Post Syndicated from daroc original https://lwn.net/Articles/980856/
Greg Kroah-Hartman has announced the release of seven more stable kernels.
Versions 6.9.8,
6.9.37,
6.1.97,
5.15.162,
5.10.221,
5.4.279,
and 4.19.317 are now available.
Security updates for Friday
Post Syndicated from daroc original https://lwn.net/Articles/980855/
Security updates have been issued by Fedora (cockpit, python-astropy, python3-docs, and python3.12), Gentoo (BusyBox, GNU Coreutils, GraphicsMagick, podman, PuTTY, Sofia-SIP, TigerVNC, and WebKitGTK+), Mageia (chromium-browser-stable and openvpn), SUSE (cockpit, krb5, and netatalk), and Ubuntu (kopanocore, libreoffice, linux-aws, linux-oem-6.8, linux-aws-5.15, linux-azure, linux-azure-4.15, linux-lowlatency, linux-lowlatency-hwe-6.5, linux-oracle, linux-starfive-6.5, and virtuoso-opensource).
A History of Ice Cream
Post Syndicated from The History Guy: History Deserves to Be Remembered original https://www.youtube.com/watch?v=skpmoCsTk14
What’s Up, Home? – Monitor your new Selenium
Post Syndicated from Janne Pikkarainen original https://blog.zabbix.com/whats-up-home-monitor-your-new-selenium/28394/
As Zabbix got the new fantastic Selenium-based synthetic web tests, you will now have a new component to monitor. How do you monitor Selenium? With Zabbix, of course! If you are impatient, feel free to download my very bare-bones example template.
How to monitor Selenium?
That part is easy. Selenium server exposes you at <your-selenium-URL>/status, for example, http://my.selenium.server:4444/status — the data from there is coming back as JSON. Either grab it all via LLD, low-level discovery rules, or just cherry-pick a few values to follow. I cherry-picked a few values, as the status contains so many items I would not ever need. No, my Selenium is not going to test stuff through the Microsoft Edge browser, for example. Below is a short snippet from the status page output.
{
"value": {
"ready": true,
"message": "Selenium Grid ready.",
"nodes": [
{
"id": "e284925e-c341-41fc-8380-581ead4987b6",
"uri": "http:\u002f\u002f0.0.0.0:4444",
"maxSessions": 10,
"osInfo": {
"arch": "aarch64",
"name": "Mac OS X",
"version": "14.5"
},
"heartbeatPeriod": 60000,
"availability": "UP",
"version": "4.21.0 (revision 79ed462ef4)",
"slots": [First, confirm that your Selenium gives you back that status page. Done? Done. Next, move on and create a new Zabbix template.
Create a new Zabbix template
Go to Data Collection -> Templates -> Create template, give it a name, and assign it to any template groups you want.
Next, click on Macros tab, and enter there {$SELENIUM_URL} = your.selenium.server.address/status
Done. Now save your template and start adding items.
Add new items to the template
First, add a new HTTP agent type item for fetching the master data.
Next, just add any items you would like to pick from the long JSON output: as I’m only interested if Selenium is ready and what is the message it is returning, here is an example of how I grab the items. First, the one that checks if Selenium is ready (true/false).
… and get that with item pre-processing by using JSONPath and Boolean to decimal, so you get numeric values for graphs and so on.
The end result
After this, you are already monitoring your new Selenium to make sure that it is feeling well.
Now go and add your Selenium to monitoring, too! Add some triggers and visualize it for yourself by using some of the new fancy widgets we have in Zabbix 7.0!
This post was originally published on the author’s page.
The post What’s Up, Home? – Monitor your new Selenium appeared first on Zabbix Blog.
Веселин Райчев, BgGPT: Винаги ще има назадничав прочит на прогреса, който плаши неоснователно
Post Syndicated from Йовко Ламбрев original https://www.toest.bg/veselin-raychev-bggpt-vinagi-shte-ima-nazadnichav-prochit-na-proghresa-koyto-plashi-neosnovatelno/
Веселин Райчев е работил за Motorola и Google още преди докторантурата си в Швейцарския технологичен институт (ETH) в Цюрих. Съосновател е на стартъп за изкуствен интелект, който анализира и поправя грешки в програмен код. Стартъпът бе придобит от голяма компания, занимаваща се с киберсигурност. В момента е част от екипа учени в Института по компютърни науки, изкуствен интелект и технологии (INSAIT), където работи по BgGPT – специализиран български свободен и отворен езиков модел.
Йовко Ламбрев разговаря с него за BgGPT и тенденциите в света на изкуствения интелект (ИИ).
Кое е по-определящо за развитието Ви дотук – бизнесът или науката? И може ли едното без другото?
Не се чувствам разделен между бизнес и наука. Бизнесът е важно умение да намеря начин да продам нещо на някого. Но не е основното ми занимание и едва ли сам ще се справя над някакво средно ниво. Интересното разделение за мен е между т.нар. индустрия и науката. И аз по-скоро се причислявам към индустрията, но високотехнологичната.
Индустрията създава продукти и технологии, а науката – идеи. BgGPT е технология, а науката около това е да намерим нови начини да тренираме модели, които са по-успешни и по-точни, да разберем кое прави един модел по-добър, и да можем да измислим рецепти, за да контролираме процеса. В случая INSAIT прави подобрения и в индустрията, и в науката.
Tехнологичният институт ETH в Цюрих носи в ДНК-то си идеята да посредничи в приложението на научните постижения в швейцарската индустрия. Идеята зад INSAIT също е повлияна от това. Компании от българския технологичен сектор вече се похвалиха, че експериментират и внедряват BgGPT. Какви са изгледите скоро да видим негови приложения и извън хайтек индустрията?
Все още повечето реални резултати в ИИ се усещат най-вече от компаниите, които се занимават с тези неща. Няколко пъти ми се е случвало рискови инвеститори (т.нар. venture capital) да ми казват, че биха искали да инвестират в България, но не виждат да се създават интересни компании.
Разбира се, това не е съвсем вярно. В процеса на работа по BgGPT – чрез въпросите, които получаваме от технологични компании – се вижда, че те стават все по-хайтек. Знае се много повече за моделите и за начините за използване на ИИ. И вече има няколко проекта, получили такова финансиране, защото създават иновативни продукти.
По въпроса за повече приложения – това, бих казал, е задача за компаниите в България. BgGPT е технология, на която могат да разчитат. Но все пак INSAIT е научен институт, а не фирма. Ако имаш екип, фокусиран в създаването на нов, по-ефективен автомобилен двигател, е неуместно този екип да отделя по-голямата част от времето си за проектиране на други части или за ремонт на автомобили. Затова е важно фокусът да остане върху иновацията, както и към привличане на топхора. След което идва и финансиране от най-високо ниво – INSAIT вече получи дарения от Amazon, Google и от други имена на световно ниво.
По отношение на възможностите за приложение на нови технологии бих казал, че ETH Zurich са по-консервативни от INSAIT и това е едно от предимствата ни при наемане на професионалисти.
Като говорим за ИИ, напоследък вниманието на неспециализираната публика се фокусира предимно върху езиковите модели. Това даже направи лоша услуга и при анонса на BgGPT, понеже хората се заиграха с демото му, но пропускат да правят разлика между модела като технология и конкретното му приложение в даден контекст. Можем ли да обясним накратко какво е „модел“, какви са разликите между по-малките и по-големите модели и какъв е смисълът да съществуват и едните, и другите?
Стратегически винаги е по-добре да се залага на по-достъпна технология, както и на технология, която разбираме добре.
Конкретно за BgGPT повечето въпроси възникват от факта, че като хора обичаме да си представяме, че има нещо човешко срещу нас. А в случая имаме езиков модел, чието основно предназначение е да подрежда колкото е възможно по-добре думи и изречения.
За да може чрез такъв модел да получаваме някакви сведения или отговори от една или друга област, той трябва да бъде част от по-сложна система с допълнителни компоненти, които се грижат да му набавят нужната информация, да я раздробяват на части, да я съхраняват в специализирани бази данни, да векторизират такива данни. Колкото повече са данните, толкова по-адекватен е моделът в дадената област и толкова по-добре ще успява да прикрие различията с – да кажем – човешкото общуване при комуникация с него.
Езиковият модел е вид автомат – ако го питаме колко е часът, той ще отговори с най-вероятния отговор, а не с отговор от часовника, защото моделът няма часовник. Можем ли да сложим часовник? Доста лесно ще го сложим на сайта, но не и в модела, който всеки може да изтегли на компютъра си.
Какви са ползите един модел да е отворен? Наскоро дори Apple изненадаха с „отварянето“ на on-device моделите си.
Apple се появяват и тук заради силата на търговската си марка. Техните отворени модели към днешна дата не са особено конкурентоспособни. За сравнение, почти всички други компании от техния мащаб имат чудесни отворени модели. Но ето че и Apple извличат полза от това. И сигурно много хора вече обмислят дали да не си купят акции от тях, защото съвсем скоро ще убият конкуренцията.
Разбира се, с това искам да кажа, че преимуществата за този, който прави голям и отворен модел, и за онзи, който го ползва, са различни. От гледна точка на ползвателя това са възможностите да се донастройва моделът, да има независимост или поне свободна конкуренция, от кого и как ще се доставят услугите за големите езикови модели. Тоест да имам избор дали ще го пускам на свой компютър, дали ще наемам хардуер, или пък ще плащам за готова услуга.
Да поговорим малко и за други технологии от семейството на ИИ – например компютърното зрение е с потенциал за огромен брой приложения в производството, като започнем от автоматизацията, та стигнем до контрола на качеството. Изключително ефективни са приложенията му и в медицината или във военната промишленост. В INSAIT работите ли и в други посоки, които излизат от сферата на езиковите модели?
Да. В INSAIT работи едно от светилата в компютърното зрение – проф. Люк Ван Гуул. Той вече обучава група студенти и заедно правят нови изследвания. Според мен много хора не си дават сметка какво значи, че тези хора са в София и не са дошли да се снимат, да си правят реклама или политика, а работят стопроцентово върху научни изследвания. Всъщност идеята на INSAIT е да направи това възможно.
Какви са Вашите прогнози по отношение на демократизиране на технологиите за тази и следващата година? Кои ще са горещите теми? Какво развитие на ИИ технологиите можем да очакваме?
В момента очакванията към ИИ са особено големи. От една страна, са тези на индустрията, която се надява да стане значително по-ефективна. Много хора очакват скок в производителността, подобен на този от индустриалната революция, която донесе двигатели, транспорт, строителство и фабрики.
Това, разбира се, води и до страхове у хората. Някой, извършващ ръчен труд, може би не е доволен от навлизането на машините. Сега често ни изглежда, че в доброто старо време сме седели на ливадата и сме яли биодомати, но удобно забравяме, че е имало много повече смъртност, гладът е бил повсеместно явление, концепцията за отпуск или почивка почти е липсвала и т.н.
Винаги ще има назадничав прочит на прогреса, който да плаши хората неоснователно. Но това не трябва да ни възпира да приемаме добрите идеи, които прогресът носи.
Ако трябва да посъветвате един млад човек, който иска да последва Вашия път, или пък колега от ИТ сферата, който иска да се пренасочи към развитието и приложението на технологии за ИИ, какво бихте им препоръчали като най-общ комплект от знания, умения или технологии, които е добре да усвоят?
В основата на развитието в тази сфера винаги са били добрите знания по математика, решаването на задачи, както и техническите и социалните умения. В гимназиите, особено елитните, тези неща са силно застъпени. Софийският университет дава най-доброто образование по информатика в България. Разбира се, има и качествена конкуренция от други университети.
Стаж или обмен в чужбина са най-доброто, което може да направите за социалните си умения. Това, че всеки може да отиде, да види, да донесе най-доброто от различни места, е едно голямо предимство на ЕС. Не всичко, разбира се – на много места се залита по глупости, например да няма оценки, на други пък е обратното – системата за оценяване е твърде консервативна.
В ИТ индустрията в момента сякаш има, не бих го определил като криза, но нещо като стъписване пред това какви промени ще донесе ИИ. Включително опасения дали ще има нужда от (толкова) програмисти в бъдеще? Какви са Вашите размишления в тази посока?
ИТ индустрията ще расте. Това не значи, че ще расте еднакво във всички посоки. Ако питате мен, търсенето на QA инженери вероятно ще намалее за сметка например на инженери в информационната сигурност. Но индустрията като цяло ще расте. Огледайте се наоколо – колко от нещата, които използваме, работят много добре: телефони, уебсайтове, програми. А колко са сигурни?
За съжаление, войните ни показват как може да се атакува инфраструктура от разстояние – мобилният ви оператор може да спре да работи или да се предизвикат аварии в електрозахранването. Всичко това трябва да се поправя, за което са нужни знаещи и можещи хора, както и повече автоматизация, включително с ИИ. Нека да добавим и новите възможности за автоматизация в автомобилите, производството, земеделието и други области. Това значи, че търсенето на програмисти ще е силно не само в информационните технологии.
Много от иновациите от края на миналия и началото на този век бяха замислени с потенциал да направят човечеството по-грамотно, по-ефективно, а обществата ни по-демократични, по-свързани и по-развити. Уви, събраха се примери, които постигат точно обратния ефект. Разбира се, не можем да виним самите иновации за това, но какво е Вашето обяснение за този резултат? И в каква посока можем да търсим решение, за да не стане така и с ИИ?
Проблемите са напълно реални. Технология, която позволява на хората да са по-информирани, със същия успех може да се ползва и за разпространение на дезинформация. Със сигурност всеки познава хора, които се „информират“ от онлайн видеоклипове, напълно „скъсали“ с реалния живот. И тук идва ИИ, и то с модели, създадени преди десет години, дори не непременно с последните нововъведения. ИИ вижда, че сме изгледали едно такова видео, и ни препоръчва още десет подобни. И това може да ни провокира да се скараме с близките си и да се радикализираме.
Но ако помислим, дали пък в „доброто старо време“ всичко във вестниците е било абсолютната истина? Със сигурност не. Дали не трябва да станем по-добри един към друг като хора, а не да спрем да се развиваме? Това отваря въпроси и от областта на политиката. За щастие, ако повече хора избират умни политици, ще получат умна политика; от глупавите – глупости. А не обратното, или което би било по-страшно – да нямаш избор. Радикализираните хора ще правят повече глупости, но и ще изпитват глупостите на главите си.
И за да завърша тези мисли, технологиите са една от причините България, която преди 25–30 години беше в тежка криза, сега да е с най-високия си стандарт. Въпреки че разликите в доходите спрямо други държави не са малки, най-вероятно, ако някой емигрира сега от София, няма да е непременно заради бедност.
По-вероятно е да е заради по-добри възможности за развитие, за работа, заради по-добър ред или нещо друго. И трябва да обръщаме внимание на тези причини една по една. Градовете да стават по-красиви и по-чисти, а с INSAIT пък се опитваме да привлечем по-интересни възможности за работа и развитие, да създаваме повече добавена стойност и да имаме по-силна българска икономика и индустрия.
Не мога да не попитам как виждате българската ИТ индустрия след 5–10 години?
Има много неща, които могат да станат. Например да имаме няколко български компании на стойност над 1 млрд. евро и поне една-две над 5. Това, разбира се, няма да стане с аутсорсинг, а с български продуктови компании със собствени идеи и изследвания и с много нови умения на работещите в тях.
Малко хора си дават сметка колко е важно да имаме такива компании. Това е по-голямо и по-ценно от най-големите индустриални комплекси, които някога сме имали.
И това ще подобрява живота на много голям брой хора. Само за сравнение – цялата група „Фолксваген“ например се оценява на 60 млрд. евро и можете да се досетите колко определящи са тези заводи за Германия и за други държави, произвеждащи техни марки. Целите са много високи.
Трябва да се обърнем и към разширяване в области с голям ИТ потенциал, но от материалното производство. Такива сфери са роботиката, автоматиката, поточните линии, зареждането на батерии и др.
Celebrating the AI innovators of tomorrow
Post Syndicated from Liz Eaton original https://www.raspberrypi.org/blog/celebrating-the-ai-innovators-of-tomorrow/
As the Experience AI Challenge has closed for submissions, we would like to thank all the talented young people who participated and submitted their projects this year.
The Challenge, created by us in collaboration with Google DeepMind, guides young people under the age of 18, and their mentors, through the process of creating their own unique AI project. It encourages young people to seek out real-world problems and create possible AI-based solutions. From January to May, participants in the UK were also able to submit their projects for feedback from AI experts.
In response to the submissions, Richard Hayler, our Director of Youth Programmes commented:
“In running the Challenge, we have seen an incredible display of creativity, ingenuity, and curiosity about AI among young people. The dedication and innovation they demonstrated in their submitted projects has been truly inspiring. The Challenge has not only showcased the immense potential of addressing problems using AI tools, but most of all the remarkable talent and dedication of the next generation of innovators.
We would also like to thank all the mentors who guided and encouraged participants throughout the Challenge for their invaluable support. Their expertise and mentorship were instrumental in the young people’s success.”
Some Challenge highlights
These are some examples of the innovative projects young people created:
AI creation: River Water Quality Prediction App
Creator: Shreyas, age 13
What does it do:
“The model predicts how good the water quality of a river is based on several factors such as the levels of ammonium, nitrates, and dissolved oxygen.”
Who is it for:
”It can be used to tell if river water is safe to drink, or safe for life. This can also be used by authorities to decide where to deploy limited resources to purify water depending on its toxicity.”
AI creation: Coeliac Disease
Creator: Zainev, age 14–18
What does it do:
“The model aims to identify foods that contain the allergen gluten.”
Who is it for:
“It is for people with gluten allergy and/or people trying to arrange food for those with a gluten allergy, as it will easily help them identify foods that contain gluten and are not safe to eat.”
AI creation: Spacepuppy’s colour adventure
Creator: Charlotte, age 12
What does it do:
“Teaches children about colours.”
Who is it for:
“Teachers at primary schools/ nurseries.”
AI creation: Nutrify
Creator: Ishaan, age 14–18
What does it do:
“The model identifies the students’ food items through a webcam image, giving its specific nutritional information including calories, carbs, sugars and proteins.”
Who is it for:
“This model can be easily used by students to be aware of the nutritional information of their meals.”
AI creation: Flossie
Creator: Florence, age 11
What does it do:
“Identifies dressing gowns, slippers and pyjamas.”
Who is it for:
“For young children to learn different clothing.”
AI creation: Dermalyst
Creator: Vedant, age 14–18
What does it do:
“Dermalyst is an AI-based dermatologist that analyses images of your skin to check if you have any skin infection or disease and also suggests solutions.”
Who is it for:
“This app is targeted at young people but anyone could use it. It saves them from having to wait for a GP appointment.”
AI creation: Bird identifier
Creator: William, age 13
What does it do:
“It is designed to identify common garden birds native to the United Kingdom. It can identify robins, blue tits, great tits and blackbirds by their photograph.”
Who is it for:
“Bird watchers may use the app to identify the birds that they see but don’t know what they are.”
Save the date for the celebratory webinar
We would like to invite you to an online webinar on Wednesday 10 July at 4pm BST to celebrate all Experience AI Challenge participants. Click ‘notify me’ on YouTube to be notified when the webinar starts.
During the webinar, Mark Calleja from the Raspberry Pi Foundation and Matko Bošnjak, Research Scientist at Google DeepMind, will highlight some young people’s AI creations, and discuss all things AI. You can share your questions about AI for Mark and Matko by filling in this form today.
Download the Experience AI Challenge resources
Once again thank you to everyone who participated in the Experience AI Challenge and submitted their projects.
If you’re interested in the Challenge, you can still download the resources and use them to create your own AI projects.
The post Celebrating the AI innovators of tomorrow appeared first on Raspberry Pi Foundation.
Comic for 2024.07.05 – Dog
Post Syndicated from Explosm.net original https://explosm.net/comics/dog
New Cyanide and Happiness Comic
Pole Vault
Post Syndicated from xkcd.com original https://xkcd.com/2955/
Mokerlink 2G04210GSMX Review Web Managed 2.5GbE and 10G Switch
Post Syndicated from Rohit Kumar original https://www.servethehome.com/mokerlink-2g04210gsmx-review-web-managed-2-5gbe-and-10g-switch/
In our MokerLink 2G04210GSMX review we see what this web managed 2.5GbE switch offers with both 10GbE via SFP+ and 10Gbase-T ports
The post Mokerlink 2G04210GSMX Review Web Managed 2.5GbE and 10G Switch appeared first on ServeTheHome.
[$] Another try for getrandom() in the vDSO
Post Syndicated from corbet original https://lwn.net/Articles/980447/
Random numbers, it seems, can never be random enough, and they cannot be
generated quickly enough. The kernel’s getrandom()
system call might, after years of discussion, be seen as sufficiently
secure by most users, but it is still a system call. Linux system calls
are relatively fast, but they are necessarily slower than calling a
function directly. In an attempt to speed the provision of secure random
data to user space, Jason Donenfeld has put together an
implementation of getrandom() that lives in the virtual dynamic
shared object (vDSO) area.
Emma Roberts & Liz Garcia | Prime Video’s Space Cadet | Talks at Google
Post Syndicated from Talks at Google original https://www.youtube.com/watch?v=5cBsFLG7UmE
Security updates for Thursday
Post Syndicated from jake original https://lwn.net/Articles/980755/
Security updates have been issued by AlmaLinux (389-ds, c-ares, container-tools, cups, fontforge, go-toolset, iperf3, less, libreoffice, libuv, nghttp2, openldap, python-idna, python-jinja2, python-pillow, python3, python3.11-PyMySQL, qemu-kvm, and xmlrpc-c), Debian (znc), Fedora (firmitas and libnbd), Mageia (dcmtk, krb5, libcdio, and openssh), Oracle (golang, openssh, pki-core, and qemu-kvm), Red Hat (openssh), SUSE (apache2-mod_auth_openidc, emacs, go1.21, go1.22, krb5, openCryptoki, and openssh), and Ubuntu (linux, linux-aws, linux-aws-hwe, linux-gcp, linux-gcp-4.15, linux-hwe,
linux-kvm, linux-oracle, linux, linux-aws, linux-azure, linux-azure-5.4, linux-bluefield,
linux-gcp, linux-gkeop, linux-hwe-5.4, linux-ibm, linux-ibm-5.4,
linux-iot, linux-kvm, linux-oracle, linux-oracle-5.4, linux-raspi,
linux-raspi-5.4, linux-xilinx-zynqmp, linux, linux-aws, linux-kvm, linux-lts-xenial, linux, linux-gcp, linux-gcp-6.5, linux-laptop, linux-nvidia-6.5,
linux-raspi, linux, linux-gcp, linux-lowlatency, linux-lowlatency-hwe-5.15,
linux-nvidia, linux-xilinx-zynqmp, linux, linux-ibm, linux-lowlatency, linux-nvidia, linux-raspi, linux-aws, linux-aws-6.5, linux-oem-6.5, linux-oracle, linux-oracle-6.5,
linux-starfive, linux-aws, linux-azure, linux-azure-5.15, linux-azure-fde,
linux-azure-fde-5.15, linux-gke, linux-gkeop, linux-gkeop-5.15, linux-ibm,
linux-intel-iotg, linux-intel-iotg-5.15, linux-kvm, linux-oracle,
linux-oracle-5.15, linux-azure, linux-azure, linux-azure-6.5, linux-bluefield, linux-iot, linux-gcp, linux-intel, linux-hwe-5.15, and php7.0 and php7.2).
Ulanzi TC001 is back with Home Assistant HACS component
Post Syndicated from BeardedTinker original https://www.youtube.com/watch?v=jQy8D_eXoKY
Cloudflare 1.1.1.1 incident on June 27, 2024
Post Syndicated from Bryton Herdes original https://blog.cloudflare.com/cloudflare-1111-incident-on-june-27-2024
Introduction
On June 27, 2024, 1.1.1.1 became unreachable or heavily degraded from over 300 networks in 70 countries. The root cause was a mix of BGP (Border Gateway Protocol) hijacking and a route leak.
Cloudflare was an early adopter of Resource Public Key Infrastructure (RPKI) for route origin validation (ROV). With RPKI, IP prefix owners can store and share ownership information securely, and other operators can validate BGP announcements by comparing received BGP routes with what is stored in the form of Route Origin Authorizations (ROAs). When Route Origin Validation is enforced by networks properly and prefixes are signed via ROA, the impact of a BGP hijack is greatly limited. Despite increased adoption of RPKI over the past several years and 1.1.1.0/24 being a signed resource, during the incident 1.1.1.1/32 was originated by ELETRONET S.A. (AS267613) and accepted by multiple networks, including at least one Tier 1 provider who accepted 1.1.1.1/32 as a blackhole route. This ultimately caused immediate unreachability for the DNS resolver address from much of the world.
Route leaks are something Cloudflare has written and talked about before, and unfortunately there are only best-effort safeguards in wide deployment today, such as IRR (Internet Routing Registry) prefix-list filtering by providers. During the same period of time as the 1.1.1.1/32 hijack, 1.1.1.0/24 was erroneously leaked upstream by Nova Rede de Telecomunicações Ltda (AS262504). The leak was further and widely propagated by Peer-1 Global Internet Exchange (AS1031), which also contributed to the impact felt by customers during the incident.
We apologize for the impact felt by users of 1.1.1.1, and take the operation of the service very seriously. Although the root cause of the impact was external to Cloudflare, we will continue to improve the detection methods in place to yield quicker response times, and will use our stance within the Internet community to further encourage adoption of RPKI-based hijack and leak prevention mechanisms such as Route Origin Validation (ROV) and Autonomous Systems Provider Authorization (ASPA) objects for BGP.
Background
Cloudflare introduced the 1.1.1.1 public DNS resolver service in 2018. Since the announcement, 1.1.1.1 has become one of the most popular resolver IP addresses that is free-to-use by anyone. Along with the popularity and easily recognized IP address comes some operational difficulties. The difficulties stem from historical use of 1.1.1.1 by networks in labs or as a testing IP address, resulting in some residual unexpected traffic or blackholed routing behavior. Because of this, Cloudflare is no stranger to dealing with the effects of BGP misrouting traffic, two of which are covered below.
BGP hijacks
Some of the difficulty comes from potential routing hijacks of 1.1.1.1. For example, if some fictitious FooBar Networks (AS65001) assigns 1.1.1.1/32 to one of their routers and shares this prefix within their internal network, their customers will have difficulty routing to the 1.1.1.1 DNS service. If they advertise the 1.1.1.1/32 prefix outside their immediate network, the impact can be even greater. The reason 1.1.1.1/32 would be selected instead of the 1.1.1.0/24 BGP-announced by Cloudflare is due to Longest Prefix Matching (LPM). While many prefixes in a route table could match the 1.1.1.1 address, such as 1.1.1.0/24, 1.1.1.0/29, and 1.1.1.1/32, 1.1.1.1.1/32 is considered the “longest match” by the LPM algorithm because it has the highest number of identical bits and longest subnet mask while matching the 1.1.1.1 address. In simple terms, we would call 1.1.1.1/32 the “most specific” route available to 1.1.1.1.
Instead of traffic toward 1.1.1.1 routing to Cloudflare via anycast and landing on one of our servers globally, it will instead land somewhere on a device within FooBar Networks where 1.1.1.1 is terminated, and a legitimate response will fail to be served back to clients. This would be considered a hijack of requests to 1.1.1.1, either done purposefully or accidentally by network operators within FooBar Networks.
BGP route leaks
Another source of impact we sometimes face for 1.1.1.1 is BGP route leaks. A route leak occurs when a network becomes an upstream, in terms of BGP announcement, for a network it shouldn’t be an upstream provider for.
Here is an example of a route leak where a customer forward routes learned from one provider to another, causing a type 1 leak (defined in RFC7908).
If enough networks within the Default-Free Zone (DFZ) accept a route leak, it may be used widely for forwarding traffic along the bad path. Often this will cause the network leaking the prefixes to overload, as they aren’t prepared for the amount of global traffic they are now attracting. We wrote about a wide-scale route leak that knocked off a large portion of the Internet, when a provider in Pennsylvania attracted traffic toward global destinations it would have typically never transited traffic for. Even though Cloudflare interconnects with over 13,000 networks globally, the BGP local-preference assigned to a leaked route could be higher than the route received by a network directly from Cloudflare. This sounds counterproductive, but unfortunately it can happen.
To explain why this happens, it helps to think of BGP as a business policy engine along with the routing protocol for the Internet. A transit provider has customers who pay them to transport their data, so logically they assign a higher BGP local-preference than connections with either private or Internet Exchange (IX) peers, so the connection being paid for is most utilized. Think of local-preference as a way of influencing priority of which outgoing connection to send traffic to. Different networks also may choose to prefer Private Network Interconnects (PNIs) over Internet Exchange (IX) received routes. Part of the reason for this is reliability, as a private connection can be viewed as a point-to-point connection between two networks with no third-party managed fabric in between to worry about. Another reason could be cost efficiency, as if you’ve gone to the trouble to allocate a router port and purchase a cross connect between yourself and another peer, you’d like to make use of it to get the best return on your investment.
It is worth noting that both BGP hijacks and route leaks can happen to any IP and prefix on the Internet, not just 1.1.1.1. But as mentioned earlier, 1.1.1.1 is such a recognizable and historically misappropriated address that it tends to be more prone to accidental hijacks or leaks than other IP resources.
During the Cloudflare 1.1.1.1 incident that happened on June 27, 2024, we ended up fighting the impact caused by a combination of both BGP hijacking and a route leak. One alone is enough to cripple a service, but the two paired together can be significantly more impactful.
Incident timeline and impact
All timestamps are in UTC.
2024-06-27 18:51:00 AS267613 (Eletronet) begins announcing 1.1.1.1/32 to peers, providers, and customers. 1.1.1.1/32 is announced with the AS267613 origin AS
2024-06-27 18:52:00 AS262504 (Nova) leaks 1.1.1.0/24, also received from AS267613, upstream to AS1031 (PEER 1 Global Internet Exchange) with AS path “1031 262504 267613 13335”
2024-06-27 18:52:00 AS1031 (upstream of Nova) propagates 1.1.1.0/24 to various Internet Exchange peers and route-servers, widening impact of the leak
2024-06-27 18:52:00 One tier 1 provider receives the 1.1.1.1/32 announcement from AS267613 as a RTBH (Remote Triggered Blackhole) route, causing blackholed traffic for all the tier 1’s customers
2024-06-27 20:03:00 Cloudflare raises internal incident for 1.1.1.1 reachability issues from various countries
2024-06-27 20:08:00 Cloudflare disables a partner peering location with AS267613 that is receiving traffic toward 1.1.1.0/24
2024-06-27 20:08:00 Cloudflare team engages peering partner AS267613 about the incident
2024-06-27 20:10:00 AS262504 leaks 1.1.1.0/24 with a new AS path, “262504 53072 7738 13335” which is also redistributed by AS1031. Traffic is being delivered successfully to Cloudflare when along this path, but with high latency for affected clients
2024-06-27 20:17:00 Cloudflare engages AS262504 regarding the route leak of 1.1.1.0/24 to their upstream providers
2024-06-27 21:56:00 Cloudflare engineers disable a second peering point with AS267613 that is receiving traffic meant for 1.1.1.0/24 from multiple sources not in Brazil
2024-06-27 22:16:00 AS262504 leaks 1.1.1.0/24 again, attracting some traffic to a Cloudflare peering with AS267613 in São Paulo. Some 1.1.1.1 requests as a result are returned with higher latency, but the hijack of 1.1.1.1/32 and traffic blackholing appears resolved
2024-06-28 02:28:00 AS262504 fully resolves the route leak of 1.1.1.0/24
The impact to customers surfaced in one of two ways: unable to reach 1.1.1.1 at all; Able to reach 1.1.1.1, but with high latency per request.
Since AS267613 was hijacking the 1.1.1.1/32 address somewhere within their network, many requests failed at some device in their autonomous system. There were intermittent periods, or flaps, during the incident where they successfully routed requests toward 1.1.1.1 to Cloudflare data centers, albeit with high latency.
Looking at two source countries during the incident, Germany and the United States, impacted traffic to 1.1.1.1 looked like this:
Source Country of Users:
Cloudflare Data Center city:
Looking at the graphs, requests to 1.1.1.1 were landing in Brazilian data centers. The gaps between the spikes are when 1.1.1.1 requests were blackholed prior to or within AS267613, and the spikes themselves are when traffic was delivered to Cloudflare with high latency invoked on the request and response. The brief spikes of traffic successfully carried to the Cloudflare peering location with AS267613 could be explained by the 1.1.1.1/32 route flapping within their network, occasionally letting traffic through to Cloudflare instead of it dropping somewhere in the intermediate path.
Technical description of the error and how it happened
Normally, a request to 1.1.1.1 from users routes to the nearest data center via BGP anycast. During the incident, AS267613 (Eletronet) advertised 1.1.1.1/32 to their peers and upstream providers, and AS262504 leaked 1.1.1.0/24 upstream, changing the normal path of BGP anycast for multiple eyeball networks drastically.
With public route collectors and the monocle tool, we can search for the rogue BGP updates.
monocle search --start-ts 2024-06-27T18:51:00Z --end-ts 2024-06-27T18:55:00Z --prefix '1.1.1.1/32'
A|1719514377.130203|206.126.236.209|398465|1.1.1.1/32|398465 267613|IGP|206.126.236.209|0|0||false|||route-views.eqix
–
A|1719514377.681932|206.82.104.185|398465|1.1.1.1/32|398465 267613|IGP|206.82.104.185|0|0|13538:1|false|||route-views.ny
–
A|1719514388.996829|198.32.132.129|13760|1.1.1.1/32|13760 267613|IGP|198.32.132.129|0|0||false|||route-views.telxatl
We see above that AS398465 and AS13760 reported to the route-views collectors that they received 1.1.1.1/32 from AS267613 around the time impact begins. Normally, the longest IPv4 prefix accepted in the Default-Free-Zone (DFZ) is a /24, but in this case we observed multiple networks using the 1.1.1.1/32 route from AS267613 for forwarding, made apparent by the blackholing of traffic that never arrived at a Cloudflare POP (Point of Presence). The origination of 1.1.1.1/32 by AS267613 is a BGP route hijack. They were announcing the prefix with origin AS267613 even though the Route Origin Authorization (ROA) is only signed for origin AS13335 (Cloudflare) with a maximum prefix length of /24.
We even saw BGP updates for 1.1.1.1/32 when looking at our own BMP (BGP Monitoring Protocol) data at Cloudflare. From at least a couple different route servers, we received our own 1.1.1.1/32 announcement via BGP. Thankfully, Cloudflare rejects these routes on import as both RPKI Invalid and DFZ Invalid due to invalid AS origin and prefix length. The BMP data display is pre-policy, meaning even though we rejected the route we can see where we receive the BGP update over a peering session.
So not only are multiple networks accepting prefixes that should not exist in the global routing table, but they are also accepting an RPKI (Resource Public Key Infrastructure) Invalid route. To make matters worse, one Tier-1 transit provider accepted the 1.1.1.1/32 announcement as a RTBH (Remote-Triggered Blackhole) route from AS267613, discarding all traffic at their edge that would normally route to Cloudflare. This alone caused wide impact, as any networks leveraging this particular Tier-1 provider in routing to 1.1.1.1 would have been unable to reach the IP address during the incident.
For those unfamiliar with Remote-Triggered Blackholing, it is a method of signaling to a provider a set of destinations you would like traffic to be dropped for within their network. It exists as a blunt method of fighting off DDoS attacks. When you are being attacked on a specific IP or prefix, you can tell your upstream provider to absorb all traffic toward that destination IP address or prefix by discarding it before it comes to your network port. The problem during this incident was AS267613 was unauthorized to blackhole 1.1.1.1/32. Cloudflare only should have the sole right to leverage RTBH for discarding of traffic destined for AS13335, which is something we would in reality never do.
Looking now at BGP updates for 1.1.1.0/24 multiple networks received the prefix from AS262504 and accepted it.
~> monocle search --start-ts 2024-06-27T20:10:00Z --end-ts 2024-06-27T20:13:00Z --prefix '1.1.1.0/24' --as-path ".* 267613 13335" --include-sub
.. some advertisements removed for brevity ..
A|1719519011.378028|187.16.217.158|1031|1.1.1.0/24|1031 262504 267613 13335|IGP|187.16.217.158|0|0|1031:1031 1031:4209 1031:6045 1031:7019 1031:8010|false|13335|162.158.177.1|route-views2.saopaulo
–
A|1719519011.629398|45.184.147.17|1031|1.1.1.0/24|1031 262504 267613 13335|IGP|45.184.147.17|0|0|1031:1031 1031:4209 1031:4259 1031:6045 1031:7019 1031:8010|false|13335|162.158.177.1|route-views.fortaleza
–
A|1719519036.943174|80.249.210.99|50763|1.1.1.0/24|50763 1031 262504 267613 13335|IGP|80.249.210.99|0|0|1031:1031 50763:400|false|13335|162.158.177.1|route-views.amsix
–
A|1719519037|80.249.210.99|50763|1.1.1.0/24|50763 1031 262504 267613 13335|IGP|80.249.210.99|0|0|1031:1031 50763:400|false|13335|162.158.177.1|rrc03
–
A|1719519087.4546|45.184.146.59|199524|1.1.1.0/24|199524 1031 262504 267613 13335|IGP|45.184.147.17|0|0||false|13335|162.158.177.1|route-views.fortaleza
A|1719519087.464375|45.184.147.74|264409|1.1.1.0/24|264409 1031 262504 267613 13335|IGP|45.184.147.74|0|0|65100:7010|false|13335|162.158.177.1|route-views.fortaleza
–
A|1719519096.059558|190.15.124.18|61568|1.1.1.0/24|61568 262504 267613 13335|IGP|190.15.124.18|0|0|1031:1031 1031:4209 1031:6045 1031:7019 1031:8010|false|13335|162.158.177.1|route-views3
–
A|1719519128.843415|190.15.124.18|61568|1.1.1.0/24|61568 262504 267613 13335|IGP|190.15.124.18|0|0|1031:1031 1031:4209 1031:6045 1031:7019 1031:8010|false|13335|162.158.177.1|route-views3
Here we pay attention to the AS path again. This time, AS13335 is the origin AS at the very end of the announcements. This BGP announcement is RPKI Valid, because the origin is correctly AS13335, but this is a route leak of 1.1.1.0/24 because the path itself is invalid.
How do we know it’s a route leak?
Looking at an example path, “199524 1031 262504 267613 13335”, AS267613 is functionally a peer of AS13335 and should not share the 1.1.1.0/24 announcement with their peers or upstreams, only their customers (AS Cone). AS262504 is a customer of AS267613 and the next adjacent ASN in the path, so that particular announcement is fine up until this point. Where the 1.1.1.0/24 goes wrong is AS262504, when they announce the prefix to their upstream AS1031. Furthermore, AS1031 redistributed the advertisement to their peers.
This means AS262504 is the leaking network. AS1031 accepted the leak from their customer, AS262504, and caused wide impact by distributing the route in multiple peering locations globally. AS1031 (Peer-1 Global Internet Exchange) advertises themselves as a global peering exchange. Cloudflare is not a customer of AS1031, so 1.1.1.0/24 should have never been redistributed to peers, route-servers, or upstreams of AS1031. It appears that AS1031 does not perform any extensive filtering for customer BGP sessions, and instead just matches on adjacency (in this case, AS262504) and redistributes everything that meets this criteria. Unfortunately, this is irresponsible of AS1031 and causes direct impact to 1.1.1.1 and potentially other services that fall victim to the unguarded route propagation. While the original leaking network was AS262504, impact was greatly amplified by AS1031 and others when they accepted the hijack or leak and further distributed the announcements.
During the majority of the incident, the leak by AS262504 eventually landed requests within AS267613, which was discarding 1.1.1.1/32 traffic somewhere in their network. To that end, AS262504 really just amplified the impact in terms of 1.1.1.1 unreachability by leaking routes upstream.
To limit impact of the route leak, Cloudflare disabled peering in multiple locations with AS267613. The problem did not completely go away, as AS262504 was still leaking a stale path pointing to São Paulo. Requests landing in São Paulo were able to be served, albeit with a high round-trip time back to users. Cloudflare has been engaging with all networks mentioned throughout this post in regard to the leak and future prevention mechanisms, as well as at least one Tier 1 transit provider who accepted 1.1.1.1/32 from AS267613 as a blackhole route that was unauthorized by Cloudflare and caused widespread impact.
Remediation and follow-up steps
BGP hijacks
RPKI origin validation
RPKI has recently reached a major milestone at 50% deployment in terms of prefixes signed by Route Origin Authorization (ROA). While RPKI certainly helps limit the spread of a hijacked BGP prefix throughout the Internet, we need all networks to do their part, especially major networks with a large sum of downstream Autonomous Systems (AS’s). During the hijack of 1.1.1.1/32, multiple networks accepted and used the route announced by AS267613 for traffic forwarding.
RPKI and Remote-Triggered Blackholing (RTBH)
A significant amount of the impact caused during this incident was due to a Tier 1 provider accepting 1.1.1.1/32 as a blackhole route from a third party that is not Cloudflare. This in itself is a hijack of 1.1.1.1, and a very dangerous one. RTBH is a useful tool used by many networks when desperate for a mitigation against large DDoS attacks. The problem is the BGP filtering used for RTBH is loose in nature, relying often only on AS-SET objects found in Internet Routing Registries. Relying on Route Origin Authorization (ROA) would be infeasible for RTBH filtering, as that would require thousands of potential ROAs be created for the network the size of Cloudflare. Not only this, but creating specific /32 entries opens up the potential for an individual address such as 1.1.1.1/32 being announced by someone pretending to be AS13335, becoming the best route to 1.1.1.1 on the Internet and causing severe impact.
AS-SET filtering is not representative of authority to blackhole a route, such as 1.1.1.1/32. Only Cloudflare should be able to blackhole a destination it has the rights to operate. A potential way to fix the lenient filtering of providers on RTBH sessions would again be leveraging an RPKI. Using an example from the IETF, the expired draft-spaghetti-sidrops-rpki-doa-00 proposal specified a Discard Origin Authorization (DOA) object that would be used to authorize only specific origins to authorize a blackhole action for a prefix. If such an object was signed, and RTBH requests validated against the object, the unauthorized blackhole attempt of 1.1.1.1/32 by AS267613 would have been invalid instead of accepted by the Tier 1 provider.
BGP best practices
Simply following BGP best practices laid out by MANRS, and rejecting IPv4 prefixes that are longer than a /24 in the Default-Free Zone (DFZ) would have reduced impact to 1.1.1.1. Rejecting invalid prefix lengths within the wider Internet should be part of a standard BGP policy for all networks.
BGP route leaks
Route leak detection
While route leaks are not unavoidable for Cloudflare today, because the Internet inherently relies on trust for interconnection, there are some steps we will take to limit impact.
We have expanded data sources to use for our route leak detection system to cover more networks and are in the process of incorporating real-time data into the detection system to allow more timely response toward similar events in the future.
ASPA for BGP
We will continue advocating for the adoption of RPKI into AS Path based leak route leak prevention. Autonomous System Provider Authorization (ASPA) objects are similar to ROAs, except instead of signing prefixes with an authorized origin AS, the AS itself is signed with a list of provider networks that are allowed to propagate their routes. So, in the case of Cloudflare, only valid upstream transit providers would be signed as authorized to advertise AS13335 prefixes such as 1.1.1.0/24 upstream.
In the route leak example where AS262504 (customer of AS267613) shared 1.1.1.0/24 upstream, BGP ASPA would see this as an invalid valley leak if AS267613 had signed their authorized providers and AS1031 had validated paths against that list. Similar to RPKI origin validation, however, this will be a long-term effort and dependent on networks, especially large providers, rejecting invalid AS paths as based on ASPA objects.
Other potential approaches
There are alternative approaches to ASPA that do exist, in various stages of adoption that may be worth noting. There is no guarantee that the following make it to a stage of wide Internet deployment, however.
RFC9234, for example, uses a concept of peer roles within BGP capabilities and attributes, and depending on the configuration of routers along a path for updates, an “Only-To-Customer” (OTC) attribute can be added to prefixes that will prevent the upstream spread of a prefix such as 1.1.1.0/24 along a leaked path. The downside is BGP configuration needs to be completed to assign the various roles to each peering session, and vendor adoption still has to be fully ironed out to make this feasible for actual use in production with positive results.
Like all approaches to solving route leaks, cooperation amongst network operators on the Internet is required for success.
Conclusion
Cloudflare’s 1.1.1.1 DNS resolver service fell victim to a simultaneous BGP hijack and BGP route leak event. While the actions of external networks are outside of Cloudflare’s direct control, we intend to take every step within both the Internet community and internally at Cloudflare to detect impact more quickly and lessen impact to our users.
Long term, Cloudflare continues to support adoption of RPKI-based origin validation, as well as AS path validation. The former exists with deployment across a wide array of the world’s largest networks, and the latter is still in draft phase at the IETF (Internet Engineering Task Force). In the meantime, to check if your ISP is enforcing RPKI origin validation, you can always visit isbgpsafeyet.com and Test Your ISP.
Не разпадане, а прегрупиране на сивата държава
Post Syndicated from Боян Юруков original https://yurukov.net/blog/2024/siva-darjava/
Всички гледаме отстрани извадили пуканки шоуто на привидното разпадане на ДПС. Някои си мислят, че е развръзката на края им. Проблемът е, че не е. Това е само страница от същото преразпределение на власт, на което сме свидетели в последните поне 35 години. Просто за това време куршумите вместо от месинг станаха не изцяло, но все повече под формата на заглавия в медиите, полицейски палки и прокурорски папки.
Преразпределението стана и все по-публично, срамно за страните и лесно проследимо. Това е заради множеството макар и малки стъпки за прозрачност, които не успяват да заобиколят. Също заради разбираемо омразната за голяма част от избирателите, но страшно неудобна за ключовите играчи на сцената вътрешна и външна политическа обстановка.
Покрай чистката в ДПС се изнасят добре известни факти за обръчи от фирми, купени магистрати, депутати-пионки, зекрепостени села и цели общини и дори външни политически и икономически зависимости и скрити ангажименти. Всичко е банално ясно и крайно показателно за липсата на реакция на служби и прокуратура, освен в помощ на една или друга фракция. До такава степен не сме учудени, че дори журналисти почти не го отбелязват къде от подценяване на и услужливост към мисловния процес на зрителя, къде за да не им изстине столчето.
На повечето хора поне привидно не им пука, защото отмятат с „керванът си върви“, нали? Не вярваме, че може да съществува съдебна система в България, която да пресече тази корпоративна партия заедно с други аналогични схеми и зависимости. Поне не без няколко надали глава прокурори и съдии да бъдат разстреляни по подобие на войните с италианската мафия.
Опасявам се обаче, че има и сериозна част от хората, които тръпнат следейки кой ще надделее, за да разберат дали тази част от схемата, в която те участват, ще е отгоре или ще трябва бързо да се преориентират към нов тартор. Такива са както баналните батки с диагоналки тичащи по ежедневни задания, така и висши магистрати и политици с досиета където не им се ще. Сред тях има и много хора, чиито цял живот е бил е минал в този паралелен свят и не виждат как нещо може да вирее на светло или че те самите биха оцелели без тези схеми, чадъри и черни капитали. Това са често обикновени работници, които си гледат семейството и други със собствен бизнес, но зависещ изцяло от нечие благоволение и в голяма степен в сивия сектор.
Тези хора гледат с най-голям интерес случващото се и чакат да видят кой ще им плаща сметката в кафенето утре, защото сами не могат и никога не са могли, нищо че се снимат с мощни коли, по инста-почивки, със скъпи тениски и хиалуронови аксесоари. Някои пък дежурят в студия да правят анализи и прогнози в опит да насочат нещата, но без тази паралелна държава не биха оцелели. Трудно може да очакваме някой от тях да иска, гласува и работи за нещо различно, защото ги е страх от различното, не го познават и не могат да си представят себе си в него.
Хубавата новина е, че не са мнозинство. Останалите не че не ни пука – предимно ги търпим, защото и без това имаме достатъчно драма в живота си. Търпим като форсират двигатели прелитайки на метър от детските ни колички, като бият и убиват на пътя, по барове и паркове. Търпим като вардят изборни секции, кафета на прокурори, кресла на регулатори, комисии на висши съдилища и яхти на любими облагодетелствани. Търпим като ни сплашват през медиите с нещо дребно, което дори не ни засяга, въпреки добре да знаем, че зад цялата драма стои плетеница от интереси прокарани чрез закон, послушен кадър и съдия.
На този етап в историята много от търпящите ще кажат „айде закривай и последният да угаси лампата“. Истината е, че все това правим и ако продължим, все повече същата тази „сива държава“ ще изкупи всичко на безценица както става при фалит или направо ще го заграби при липсва на обществен, институционален или съдебен контрол. „Закривай“ води само до повече от същото, на което се възмущаваме вече 30 години на пресекулки. В кратките периоди, когато сме се обръщали срещу течението да направляваме в някаква желана посока, сме постигнали много. Доста хора жертваха себе си да се случат тези кратки моменти и неизменно ги почернихме в един тон със сивата държава.
Та не гледам на шумните събития в ДПС – както и по-малко публичните в ГЕРБ и БСП и другите комични в партията-пирамида – като на разпадане, а като прегрупиране и престрелка в мафиотската структура, която наричаме политико-икономически зависимости. Стрелят все още само служби, полиция и прокуратура по нареждане от който трябва. Те така са свикнали, така са правили десетилетия и надали някой сред тях ще очаква вие или аз да го защитим, ако нададе глава, нали? Дали?
The post Не разпадане, а прегрупиране на сивата държава first appeared on Блогът на Юруков.
Who Really Benefits From Remote Work?
Post Syndicated from The Atlantic original https://www.youtube.com/watch?v=pMWEKkcCohA
Демокрация в упадък. Правителство – наесен
Post Syndicated from Емилия Милчева original https://www.toest.bg/demokratsiya-v-upaduk-pravitelstvo-naesen/
Тъжно за политиците, жалко за държавата – България с бясна скорост се носи към седми поред предсрочни парламентарни избори, най-вероятно през октомври. Упадъкът на демокрацията продължава, партиите крепят фасадата ѝ. Провалът на първия мандат за съставяне на правителство на ГЕРБ–СДС потопи и следващите два, тъй като е невъзможно да съберат необходимото за подкрепа мнозинство.
Кабинетът с министър-председател Росен Желязков, предложен с първия мандат на ГЕРБ–СДС, получи подкрепа единствено от 68-те депутати на ГЕРБ–СДС и 30 от ДПС, определени като евроатлантици от съпредседателя Делян Пеевски.
Други 14 народни представители от ДПС обаче бяха против, както призова почетният председател на ДПС Ахмед Доган, а Джейхан Ибрямов, един от зам.-председателите на ДПС, се въздържа, но изпрати позиция до медиите, че всъщност е гласувал против и вотът му не е отчетен правилно. Между другото, наскоро беше съобщено, че неговата съпруга Биршен Ибрямова, която е била дългогодишна лична секретарка на Доган, е освободена от централата на партията. Сред гласувалите против в ДПС е и съпредседателят на Движението Джевдет Чакъров.
Въздържал се имаше в групата на ПП–ДБ, останалите 38 бяха против. Срещу редовен кабинет гласуваха всички 38 депутати от „Възраждане“, 16-те от „Има такъв народ“, както и всички 13 избраници на „Величие“. 17-те присъстващи депутати от „БСП за България“ бяха против, също и изключеният от БСП Калоян Методиев.
Така сметката от близо 810 млн. лв. за всички избори от 2021 г. насам, в т.ч. президентски, местни и европейски, ще се увеличи с още стотина милиона, когато бъде насрочен новият вот. При това без особени надежди да се подобри качеството на българската представителна демокрация.
Каквито и да са резултатите на следващи избори, те ще потвърдят силната фрагментация, характерна от няколко години за българските парламенти и предопределяща коалиционно управление, тъй като всички са твърде малки, за да управляват сами. На фона на ниската избирателна активност победители и категорични мнозинства отдавна няма. Има само политически сили, спечелили малко повече от другите. За сравнение, на парламентарните избори на 4 април 2021 г. са гласували 50,61% от избирателите, три години по-късно активността се е сринала до 34,41%.
Спектакълът на ГЕРБ
ГЕРБ и нейният лидер Бойко Борисов направиха всичко възможно да убедят обществото и главно избирателите си, че повече от всичко искат да има правителство, готови са да носят политическата отговорност и искат да получат „осъзната политическа подкрепа“. Но действията им говореха за обратното.
Отново пуснаха в ход преговорен екип, който не постигна особени резултати, но излъчи имиджови сигнали за „добра воля“. При връчването на мандата ГЕРБ се яви със състав на бъдещо правителство, без да даде възможност за разговори по номинациите с останалите политически сили. В състава на проектоправителството бяха ярки политически лица, някои вече управлявали в кабинети на ГЕРБ, въпреки че в по-ранни изявления БСП, ИТН, „Възраждане“ и „Величие“ обявиха, че биха подкрепили правителство от експерти. Освен от ГЕРБ, в проектокабинета присъстваха и министри от последните две правителства – служебно и редовно.
С този ход Бойко Борисов успя да се измъкне от пакетирането с ДПС и със санкционирания за корупция от САЩ и Великобритания Делян Пеевски, което щеше да е в ущърб на ГЕРБ – и имиджово, и при споделянето на властта.
Самият Борисов на няколко пъти обясни публично, че само с ДПС няма да прави кабинет. Така парира и атаки за зависимости от страна на доскорошните партньори в „сглобката“ ПП–ДБ, които превърнаха съдружието Пеевски–Борисов в централна тема на опозиционния си наратив. Имаха своето основание – ГЕРБ развали т.нар. сглобка след меморандума на ПП–ДБ, в който имаше предложение за подялба на регулаторите 50:50, изключващо ДПС.
Фразата на Борисов, че кабинетът може и да мине с някой „трик“, насочи подозренията към най-малката парламентарна група – на „Величие“, и към възможното ѝ разцепване предвид скандалите между двете лица на партията Николай Марков и Ивелин Михайлов. Но в деня на гласуването групата се показа единна, най-вероятно проумели, че никой не търси подкрепата им. А ГЕРБ едва ли са петимни за съдействие от партия с бутафорен изглед и неясна идеология, чиято единствената сигурна характеристика е, че е националистическа и популистка. Лидерът на ГЕРБ е бил в такива съюзи в години, когато партньори „патриоти“ с прокремълски уклон все още можеха да бъдат преглътнати. Вече не.
За Борисов изходът беше предопределен още преди гласуването, отхвърлило предложеното от ГЕРБ правителство.
Извиняваме се, молим за прошка българските граждани, ще се явим пак пред тях. С уважение се отнасям, не обиждам никого, да си пожелаем да се видим след изборите, защото не вярвам и с третия мандат да стане нещо. Да прекратим гласуването, да благодарим на служебния кабинет и да отиваме да агитираме, да молим за прошка.
ДПС се пропуква
Трусовете в ДПС обаче не са факторът, който попречи на кабинета на Росен Желязков да бъде приет. Дори и групата на ДПС да беше единна, заедно с ГЕРБ не стигаха мнозинство от 121 гласа. Пропукването в една от най-монолитните партии на статуквото обаче е симптом за тектонични сблъсъци под повърхността. Безпрецедентно по рода си, тъй като за първи път е сериозно застрашено единството на ДПС.
Причината е, че е оспорено лидерството на пожизнения владетел на партията Ахмед Доган от посочения от самия него за лидер и феномен Делян Пеевски – олигарх, създаден с помощта на същите кръгове от дълбоката държава, сътворили Доган.
Никой досега не го е правил така агресивно, въпреки че през годините мнозина са се опълчвали на човека, наричан от своите Сокола, или просто са губили доверието му – Яшар Шабан, Гюнер Тахир, Осман Октай, Касим Дал, Лютви Местан, Корман Исмаилов, Мустафа Карадайъ… Всички те, по един или друг начин, са били изхвърляни от ДПС, но това не застраши целокупността на партията и нейното единоначалие. Само създадената от Местан партия ДОСТ успя да спечели 100 479 гласа на изборите през март 2017 г., но не мина прага от 4%, за да влезе в парламента.
В предаването „Денят с Веселин Дремджиев“ наскоро Гюнер Тахир съобщи, че именно Пеевски, по онова време депутат в 43-тото НС, е разпоредил да бъде свалена охраната на Местан след показното му отстраняване като лидер на ДПС заради пронатовски позиции. (А днес Пеевски е вече евроатлантик, който се гневи, че подаряваме България на Путин, след като не е избрано евроатлантическото правителство.)
Тахир заяви още, че по неофициална информация сега е била свалена и охраната на Доган. Новината мина и замина, но в контекста на развилите се събития може да бъде разгледана и като опит за сплашване на почетния председател, изолирал се от активната политика, а от известно време и със сериозни финансови затруднения заради признатия от съда дълг от над 37 млн. лв. на ТЕЦ „Варна“ към „Булгаргаз“.
Пеевски стартира акция за подмяна на ръководни кадри на ДПС по места и в парламентарната група. Действията му са опаковани като „ново начало“ и са под егидата на евроатлантизма – без да се церемони, така както е действал в медиите си и при различни поръчки. Консолидира около себе си кметовете на ДПС от помашките райони и някои местни структури. Междувременно овладеният от него пресцентър започна да го представя като председател на ДПС и лидер, въпреки че и той, и Джевдет Чакъров са съпредседатели на партията. Първите, на които посегна в ДПС, бяха знакови лица – Филиз Хюсменова, Рамадан Аталай, споменатата Биршен Ибрямова, Айсел Руфад, вече бивша зам.-председателка на парламентарната група на ДПС.
Огромните му амбиции за тотален контрол над ДПС обаче срещнаха отпор. По bTV Рамадан Аталай съобщи публично за разпореждане на Доган да не се подкрепя правителството, тъй като не е имало преговори нито по състава, нито по политиките му. Пеевски потвърди, но и заяви, че той е лидерът и ще изпълни „волята на хората“.
Аз ще изпълня волята на хората. Хората в цялата страна съм ги видял – искат правителство. България трябва да има правителство. Ние трябва да се грижим за хората. Аз като лидер на ДПС съм отговорен само пред хората на ДПС. Това е спазване на устава на ДПС. ДПС се управлява от своя председател.
През това време във Facebook групата „Аз подкрепям Ахмед Доган“ се появиха писма от двете най-големи структури на ДПС – организациите в Кърджали и Разград, заедно с други, които призовават Доган да излезе с изявление за случващото се. Но той мълчи, а ръководните органи на партията са като парализирани – и Централното оперативно бюро, част от което са някои от изключените, и Централният съвет.
Напрежението обаче расте и изявление на Доган е наложително – предстоят избори и партийният апарат трябва да действа както досега. Мълчанието на почетния председател ще означава, че неговите зависимости го възпират да се намеси и да въведе ред в партията, на която е съосновател. Пеевски ще използва тази слабост, за да опита да завземе нови позиции – но въпреки това си остава чуждо тяло за ДПС.
Съпредседателят Чакъров, мълчал досега, вече публично призна, че има напрежение – блокирани са колективните органи на партията – но се надява разумът да надделее. И двата враждуващи лагера си дават сметка, че едно отслабено ДПС не е от полза за никого. Въпросът е как ще се справят с разкола – чрез мирно споразумение за ненападение, което не изглежда възможно, или чрез валяка на грубата сила и подчинение, каквито са методите на Пеевски. Резултатът ще се чете по резултатите на ДПС през октомври.
ПП–ДБ нямат време
Предстоящото разпускане на парламента и нови избори наесен не са от полза на ПП–ДБ, които са опозиция в 50-тото НС. Това им поведение се нуждае от време, за да бъде утвърдено пред избирателите, в т.ч. и пред изгубените 300 хиляди, огорчени и фрустрирани от съюза с ГЕРБ и ДПС. Оставката на лидера на „Да, България“ и съпредседател на ДБ Христо Иванов, поел отговорност за изборните резултати, е предизвикателство за реорганизация на коалицията и обновление на лидерството, но е и загуба за обединението, което още търси общ бранд и платформа за съвместно бъдеще. Иванов заяви:
Ние сбъркахме по начина, по който го прилагахме [компромиса – б.а.], не успяхме да го защитим и да получим подкрепа и аз поемам тази отговорност.
В ситуация на предстоящи избори и неяснота как ще бъде надградена коалицията ПП–ДБ, съчетаваща либерали и десни, бързият избор на нов лидер на „Да, България“ е належащ. Насрочено заседание за целта все още няма. Мястото на Христо Иванов в парламента, редом до другите лидери от ПП–ДБ – Атанас Атанасов, Кирил Петков и Николай Денков, зае депутатът Божидар Божанов, бивш министър на електронното управление, събрал най-много преференции на вота на 9 юни (7496). От „Продължаваме промяната“ не обявиха оставки.
По време на дебатите в пленарната зала по повод проектокабинета на ГЕРБ най-острите пререкания бяха между ПП и депутати от партията на Борисов, без да бъде намесвано ДПС. Съпредседателят на ПП Кирил Петков се обърна към избирателите с извинение, че още в първия месец (от управлението на кабинета „Денков“) не са поставили като приоритет реформите в службите и в правосъдната система.
Никога повече няма да се изненадате от нас – ще бъдем конструктивни. Ако някой си мисли, че ще сме коалиционен партньор без тези реформи, вие дълбоко се лъжете. Няма да правим никога повече компромис.
Това ли ще са общите послания към избирателите, които ПП–ДБ ще излъчи за почти сигурните нови избори, още не е ясно. Предвид повратната точка, в която се намира съюзът, този път не могат да залагат на принципа „всеки сам за себе си“.
Предстоящите избори няма да повлияят съществено на останалите партии. В зависимост от това кога ще бъдат насрочени, БСП може да е с нов лидер, а може все още да е с временно изпълняващия функциите Атанас Зафиров, избран след оставката на Корнелия Нинова. Според хронограмата, предложена от Изпълнителното бюро, до 10 ноември трябва да се проведе пряк избор на председател. Но това едва ли ще е спирачка за нов спад – социалистите спечелиха едва 151 560 гласа на последните избори.
Заради скандалите с „Величие“, придобили характер на стендъп комедия, „Възраждане“, прицелена в същия тип избиратели, може да увеличи резултата си. Към момента само националистите на Костадин Костадинов имат реални, макар и неголеми шансове да го направят.
Достатъчно гъвкав и реактивен, лидерът на „Възраждане“ бързо смени тона и вместо напористия и нападателен Костадинов, вече отправя едни значително по-балансирани послания. На фона на междуличностните нападки и напрежение между останалите политически сили те изглеждат някак по-разумно и подсказват, че „Възраждане“ се подготвя да бъде ухажвана за партньор във властта. Въпреки че опцията за пореден сурогат от типа на „Величие“ не е изключена, партията на Костадинов може да върне част от избирателите си, които подкрепиха „Величие“, и да се амбицира да стане втора политическа сила.
На поредните – седми за последните четири години – парламентарни избори въпросът вече не е дали ще бъде сформирано редовно правителство в България – неизбежно ще го има, а как ще бъде запазен демократичният ред.
Светът се преобръща. Крайната десница на Льо Пен спечели първия тур на изборите във Франция. Макар проучванията да показват, че няма да постигне мнозинство от 289 мандата, пробивът е значим и последиците тепърва ще се изпитват. Крайнодясната партия „Да реформираме Обединеното кралство“ на Найджъл Фараж се очертава като втора политическа сила във Великобритания на предстоящите избори. В Нидерландия вече управлява правителство, в което участва крайнодясната „Партия на свободата“. След неубедителното представяне на Джо Байдън на първия дебат с Доналд Тръмп за президентския пост в САЩ победата на Тръмп за Белия дом изглежда все по-възможна.
Възходът на крайнодесните и популистите не подминава България. Големият въпрос е как и колко ще ѝ навреди и къде са здравите сили, които могат да противостоят.
Пет отровни дела. Знаете ли какво е да стреляш по човек?
Post Syndicated from original https://www.toest.bg/pet-otrovni-dela-znaete-li-kakvo-e-da-streliash-po-chovek/
Не искам да убивам хора,
ми каза Александър Стоцки, когато се видяхме за първи път през 2022 г. в София. От началото на войната на Русия срещу Украйна хиляди украински бежанци напуснаха страната си. Но Стоцки не е украинец. Руснак е.
Това е земя на простичко щастие.
Какво бихте си представили, ако чуете този слоган в нечия реклама, претендираща да покаже цяла страна с всичките ѝ красоти, дарования и гордости? Какво е простичко щастие?
Когато в България създават този слоган за първата пълноцветна реклама на страната ни, годината е 1965-та, а в следващите шестминутни кадри се редуват моми, берящи рози, момци, жънещи житни класове, мускулести мъже с каскети, които държат в юмрук решителността и силата на едно „светло бъдеще“ за обществото ни тогава. Следват ги плискащи се вълни на лазурни брегове, горди снежни върхове, притихнали баби, които гостоприемно ви канят да влезете, за да ви покажат как трака станът на тяхната баба. И едно условие насред всичко това:
България не е религиозна страна, тъй като е комунистическа държава.
По това време, през 1965 г., Стоцки не е бил роден, вероятно и бъдещите му родители – също. Днес те живеят в Москва, столицата на Русия, а той – в София, столицата на България.
От създаването на рекламата за „простичкото щастие“ минават петдесет години и през 1989-та страната ни се откъсва от сателитната си орбита около СССР. Годината е 2015-та, когато България създава нов слоган в опит да рекламира себе си:
Скрито пред очите ти.
Рекламата поощрява българите да пътуват и да опознават страната си. Тогавашната министърка на туризма Николина Ангелкова цитира някакво проучване, според което българите са склонни да го правят, но нямат информация къде могат да почиват и да прекарват свободното си време,
На какво обаче се дължи спадът на руски и украински туристи, и дума не става в речта на министърката от ГЕРБ.
Година преди Ангелкова да оповести отлива на руски и украински туристи от страната ни, на 18 март 2014 г. Русия анексира украинския полустров Крим. Европейският съюз не признава незаконното анексиране на Крим и Севастопол от Руската федерация и инициира редица санкции за Русия. В България – членка на Съюза, лидерът на управляващата партия ГЕРБ Бойко Борисов казва, че партията му подкрепя ЕС и НАТО за ситуацията в Украйна, но според него санкциите срещу Русия са в ущърб на интересите на България и не трябва да ги има. По думите му, е по-добре страната да бъде посредник за приключването на кризата.
Така идва онази 2015 година, когато Бойко Борисов е отново на власт и заявява, че трябва да сме по-сдържани спрямо Русия. Също и: „Моля се на Бога големите началници по-бързо да се разберат и санкциите да бъдат отменени.“
През същата 2015-та Александър Стоцки е на 19 и е част от протестиращите в Москва срещу анексията на Крим. Освен това за него е време да отслужи задължителната редовна военна служба там. Излиза от казармата с чин ефрейтор в сапьорски войски.
© Личен архив
На 24 февруари 2022 г. Русия нахлува в Украйна. Към България бягат хиляди украински жени с децата си, ужасени от ракетните обстрели над градовете им и смъртта, която сеят руските бомби и войници там. Заедно с тях към България побягват – но от другата страна на фронта – и руснаци. Един от тях е Александър Стоцки:
В края на 2021-ва и началото на 2022-ра, когато започна струпването на руски войски по границата с Украйна, в рамките на два месеца получих три призовки от армията да се явя в едно поделение. И на трите призовки пишеше, че е повиквателна за запас. Не се явих. На 23 срещу 24 февруари през нощта вече беше ясно, че започва война. Цяла нощ не спах, защото разбирах, че не ме викат запас – това беше предлог да ме изпратят на фронта. Знаех, че ако се явя запас, те ще ме принудят да подпиша всякакви документи, за да ме изпратят на фронта уж като доброволец. Отбивайки военната си служба, бях сапьор – едно от най-търсените умения при война. За щастие, имах туристическа виза за България. Хванах първия самолет на сутринта, защото вече знаех какво се случва – пълномащабна война.
На 25 февруари 2022 г. Александър Стоцки каца в България. В същото време президентът на „земята на простичкото щастие“ и държавата, в която всичко е „скрито пред очите ти“ Румен Радев казва: „Русия ще спечели тази война, но тя много трудно ще спечели мира.“ Премиерът Кирил Петков пък заявява, че войната ще свърши за три дни, защото украинската армия е почти унищожена.
Но всичко това е контекст, защото Александър Стоцки разбира къде е попаднал, едва когато визата му изтича и трябва да подаде документи за закрила и бежански статут.
Процесите
Софийски административен съд, административно дело № 7376
Публичното заседание е на 14.11.2022 г.
Пред Държавната агенция за бежанците (ДАБ) и Софийския административен съд аргументите на Александър да поиска убежище в България са доста. В Русия, а и след идването му в България е участвал в много митинги срещу режима на Владимир Путин. Бил е част от щаба на руските опозиционни политици като наблюдател на изборите за руската „Дума“, бил е и част от платформата „Умно гласуване“ на Алексей Навални (поддръжниците на „Умно гласуване“ са считани от руските власти за екстремисти и всеки от тях е под опасност от затвор – б.а.). След пристигането си в България е назовавал многократно и публично войната в Украйна „война“, а не „специална операция“, а също ака се е обявявал против нахлуването на руските войски в Украйна, за което в Русия санкцията е затвор.
Други притеснения на Александър са, че след като е получил три призовки за явяване в армията като ефрейтор от сапьорски войски и не се е явил, ако се завърне в Русия, със сигурност ще бъде обявен за дезертьор и ще бъде изпратен в затвор. Александър прилага копие от последната си призовка. Към този момент призовките за запас все още са хартиени. По-късно, след официалната мобилизация в Русия, се създава електронен регистър и призовките се получават по електронен път.
Софийският административен съд отказва да приеме копието на призовката на Александър за запас и иска оригинала. Той обяснява, че не е имало как да носи оригиналната призовка със себе си, бягайки към България, защото обиските на границите на Русия са много щателни и при всички случаи властите са щели да я намерят. Родителите на Александър не успяват да изпратят оригинала в рамките на делото и това доказателство не е признато от съда: „Дискредитирана е доказателствената стойност на фотокопието от призовката за военна служба поради липсата на оригинал.“
Освен това, по останалите аргументи на Стоцки, Съдът се произнася така: „Настоящият състав на Административен съд, София – град, като споделя крайните изводи за липса на основания да бъде предоставена международна закрила приема, че оспорваното Решение No 10938/19.07.2022 г. на заместник – председателя на ДАБ е правилно. Статут на бежанец в Република България се предоставя на чужденец, който основателно се страхува от преследване, поради своята раса, религия, националност, принадлежност към определена социална група или поради политическо мнение и/или убеждение, намира се извън държавата си по произход и поради тези причини не може или не желае да се ползва от закрилата на тази държава или да се завърне в нея – чл. 8, ал. 1 ЗУБ. Правилен е изводът на административния орган, че изложените от лицето причини не представляват материалноправно основание, по смисъла на чл. 8, ал. 1 ЗУБ за предоставяне на статут на бежанец. Като недоказани Съдът преценява твърденията за: участие в няколко протеста против властта; опасения, че може да бъде въдворен в затвора за политическата си дейност и моралните си принципи.
(Цитатът е със съкращения и запазен правопис.)
Според Държавната Агенция за бежанците: „От описаните по-горе твърдения на чужденеца, Агенцията приема, че молбата за закрила е неоснователна, тъй като молителят не обосновава необходимостта от предоставяне на такава и не посочва причини за основателни опасения от преследване в държавата си на произход. Вероятността да е бил призован за мобилизация за предстоящата „военна операция" в Украйна е несъществена. Няма твърдения, от които да се направи обоснован извод, че чуждият гражданин може да бъде изложен на реална опасност от тежки посегателства като смъртно наказание, изтезание, нечовешко или унизително отнасяне или наказание от официалните власти или някоя конкретна групировка, която държавата не е в състояние да контролира.
(Цитатът е със съкращения и запазен правопис)
© Личен архив
Докато Александър се чуди как би могъл да докаже на българските съдилища участието си в антивоенни протести и в протести против управлението на Владимир Путин, у нас тъкмо са приключили поредните предсрочни парламентарни избори. Преди тях в страната на „простичкото щастие“ управлява служебен кабинет на президента Румен Радев, който за пореден път на среща на върха отказва България да предостави военна помощ за Украйна.
За съжаление, стремежът към военна победа на всяка цена заглушава призивите за мир. Разумът отстъпва на оръжията.
(от 23.09.2022 г.)
На 14 ноември 2022 г. Административен съд София-град отхвърля жалбата на Александър: „На чужденеца е отказано предоставяне на международна закрила – статут на бежанец и хуманитарен статут.“
Александър е изумен как българските власти тълкуват аргументите му:
Убеден съм, че подобни изводи за демокрация и законност в държава, в която хора се измъчват и убиват с чукове пред камера без никакви последствия, измъчват се политически затворници и отказали се да участват във войната, са изключително вредни както за България, така и за Европа и за целия свят.
На 16.12.2022 г. новосформирания български парламент все пак гласува България да даде военна помощ на Украйна. На 23.12.2022 г. Румен Радев изрича паметната фраза „Войнолюбците в Народното събрание взеха решение за военна помощ за Украйна“*.
Четиринайсет дни след решението на Софийския административен съд Александър Стоцки и адвокатът му обжалват пред Върховния административен съд. Към аргументите за искане на закрила и убежище от първото дело досега има една съществена новост. Майката на Александър Стоцки е получила на домашния им адрес в Москва нова призовка, този път за мобилизация на нейния син. Освен на хартиен носител в Русия вече има създаден електронен регистър, като условието властите да са изпратили призовката, без значение дали получателят я е видял, е достатъчно той да се води призован и да подлежи на строги наказания, включително затвор, ако не се отзове веднага в посочения му пункт за мобилизация.
Върховен административен съд, административно дело №1356
Публичното заседание е на 11 април 2023 г.
Влизаме в съдебната зала. Адвокатът представя доказателствата пред съда. Александър казва:
За съжаление, аз не видях в решението на предишния съд разбиране за това, което се случва в Русия. Не мога да се съглася с това, че в Русия има демокрация и че там има честни и независими съдии.
В съдебната зала сме десетина човека – адвокатът, прокурорът, представителката на ДАБ, преводачката и няколко познати на Александър. Започва речта на представителката на Агенцията за бежанците, която настоява Върховният съд да отхвърли жалбата на Александър като неоснователна със следния мотив:
Моралните съображения на чужденеца срещу войната и насилието са опровергани от това, че той е отслужил редовната си военна служба през 2015.
(Цитатът е от стенограма на Върховния административен съд, оригиналният правопис е запазен)
След като излязохме от съда Александър неразбиращо ме попита:
Как тази жена (представителката на ДАБ) си представя, че първо, в Русия някой може да откаже да отслужи редовната си военна служба. Това е невъзможно, освен ако не представиш религиозни съображения, но такива случаи са много редки. Е, става и с торба пари, но аз ги нямам. Освен това преди войната на Путин в Украйна, аз бях гражданин на Руската федерация, и като всеки гражданин съм изпълнил дълга си по закон – да отслужа военната си служба. Всеки обаче трябва да си дава сметка, че редовна служба в мирно време и това да убиваш хора на фронта са несравними. Нещо, което никога няма да направя, каквото и да ми коства. Тя представя ли си какво е да стреляш срещу човек?
По време на делото представителката на ДАБ продължи да настоява, че Александър трябва да бъде върнат в Русия, защото според нея участието му в политически митинги
не е основание да бъде задържан, измъчван или осъден от руските власти, поради политическите му дейности и пристрастия. Не се откриват аргументи, които да доказват, че животът на чужденеца е в риск и че той е изложен на преследване в държавата си по произход.
(Цитатът е от стенограма на ВАС, оригиналният правопис е запазен)
След края на делото Александър ми каза:
В Москва на всеки ъгъл има камери с лицево разпознаване и всеки, който е говорил против войната или Путин, може много лесно да бъде заловен и откаран в затвора.
Усетих в гласа на Александър тъга и ирония, и страх. Той направи пауза и продължи:
За голямо съжаление, това е свързано с моя живот. Откакто съм в България съм протестирал пред Руското посолство и Руския културен център и срещу войната в Украйна, и в подкрепа на Навални. Такива руснаци в моята родина са обявени за врагове и ги пращат директно в затвора, но тази жена не вярва, че това е възможно, или не иска да повярва. Да не говорим, че имам официална призовка да се явя в армията, сега вероятно вече и електронна. Аз съм ужасен от перспективата да ме депортират в Русия. Това означава затвор или да ме пратят на фронта, където също ще умра, защото не мога и не искам да убивам. Вярвам, че България е наистина европейска държава с истински независим съд.
В земята на „простичко щастие“ България президентът Радев промени наратива за войната на Русия срещу Украйна:
Украйна настоява да продължи да води тази война, но сметката се плаща от цяла Европа.
Премиерът Николай Денков отговори:
Руската федерация е най-съществената и директна заплаха за сигурността на държавите членки на Северноатлантическия пакт, а също така и на мира и стабилността в евроатлантическата област. Моят въпрос е кога нашият президент е имал свое мнение – когато е подписал тези цитати или когато днес повтаря едни руски опорки, които нямат нищо общо с това, което представят членовете на ЕС и НАТО като позиция[7]
През септември 2023 г. Александър Стоцки получи статут на бежанец в България. Към днешна дата работи и е доброволец в център за подпомагане на украински бежанци.
„Тоест“ изпрати въпроси, свързани с работата на ДАБ по делата с руски бежанци в България след началото на войната на Русия срещу Украйна. До приключване на редакционната работа на този текст нямаме отговор от тях.
* Румен Радев използва „войнолюбци“ в официално изказване два пъти – в обръщението си към новоизбраните народни представители от 48-мото Народно събрание на 19.10.2022 г. и в изявление на 23.12.2022 г. Изказванията на Румен Радев са взети от официалната страница на президента.
Zabbix Audit Log: Underlying Design and Considerations
Post Syndicated from Artjoms Rimdjonoks original https://blog.zabbix.com/zabbix-audit-log-underlying-design-and-considerations/28328/
An audit improves the security of a product, specifically the “non-repudiation” aspect in threat-models (risks are reduced when threat-agents cannot deny they did malicious activity). Zabbix 5.0 already had audit functionality, which received a major rewrite in 6.0 and several updates since then. In this blog post, we will go through them and get an overall picture of what has changed (and why).
The server side work on 6.0 was mostly done and further improved in 7.0. Front-end work is still ongoing (due to a larger scope). The main goal of a Zabbix audit is to track all configuration and settings changes – who, when, and what. This is an enterprise-level requirement, but non-enterprise users can also benefit.
Table of Contents
The situation before Zabbix 6.0
When a host or template is added, only its name is recorded, without info about items, triggers, tags, etc. The linking of the template on the host is not audited. Everything on the screen is an audit done by the front-end, except the script execution. Zabbix Server itself actually does a lot of configuration changes, including adding and updating hosts and updating items (during LLD or when linking templates during auto-registration or network discovery), but there is no audit for that at all. There are also non-configuration changes (events) we want to audit, including:
- Script execution (already audited in 5.0):
- Reloading passive proxy config data (ZBXNEXT-1580), added in 6.2:
- HA node status change (ZBXNEXT-6923), added in 6.0, history push API requests, and sending data to Zabbix server via API (ZBXNEXT-8541), added in 7.0:
Audit overview
Most Zabbix server audit logic is in:
a) Linking of templates (as a result of auto-registration or network discovery) with updates to:
- Hosts
- Items
- Triggers
- Graphs
- Discovery Rules (and prototypes of everything above)
- Web Scenarios
b) LLD, with the following entities created from prototypes:
- Hosts
- Items
- Triggers
- Graphs
New audit goals
In addition to the main functional requirement to “track all configuration and settings changes,” there are additional requirements aimed at making all audits faster and easier to manage:
- All audits are now stored in a single table (Simpler and faster SQL queries)
- Bulk SQL inserts and efficient ids generation
- The audit of a particular entity stays longer than this entity. If an entity – (host or user) is deleted – the audit for it stays
- The audit has an independent housekeeping schedule
- It is still possible to disable the audit
CUID
Zabbix uses an ids table to generate ids:
When something (items, triggers etc.) needs to be generated, the related row in the ids table gets locked. This represents a problem for generating audit rows, because an audit can be generated independently by the server and front-end:
So, we could end up in a situation where a user cannot create an item because the server is holding a lock on the ids table while generating thousands of new LLD items. That is why a new method for generating ID was used for audits:
Thanks to it, the front-end and server can independently generate ids for audit entries without locks. The chance of collision is astronomically low.
System user
When it is not clear under which user an audit entry needs to be generated, it is recorded under “System user.” Most of the audits done by Server are done under “System user.” One exception is “script execution,”” since it is clear which user clicked on the script execution button. However, under which user should the server record audit entries when new items are generated during LLD? We could track down which user created the LLD rule, but what if the LLD rule was then modified by another user? For such cases, “System user” is used.
RecordSetID
From the spec: “To have the ability to recognize that some set of audit log records was created during the processing of a separate operation, a new column “Recordset ID” for audit log records will be provided. Each audit log record of the separate operation will have the same recordset ID. The recordset ID will be generated using the CUID algorithm.”
We can see that 2 graphs were created in a single operation (e.g. during the linking of one template with 2 graphs).
Audit details
A new audit contains much more information on what was changed with new details:
Upgrade patch
The warning, old auditlog, and auditlog_details tables are removed during the upgrade patch to 6.0. A new auditlog table is created, and the schema is updated.
- auditid is now CUID
- userid can be NULL (no more foreign reference on users table)
- username is added
- resource_cuid is added(alternative to resource, only for HA)
- recordsetid is added
- note and other auditlog_details table data now is in details (JSON)
BulkSQL
It is much more efficient to execute SQL queries in bulk. Zabbix already relies on bulk SQL queries:
Inserting and/or updating thousands of new items in one query is much faster than running thousands of individual queries. There are many reasons why this is the case, but the most basic answer is that DBs are designed this way. Another reason is that a large single query in PostgreSQL needs to start the planner/optimizer once, and then it would be able to properly analyze this large query and create an efficient execution plan.
When running thousands of separate queries, the planner/optimizer needs to be started for each query, and every time it would analyze the small query and decide there is not much it can do. When a server is doing some configuration changes, like LLD or templates linking during auto-registration or network discovery, it will insert/update/delete items/triggers and also auditlog entries in one large query.
Performance impact
Quick performance tests showed that the audit slows the server at most by 4-5%. The larger the setup, the smaller the impact will be.
Storage impact and administration
Zabbix audits can generate a lot of data. If your setup generates a lot of configuration, audits can eventually overrun the storage space. In this case, there are several audit configurations that could be helpful.
First of all, an audit can be disabled for all Zabbix, including the front-end:
Disabling audit is not advised, however – this option exists mostly as a possible workaround. Audit is enabled by default and Zabbix is developed and tested with audit enabled.
Log system actions button:
A disabled audit done by Zabbix server during auto-registration, network discover, and LLD. On some systems, these can generate a lot of configurations and audits, for example when LLD discovers hundreds of new devices every minute.
This could help reduce the storage impact while preserving all other audit functionality.
Housekeeping schedule:
If a host, trigger, or graph is deleted (by housekeeper or manually), the audit generated for it stays (as it exists in a separate table).
A Zabbix audit has its own independent housekeeping schedule, and it can be adjusted to suit your environment.
The post Zabbix Audit Log: Underlying Design and Considerations appeared first on Zabbix Blog.
[$] LWN.net Weekly Edition for July 4, 2024
Post Syndicated from corbet original https://lwn.net/Articles/979852/
The LWN.net Weekly Edition for July 4, 2024 is available.