How to create post-quantum signatures using AWS KMS and ML-DSA

Post Syndicated from Jake Massimo original https://aws.amazon.com/blogs/security/how-to-create-post-quantum-signatures-using-aws-kms-and-ml-dsa/

As the capabilities of quantum computing evolve, AWS is committed to helping our customers stay ahead of emerging threats to public-key cryptography. Today, we’re announcing the integration of FIPS 204: Module-Lattice-Based Digital Signature Standard (ML-DSA) into AWS Key Management Service (AWS KMS). Customers can now create and use ML-DSA keys through the same familiar AWS KMS APIs they use today for digital signatures, including CreateKey, Sign, and Verify operations. This new feature is generally available and you can use ML-DSA in the following AWS Regions: US West (N. California), and Europe (Milan) with the remaining commercial Regions to follow in the coming days. This launch is part of our broader AWS post-quantum cryptography migration plan, which we covered in our recent blog post. In this post, we guide you through creating ML-DSA keys and post-quantum signatures with AWS KMS.

Many organizations use AWS KMS to cryptographically sign firmware, operating systems, applications, or other artifacts. With ML-DSA support in AWS KMS, you can now generate and use post-quantum keys for signing operations within FIPS-140-3 Level 3 certified HSMs. By implementing ML-DSA signatures now, you can help make sure that your systems remain secure throughout their operational lifetime, even if cryptographically relevant quantum computers become available. This is especially important for manufacturers who install long-lived roots of trust during production—whether embedded directly in hardware or in devices that might remain offline for extended periods. In both cases, cryptographic signatures cannot be easily updated after deployment, making post-quantum readiness critical for the entire operational lifetime of these systems.

What’s new

AWS KMS offers three new AWS KMS key specs: ML_DSA_44, ML_DSA_65, and ML_DSA_87, which you can use with the new post-quantum SigningAlgorithm ML_DSA_SHAKE_256. Like our other signing algorithms, this name includes the hash function that’s used within the signature scheme to digest messages before signing or verification. In this case, the hash function used is SHAKE256—part of the SHA-3 family of hash functions standardized by NIST in FIPS 202.

Table 1 shows the details for each key spec, including their NIST security categories and corresponding key sizes in bytes. Each ML-DSA key spec represents a balance between security strength and resource requirements. ML-DSA-44 is suitable for applications requiring security comparable to classical 128-bit encryption, while ML-DSA-65 and ML-DSA-87 provide progressively stronger security levels equivalent to classical 192-bit and 256-bit encryption, respectively. As you move up in security levels, you’ll notice corresponding increases in key and signature sizes, enabling you to choose the key spec that best matches your security needs and engineering constraints.

Key spec NIST security Level Public key (B) Private key (B) Signature (B)
ML_DSA_44 1 (equivalent to 128-bit security) 1312 2560 2420
ML_DSA_65 3 (equivalent to 192-bit security) 1952 4032 3309
ML_DSA_87 5 (equivalent to 256-bit security) 2592 4896 4627

When using the AWS KMS Sign API with a RAW MessageType, the message to be signed is limited to 4096 bytes. For messages larger than 4096 bytes, pre-processing the message outside of AWS KMS to create what’s known as µ (mu) is required to generate a smaller-sized message input to the KMS Sign API. This external mu process pre-digests the message using the public key of the ML-DSA signing key pair to create a message size of 64 bytes. To support this launch, we’ve added a new message type in the KMS Sign API—EXTERNAL_MU—that can be used with ML-DSA signing or verification calls to indicate when a message has been pre-processed using µ (mu) before submitted to AWS KMS.

In the following sections, we include more information about constructing external mu and demonstrate basic AWS KMS operations with ML-DSA. We cover key creation, signature generation and verification, and both RAW and EXTERNAL_MU signing modes. Note that the produced RAW or EXTERNAL_MU ML-DSA signatures are identical when the same message and signing key are used.

Creating ML-DSA keys

To start, create an asymmetric AWS KMS key using the AWS Command Line Interface (AWS CLI) example command:

aws kms create-key --key-spec ML_DSA_65 --key-usage SIGN_VERIFY

This command will return a response similar to the following:

{
    "KeyMetadata": {
        "Origin": "AWS_KMS",
        "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "MultiRegion": false,
        "Description": "",
        "KeyManager": "CUSTOMER",
        "Enabled": true,
        "SigningAlgorithms": [
            "ML_DSA_SHAKE_256"
        ],
        "CustomerMasterKeySpec": "ML_DSA_65",
        "KeyUsage": "SIGN_VERIFY",
        "KeySpec": "ML_DSA_65",
        "KeyState": "Enabled",
        "CreationDate": 1748371316.734,
        "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "AWSAccountId": "111122223333"
    }
}

Make note of the KeyId or Arn value from the response; you’ll need this to reference your key in subsequent signing operations. The response confirms that the creation of an ML_DSA_65 key configured for SIGN_VERIFY operations, which will use the ML_DSA_SHAKE_256 signing algorithm for signature operations.

Signing

In this section, we include some examples of ML-DSA signing and verifying a JSON Web Token (JWT) commonly used to transfer claims between parties for web authorization. In 2021, we described how to sign and verify JWTs with Elliptic Curve Digital Signature Algorithm (ECDSA), a classic asymmetric cryptographic algorithm (see How to verify AWS KMS signatures in decoupled architectures at scale). In the following examples, the token is instead signed with an ML-DSA private key managed by AWS KMS and verified either within AWS KMS or externally using OpenSSL.

The JWT content to be signed is from section 3.1 of RFC7519. More specifically, the JWT header is:

{"typ":"JWT",
 "alg":"ML-DSA-65"}

And the JWT claim set is:

{"iss":"joe",
 "exp":1748952000,
 "http://example.com/is_root":true}

You can produce the JWT message to be signed by using the Base64URL encoding of the header and payload as:

echo -n -e '{"typ":"JWT",\015\012 "alg":"ML-DSA-65"}' | \
	basenc --base64url -w 0 | \
	sed 's/=//g' ; echo -n "." ; echo -n -e '{"iss":"joe",\015\012 "exp":1748952000,\015\012 "http://example.com/is_root":true}' | \
	basenc --base64url -w 0 | sed 's/=//g' ; echo ""

This command will output the following Base64 to be signed with ML-DSA:

eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJNTC1EU0EtNjUifQ.eyJpc3MiOiJqb2UiLA0KICJleHAiOjE3NDg5NTIwMDAsDQogImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ

Note that the following examples output the ML-DSA signature produced on the message by using the ML-DSA private key managed by AWS KMS in a binary format. You need to convert them to Base64URL to use them in JWT, but various data encryption and signing formats can use these signatures. These include Cryptographic Message Syntax (CMS), CBOR Object Signing and Encryption (COSE), or image signing encodings for UEFI and Open Titan. While converting between binary and these formats is straightforward, support for the new algorithms might not be available in common cryptographic implementations of these signing formats at the time of this writing.

RAW ML-DSA signing (no external mu)

To sign a message of less than 4096 bytes in AWS KMS with ML-DSA, you can use the AWS CLI:aws kms sign \

aws kms sign \
    --key-id <1234abcd-12ab-34cd-56ef-1234567890ab> \
    --message ' eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJNTC1EU0EtNjUifQ.eyJpc3MiOiJqb2UiLA0KICJleHAiOjE3NDg5NTIwMDAsDQogImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ' \
    --message-type RAW \
    --signing-algorithm ML_DSA_SHAKE_256 \
    --output text \
    --query Signature | base64 --decode > ExampleSignature.bin

Make sure to replace the target-key-id value of <1234abcd-12ab-34cd-56ef-1234567890ab> with your KeyId. This command will produce a signature and write it to disk as ExampleSignature.bin.

After producing the signature, you can create the complete JWT (consisting of header, payload, and signature) with a single command:

echo -n "eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJNTC1EU0EtNjUifQ.eyJpc3MiOiJqb2UiLA0KICJleHAiOjE3NDg5NTIwMDAsDQogImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ." ; \
	basenc --base64url -w 0 ExampleSignature.bin | \
	sed 's/=//g' ; echo ""

This command will output a ready-to-use JWT in the format required by RFC 7519 and signed using AWS KMS:

eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJNTC1EU0EtNjUifQ.eyJpc3MiOiJqb2UiLA0KICJleHAiOjE3NDg5NTIwMDAsDQogImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ.<base64url of the signature as per RFC7519>

External mu ML-DSA signing

Note that AWS KMS imposes a 4096-byte limit on the size of the raw message when using the Sign API to minimize the latency of the response. In cases where the message to be signed is larger than 4096 bytes or if pre-digesting the external mu has performance advantages you need, you must use the EXTERNAL_MU message type instead of RAW in AWS KMS.

Before using the EXTERNAL_MU message type with the AWS KMS Sign API, you must locally perform a pre-hash calculation on your message. So, first, retrieve the public key from AWS KMS, and convert it to DER format using the following command (replace the example key ID with a valid key ID from your AWS account):

aws kms get-public-key \
    --key-id <1234abcd-12ab-34cd-56ef-1234567890ab> \
    --output text \
    --query PublicKey | base64 --decode > public_key.der

To construct the external mu digest:

  1. Construct a message prefix (M`): M` = (domain separator || context length || context || Message).

    In this example, set the domain separator value and context length as zero; this sets the context used in the signature as the empty string, which is the default.

  2. Hash the public key then prepend it to the message prefix:
    (SHAKE256(pk) || M’).
  3. Hash to produce a 64-byte mu:
    Mu = SHAKE256(SHAKE256(pk) || M’)

You can use a single OpenSSL 3.5 command to construct the digest:

{
    openssl asn1parse -inform DER -in public_key.der -strparse 17 -noout -out - 2>/dev/null |
    openssl dgst -provider default -shake256 -xoflen 64 -binary;
    printf '\x00\x00';
    echo -n "eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJNTC1EU0EtNjUifQ.eyJpc3MiOiJqb2UiLA0KICJleHAiOjE3NDg5NTIwMDAsDQogImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ"
} | openssl dgst -provider default -shake256 -xoflen 64 -binary > mu.bin

Now you can call AWS KMS to sign the 64-byte digest to produce the ML-DSA signature in file ExampleSignature.bin, making sure to set the MessageType to EXTERNAL_MU:

aws kms sign \
    --key-id 1234abcd-12ab-34cd-56ef-1234567890ab \
    --message fileb://mu.bin \
    --message-type EXTERNAL_MU \
    --signing-algorithm ML_DSA_SHAKE_256 \
    --output text \
    --query Signature | base64 --decode > ExampleSignature.bin

The final signed JWT token is identical to the one produced previously in RAW mode.

Signature verification using AWS KMS

In this section, we show you how to verify ML-DSA signatures using AWS KMS or locally in your own environment. We assume that you have an ML-DSA signature in ExampleSignature.bin, produced on the JWT content with the private key in AWS KMS and identified with KEY_ARN.

Note that, although the following examples demonstrate signature verification using public keys directly from AWS KMS, these same principles extend to certificate-based systems, such as a private PKI, in which public keys are embedded in end-entity certificates (of the signer). In such scenarios, verifiers would first verify the identity of the signer by validating the certificate chain ties to a trusted root, then use the public key of the end-entity certificate to verify the ML-DSA signature of the content. The IETF is standardizing ML-DSA for use in X.509 certificates through RFC draft draft-ietf-lamps-dilithium-certificates.

RAW ML-DSA verification

To verify the signature using AWS KMS, you can call the following command, replacing the example key-id with the same one you used to sign.

aws kms verify \
    --key-id <1234abcd-12ab-34cd-56ef-1234567890ab> \
    --message "eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJNTC1EU0EtNjUifQ.eyJpc3MiOiJqb2UiLA0KICJleHAiOjE3NDg5NTIwMDAsDQogImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ" \
    --message-type RAW \
    --signing-algorithm ML_DSA_SHAKE_256 \
    --signature fileb://ExampleSignature.bin

The response will return:

{
    "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "SignatureValid": true,
    "SigningAlgorithm": "ML_DSA_SHAKE_256"
}

The verification result is stored in the SignatureValid field.

External mu ML-DSA verification

If you have the external mu digest of the JWT content in mu.bin along with the signature and the corresponding keypair in AWS KMS, you can use the digest without having access to the entire message or calculating the digest again.

aws kms verify \
    --key-id <1234abcd-12ab-34cd-56ef-1234567890ab> \
    --message fileb://mu.bin \
    --message-type EXTERNAL_MU \
    --signing-algorithm ML_DSA_SHAKE_256 \
    --signature fileb://ExampleSignature.bin

To regenerate the external mu mu.bin from the message and the public key, see the External mu ML DSA signing section above.

Local signature verification using OpenSSL 3.5

If you want to reduce AWS KMS API consumption costs and better control the use of API quotas while keeping the security of AWS KMS-generated and stored keys for ML-DSA signature generation, you can verify ML-DSA signatures locally, outside of AWS KMS.

In this example, you use OpenSSL 3.5 to verify the signature in ExampleSignature.bin. You first must fetch the DER-encoded public key from AWS KMS in file public_key.der as shown in the External mu ML DSA signing section. OpenSSL 3.5 can then verify the signature on the message by using the public key.

echo -n "eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJNTC1EU0EtNjUifQ.eyJpc3MiOiJqb2UiLA0KICJleHAiOjE3NDg5NTIwMDAsDQogImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ" | \
	openssl dgst -verify public_key.der -signature ExampleSignature.bin

Successful verification will output: Verified OK

Conclusion

Today’s launch of ML-DSA support in AWS KMS marks an important milestone in our commitment to post-quantum cryptography. With three different security levels of ML-DSA in both raw and external digest modes, you have flexible options to meet your security requirements while preparing for the quantum computing era. The seamless integration with existing AWS KMS APIs makes it straightforward to incorporate quantum-resistant signatures into your applications today. This implementation is particularly valuable if you need to:

  • Meet FIPS 140-3 compliance requirements when using post-quantum cryptography.
  • Sign code, artifacts, documents or other data that need to remain trusted and verifiable for many years into the future, including the period after cryptographically relevant quantum computers exist.
  • Start post-quantum cryptography testing as part of your application development process using a cryptographic service such as AWS KMS that has previously been approved for use.

Learn more about post-quantum cryptography in general and the overall AWS plan to migrate to post-quantum cryptography.

Jake Massimo

Jake Massimo

Jake is an Applied Scientist on the AWS Cryptography team, where he bridges Amazon with the global cryptographic community through active participation in international conferences, academic research, and standards organizations. His work focuses on advancing the adoption of post-quantum cryptographic technology at cloud scale. Currently, he leads the development of optimized and formally verified post-quantum algorithms within the AWS cryptographic library.

Panos Kampanakis

Panos Kampanakis

Panos has extensive experience with cyber security, applied cryptography, security automation, and vulnerability management. In his professional career, he has trained and presented on various security topics at technical events for numerous years. He has co-authored cybersecurity publications and participated in various security standards bodies to provide common interoperable protocols and languages for security information sharing, cryptography, and PKI.

Mayank Ambaliya

Mayank Ambaliya

Mayank is a Software Development Manager at AWS Key Management Service (AWS KMS), where he leads development of AWS KMS cryptographic APIs and custom key stores. Mayank has experience developing customer facing cryptographic APIs and cryptographic SDKs for AWS CloudHSM. Recently, he has been working on post-quantum algorithm support in AWS KMS and adding new cryptographic APIs in AWS KMS.t

AI security strategies from Amazon and the CIA: Insights from AWS Summit Washington, DC

Post Syndicated from Danielle Ruderman original https://aws.amazon.com/blogs/security/ai-security-strategies-from-amazon-and-the-cia-insights-from-aws-summit-washington-dc/

Speakers during AWS Summit Washington, DC 2025 on June 10, 2025.

At this year’s AWS Summit in Washington, DC, I had the privilege of moderating a fireside chat with Steve Schmidt, Amazon’s Chief Security Officer, and Lakshmi Raman, the CIA’s Chief Artificial Intelligence Officer. Our discussion explored how AI is transforming cybersecurity, threat response, and innovation across the public and private sectors. The conversation highlighted several key themes: how organizations can leverage AI to improve security outcomes, the rise of agentic AI and its impact on security, the importance of maintaining human oversight in AI systems, workforce development strategies, and practical approaches to implementing AI securely in enterprise environments. Below are a few excerpts from our conversation.

On leveraging AI to improve security outcomes

Steve Schmidt: “We’ve applied AI internally at Amazon in a couple of places that led to some significant benefits, including in the application security review process. By training our large language models internally on prior security reviews that we’ve done, it has allowed us to apply the knowledge and learning that our more senior staff have embodied in the documents that the LLM was trained on and expose that to our more junior staff. It really raises the bar on the absolute level of security that we can offer.”

Lakshmi Raman: “In the cybersecurity realm, we’re thinking about how AI helps us in our accreditation and authorization process, helping us ensure that the process to get systems accredited is going as quickly as possible, because the industry is moving so fast. Another area that we’re applying AI and machine learning is triaging data. We have vast amounts of data that comes in at an exponential rate, so we need to be able to go through it quickly so that we can surface insights. You can imagine a cybersecurity analyst who traditionally has gone through network data manually in order to think about blocking suspicious IP addresses or connections. Now there’s an opportunity to do all of that really efficiently and let the security analysts make the decision.”

On the rise of agentic AI and its implications for security

Steve Schmidt: “The biggest change we’re seeing right now in AI is the rise of agentic AI. The reason agentic AI is particularly interesting is that it brings with it a set of challenges about ensuring the software is taking actions within the context of the person who’s asking it…Think about that in the context of a government organization, where you have sets of information that are restricted to certain populations, there are classification decisions, access control limitations, and reasons that you can access certain data that have to be present before you can do so. Agentic AI brings opportunities—you can take actions using software automatically—but also challenges: how do we make sure that the software is doing exactly the right thing every single time, and more importantly, that we can prove what it did to stakeholders and regulators?”

Lakshmi Raman: “AI agents definitely have an opportunity to transform enterprise automation. Leveraging them to do complex multi-step workflows—to do tool calling across a variety of databases and other foundational tools—has tremendous potential, with a human as a crucial step to review what’s going on.”

On the importance of maintaining human oversight with AI

Lakshmi Raman: “In my world, I spend a lot of time thinking about how AI is impacting the workforce. One of the areas we’re looking at is the intersection between AI and our people. AI is able to speed up the processing and do automation, but at the end of the day, it’s really about who is taking on the risk, or deciding the intents and making the decisions. Whatever the machine output happens to be, really it’s about the human who’s deciding the level of oversight, the risk to take, and even whether to intervene.”

Steve Schmidt: “One thing that many people don’t realize about AI systems is that they’re nondeterministic. What nondeterminism means is you can ask an AI model the same question 100 times, and you will not get the same answer every time. So, having a human who can make a judgment about what the AI comes up with is critically important. We look at it this way: if you’re just asking a question and getting an answer, that may be one set of scrutiny that you have to get assistance. But if you’re going to take an action, you’ve got to be really sure the AI is correct. There has to be that skilled person that Lakshmi spoke about, at the end of the AI use process saying, ‘Yes, this is the right thing to do at this point in time with this context.’”

On building an AI-savvy security workforce

Steve Schmidt: “There’s a real problem in our industry: we don’t have enough security people. We simply can’t hire enough people with the right skills to do this job. What we’ve we found is that AI allows us to do a lot of the heavy lifting for the security staff, using tooling that used to have to be done by humans. Our staff is actually materially happier with their jobs if we remove a lot of that grunt work from them, which is super important. You want to keep the employees you have, so you give them tooling that helps them get the job done more efficiently, and they enjoy their job.”

Lakshmi Raman: “We’re looking for people who can live between the intersection of technology and social intelligence, people who can understand how those two areas can potentially interact around human behavior and how to think about future activities. When we’re thinking about analysts, for example, we’re thinking about people who have critical thinking skills, who can demonstrate analytic rigor, who can think multiple steps ahead with incomplete information. We’re also looking for people who have digital acumen with an understanding of cloud and cyber and AI, so that we have those technical skills in house. And finally, people who are interested in lifelong learning and curiosity, because threats change over the years. We need people who understand and are willing to learn about that.”

On advice for security leaders as AI accelerates

Steve Schmidt: “When you’re looking at making a decision, ask the person who’s bringing the information to you: ‘Why can’t AI do this?’ And if they don’t have an answer, ask ‘When will it be able to and under what condition?’ Move it into the now, the probable, the possible, and make it real for all of your staff all the time. If they’re not intentionally making that decision, they’re missing an opportunity.”

Lakshmi Raman: “You’ve got to get training out there for your users. We think of it at three different levels. First is our general workforce—which might be the most important user base—people who are sitting side by side with our AI practitioners and can help describe the workflows that need automation. Then we think about it for our practitioners, so they are keeping up with the latest. And then finally, our senior executives, who can think about how they can transform their organization with AI and generate that buy-in from the top level.”

AI is not just changing what we can do, but how we work. As Steve and Lakshmi emphasized, the most successful AI implementations will be those that thoughtfully balance automation with human oversight, focusing on use cases that deliver tangible value while managing risks appropriately. For security professionals, understanding both the technical and human dimensions of AI will be critical as we navigate this changing space.

Danielle Ruderman

Danielle Ruderman

Danielle is a Senior Manager for the AWS Worldwide Security Specialist Organization, where she leads a team that enables global CISOs and security leaders to better secure their cloud environments. Danielle is passionate about improving security by building company security culture that starts with employee engagement.

AWS CIRT announces the launch of the Threat Technique Catalog for AWS

Post Syndicated from Steve de Vera original https://aws.amazon.com/blogs/security/aws-cirt-announces-the-launch-of-the-threat-technique-catalog-for-aws/

Greetings from the AWS Customer Incident Response Team (AWS CIRT). AWS CIRT is a 24/7, specialized global Amazon Web Services (AWS) team that provides support to customers during active security events on the customer side of the AWS Shared Responsibility Model. We’re excited to announce the launch of the Threat Technique Catalog for AWS.

When the AWS CIRT assists customers with incident response during security investigations, we gather AWS service metadata on the types of tactics and techniques that threat actors have used against AWS customers. We use this information to build an internal dataset of indicators of compromise (IOCs) and threat patterns that provides insight into how threat actors are taking advantage of misconfigured AWS resources, overly permissive access, or the methods they use in attempting to achieve their objectives.

We capture this metadata and use it internally to continually improve AWS services to help make them more secure for our customers by making it more difficult for threat actors to perform unauthorized actions. For example, some of the metadata that the AWS CIRT has captured as a result of investigating security events where a threat actor has used the Amazon Bedrock service to consume tokens by invoking large language models (LLMs) has been used to supplement the Amazon GuardDuty IAM Anomalous Behavior finding. Earlier this year, the AWS CIRT identified an increase in data encryption events in Amazon S3 that used an encryption method known as server-side encryption using client-provided keys (SSE-C). AWS CIRT used the Threat Technique Catalog for AWS to classify the new techniques identified in these security events to communicate internally and with other Amazon security teams.

We’ve received feedback from AWS customers that information about the adversarial tactics, techniques, and procedures (TTPs) observed by the AWS CIRT would be valuable and helpful if made available to them, so they could use the information to configure their AWS resources more securely. Over the previous year, we’ve been working with MITRE to make these techniques and sub-techniques available to the global security community. As a result of this collaboration, MITRE has updated and added some of these techniques to MITRE ATT&CK® as part of their October 2024 update cycle (for example, Data Destruction: Lifecycle-Triggered Deletion).

“We greatly appreciated the insight AWS shared with us, and it inspired improvements to a number of techniques in the October release of MITRE ATT&CK. For ATT&CK to keep up with the latest threats, community contributions that benefit the ecosystem are needed, and we value AWS being a part of the ATT&CK community.”
Adam Pennington, project lead, MITRE ATT&CK, MITRE

Companies, entities, and organizations use ATT&CK to help them understand, prioritize and protect against the threats to their on-premises environments, and we believe that taking advantage of an already existing framework to present these adversarial techniques will provide AWS customers and the global security community with the ability to identify and categorize threats on their AWS infrastructure the same way that the AWS CIRT does.

The Threat Technique Catalog for AWS—based on MITRE ATT&CK Cloud—extends these contributions and includes categories of adversarial techniques that are specific to AWS and have been observed by the AWS CIRT; in addition to information on ways to mitigate those techniques and how to detect them. For example, you can go to the Threat Technique Catalog for AWS, filter by the AWS services in your account, and review the content that will help make your environment more secure. The Getting Started section includes additional ways that you can use the Threat Technique Catalog for AWS. We will continue to update and provide additional changes to the Threat Technique Catalog for AWS to help guide you into making your AWS environment more secure and will continue collaborating with MITRE to advise them of new and trending threat actor techniques.

To get started, visit the Threat Technique Catalog for AWS.

© 2025 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.

If you have feedback about this post, submit comments in the Comments section below.

Steve de Vera

Steve de Vera

Steve is a manager in the AWS Customer Incident Response Team (CIRT) with a focus on threat research and threat intelligence. He is passionate about American-style BBQ and is a certified competition BBQ judge. He has a dog named Brisket.

Cydney Stude

Cydney Stude

Cydney is a Security Engineer with the AWS Customer Incident Response Team (CIRT), specializing in incident response and cloud security. Cydney focuses on technical depth and real-world experience handling complex cloud challenges. Outside of work, Cydney enjoys salsa dancing and adventuring with her german shepherd.

Nathan Bates

Nathan Bates

Nathan is a Sr. Security Engineer within Global Services Security. He specializes in data, analytics, and reporting services for vulnerability management, policy compliance, asset assurance, incident response, and threat intelligence. Nathan is passionate about high performance driving, racing cars, playing guitar, and making music.

[$] CoMaps emerges as an Organic Maps fork

Post Syndicated from corbet original https://lwn.net/Articles/1024387/

The open-source mobile app Organic
Maps is used by millions of people on both the Android and iOS
platforms. In addition to featuring offline maps (generated from OpenStreetMap cartography) and
turn-by-turn navigation, it also promises its users greater privacy
than proprietary options. However, controversial decisions taken by the
project’s leaders, feelings of disenfranchisement among contributors, and
even accusations of embezzlement have precipitated a divide in the
community, leading to a new fork called CoMaps.

Radicle Desktop released

Post Syndicated from jzb original https://lwn.net/Articles/1025405/

The Radicle peer-to-peer code
collaboration project has released Radicle
Desktop: a graphical interface designed to simplify more complex
parts of using Radicle such as issue management and patch reviews.

Radicle Desktop is not trying to replace your terminal, IDE, or code
editor – you already have your preferred tools for code browsing. It
won’t replace our existing app.radicle.xyz and search.radicle.xyz for
finding and exploring projects. It also doesn’t run a node for
you. Instead, it communicates with your existing Radicle node,
supporting your current workflow and encourages gradual adoption.

LWN covered Radicle
in March, 2024.

Security updates for Friday

Post Syndicated from daroc original https://lwn.net/Articles/1025354/

Security updates have been issued by AlmaLinux (.NET 8.0, .NET 9.0, glibc, kernel, and mod_security), Fedora (chromium, gh, mingw-icu, nginx-mod-modsecurity, python3.10, python3.9, thunderbird, valkey, and yarnpkg), Oracle (.NET 8.0, .NET 9.0, glibc, grafana-pcp, kernel, libxml2, mod_security, nodejs:20, and thunderbird), SUSE (audiofile, helm, kubernetes-old, kubernetes1.23, kubernetes1.24, libcryptopp, postgresql15, thunderbird, and valkey), and Ubuntu (linux-nvidia-tegra-igx).

Кой уби Явор?

Post Syndicated from Емилия Милчева original https://www.toest.bg/koy-ubi-yavor/

Кой уби Явор?

Ако двамата полицаи, арестували във Варна 36-годишния Явор, който по-късно почина в психиатрията, бяха с бодикамери, щеше да има ясен запис на случилото се, а кадрите щяха да бъдат приложени като доказателство в съда. Сега всички са настръхнали заради единственото видео от охранителната камера на бензиностанция, показваща двама униформени, които агресивно се борят с буйстващ човек, за да му сложат белезници. Вижда се и втори патрул – цивилен инспектор заедно с друг служител, който също удря поваления Явор. Той е спрял да буйства, но ударите по него не престават.

Никой от полицаите не е използвал бодикамера. Поведението им показва, че се провалят при справяне в екстремна ситуация. Издава също неспособност за навременна преценка и склонност към прекомерно насилие. Накрая още един човек умира след полицейски арест. 

В края на 2023 г. 58-годишният Пламен Пенев, бивш шампион по борба, почина задушен при арест в Стара Загора от няколко полицаи. След продължило цели 14 месеца разследване беше обвинен само един от тях, но това не означава, че ще има справедливо наказание. 

Пак заради полицейско насилие на 26 февруари тази година в Казанлък умря 47-годишният Даниел Кискинов. 

През годините назад има и присъди на Европейския съд по правата на човека (ЕСПЧ), които санкционират агресията на униформените. Една от знаковите беше произнесена само преди две седмици заради насилие, упражнено от полицаи по време на протестите през 2020 г. Тогава младият режисьор Димитър Пендев е бил арестуван, бит, окован с белезници и влачен по земята, по-късно откаран в болница, където също е бил прикован с белезници за леглото. ЕСПЧ се произнесе по жалбата му, като държавата ще заплати 10 000 евро, в това число съдебните разноски по делото.

Пак през юни т.г. стана ясно, че още един човек ще получи обезщетение заради незаконно задържане от полицията по време на протестите срещу управлението на Бойко Борисов през 2020 г. Πaвeл Цвeтĸoв, бивш oблacтeн ĸoopдинaтop нa „Млaдeжи ГEPБ“ в Pyce, ocъди Столичната дирекция на МВР за нeимyщecтвeни вpeди и ще получи 4000 лв. обезщетение, съобщи „Де Факто“. В жалбата си той разказва за унизителното отношение на полицаите към задържаните както по време на ареста, така и по-късно.

Бил е задържан до 20 ч. на следващия ден в тясна килия заедно с още шестима души, които нямало къде да седнат, без прозорци или вентилация (в този период имаше пандемия от COVID-19). Bътpe e имaлo caмo двe гoли мeтaлни лeглa бeз мaтpaĸ, пocтeлĸa или зaвивĸa и мaca c двa мeтaлни cтoлa. Стeнитe били изпиcaни c изпpaжнeния oт пpeдишнитe oбитaтeли. Πо време на престоя шестимата зaдъpжaни пoлyчили eднo шишe с вoдa – за всички…

Полицията бие или служи?

Случаите на полицейско насилие не са обект на целенасочена политика от страна на МВР, въпреки че вътрешният министър Даниел Митов призна тази седмица за тях:

Преди по-малко от два месеца направих обиколка по всички областни дирекции и много ясно бяха дадени инструкции, че заради перманентните случаи на превишаване на полицейски правомощия ръководителите трябва да проведат обучения на служителите и те трябва задължително да носят бодикамери.

Въпреки това няма да откриете да се говори за полицейското насилие в годишните отчети на МВР, нито в последния за 2024 г. В края му има кратък абзац, посветен на обучението:

За повишаване на професионалната квалификация и развитие на административния капацитет са изготвени над 563 заповеди за обучение на 7423 служители. Обезпечено е участието на 3805 служители в обучения, семинари и курсове в международни и национални обучителни инициативи. В задължителна подготовка за служебно развитие, провеждано от Института по публична администрация, са участвали 332 държавни служители по чл. 142, ал. 1, т. 2 от ЗМВР.

Бюджетът на МВР за 2025 г. следва традицията да отива почти целият за заплати – от 2,49 млрд. лв. за противодействие на престъпността и опазване на обществения ред над 92%, или 2,34 млрд. лв. са за персонал, даже е регистрирано увеличение спрямо предишни години, когато разходите за персонала надхвърлят 80%.

Освен слабата квалификация и липсата на системен контрол на фона на увеличените с над 50% заплати, случаят във Варна отново изважда темата за качествата на хората, постъпващи на работа в МВР. Решението на този проблем е свързано не само с формална психологическа оценка при подбора, но и с редовна ротация, надзор, обучение и най-важното – с изграждане на култура на нулева толерантност към насилието. 

Обществото обаче е свидетел на чести действия на униформени, които показват не етичните принципи, а склонност да уважават силата и да респектират чрез нея. Харесва им да подчиняват чрез страх, имат нисък самоконтрол, не успяват да сдържат гнева си и за капак се чувстват безнаказани, вярвайки, че системата ще ги покрие. И тя го прави. При провинение премества служителя на друга длъжност, както ще се случи и с отстранените полицейски шефове във Варна. Модел, издигнат в култ в България, начин на съществуване в цялата властова обител – от политиката до държавната администрация – „кариерно израстване“. 

По bTV бившият заместник-ректор на Академията на МВР Милен Иванов коментира, че подготовката на българските полицаи – в класни стаи, не е адекватна на съвременните условия:

Няма как да станете полицай в класна стая, докато ви четат лекции. Трябва да работите навън, на терен, да решавате още при първоначалната си подготовка ситуационни задачи… Двамата полицаи не успяха да оценят правилно ситуацията. За мен е странно, защото те са от 4–5 години в полицията и трябва да разпознават веднага когато едно лице е под въздействието на някакви вещества или пък има психиатрични проблеми. Това е ежедневие за полицейските служители, но не е заложено в тяхната подготовка.

Токсикологичната експертиза на Явор Георгиев, извършена във Военномедицинската академия в София, е потвърдила изследванията във Варна – наличие на кокаин във висока концентрация от 2,6 микрограма/мл кръв (при допустими 0,3–0,6), открит е и тетрахидроканабинол (основна съставка на марихуаната), а заедно с наркотиците е употребен и алкохол. Според съдебномедицинската експертиза, разпространена от прокуратурата във Варна, смъртта на Явор е настъпила в резултат на мозъчен оток, довел до остра сърдечносъдова и дихателна недостатъчност. Тепърва ще се изяснява дали те са причинени от наркотичната интоксикация, или от употребата на полицейска сила.

Експертите смятат, че голямата доза кокаин е причината за силно токсични ефекти, включително риск от сърдечносъдови нарушения и развитие на остра психотична криза, т.нар. кокаинова психоза, съпроводена с дезориентация, параноя, халюцинации и делюзии. Явор се е обадил на телефон 112 и е казал, че някой го следи, че майка му е в опасност и някой е спрял тока в жилищния блок. 

Скандалът с полицейското насилие нямаше как да мине без политически сътресения. Кметът на Варна Благомир Коцев (ПП–ДБ) атакува с пост във Facebook:

Момчето е потърсило помощ. Може би е бил интоксикиран, може би е бил параноичен. Но е потърсил помощ. А насреща получава арест и безучастието на служител в медицински екип, пък било то и шофьор на линейка. Получава и тоталната апатия на десетки случайни минувачи.

След отстраняването на местния „шериф“ във Варна и дисциплинарното производство срещу двамата полицаи се чуха призиви за оставка на вътрешния министър Даниел Митов. Впрочем единият от тях – шефът на Второ РПУ Чавдар Нанков, където са работили полицаите, арестували Явор, не е уволнен, а преназначен в „Икономическа полиция“. А Митов беше критикуван и от майката партия ГЕРБ, но не болезнено. Лидерът на ДПС – Ново начало Делян Пеевски го подкрепи: бил „изключително демократично настроен министър“. До края на петъчния ден се чакат резултатите от „задълбочената проверка“, която извършват МВР и Здравното министерство по нареждане на премиера Росен Желязков.

Бодикамерите – задължителни

Използването на бодикамери от полицаите опира не само до промяна на Закона за МВР, а и до преглед и корекции и на друга нормативна уредба. Депутатите от ПП–ДБ предлагат за втори път законопроект, който да задължи такива камери да бъдат носени от патрулите, граничарите, охранителна полиция, пътна полиция при осигуряване на обществения ред по време на обществени мероприятия (в т.ч. протести), при охрана на лица, при задържане и др. Предвидено е видео- и аудиозаписите да се използват като доказателства при образувани производства. 

Но има още много въпроси за разрешаване:

  • Кога стартират и кога се изключват камерите? 
  • Колко време се съхраняват записите – 6 месеца, година?
  • Кой има достъп до тези записи, за да се минимизира опасността от изтриването им? 
  • Как тази дейност се съвместява с GDPR и защитата на личните данни? 
  • Кой следи видеата в реално време и следи ли ги изобщо някой? 
  • Кой и как оказва контрол върху полицаите дали камерите им са включени и кога се включват, и съответно санкционира за неизпълнение на законово изискване?
  • Каква ще е интеграцията със системи за управление на доказателства? 

Сега полицаите могат да ползват или да не ползват бодикамерите. От ClubZ разкриват вътрешна за МВР министерска заповед, според която:

След закрепване на ППК (персоналната полицейска камера) на униформеното облекло или върху оборудването полицейският орган задължително я включва в режим на готовност […]; при получаване на сигнал при осъществяване на полицейски правомощия на обществени места и извършване на контрол по Закона за движение по пътищата, полицейският орган задължително привежда ППК в режим на видеозапис. 

България може да обмени информация с Великобритания, където полицията използва бодикамери от близо 10 години. Според доклад на британската Независима служба за разследване на полицейското поведение (IOPC) жалбите срещу полицейски служители са се увеличили с 13% за последните три години, което показва остра нужда от мерки за отчетност. Освен това с 10% за две години са нараснали нападенията срещу служители на спешните служби, в т.ч. парамедици и пожарникари.

Една (скъпа) обществена поръчка

В края на април българското МВР е обявило обществена поръчка за закупуване на 13 400 бодикамери и прилежащите им докингстанции за 58 млн. лв. без ДДС (приблизително 34,4 млн. долара). 

Преди десетина години за 19,3 млн. долара (32,6 млн. лв.) са закупени 21 000 бодикамери за органите на реда в 42 американски щата. Тогава президентската администрация на Барак Обама обяви пилотна програма за бодикамери като част от ангажимента за изграждане на доверие и прозрачност между органите на реда и общностите, на които служат. Инициативата дойде след убийството на тийнейджъра Майкъл Браун през август 2014 г., застрелян от бял полицай. А в следващите четири месеца The Daily Beast преброи, че са застреляни още 14 младежи на възраст 12–19 години.

Отпуснатите от американското Министерство на правосъдието грантове за над 23,2 млн. долара бяха разпределени така: 19,3 млн. за устройствата, 2 млн. за обучение и техническа помощ и 1,9 млн. за изследване на ефекта от използването на устройствата.

Събраните от бодикамерите данни са не само доказателства, но и източник на данни. Изкуствен интелект може да прави автоматичен анализ на разчитания от видеозаписи на взаимодействия между граждани и полиция, отбелязва в свой анализ изданието SciAm:

Получените резултати позволяват на полицейските управления да идентифицират проблеми в практиките си, да намерят начини за тяхното решаване и да преценят дали промените водят до подобрение в поведението.

Ефектите

През 2021 г. икономисти от лабораторията по криминалистика на Чикагския университет и Съвета по наказателно правосъдие провеждат два нови експеримента, с които обновяват метаанализ от 2020 г. На базата на новите данни стигат до заключението, че полицейските бодикамери са намалили с почти 10% използването на сила в сблъсъци с фатален или нефатален завършек, пише Vοx в свой анализ.

Във Великобритания резултатите показват, че бодикамерите имат възпиращ ефект спрямо агресията. В проучване, осъществено съвместно от Сдружението на железопътните компании (Rail Delivery Group), Британската транспортна полиция и Университета в Кеймбридж, се анализират данни, събирани около пет години, за ефектите от носенето на камери сред жп персонала и сред транспортните полицаи. Изводите са, че носенето на бодикамери е намалило риска от нападения с 47%. Освен това използването на камерите е допринесло за намаляване с 30,7% на тежките инциденти с наранявания и с 30,5% на по-леките.

Бодикамерите не са панацея за полицейското насилие, нито за повишаване на доверието към МВР, но могат да намалят агресията и да повишат усещането за сигурност сред гражданите. В противен случай други камери ще показват биячи в униформи.

Заглавно изображение: Страница от албума Banksy. Wall and Piece, на която са показани кадри от протест в Лондон от 2003 г. срещу войната в Ирак. В рамките на демонстрацията Banksy и неговият екип раздават лозунги на случайни хора. На плаката пише „Не вярвам в нищо. Тук съм за насилието“, като така се засяга темата за полицейското насилие на подобни протести. Снимка: Тоест

Paragon Spyware Used to Spy on European Journalists

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2025/06/paragon-spyware-used-to-spy-on-european-journalists.html

Paragon is an Israeli spyware company, increasingly in the news (now that NSO Group seems to be waning). “Graphite” is the name of its product. Citizen Lab caught it spying on multiple European journalists with a zero-click iOS exploit:

On April 29, 2025, a select group of iOS users were notified by Apple that they were targeted with advanced spyware. Among the group were two journalists that consented for the technical analysis of their cases. The key findings from our forensic analysis of their devices are summarized below:

  • Our analysis finds forensic evidence confirming with high confidence that both a prominent European journalist (who requests anonymity), and Italian journalist Ciro Pellegrino, were targeted with Paragon’s Graphite mercenary spyware.
  • We identify an indicator linking both cases to the same Paragon operator.
  • Apple confirms to us that the zero-click attack deployed in these cases was mitigated as of iOS 18.3.1 and has assigned the vulnerability CVE-2025-43200.

Our analysis is ongoing.

The list of confirmed Italian cases is in the report’s appendix. Italy has recently admitted to using the spyware.

TechCrunch article. Slashdot thread.

Капка Касабова – за животворната, стихийна и нежна душа на света

Post Syndicated from Ина Иванова original https://www.toest.bg/kapka-kasabova-za-zhivotvornata-stihiyna-i-niezhna-dusha-na-sveta/

Капка Касабова – за животворната, стихийна и нежна душа на света

Писателите често биват идентифицирани с произведенията си. Още по-силен е рефлексът те да бъдат определяни чрез книгите си, когато съдържанието им не е художествена измислица. Капка Касабова тръгва на път, преди да започне да пише. Последните ѝ четири книги (които формират балканска четирилогия) се превръщат в глас на хората от периферията, в трансгранични летописи, в своеобразна Червена книга от съдби, взаимоотношения и знание, което губим. Но и в истории за пътя като свобода и търсене – отвъд „племенната паст“ („Към езерото“), захранвана с общи страхове и вина.

Балканите са травматично място. Място, на което всяка държава настоява на своя разказ, на своята трактовка на историята. Но хората тук са свързани с невидими нишки – родови и културно-исторически, защото паметта е по-стара от настоящите държавни граници. Тук са билкарките, помаците в Западните Родопи, пастирите в Пирин, събирачите на гъби или последният оцелял човек, грижещ се за диви коне, шепата хора, пръснати в различни планини, които се опитват да съхранят стада от автохтонни породи. Въпреки недомислиците в законодателството. Всички те живеят с фаталистичното усещане, че са последните, че няма кой да ги наследи. Капка Касабова говори и живее сред тях. И се превръща не просто в летописец на тези екосистеми от хора и други биологични видове, а и в човек, който е допуснат до съкровената простота, до извора на живота им.

„Макар историята да се живее хоризонтално, тя се осмисля вертикално“, казва писателката в книгата си „Към езерото“. Последните ѝ две книги („Еликсир“ и „Анима“) са генофонд на невидимите хора, живеещи с мисията да опазват.

Пастирският живот е суров и безпощаден, консервативен, но и дълбоко традиционен, облегнат на вечната „света троица“: стадо, кучета, човек. В тази екосистема човекът е равнопоставена (а понякога и най-незначителната) брънка. Преместването в търсене на паша е сезонно обусловено от хилядолетия. То е така нареченият трансхуманс, дълбоката култура на съвместното живеене и придвижване (на хора, кучета, коне, стада), в което не би могъл да оцелее никой, който не се съобразява с природните закони. Вероятно един от негативните обрати в човешката история настъпва тогава, когато „чергарите са станали другият в очите на уседналите“, пише Капка Касабова в една от книгите си.

В творчеството ѝ съжителстват документалният разказ, пътеписът и есеистичното.

Усещането, което със сигурност остава след среща с книгите ѝ, е, че всички ние сме части от общия пъзел – антропологично, екологично, исторически, психологически и в съхранените кодове на родовата памет.

Капка Касабова е билингвистична поетеса и писателка – нейните книги са написани в оригинал на английски език. На български те излизат в превод и благодарение на езиковото сътрудничество на авторката с нейните преводачки Невена Дишлиева-Кръстева и Мария Змийчарова. Родена в София, на 18 години тя емигрира със семейството си в Нова Зеландия. От 20 години живее в Шотландия. Носителка е на авторитетни световни литературни награди, книгите ѝ са утвърдени като модерна европейска класика и са преведени на двайсет езика.

Капка Касабова и литературно, и житейски има звънлив глас и широко отворени очи. Да, буквално и метафорично. След разговора с нея се сетих за кратък епизод от „Анима“, в който любопитно е обяснено как се брои голямо стадо, да речем от 600 глави. Животните текат ту като река, ту на отделни ручеи из пейзажа, спират, за да пасат, непрекъснато и бавно се преместват. Овчарят има няколко набелязани овце, трябва да намери тях. Ако те са там, стадото е цяло. Бройката иначе винаги леко варира – заради вълци, болести или нови раждания, но погледнато отвисоко, цялото и неговата анима са там.

И понеже книгите имат силата да ни предлагат генерални метафори, мисля си, че така бихме могли да бъдем преброени и ние – тук и сега, в пейзажа от първата четвърт на XXI век. Докато има хора като Капка Касабова, които да ни опишат, нашата цялост е защитима.

Кои са съвременните номади?

Номад е напоследък модна дума за хора, които имат лукса да се движат през всякакви граници. Ако погледнем корена на думата, на гръцки тя означава да се движиш в търсене на паша. Говорим за междувидово движение – хора и животни заедно. Иронично е, че сега говорим за дигитални номади и трансхуманизъм, а номадството е трансхуманно – хора, животни и земя в симбиоза. А ние сме стигнали до пълното разделение на видовете, до степен, че изкуственият интелект се превръща в идеология – вече не е само пристрастяване към дигиталното. Ние сме разделени от животните и земята си, не знаем откъде идва храната ни, не знаем по какви пътища е стигнала до супермаркета (разбира се, говоря за индустриалната, комерсиализирана храна, която повечето хора са принудени да консумират). Сега вече започваме да се разделяме и от себе си, от нашата биологична и духовна същност. Започва сливане на органичното със синтетичното.

Много бих искала да има алтернативи – затова ходя по такива места, затова пиша такива книги. За мен там е по-интересното бъдеще.

Означава ли това, че е възможно развитието ни да е циклично и един ден отново да се върнем към природното живеене? Дано не е дистопичен поводът, разбира се.

Няма как да не споменем войните. Няма как да не споменем взаимната свързаност на индустриализацията и военизацията. Голямата индустрия храни война, а не нас. Малките бизнеси хранят органичното, хранят семейства. Това са животворните връзки между хора, места и други биологични видове. Колкото по-монолитно и по-едро става едно явление, толкова повече се обръща срещу живота.

Но да се върна към номадите. В истинския си смисъл на свободно движещи се с природна цел хора в Европа такива вече няма, освен последните подвижни пастири и някои от онези, за които пиша в „Еликсир“ и които посвещават дните си на събиране на растения. Бих казала, че страстните гъбари са пастири на гъбите. За тях това е вид общение с гората и планината.

Мен също са ме наричали номад, но аз не съм. Аз винаги съм имала дом.

В „Анима“ има портрети на пастири – козари и овчари, които не се идентифицират с материални притежания и са способни да се грижат за големи стада животни, да живеят само с един покрив над главата си, в пълна изолация, да делят условията си със своето стадо и кучетата, които са тяхното семейство. Те са последните останали номади в Европа – забравени хора със забравени животни.

Капка Касабова – за животворната, стихийна и нежна душа на света
„Анима“. С каракачанско стадо в Пирин © Личен архив

Затова и нарекох последната си книга така. Заради тази стихийна и нежна душа на света. За мен присъствието на Пирин е много различно от това на Западните Родопи или Рила. Пирин е вертикален, някои го определят като мъжка планина. В него има нещо брутално, може би и заради бруталната история на комитите, които са извършвали ред престъпления там, убивали са и местни, свои съселяни. Мюсюлманското население по Струма го няма, защото четите са изтребвали хора или са ги изселвали. Една от моите героини ми сподели, че баба ѝ е била туркиня. Това ме учуди – значи нещо остава, оцеляват истории, думи, златни обички, които следващото поколение носи. Вероятно тези хора са били юруци – една друга номадска общност, с времето претопена в българското население. Тези изчезнали подвижни народи все още присъстват в планината – по Струма големи станове са имали и каракачаните, и юруците, и българите, чиито мъже в повечето време са водили полуподвижен живот и са се качвали по високите пасища с животните си. Присъствието на тези хора там все още се усеща и мисля, че тази сила, тази мощ се вля в мен през книгата.

Вие сте сменяла не просто държави, а и континенти. Какво Ви дадоха тези големи премествания – от България в Нова Зеландия, след това в Шотландия?

Най-важното може би, за което си давам сметка чак на този етап от живота си, е колко е било важно да изживея тези 12 години в Нова Зеландия, където ми беше трудно и където не останах, но останаха родителите ми. Но имах много формиращи преживявания, там минаха и университетските ми години. Най-важното обаче беше това излизане от евразийското пространство. Тихоокеанската перспектива е съвсем различна – оттам всичко изглежда далече, ти си на остров. Мисля, че нямаше да бъда това, което съм, нямаше да имам този поглед без тези години. Имах един месец стаж в Таити, Френска Полинезия. Един месец не е много, но там времето тече различно.

Впрочем за мен на най-интересните места в България, както и в Шотландия времето тече по-бавно. В развития свят индустриално-технологичното време е много забързано. Там, където има повече природа, особено вода и гори, времето според моето усещане се забавя. Това са места, на които то не е само човешко. Всеки вид има своето време. Например билките и гъбите – те не растат само над земята, корените им са важни и през зимата под земята тече живот. Там, където има минерални извори, има особено присъствие, облагородяване на цялата атмосфера. Пречистване. Като пералня, от която душата излиза различна.

Капка Касабова – за животворната, стихийна и нежна душа на света
В Шотландия със секвоя. © The Boswell Book Festival

Какво Ви синхронизира с тъканта на цялото?

Писането – то е в сътрудничество с местата и хората им. Те захранват писането ми, те го ръководят и насочват. Енергията и гласът ми идват оттам. Мисля, че основният ми двигател е проучването как работи съзнанието, как различните му състояния се сливат с определена география или земни форми. Така намирам този синхрон с цялото сътворение – през общуването с такива места. Аз имам нужда от самота. С дивата природа трябва да си насаме. В човешка компания нещо важно ще ти се изплъзне. Това е духовно, сакрално преживяване.

За книгите си обаче имам нужда от водачи и спътници, защото те не са мои монолози – те са книги за хората, полифонични са. Аз пиша за хората дори когато пиша за овцете.

Щастието за мен е да имам достатъчно свобода сред дивата природа, но и подходящите спътници с техните неповторими, безценни, скъпи гласове.

Обожавам самотните им гласове. Щедростта, която винаги срещам – щедри хора, готови да споделят живота си, себе си, местата си, храната си с мен. Дори един от героите – Камен, който не беше от гостоприемните – също ми даде много по своя начин. За мен беше изключително ценно да срещна човек, който няма нищо за хората, защото дава всичко за животните. Неговата мисия не е човешка, по-голяма е. Тя е екологична. Хора като него и Стамен спасяват Земята всеки ден, докато хранят стадото си. Това е исполинска мисия и те са много самотни в нея.

За мен писането и живеенето са неразделни – нямаше да изживея тези невероятни истории, ако не пишех за тях, и обратното. Моята нирвана настъпва в момента, в който се случва алхимията на писането.

Какво Ви движи – воля или интуиция?

По равно и от двете. Интуицията е водеща в творческия ми процес, когато надушвам дирята. Наричам го творчески демон, той ме води и аз съм му абсолютно посветена, той е мой неразделен спътник в този живот. Но за да преодолея страховете си, за да издържам на изпитанията, към които води тази диря (а изпитания и неизвестност винаги има), трябва воля.

Да вземаш само колкото е нужно – и в „Анима“, и в „Еликсир“ темата е меко загатната. Ние сме го забравили. Обратим ли е обаче процесът?

Мисля, че ще ни се наложи да го обърнем. Тази индустриално-технократска, военна идеология, която едновременно движи и руши света ни, е посветена на постоянното разрастване. С всичката консумация, която върви с нея. 

Преди много години бях в Раджастан, Индия, движехме се с кола и от нея видях група мъже, които строяха стена насред полето. А когато стигнахме до края ѝ, видяхме, че от другата страна я рушаха друга група мъже. Ето докъде сме стигнали колективно ние, хората.

Кризите или геокатаклизмите ще ни доведат до свиване, дори ми се струва, че в личен план или в малки общности то вече се случва. Връщането към по-устойчив начин на живот вече съществува.

На какво ухае въздухът в Шотландия лично за Вас?

От доста време живея на брега на една река, на устието ѝ, където в залива Инвърнес тя се слива с морето. Сливат се солена и сладка вода и всичко е на приливи. Често мирише на особена водораслеста речна тиня, която е много богата на птици и растителност, особено когато ние, хората, я оставим на воля. Когато човекът се отдръпне, всичко живо се радва. А близо до селото, в което живея, има и фабрика за добро уиски за износ. И често се носи тази особена хмелна миризма на дестилат.

Имате ли лични трансформационни жестове или ритуали? Не непременно в трудни моменти, понякога радостта също ни променя.

Да, понякога забравяме да сме отворени към радостта и благоденствието, към това усещане за благодат. Моят отговор – и когато се чувствам зле, и когато се чувствам добре – е да съм сред растителност. Сред зеленина. Когато ми е тежко и имам нужда от лек, отивам да бера нещо и това ме успокоява. Копривата например е особено оптимистично растение. В билкарската литература пише, че има богомилски израз „Берете коприва, раздавайте копривена каша и благодарете“. Копривата вдига настроението и ако пием отвара от нея, и ако я готвим, дори когато я берем. Даже човек да легне до коприва, усеща особен оптимизъм.

Другото, което правя, когато не съм съвсем добре, е да престана да ползвам очите си за четене. Настройвам се просто да наблюдавам формите и светлината на света край мен, който постоянно се мени, и това само по себе си е чудо. Случвало ми се е при преумора, след като завърша книга, две седмици само да слушам музика и да вървя. Тези от нас, които много пишем и четем, преекспонираме очите си за интелектуални и социални цели и сякаш имаме навик да се идентифицираме с менталната си сила и постижения. А духовният път е да не се идентифицираме с абсолютно нищо.

Хората, които тихо и кротко променят средата, в която живеят, формират общности и задават посоки, в които има смисъл да тръгнем заедно. Тук ви срещаме с тях. Това са „Тези хора“.

Дългите традиции на добре поддържаната брада в мюсюлманския свят

Post Syndicated from Атанас Шиников original https://www.toest.bg/dulgite-traditsii-na-dobre-poddurzhanata-brada-v-myusyulmanskiya-svyat/

Дългите традиции на добре поддържаната брада в мюсюлманския свят

Преди години имаше една реклама на вече повяхнала, но тогава много успешна компания за мобилни устройства. „Свързва хората“, това беше лозунгът ѝ. Малко и с брадата се оказва така. Свързва хората от библейски времена, та до днес. По този повод ще започна с няколко истории. Гледайте на тях като на клопка, уловка, нещо като „космат“ капан, в който да се заплетете, преди да нагазим по-надълбоко.

Ако се разходите из центъра на София, около Женския пазар и уличките там, ще забележите многото бръснарници, които напоследък се появиха, украсени с характерния за бизнеса „бръснарски полюс“. Знаете го – въртящ се декоративен цилиндър с червен, бял и син цвят, наследен от западната традиция. Някои от местата имат надписи на арабски или на турски. Например „Добре дошли“ на арабица (ахлан уа-сахлан) или „Бръснарски салон“ (салун ал-хилака), понякога и „Бръснарски салон за мъже“ (салун хилака ли-р-риджал), като че ли може да има бръснарски салон за жени.

Клиентите изглеждат ценители на „лицевата растителност“, да употребим този донякъде тромаво звучащ израз, за който английският език също предлага точния еквивалент facial hair. Не зная точния обем на бизнеса в този сектор, както и печалбата, която реализира. Сигурно в София има много бради за вчесване и оформяне, а може и местенцата да обслужват други, по-широки цели. Та именно от оня ден беше и сниманият от мен арабски надпис на едно от магазинчетата там. „Моля, избягвайте да се събирате в магазина. Това е място за работа, а не е кафене.“ Така и с бръснарниците. Очевидно е обаче, че в такива места станалото отскоро модно хипстърско влечение към брадата и ориенталската атмосфера се „снемат“, ако трябва да употребя и аз един термин от Хегел.

Когато преди петнайсетина години работех за арабско посолство, част от дипломатическия персонал също навестяваше района. Имаха любимо място, където работеше някой си Набил Бръснаря (Ал-Халлак). Дотолкова бях почнал да го свързвам с идеята за фризьорски салон, че веднъж, като ме питаха къде е отишла посланичката, казах: „При бръснаря.“ Очевидно това прозвуча неловко и смешно, защото тя ходеше при фризьорка. Коафера – така звучи френската заемка в египетския вариант на арабския.

А пък в Сирия веднъж ни предлагаха да ходим заедно на мъжка баня в Стария Дамаск, където освен всичко ти махали косъмчетата на брадата нагоре по скулите с помощта на конец. Можело и веждите ти да оформят така. Въпреки любопитството ми, учтиво отказах предложението.

Точно се върнах оттам – било е някъде през зимата на 2001 година – и установих, че в езика на моите съселяни се е настанил изразът „Брадясал си като талибан!“. Може да е, защото по онова време Рамбо беше наистина популярен. (Знаете за какво говоря – пиратски видеокасети, дублирани на български в гаражни студиа. Помним, че в третата серия на екшъна добрите афганистански муджахидини помагат на самия Слай, корав щатски ветеран, в борбата му с лошите руснаци.) Или пък защото след атентатите от 11 септември и началото на войната в Афганистан изведнъж талибаните отново се бяха превърнали в тема в новинарските емисии.

А у един талибан най-напред забелязваш брадата, наред с калашника и РПГ-то. Не знам дали познатите ми са правили разликата между брадата на Осама бен Ладен като представител на едноименната саудитска фамилия и движението на афганистанските талибани, но изразът си се въртеше. Къде тук е истината, ви оставям да решите сами чрез най-подходящия в случая логически инструмент – бръснача на Окам.

Но да оставим скучните блогърски спомени и да се гмурнем смело в историята и богословието на мюсюлманската брада.

Да се опитаме да прозрем през гъсталака на лицевата растителност назад в историята на исляма. Дано самият Аллах отвори за нас отнякъде просвет, та да не се заплетем безнадеждно.

Тук отначало ми се струва важно да направим няколко уговорки. Няма да говорим за брадите на православните свещеници (въпреки че изразът спокойно можеше да е „Брадясал си като поп“), за оскубаните бради на царедворците на цар Давид от Ветхия завет (2 Цар. 10:4), за Синята брада от едноименната приказка, за „Маншон, Полуобувка и Мъхеста брада“, за педя човек – лакът брада или за пейоративното определение по време на Прехода на градската демократична общност – „ония с брадите“. Да се съсредоточим върху мюсюлманската традиция. И без да се налага да я напускаме, материалът е пребогат.

И тук следва другото уточнение. Талибаните може да имат бради и да забраняват бръсненето и скъсяването на брадите, но не всички мюсюлмани с бради са „талибани“ в строго терминологичния смисъл на думата. И не всички градски брадатковци са мюсюлмани. Идете вечер на дискотека или се разходете по жълтите павета и ще видите.

Но нека обърнем внимание как се говори за брадата в приказките от „Хиляда и една нощ“.

На една улица живеели две жени, научаваме от разказвача. Едната обичала мъж, пестеливо ни съобщава историята. Подразбира се, че е с брада. Брадата явно е част от дефиницията на „мъж“. А другата обичала голобрад юноша. За несъмнено неплатоническия характер на тази любов свидетелства подслушаният разговор на покрива между тях. Онази, която обича голобрадия юноша, запитва другата:

Сестро, как можеш да понасяш грубата брада на твоя мъж върху гръдта си, когато те целува и когато мустаците му бодат устните ти?

Отговорът на приятелката ѝ е показателен и отказва питащата от нейния голобрад любовник. Що за въпрос е това? Нима дървото се украсява единствено от неговия листак? Нима достойнството на краставицата идва само от мъха ѝ? На този свят, научаваме, няма нищо по-грозно от сипаничав и плешив мъж, разбирайте такъв без доволно количество лицево окосмение. Брадата е създадена за мъжете, както къдриците – за жените. Самият Аллах е сътворил на небето ангел, който казва:

Благословен да е Оня, който е украсил мъжете с бради, а жените с – къдрици.

И ако брадите на мъжете не са равни по красота на къдриците на жените, то „Аллах нямаше да съеши мъжа с жената, неразумна глупачко!“.

„Самата истина!“, се изкушават да възкликнат всички привърженици на добре окосмените мъжки лица.

А пък аз ще възразя, че може да сте паднали жертва на логическата грешка, известна като „склонност за потвърждаване“. Тук обаче ясно се вижда, че не говорим за произволна ориенталска естетика, отделена от религиозната повеля. Така намеква и разговорът на една „неволница“ с учени – богослови и прависти, т.нар. улема и факихи, около религиозните задължения. Това са същностните предписания на вярата, без които не може. И най-голямото от тях, твърди учената „неволница“, е да се познава Всевишният. А преди всяко друго задължение идва засвидетелстването, че няма друг Бог, освен Аллах, и Мухаммад е Неговият Пратеник (расул), често пъти превеждано на български донейде погрешно като „Пророк“. Тази изповед на вярата (шахада) е известна като един от петте стълба на исляма. Чрез нея дори се конвертираш официално в исляма. Друго задължение е ритуалното умиване, познато на всички ни от умивалниците в джамиите, неотменна част, предшестваща ритуалната молитва (салат), друг от стълбовете на исляма.

И после, продължава „неволницата“, идва правилото, което е част от всяко друго задължение.

Ноктите да са подрязани, а брадата – подстригана.

Запомнете това предписание. Не се споменава току-така. Както впрочем и историята за стареца, комуто е предложено да си купи поредната „неволница“ с хаплив език. Не става за купувач, по думите на самата жена от историята. Защото имал цели три недостатъка – нисък, дебел и с твърде дълга брада. И за следващия купувач на робинята с язвителен език се казва, че имал твърде дълга брада. Води се за дефект. Който има дълга брада, има къс ум.

Защото и някой си поет бил казал, както гласи българският превод на приказките: 

Щом на мъжете дълга е брадата,
на почит са, защото са богати!
Но щом умът не стига — дължината
се компенсира винаги с брадата!

И също:

            Приятелят ни има си брада,
но няма полза май от дължината!
Напомня тя през зимата нощта
студена, гъста, дълга и космата!

Старите текстове понякога ги разбираме веднага, понякога – не. Понякога ни забавляват, понякога се чудим какво им е смешното. Но винаги крият повече от четеното на пръв поглед.

Ето и няколко брадати“ опорни точки покрай цялото забавление.

Брадата е трансцедентално удържана същностна характеристика на мъжа, а не просто украса. Хубаво е да я имаш не само защото е красиво, а защото красивото и моралното, сиреч благото, е това, което Аллах повелява. Нали така твърди и преданието на самия Пророк – „Аллах е красив и обича красотата“. И тъй като Той прави брадата да расте, то има начини, по които трябва да се отнасяш спрямо нея, ако искаш да бъдеш благочестив и изряден правоверен. Да я отпущаш да расте е добро, чудесно, изящно и морално, а да я занемаряваш е порицаемо. Отношението към брадата представлява част от целия конструкт на религиозно постановените хигиенни и естетически изисквания заедно с отношението към ноктите например. Или към тоалетната обхода, което си заслужава отделен пространен материал.

И за да не си помислите, че спекулирам излишно, да се върнем към по-сериозни и по-стари от приказките извори.

За жалост, в Корана, върховния извор на мюсюлмански светоглед, етос и доктрина, има много оскъдни споменавания на бради. Единственото място, където се говори за тази лицева украса, е история, в която е предаден гневен диалог между Муса (библ. Мойсей) и брат му Харун (библ. Аарон). Харун се обръща към Мойсей с

„О, сине на майка ми, не ме дърпай нито за брадата, нито за главата!“ (Коран 20:94)

Явно се намеква за някаква, хм, телесна динамика на кавгата и ролята на брадата в нея, дори и без човек да задълбава в някои от подробните по-късни и пространни коментари (тафсири) или в религиозната литература, позната като „причини за низпославането на Корана“ (асбаб ан-нузул).

Тогава да посегнем към другия източник на доктрина – Сунната, тоест преданията на Пророка. Ако и исторически да знаем, че те биват събрани под сегашната си форма някъде през IX век, традиционната догматична гледна точка ги разглежда като достоверно засвидетелствани, запомнени, предадени и записани от устата на самия Пророк през VII столетие сл.Хр. А там вече категорично няма да останем с едната „постна пица“. 

Научаваме, че самият Мухаммад боядисвал брадата си в жълтеникаво, вероятно с къна (хинна’, което вероятно познавате като хена), та така започнали да правят и неговите съратници. Че даже и някъде бил въвел боядисването на брадата като важен разграничителен критерий между мюсюлманите и представителите на другите две монотеистични религии:

Юдеите и християните не се боядисват, та правете обратното на тях!

Има подобно предание и във връзка със зороастрийците огнепоклонници от Персия (маджус). И тук в десетки признати за достоверни разкази Пророкът заръчва нещо много важно, което формира „богословието на брадата“ за векове напред и намира своя отзвук в историите от „Хиляда и една нощ“.

Не бъдете като езичниците, отпуснете брадата да расте, а подстригвайте мустака.

Въвежда се ясно разграничение между мустака и брадата, както и две различни отношения към тях. Ако прескочим много столетия към настоящето, бих се изкушил да ви кажа тук да си мислите едновременно за мустака на Ердоган и брадата на Бен Ладен. Но да не насилваме нормата отсега и да оставим пространство за историческа интерпретация и развитие. А разказът за „неволницата“, която говори с учените – богослови и прависти, всъщност смесва двете и отправя към брадата препоръката, отнасяща се за мустака.

Нещата около лицевата растителност са сериозни. Пророкът имал навик често да прокарва мокри пръсти през брадата си и да я сресва. Веднъж, разказва едно предание, в джамията влязъл човек с разчорлена коса и брада. Мухаммад го посочил с ръка, все едно му повелявал да си оправи косата и брадата. Онзи излязъл и после се върнал, а Пратеникът на Аллах обобщил:

 „Не е ли това по-добре, отколкото някой от вас да дойде разчорлен в главата, все едно е дявол (шайтан)?“

Разчорлен ще да е, ами, архизлодеят от Корана и неговите паднали следовници… Все пак той е онзи, който отказва да се подчини на Аллах, като се преклони пред създадения от него Адам (Коран 2:34, 7:11–12, 15:31–32 и пр.), и като такъв представлява антитеза на установения от Аллах съвършен космологичен порядък. Във всичко, включително и в брадата и външния му вид. Вижте само как го изобразяват в ръкописи на мюсюлманската демонология от XIV век.

Дългите традиции на добре поддържаната брада в мюсюлманския свят
Ръкопис на „Книга на чудесата“ от Абд ал-Хасан ал-Исфахани, XIV век, Бодлеанската библиотека в Оксфорд, MS. Bodl. Or. 133, fol. 28b.

Не искате такъв външен вид, нито прическа. Освен ако не работите по обложка на блекметъл група от мюсюлмански имигранти в Скандинавия, което мисля, че може да разбие всички културни предразсъдъци и граници.

По-добре да следвате примерите от живота на Пророка. А той, продължават преданията, имал навика да парфюмира главата и брадата си. Според големия богослов Анас ибн Малик, на главата и брадата на Пратеника на Аллах имало само четиринайсет на брой бели косъма. Според други разкази са малко повече, някои казват, че били предимно в брадичката му, под долната устна.

Бившият противник на исляма Абу Кухафа при завладяването на Мека от мюсюлманите по времето на Пророка имал бяла коса и брада. Затова и самият Мухаммад отправя двусмислената заръка към него – „променете нещо в цвета, но избягвайте черното“. Само че някои съратници на Мухаммад твърдят, че брадата му била „огромна“, че и „много черна“. Аллах знае най-добре, мога да обобщя тук мъдро като един шейх.

Какво ще кажете за тези основания за една богата, плътна, къдрава духовна традиция на брадата? В исляма, а и не само, има религиозни постановки, които исторически се оформят от далеч по-оскъден материал в свещените текстове или направо израстват като тяхно допълнение. Ето ви например станалото стандартно положение за наказанието чрез убиване с камъни на прелюбодейците. Това наказание отсъства от текста на Корана, където се предписват единствено сто удара с камшик (Коран 24:2), но наложилото се в исторически план е друго. Нека обаче да видим какво се случва с брадата.

Бегла разходка из дигиталните хранилища за религиозна литература ме оставя с богат берекет от трактати на арабски.

Има всякакви формати на съчинения – дълги, къси, стари, нови, ръкописни, печатни, самиздати на хартия, електронно публикувани, повечето от които разглеждат темата от една доста еднопосочна, консистентна и традиционна гледна точка. Поздравявам ви с някои красноречиви заглавия. „Постигането на целта на питащия дали някой в Рая има брада“. (Впрочем, това е важен въпрос – ако един ден стигнете в мюсюлманския Рай (Джанна), там ще има ли бради? Тук няма да ви издам какво твърди авторът на трактата.) „Славата на лицето е неговата брада“ е доста недвусмислено панегирично. Това безспорно е така, стига лицето да не е женско. „Отпускането на брадата и свързаните с това религиозни постановления“ е доста стандартно заглавие на пръв поглед. Но пък изглежда обещаващо, защото носи логото на ИДИЛ. Нормално е нейният лидер Абу Бакр ал-Багдади, обявил се за халиф, да се интересува от темата, ако тя е толкова широко застъпена в нормативната база на мюсюлманския свещен закон.

„Възгледите на религиозните учени относно бръсненето и подкъсяването на брадата“ ми звучи суховато, но полезно. „Задължителният характер на пускането на брадата“ ясно застъпва тезата, че ако искаш да си изряден мюсюлманин, брадата не ти мърда. Харесва ми обаче тонът на заглавието „Научен и спокоен диалог относно книгата „Брадата. Едно проучване от гледна точка на мюсюлманските предания и религиозното право“. Разбирайте го като призив да седнем заедно и спокойно да се разберем. Ще я бъде ли брадата, или не. И каква ще да е тя.

„Брадата в Писанието и Сунната, заедно с преданията на праведните предци на общността“ е много добро! Търси основанията на брадата в основните извори на исляма, както и в казаното от т.нар. салаф („праведни предци“). От този термин идва и наименованието на движения като салафизма, връщащи се към буквалните основания на доктрината в текстовете. За наше успокоение и удобство днес наричаме тези движения „фундаменталистки“ и „радикални“. 

Брошурата „Брадата – защо?“ също ми се нрави. За разлика от кроткия призив за дискусия в предното съчинение, тук имаме нюанс на драматизъм. И отговорът „Защото така!“, който много обичам и смятам за края на всяка дискусия, тук не е приемлив. Правно-богословските измерения на мъжкото лицево украшение се разглеждат в по-специализирана литература, като „Брадата в четирите правно-богословски школи“. Става въпрос за популярните исторически течения в правото и богословието – на маликитите, шафиитите, ханбалитите и ханифитите. Нашенското мюфтийство като наследник на основната правно-богословска традиция на Османската империя се числи към последните, затова и официалното име на деноминацията е мюсюлманско сунитско ханефитско вероизповедание. Какво ли смятат за брадата там, се питам, може би някой ден ще има проучвания на терен по този въпрос?

(Следва продължение.)

В рубриката „Ориент кафе“ Атанас Шиников поднася любопитни теми, свързани не толкова с горещата политика, колкото с историята и културата на Близкия изток. А той, древен и днешен, е по-близко до нас и съвремието ни, отколкото си представяме.

Use Model Context Protocol with Amazon Q Developer for context-aware IDE workflows

Post Syndicated from Ritik Khatwani original https://aws.amazon.com/blogs/devops/use-model-context-protocol-with-amazon-q-developer-for-context-aware-ide-workflows/

Earlier today, Amazon Q Developer announced Model Context Protocol (MCP) support in their Integrated Development Environment (IDE) plugins for Visual Studio Code and JetBrains. This allows developers to connect external tools or MCP servers to Q Developer, enabling more context-aware responses and complex workflows. MCP support has already been available in Amazon Q Developer for Command Line since April 29, 2025.

Introduction

Q Developer already had the ability to use tools within the IDE such as executing shell commands, reading local files, and generating code with the addition of the agentic coding experience. Now, developers have the ability to add additional tools that support MCP to their toolkit. MCP is an open protocol that standardizes how Large Language Models (LLMs) integrate with applications. It provides a way to share context, access data sources, and interact with APIs. You can read more about MCP in this introduction.

This ability to add additional context and tools allows Q Developer to write more accurate code, integrate with your planning tools, create UI components from designs, generate database documentation by examining your actual schema, and execute complex multi-tool tasks – all without the need for custom integration code. I’m excited to see this functionality coming to Q Developer IDE plugins, enhancing the development process right where developers spend most of their time.

In this post, I’ll walk you through a common scenario where I, as a developer, am tasked with working on an issue defined in a project management tool like Jira. The issue contains a user story, acceptance criteria, a link to a Figma design of the user interface, and additional technical implementation notes. To accomplish this efficiently, I’ll demonstrate how Q Developer can streamline the entire process by using two separate MCP servers to interact with Jira and Figma independently. Rather than manually switching between browser tabs, copying information, and trying to keep track of requirements across multiple tools, I’ll show how Q Developer can automatically fetch details using MCP and help me implement the feature while maintaining context across both platforms as shown in the figure below.

Q Developer extension in Visual Studio Code interacting with external tools using MCP servers

Figure 1: Q Developer extension in Visual Studio Code interacting with external tools using MCP servers

Configuring MCP Servers

To begin setup, click on the Configure MCP servers button at the top of the Chat tab bar as shown in the image below. This will bring up the list of MCP servers currently configured. Click the + (Add new MCP) button to add a new server.

Add MCP server configuration in Visual Studio Code’s Q Developer extension

Figure 2: Add MCP server configuration in Visual Studio Code’s Q Developer extension

You will set the scope of your MCP servers during configuration. A Global scope allows you to use the MCP server across all your projects, whereas a Workspace scope sets it up for only the current IDE workspace. Here’s an example configuration for the Atlassian and Figma MCPs I’ll be using:

Atlassian
Scope: This workspace
Name: Atlassian
Transport: stdio
Command: npx
Arguments:
-y
mcp-remote
https://mcp.atlassian.com/v1/sse
Figma
Scope: This workspace
Name: Figma
Transport: stdio
Command: npx
Arguments:
-y
mcp-remote
http://127.0.0.1:3845/sse

Note: The first time you set up the Atlassian MCP server, you’ll be asked to complete the OAuth authentication flow in your browser and provide access permissions to your Jira projects. Similarly, to connect to the Figma Dev Mode MCP server, you’ll need to enable it via the Figma desktop app.

Q Developer’s MCP management window showing configured Figma and Atlassian MCPs servers

Figure 3: Q Developer’s MCP management window showing configured Figma and Atlassian MCPs servers

To understand an MCP server’s individual tools, click on the expand icon next to its name as shown in the image below. Tools are executable functions exposed by the MCP server. They enable Q Developer’s agentic chat to perform actions and interact with external systems on your behalf. You can also configure permissions for individual tools. Each tool presents the option to Ask, Always allow, or Deny it such that Q Developer can’t invoke it. In my example, I’ll set all tools that only read data to Always allow for my workspace and set the rest of the tools to Ask.

MCP tool descriptions and configuration dropdown with options to Ask, Always allow or Deny

Figure 4: MCP tool descriptions and configuration dropdown with options to Ask, Always allow or Deny

With the MCP servers configured, let’s see how I can integrate them into my workflow.

Walkthrough

Q Developer is now enriched with additional information and tools available via the configured MCP servers. To demonstrate how this accelerates my developer productivity, I’ll be working with the Q Words game.

Scenario

Q-Words is an interactive word guessing game used in our customers’ workshops to demonstrate Q Developer’s capabilities. I’ve been tasked by the Product Manager to add a dark mode to the game. The User Story is logged in Jira and links to a Figma design that our designers have prepared.

Jira ticket showing user story and acceptance criteria for adding dark mode to a Q-Words game application

Figure 5: Jira ticket showing user story and acceptance criteria for adding dark mode to a Q-Words game application

Figma design showing dark and light mode interfaces for a QWords game application

Figure 6: Figma design showing dark and light mode interfaces for a QWords game application

Integrating MCPs into your development workflow

Let’s begin by asking Q Developer to check on tasks assigned to me in Jira by typing the following prompt in the agentic chat:

List issues that I need to work on

Q Developer will understand your intent and interact with your Atlassian MCP server to filter and show Jira issues that are assigned to you and in the To Do state. You can optionally prompt Q Developer to use a particular MCP server. Just as with any prompt, providing clear instructions will yield better results. In the image below, Q Developer retrieves details for the issue I’m assigned to work on.

Q Developer retrieves and describes issues assigned to me in Jira using the Atlassian MCP server

Figure 7: Q Developer retrieves and describes issues assigned to me in Jira using the Atlassian MCP server

Let’s begin work on the issue with the following prompt:

Move issue CRM-9 to In Progress and checkout a new git branch named after the issue id to begin working on it

Prompt Q Developer to begin working on an assigned issue

Figure 8: Prompt Q Developer to begin working on an assigned issue

Next, I’d like to understand the impact of the design changes on the current application. I can use the following prompt to accomplish this:

Analyze the Jira User Story and linked Figma design. Give me a technical implementation plan explaining the UI components that will need to be modified in the existing code.

Prompt Q Developer to help you analyze changes in existing code to implement the new UI

Figure 9: Prompt Q Developer to help you analyze changes in existing code to implement the new UI

Q Developer automatically pulls in issue details from Jira, along with the design specifics like colors from Figma. Before MCP, I would have had to add those details directly into the prompt or provided them as context from a local file. Now, my prompt only includes the description of the task whereas the context is enriched with details from the MCP servers. Review the proposed plan and suggest edits if needed. Once satisfied, prompt Q Developer to begin working on the changes:

Implement the plan

The diff view of changes by Q Developer to implement a dark mode feature in HTML and CSS

Figure 10: The diff view of changes by Q Developer to implement a dark mode feature in HTML and CSS

After reviewing the diff of the files changed by Q Developer, I can verify that the new Dark Mode feature has been implemented as desired. Let’s test the changes and ensure all acceptance criteria is met. To run the application, I use the following prompt:

Run the application locally

Q Developer will ask permission and run commands to spin up the local web server. I can then test the changes in my browser.

Updated application with dark mode toggle button implemented by Q Developer using MCP

Figure 11: Updated application with dark mode toggle button implemented by Q Developer using MCP

After a bit of testing, I can confirm that we’ve met all the acceptance criteria for the story. Let’s update the rest of the team on what we’ve accomplished with the following prompt:

Update the Jira issue status to Done and add a comment summarizing the changes made.

This convenient integration between Q Developer and Jira via MCP, saves me the back and forth between different tools to document the work accomplished.

A Jira ticket comment detailing the completed implementation of dark mode features, including theme toggle, CSS variables, and UI components

Figure 12: A Jira ticket comment detailing the completed implementation of dark mode features, including theme toggle, CSS variables, and UI components

Conclusion

The addition of MCP support in Amazon Q Developer for the IDE provides a standardized way to share context and interact with additional tools. In this post, I’ve demonstrated how I can use Q Developer in the IDE to interact with Atlassian Jira for task management and Figma for UI updates. I was able to do this without explicitly including user story details in my prompts or separately downloading design assets from UI mockups. Instead, Q Developer could automatically access user story context and easily integrate design assets using tools exposed by MCP servers. I encourage you to explore the new MCP capabilities and also check out the AWS MCP Servers repository on GitHub. Refer MCP configuration for Q Developer in the IDE to learn more.

To learn more about Amazon Q Developer’s features and pricing details, visit the Amazon Q Developer product page.

About the Author

Ritik Khatwani

Ritik Khatwani

Ritik is a Generative AI Specialist Solutions Architect at AWS based in New York City. He has deep expertise in building products as an engineer, architect, and founder. At AWS, he previously advised startups on how to build and grow in the cloud and now works with developers to reimagine their software development lifecycle using Amazon Q Developer.

Cloudflare service outage June 12, 2025

Post Syndicated from Jeremy Hartman original https://blog.cloudflare.com/cloudflare-service-outage-june-12-2025/

On June 12, 2025, Cloudflare suffered a significant service outage that affected a large set of our critical services, including Workers KV, WARP, Access, Gateway, Images, Stream, Workers AI, Turnstile and Challenges, AutoRAG, Zaraz, and parts of the Cloudflare Dashboard.

This outage lasted 2 hours and 28 minutes, and globally impacted all Cloudflare customers using the affected services. The cause of this outage was due to a failure in the underlying storage infrastructure used by our Workers KV service, which is a critical dependency for many Cloudflare products and relied upon for configuration, authentication and asset delivery across the affected services. Part of this infrastructure is backed by a third-party cloud provider, which experienced an outage today and directly impacted availability of our KV service.

We’re deeply sorry for this outage: this was a failure on our part, and while the proximate cause (or trigger) for this outage was a third-party vendor failure, we are ultimately responsible for our chosen dependencies and how we choose to architect around them.

This was not the result of an attack or other security event. No data was lost as a result of this incident. Cloudflare Magic Transit and Magic WAN, DNS, cache, proxy, WAF and related services were not directly impacted by this incident.

What was impacted?

As a rule, Cloudflare designs and builds our services on our own platform building blocks, and as such many of Cloudflare’s products are built to rely on the Workers KV service. 

The following table details the impacted services, including the user-facing impact, operation failures, and increases in error rates observed:

Product/Service

Impact

Workers KV

Workers KV saw 90.22% of requests failing: any key-value pair not cached and that required to retrieve the value from Workers KV’s origin storage backends resulted in failed requests with response code 503 or 500. 

The remaining requests were successfully served from Workers KV’s cache (status code 200 and 404) or returned errors within our expected limits and/or error budget.

This did not impact data stored in Workers KV.

Access

Access uses Workers KV to store application and policy configuration along with user identity information.

During the incident Access failed 100% of identity based logins for all application types including Self-Hosted, SaaS and Infrastructure. User Identity information was unavailable to other services like WARP and Gateway during this incident. Access is designed to fail closed when it cannot successfully fetch policy configuration or a user’s identity. 

Active Infrastructure Application SSH sessions with command logging enabled failed to save logs due to a Workers KV dependency. 

Access’ System for Cross Domain Identity (SCIM) service was also impacted due to its reliance on Workers KV and Durable Objects (which depended on KV) to store user information. During this incident, user identities were not updated due to Workers KV updates failures. These failures would result in a 500 returned to identity providers. Some providers may require a manual re-synchronization but most customers would have seen immediate service restoration once Access’ SCIM service was restored due to retry logic by the identity provider.

Service authentication based logins (e.g. service token, Mutual TLS, and IP-based policies) and Bypass policies were unaffected. No Access policy edits or changes were lost during this time.

Gateway

This incident did not affect most Gateway DNS queries, including those over IPv4, IPv6, DNS over TLS (DoT), and DNS over HTTPS (DoH).

However, there were two exceptions:

DoH queries with identity-based rules failed. This happened because Gateway couldn’t retrieve the required user’s identity information.

Authenticated DoH was disrupted for some users. Users with active sessions with valid authentication tokens were unaffected, but those needing to start new sessions or refresh authentication tokens could not.

Users of Gateway proxy, egress, and TLS decryption were unable to connect, register, proxy, or log traffic.

This was due to our reliance on Workers KV to retrieve up-to-date identity and device posture information. Each of these actions requires a call to Workers KV, and when unavailable, Gateway is designed to fail closed to prevent traffic from bypassing customer-configured rules.

WARP

The WARP client was impacted due to core dependencies on Access and Workers KV, which is required for device registration and authentication. As a result, no new clients were able to connect or sign up during the incident.

Existing WARP client users sessions that were routed through the Gateway proxy experienced disruptions, as Gateway was unable to perform its required policy evaluations.

Additionally, the WARP emergency disconnect override was rendered unavailable because of a failure in its underlying dependency, Workers KV.

Consumer WARP saw a similar sporadic impact as the Zero Trust version.

Dashboard

Dashboard user logins and most of the existing dashboard sessions were unavailable. This was due to an outage affecting Turnstile, DO, KV, and Access. The specific causes for login failures were:

Standard Logins (User/Password): Failed due to Turnstile unavailability.

Sign-in with Google (OIDC) Logins: Failed due to a KV dependency issue.

SSO Logins: Failed due to a full dependency on Access.

The Cloudflare v4 API was not impacted during this incident.

Challenges and Turnstile

The Challenge platform that powers Cloudflare Challenges and Turnstile saw a high rate of failure and timeout for siteverify API requests during the incident window due to its dependencies on Workers KV and Durable Objects.

We have kill switches in place to disable these calls in case of incidents and outages such as this. We activated these kill switches as a mitigation so that eyeballs are not blocked from proceeding. Notably, while these kill switches were active, Turnstile’s siteverify API (the API that validates issued tokens) could redeem valid tokens multiple times, potentially allowing for attacks where a bad actor might try to use a previously valid token to bypass. 

There was no impact to Turnstile’s ability to detect bots. A bot attempting to solve a challenge would still have failed the challenge and thus, not received a token. 

Browser Isolation

Existing Browser Isolation sessions via Link-based isolation were impacted due to a reliance on Gateway for policy evaluation.

New link-based Browser Isolation sessions could not be initiated due to a dependency on Cloudflare Access. All Gateway-initiated isolation sessions failed due its Gateway dependency.

Images

Uploads to Cloudflare Images were impacted during the incident window, with a 100% failure rate at the peak of the incident. 

Overall image delivery dipped to around 97% success rate. Image Transformations were not significantly impacted, and Polish was not impacted.

Stream

Stream’s error rate exceeded 90% during the incident window as video playlists were unable to be served. Stream Live observed a 100% error rate.

Video uploads were not impacted.

Realtime

The Realtime TURN (Traversal Using Relays around NAT) service uses KV and was heavily impacted. Error rates were near 100% for the duration of the incident window.

The Realtime SFU service (Selective Forwarding Unit) was unable to create new sessions, although existing connections were maintained. This caused a reduction to 20% of normal traffic during the impact window. 

Workers AI

All inference requests to Workers AI failed for the duration of the incident. Workers AI depends on Workers KV for distributing configuration and routing information for AI requests globally.

Pages & Workers Assets

Static assets served by Cloudflare Pages and Workers Assets (such as HTML, JavaScript, CSS, images, etc) are stored in Workers KV, cached, and retrieved at request time. Workers Assets saw an average error rate increase of around 0.06% of total requests during this time. 

During the incident window, Pages error rate peaked to ~100% and all Pages builds could not complete. 

AutoRAG

AutoRAG relies on Workers AI models for both document conversion and generating vector embeddings during indexing, as well as LLM models for querying and search. AutoRAG was unavailable during the incident window because of the Workers AI dependency.

Durable Objects

SQLite-backed Durable Objects share the same underlying storage infrastructure as Workers KV. The average error rate during the incident window peaked at 22%, and dropped to 2% as services started to recover.

Durable Object namespaces using the legacy key-value storage were not impacted.

D1

D1 databases share the same underlying storage infrastructure as Workers KV and Durable Objects.

Similar to Durable Objects, the average error rate during the incident window peaked at 22%, and dropped to 2% as services started to recover.

Queues & Event Notifications

Queues message operations including–pushing and consuming–were unavailable during the incident window.

Queues uses KV to map each Queue to underlying Durable Objects that contain queued messages.

Event Notifications use Queues as their underlying delivery mechanism.

AI Gateway

AI Gateway is built on top of Workers and relies on Workers KV for client and internal configurations. During the incident window, AI Gateway saw error rates peak at 97% of requests until dependencies recovered.

CDN

Automated traffic management infrastructure was operational but acted with reduced efficacy during the impact period. In particular, registration requests from Zero Trust clients increased substantially as a result of the outage.

The increase in requests imposed additional load in several Cloudflare locations, triggering response from automated traffic management. In response to these conditions, systems rerouted incoming CDN traffic to nearby locations, reducing impact to customers. There was a portion of traffic that was not rerouted as expected and is under investigation. CDN requests impacted by this issue would experience elevated latency, HTTP 499 errors, and / or HTTP 503 errors. Impacted Cloudflare service areas included São Paulo, Philadelphia, Atlanta, and Raleigh.

Workers / Workers for Platforms

Workers and Workers for Platforms rely on a third party service for uploads. During the incident window, Workers saw an overall error rate peak to ~2% of total requests. Workers for Platforms saw an overall error rate peak to ~10% of total requests during the same time period. 

Workers Builds (CI/CD)
 

Starting at 18:03 UTC Workers builds could not receive new source code management push events due to Access being down.

100% of new Workers Builds failed during the incident window.

Browser Rendering

Browser Rendering depends on Browser Isolation for browser instance infrastructure.

Requests to both the REST API and via the Workers Browser Binding were 100% impacted during the incident window.

Zaraz

100% of requests were impacted during the incident window. Zaraz relies on Workers KV configs for websites when handling eyeball traffic. Due to the same dependency, attempts to save updates to Zaraz configs were unsuccessful during this period, but our monitoring shows that only a single user was affected.

Background

Workers KV is built as what we call a “coreless” service which means there should be no single point of failure as the service runs independently in each of our locations worldwide. However, Workers KV today relies on a central data store to provide a source of truth for data. A failure of that store caused a complete outage for cold reads and writes to the KV namespaces used by services across Cloudflare.

Workers KV is in the process of being transitioned to significantly more resilient infrastructure for its central store: regrettably, we had a gap in coverage which was exposed during this incident. Workers KV removed a storage provider as we worked to re-architect KV’s backend, including migrating it to Cloudflare R2, to prevent data consistency issues (caused by the original data syncing architecture), and to improve support for data residency requirements.

One of our principles is to build Cloudflare services on our own platform as much as possible, and Workers KV is no exception. Many of our internal and external services rely heavily on Workers KV, which under normal circumstances helps us deliver the most robust services possible, instead of service teams attempting to build their own storage services. In this case, the cascading impact from the failure from Workers KV exacerbated the issue and significantly broadened the blast radius. 

Incident timeline and impact

The incident timeline, including the initial impact, investigation, root cause, and remediation, are detailed below. 


Workers KV error rates to storage infrastructure. 91% of requests to KV failed during the incident window.


Cloudflare Access percentage of successful requests. Cloudflare Access relies directly on Workers KV and serves as a good proxy to measure Workers KV availability over time.

All timestamps referenced are in Coordinated Universal Time (UTC).

Time

Event

2025-06-12 17:52

INCIDENT START
Cloudflare WARP team begins to see registrations of new devices fail and begin to investigate these failures and declares an incident.

2025-06-12 18:05

Cloudflare Access team received an alert due to a rapid increase in error rates.

Service Level Objectives for multiple services drop below targets and trigger alerts across those teams.

2025-06-12 18:06

Multiple service-specific incidents are combined into a single incident as we identify a shared cause (Workers KV unavailability). Incident priority upgraded to P1.

2025-06-12 18:21

Incident priority upgraded to P0 from P1 as severity of impact becomes clear.

2025-06-12 18:43

Cloudflare Access begins exploring options to remove Workers KV dependency by migrating to a different backing datastore with the Workers KV engineering team. This was proactive in the event the storage infrastructure continued to be down.

2025-06-12 19:09

Zero Trust Gateway began working to remove dependencies on Workers KV by gracefully degrading rules that referenced Identity or Device Posture state.

2025-06-12 19:32

Access and Device Posture force drop identity and device posture requests to shed load on Workers KV until third-party service comes back online.

2025-06-12 19:45

Cloudflare teams continue to work on a path to deploying a Workers KV release against an alternative backing datastore and having critical services write configuration data to that store.

2025-06-12 20:23

Services begin to recover as storage infrastructure begins to recover. We continue to see a non-negligible error rate and infrastructure rate limits due to the influx of services repopulating caches.

2025-06-12 20:25

Access and Device Posture restore calling Workers KV as third-party service is restored.

2025-06-12 20:28

IMPACT END 
Service Level Objectives return to pre-incident level. Cloudflare teams continue to monitor systems to ensure services do not degrade as dependent systems recover.

INCIDENT END
Cloudflare team see all affected services return to normal function. Service level objective alerts are recovered.

Remediation and follow-up steps

We’re taking immediate steps to improve the resiliency of services that depend on Workers KV and our storage infrastructure. This includes existing planned work that we are accelerating as a result of this incident.

This encompasses several workstreams, including efforts to avoid singular dependencies on storage infrastructure we do not own, improving the ability for us to recover critical services (including Access, Gateway and WARP) 

Specifically:

  • (Actively in-flight): Bringing forward our work to improve the redundancy within Workers KV’s storage infrastructure, removing the dependency on any single provider. During the incident window we began work to cut over and backfill critical KV namespaces to our own infrastructure, in the event the incident continued.

  • (Actively in-flight): Short-term blast radius remediations for individual products that were impacted by this incident so that each product becomes resilient to any loss of service caused by any single point of failure, including third party dependencies..

  • (Actively in-flight): Implementing tooling that allows us to progressively re-enable namespaces during storage infrastructure incidents. This will allow us to ensure that key dependencies, including Access and WARP, are able to come up without risking a denial-of-service against our own infrastructure as caches are repopulated.

This list is not exhaustive: our teams continue to revisit design decisions and assess the infrastructure changes we need to make in both the near (immediate) term and long term to mitigate the incidents like this going forward.

This was a serious outage, and we understand that organizations and institutions that are large and small depend on us to protect and/or run their websites, applications, zero trust and network infrastructure.  Again we are deeply sorry for the impact and are working diligently to improve our service resiliency. 

The collective thoughts of the interwebz