboard, there is no longer a requirement to authenticate your origin prior to creating a tunnel. This action is already performed during the initial Cloudflare login event.

With today’s release, users no longer need to manage configuration files or tokens locally. Instead, Cloudflare will manage this for you based on the inputs you provide in the Zero Trust dashboard. If users typo a hostname or service, they’ll know well before attempting to run their tunnel, saving time and hassle. We’ll also manage your tokens for you, and if you need to refresh your tokens at some point in the future, we’ll rotate the token on your behalf as well.

Client or clientless Zero Trust

We commonly refer to Cloudflare Tunnel as an “on-ramp” to our Zero Trust platform. Once connected, you can seamlessly pair it with WARP, Gateway, or Access to protect your resources with Zero Trust security policies, so that each request is validated against your organization’s device and identity based rules.

Clientless Zero Trust

Users can achieve a clientless Zero Trust deployment by pairing Cloudflare Tunnel with Access. In this model, users will follow the flow laid out in the Zero Trust dashboard. First, users name their tunnel. Next, users will be provided a single installation script tailored to the origin’s operating system and system architecture. Finally, they’ll create either public hostnames or private network routes for their tunnel. As outlined earlier, this step eliminates the need for a configuration file. Public hostname values will now replace ingress rules for remotely managed tunnels. Simply add the public hostname through which you’d like to access your private resource. Then, map the hostname value to a service behind your origin server. Finally, create a Cloudflare Access policy to ensure only those users who meet your requirements are able to access this resource.

Client-based Zero Trust

Alternatively, users can pair Cloudflare Tunnel with WARP and Gateway if they prefer a client-based approach to Zero Trust. Here, they’ll follow the same flow outlined above but instead of creating a public hostname, they’ll add a private network. This step replaces the cloudflared tunnel route ip add <IP/CIDR> step from the CLI library. Then, users can navigate to the Cloudflare Gateway section of the Zero Trust dashboard and create two rules to test private network connectivity and get started.

  1. Name: Allow <current user> for <IP/CIDR>
    Policy: Destination IP in <IP/CIDR> AND User Email is <Current User Email>
    Action: Allow
  2. Name: Default deny for <IP/CIDR>
    Policy: Destination IP in <IP/CIDR>
    Action: Block

It’s important to note, with either approach, most use cases will only require a single tunnel. A tunnel can advertise both public hostnames and private networks without conflicts. This helps make orchestration simple. In fact, we suggest starting with the least number of tunnels possible and using replicas to handle redundancy rather than additional tunnels. This, of course, is dependent on each user’s environment, but generally it’s smart to start with a single tunnel and create more only when there is a need to keep networks or services logically separated.

What’s next

Since we launched Cloudflare Tunnel, hundreds of thousands of tunnels have been created. That’s many tunnels that need to be migrated over to our new orchestration method. We want to make this process frictionless. That’s why we’re currently building out tooling to seamlessly migrate locally managed configurations to Cloudflare managed configurations. This will be available in a few weeks.

At launch, we also will not support global configuration options listed in our developer documentation. These parameters require case-by-case support, and we’ll be adding these commands incrementally over time. Most notably, this means the best way to adjust your cloudflared logging levels will still be by modifying the Cloudflare Tunnel service start command and appending the --loglevel flag into your service run command. This will become a priority after releasing the migration wizard.

As you can see, we have exciting plans for the future of remote tunnel management and will continue investing in this as we move forward. Check it out today and deploy your first Cloudflare Tunnel from the dashboard in three simple steps.

The collective thoughts of the interwebz