България не е място за хора без въображение. Ето например ние в „Тоест“ по едно време си мислехме, че няма да ни бъде, но в държавата на вечния обрат и това се оказа „предпоследно“. Нямаше време да ни стане мъчно, защото ни засипахте с такава любов и подкрепа, че сълзите се оказаха от щастие. Достигнахме необходимия реален бюджет за издръжката на „Тоест“, и то изцяло с регистрирани месечни дарения от нашите читатели. Оттук нататък нашата благодарност ще продължи да се изразява по единствения възможен начин – с журналистическа работа, която да отвърне достойно на вашето доверие и очаквания.
Започваме „новия сезон“ на „Тоест“ с някои нови рубрики и автори. Още тази седмица може да прочетете първия репортаж от поредицата на Николета Атанасова „Откъси от Украйна“. „Чухте ли сирените?“ разказва за живота на една страна във война. Макар че войната продължава, животът не спира. И това е единственият начин за оцеляване на нормалността.
С нова серия текстове влиза и Александър Нуцов, който се впуска по следите на необходимите промени, за да имаме честен и конкурентоспособен бизнес. Излишно е да обясняваме, че от адекватните условия за развитие на предприемаческата среда зависи реалният прогрес на цялата държава.
Нов глас в редиците на „Тоест“: Антония Апостолова влиза в рубриката ни „На второ четене“, която ще води заедно със Стефан Иванов. Тази седмица представя сборника с разкази на Юли Шумарев „Макгахански блусове и балади“ по такъв начин, че някои хора в тази редакция се просълзиха от носталгия по детството, но няма да казваме кои, че си градят имидж на много корави.
Предстои ни да четем и интервюта от Надежда Цекулова с различни събеседници по темите образование и здравеопазване, както и да следим месечна рубрика за образование на още един нов автор в „Тоест“ – Донка Дойчева-Попова.
Всички нови неща се добавят към редовните ни рубрики и се надяваме да ви донесат много приятни моменти.
Какво още в първата седмица на „Тоест“ след паузата
Страхотен текст в архитектурната рубрика на Анета Василева. Освен че е безкрайно интересен, той е и по изключително актуална тема, за която, за съжаление, ще говорим все по-често – климатичните изменения. Как се отнася архитектурата към проблема и как би могла да се промени градската среда, четем в материала на Анета.
„Несигурното битие на независимите медии като проблем на демокрацията“ е текстът на Светла Енчева, с който неслучайно започнахме седмицата. Защо голяма част от независимите медии и медийни продукти престават да съществуват или са на ръба на оцеляването си и как това говори много повече за нивото на демокрацията в една страна, отколкото всички други показатели – Светла обяснява.
Емилия Милчева ни поднася прецизен разрез на политическата действителност в статията си „Българският Левиатан в сглобка“. Всичко, което виждаме на политическата сцена напоследък, е абсолютното доказателство на първото изречение в този бюлетин: България не е място за хора без въображение.
Позволявам си и една бърза препоръка в края на този поувлякъл се откъм обем бюлетин. Припомнете си текста на любимия ни Марин Бодаков, в който става дума и за Юн Фосе – носителя на тазгодишната Нобелова награда за литература, не само защото Фосе тъкмо се качи на върха на света, а и защото е толкова хубаво да се чете Марин. Към препоръката пускам и едно напомняне: активните дарители на „Тоест“ получават постоянна отстъпка в размер на 20% от коричната цена на всички заглавия от каталога на редица български издателства в рамките на партньорската програма Читателски клуб „Тоест“. Сред издателствата е и „Лист“, в чийто каталог присъства Фосе.
Стана много дълго и няма да ви занимавам повече. Единственото, което ще добавя за финал, е благодарност от целия ни екип за възможността отново да сме заедно. Есента никога не е изглеждала по-обнадеждаващо.
Author: Dean Welch
Type: Auxiliary
Pull request: #18197 contributed by dwelch-r7
Path: scanner/ldap/ldap_login
Description: This PR adds a new login scanner module for LDAP. Login scanners are the classes that provide functionality for testing authentication against various different protocols and mechanisms. This LDAP login scanner supports multiple types of authentication including: Plaintext, NTLM, Kerberos and SChannel.
Junos OS PHPRC Environment Variable Manipulation RCE
Authors: Jacob Baines, Ron Bowes, and jheysel-r7
Type: Exploit
Pull request: #18389 contributed by jheysel-r7
Path: freebsd/http/junos_phprc_auto_prepend_file
Description: This adds an exploit module that leverages a PHP environment variable manipulation vulnerability affecting Juniper SRX firewalls and EX switches. This vulnerability is identified as CVE-2023-36845 and allows an attacker to achieve unauthenticated remote code execution as a low privileged user. This module also includes a jailbreak feature that consists in changing the root password and establishing an SSH session as the root user. The original password is restored when the module terminates.
Description: This module exploits an unsafe .NET deserialization vulnerability to achieve unauthenticated remote code execution against a vulnerable WS_FTP server running the Ad Hoc Transfer module. All versions of WS_FTP server prior to 8.7.4 and 8.8.2 are vulnerable to this issue. The vulnerability was originally discovered by AssetNote.
#17919 from bcoles – This PR adds support for starting and stopping Windows services using the service control manager to shell payloads.
#18338 from smashery – This PR updates the kerberos.rb library such that when a kerberos login is attempted, on a user where pre-authentication is not required, the module now requests a RRC4-HMAC ticket, since it’s more easily crackable.
#18363 from j0ev – This PR adds support to outputting payloads in octal in both framework and venom.
#18412 from zeroSteiner – This adds additional usage tips to Metasploit, expanding the pool that is selected from on startup.
#18420 from smashery – :
This PR updates the user-agent string reported by our http payloads. We update this periodically to make sure that our payloads don’t stick out having an older user agent string.
#18425 from adfoster-r7 – Adds history support to the nasm and metasm shells. Now when re-opening these shells, previously typed commands should be remembered and available.
Bugs fixed (1)
#18372 from gcarmix – Fixed an issue in the generic shell download command.
Documentation added (3)
#18277 from cnnrshd –
This PR adds new documentation for how to create a command injection exploit module.
#18347 from bwatters-r7 – This PR updates the how-to-write-a-check-method docs to better explain to not use fail_with to align with best practices when making sure a check method returns a check code.
#18393 from adfoster-r7 – Updates the running modules landing page on the Wiki with more beginner friendly information on searching for and running modules.
You can always find more documentation on our docsite at docs.metasploit.com.
Get it
As always, you can update to the latest Metasploit Framework with msfupdate
and you can get more details on the changes since the last blog post from
GitHub:
If you are a git user, you can clone the Metasploit Framework repo (master branch) for the latest.
To install fresh without using git, you can use the open-source-only Nightly Installers or the binary installers (which also include the commercial edition).
AWS Cryptography is pleased to announce that today, the National Institute for Standards and Technology (NIST) awarded AWS-LC its validation certificate as a Federal Information Processing Standards (FIPS) 140-3, level 1, cryptographic module. This important milestone enables AWS customers that require FIPS-validated cryptography to leverage AWS-LC as a fully owned AWS implementation.
AWS-LC is an open source cryptographic library that is a fork from Google’s BoringSSL. It is tailored by the AWS Cryptography team to meet the needs of AWS services, which can require a combination of FIPS-validated cryptography, speed of certain algorithms on the target environments, and formal verification of the correctness of implementation of multiple algorithms. FIPS 140 is the technical standard for cryptographic modules for the U.S. and Canadian Federal governments. FIPS 140-3 is the most recent version of the standard, which introduced new and more stringent requirements over its predecessor, FIPS 140-2. The AWS-LC FIPS module underwent extensive code review and testing by a NIST-accredited lab before we submitted the results to NIST, where the module was further reviewed by the Cryptographic Module Validation Program (CMVP).
Our goal in designing the AWS-LC FIPS module was to create a validated library without compromising on our standards for both security and performance. AWS-LC is validated on AWS Graviton2 (c6g, 64-bit AWS custom Arm processor based on Neoverse N1) and Intel Xeon Platinum 8275CL (c5, x86_64) running Amazon Linux 2 or Ubuntu 20.04. Specifically, it includes low-level implementations that target 64-bit Arm and x86 processors, which are essential to meeting—and even exceeding—the performance that customers expect of AWS services. For example, in the integration of the AWS-LC FIPS module with AWS s2n-tls for TLS termination, we observed a 27% decrease in handshake latency in Amazon Simple Storage Service (Amazon S3), as shown in Figure 1.
Figure 1: Amazon S3 TLS termination time after using AWS-LC
AWS-LC integrates CPU-Jitter as the source of entropy, which works on widely available modern processors with high-resolution timers by measuring the tiny time variations of CPU instructions. Users of AWS-LC FIPS can have confidence that the keys it generates adhere to the required security strength. As a result, the library can be run with no uncertainty about the impact of a different processor on the entropy claims.
AWS-LC is a high-performance cryptographic library that provides an API for direct integration with C and C++ applications. To support a wider developer community, we’re providing integrations of a future version of the AWS-LC FIPS module, v2.0, into the AWS Libcrypto for Rust (aws-lc-rs) and ACCP 2.0 libraries . aws-lc-rs is API-compatible with the popular Rust library named ring, with additional performance enhancements and support for FIPS. Amazon Corretto Crypto Provider 2.0 (ACCP) is an open source OpenJDK implementation interfacing with low-level cryptographic algorithms that equips Java developers with fast cryptographic services. AWS-LC FIPS module v2.0 is currently submitted to an accredited lab for FIPS validation testing, and upon completion will be submitted to NIST for certification.
Today’s AWS-LC FIPS 140-3 certificate is an important milestone for AWS-LC, as a performant and verified library. It’s just the beginning; AWS is committed to adding more features, supporting more operating environments, and continually validating and maintaining new versions of the AWS-LC FIPS module as it grows.
If you have feedback about this post, submit comments in the Comments section below. If you have questions about this post, contact AWS Support.
Want more AWS Security news? Follow us on Twitter.
Red Hat has announced
that its longstanding “rhsa-announce” mailing list will be shut down on
October 10. That is the list that receives security advisories for
Red Hat Enterprise Linux and a whole slew of related products. Anybody who
was counting on that list for Red Hat security advisories will need to find
an alternative; a few options are listed in the announcement.
The latest round of stable kernels, 6.5.6, 6.1.56, and 5.15.134, have been released. Each contains a
fairly large collection of important fixes throughout the kernel tree.
On its surface, the BPF virtual machine resembles many other computer
architectures; it has registers and instructions to perform the usual
operations. But there is a key difference: BPF programs must pass the
kernel’s verifier before they can be run. The verifier imposes a long list
of additional restrictions so that it can prove to itself that any given
program is safe to run; getting past those checks can be a source of
frustration for BPF developers. At the 2023 GNU Tools Cauldron,
José Marchesi looked at the problem of compiling for verified architectures
and how the compiler can generate code that will pass verification.
Security updates have been issued by Debian (grub2, libvpx, libx11, libxpm, and qemu), Fedora (firefox, matrix-synapse, tacacs, thunderbird, and xrdp), Oracle (glibc), Red Hat (bind, bind9.16, firefox, frr, ghostscript, glibc, ImageMagick, libeconf, python3.11, python3.9, and thunderbird), Scientific Linux (ImageMagick), SUSE (kernel, libX11, and tomcat), and Ubuntu (linux-hwe-5.15, linux-oracle-5.15).
It's a never-ending effort to improve the performance of our infrastructure. As part of that quest, we wanted to squeeze as much network oomph as possible from our virtual machines. Internally for some projects we use Firecracker, which is a KVM-based virtual machine manager (VMM) that runs light-weight “Micro-VM”s. Each Firecracker instance uses a tap device to communicate with a host system. Not knowing much about tap, I had to up my game, however, it wasn't easy — the documentation is messy and spread across the Internet.
Here are the notes that I wish someone had passed me when I started out on this journey!
A tap device is a virtual network interface that looks like an ethernet network card. Instead of having real wires plugged into it, it exposes a nice handy file descriptor to an application willing to send/receive packets. Historically tap devices were mostly used to implement VPN clients. The machine would route traffic towards a tap interface, and a VPN client application would pick them up and process accordingly. For example this is what our Cloudflare WARP Linux client does. Here's how it looks on my laptop:
$ ip link list
...
18: CloudflareWARP: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1280 qdisc mq state UNKNOWN mode DEFAULT group default qlen 500
link/none
$ ip tuntap list
CloudflareWARP: tun multi_queue
More recently tap devices started to be used by virtual machines to enable networking. The VMM (like Qemu, Firecracker, or gVisor) would open the application side of a tap and pass all the packets to the guest VM. The tap network interface would be left for the host kernel to deal with. Typically, a host would behave like a router and firewall, forward or NAT all the packets. This design is somewhat surprising – it's almost reversing the original use case for tap. In the VPN days tap was a traffic destination. With a VM behind, tap looks like a traffic source.
A Linux tap device is a mean creature. It looks trivial — a virtual network interface, with a file descriptor behind it. However, it's surprisingly hard to get it to perform well. The Linux networking stack is optimized for packets handled by a physical network card, not a userspace application. However, over the years the Linux tap interface grew in features and nowadays, it's possible to get good performance out of it. Later I'll explain how to use the Linux tap API in a modern way.
Source: DALL-E
To tun or to tap?
The interface is called "the universal tun/tap" in the kernel. The "tun" variant, accessible via the IFF_TUN flag, looks like a point-to-point link. There are no L2 Ethernet headers. Since most modern networks are Ethernet, this is a bit less intuitive to set up for a novice user. Most importantly, projects like Firecracker and gVisor do expect L2 headers.
"Tap", with the IFF_TAP flag, is the one which has Ethernet headers, and has been getting all the attention lately. If you are like me and always forget which one is which, you can use this AI-generated rhyme (check out WorkersAI/LLama) to help to remember:
Tap is like a switch, Ethernet headers it'll hitch. Tun is like a tunnel, VPN connections it'll funnel. Ethernet headers it won't hold, Tap uses, tun does not, we're told.
Listing devices
Tun/tap devices are natively supported by iproute2 tooling. Typically, one creates a device with ip tuntap add and lists it with ip tuntap list:
$ sudo ip tuntap add mode tap user marek group marek name tap0
$ ip tuntap list
tap0: tap persist user 1000 group 1000
Alternatively, it's possible to look for the /sys/devices/virtual/net/<ifr_name>/tun_flags files.
Tap device setup
To open or create a new device, you first need to open /dev/net/tun which is called a "clone device":
/* First, whatever you do, the device /dev/net/tun must be
* opened read/write. That device is also called the clone
* device, because it's used as a starting point for the
* creation of any tun/tap virtual interface. */
char *clone_dev_name = "/dev/net/tun";
int tap_fd = open(clone_dev_name, O_RDWR | O_CLOEXEC);
if (tap_fd < 0) {
error(-1, errno, "open(%s)", clone_dev_name);
}
With the clone device file descriptor we can now instantiate a specific tap device by name:
struct ifreq ifr = {};
strncpy(ifr.ifr_name, tap_name, IFNAMSIZ);
ifr.ifr_flags = IFF_TAP | IFF_NO_PI | IFF_VNET_HDR;
int r = ioctl(tap_fd, TUNSETIFF, &ifr);
if (r != 0) {
error(-1, errno, "ioctl(TUNSETIFF)");
}
If ifr_name is empty or with a name that doesn't exist, a new tap device is created. Otherwise, an existing device is opened. When opening existing devices, flags like IFF_MULTI_QUEUE must match with the way the device was created, or EINVAL is returned. It's a good idea to try to reopen the device with flipped multi queue setting on EINVAL error.
The ifr_flags can have the following bits set:
IFF_TAP / IFF_TUN
Already discussed.
IFF_NO_CARRIER
Holding an open tap device file descriptor sets the Ethernet interface CARRIER flag up. In some cases it might be desired to delay that until a TUNSETCARRIER call.
IFF_NO_PI
Historically each packet on tap had a "struct tun_pi" 4 byte prefix. There are now better alternatives and this option disables this prefix.
IFF_TUN_EXCL
Ensures a new device is created. Returns EBUSY if the device exists
IFF_VNET_HDR
Prepend "struct virtio_net_hdr" before the RX and TX packets, should be followed by setsockopt(TUNSETVNETHDRSZ).
IFF_MULTI_QUEUE
Use multi queue tap, see below.
IFF_NAPI / IFF_NAPI_FRAGS
See below.
You almost always want IFF_TAP, IFF_NO_PI, IFF_VNET_HDR flags and perhaps sometimes IFF_MULTI_QUEUE.
The curious IFF_NAPI
Judging by the original patchset introducing IFF_NAPI and IFF_NAPI_FRAGS, these flags were introduced to increase code coverage of syzkaller. However, later work indicates there were performance benefits when doing XDP on tap. IFF_NAPI enables a dedicated NAPI instance for packets written from an application into a tap. Besides allowing XDP, it also allows packets to be batched and GRO-ed. Otherwise, a backlog NAPI is used.
A note on buffer sizes
Internally, a tap device is just a pair of packet queues. It's exposed as a network interface towards the host, and a file descriptor, a character device, towards the application. The queue in the direction of application (tap TX queue) is of size txqueuelen packets, controlled by an interface parameter:
$ ip link set dev tap0 txqueuelen 1000
$ ip -s link show dev tap0
26: tap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 ... qlen 1000
RX: bytes packets errors dropped missed mcast
0 0 0 0 0 0
TX: bytes packets errors dropped carrier collsns
266 3 0 66 0 0
In "ip link" statistics the column "TX dropped" indicates the tap application was too slow and the queue space exhausted.
In the other direction – interface RX queue – from application towards the host, the queue size limit is measured in bytes and controlled by the TUNSETSNDBUF ioctl. The qemu comment discusses this setting, however it's not easy to cause this queue to overflow. See this discussion for details.
vnethdr size
After the device is opened, a typical scenario is to set up VNET_HDR size and offloads. Typically the VNETHDRSZ should be set to 12:
len = 12;
r = ioctl(tap_fd, TUNSETVNETHDRSZ, &(int){len});
if (r != 0) {
error(-1, errno, "ioctl(TUNSETVNETHDRSZ)");
}
Sensible values are {10, 12, 20}, which are derived from virtio spec. 12 bytes makes room for the following header (little endian):
Generally, offloads are extra packet features the tap application can deal with. Details of the offloads used by the sender are set on each packet in the vnethdr prefix.
Checksum offload TUN_F_CSUM
Structure of a typical UDP packet received over tap.
Let's start with the checksumming offload. The TUN_F_CSUM offload saves the kernel some work by pushing the checksum processing down the path. Applications which set that flag are indicating they can handle checksum validation. For example with this offload, for UDP IPv4 packet will have:
vnethdr flags will have VIRTIO_NET_HDR_F_NEEDS_CSUM set
hdr_len would be 42 (14+20+8)
csum_start 34 (14+20)
and csum_offset 6 (UDP header checksum is 6 bytes into L4)
This is illustrated above.
Supporting checksum offload is needed for further offloads.
TUN_F_CSUM is a must
Consider this code:
s = socket(AF_INET, SOCK_DGRAM)
s.setsockopt(SOL_UDP, UDP_SEGMENT, 1400)
s.sendto(b"x", ("10.0.0.2", 5201)) # Would you expect EIO ?
This simple code produces a packet. When directed at a tap device, this code will surprisingly yield an EIO "Input/output error". This weird behavior happens if the tap is opened without TUN_F_CSUM and the application is sending GSO / UDP_SEGMENT frames. Tough luck. It might be considered a kernel bug, and we're thinking about fixing that. However, in the meantime everyone using tap should just set the TUN_F_CSUM bit.
Segmentation offloads
We wrote about UDP_SEGMENT in the past. In short: on Linux an application can handle many packets with a single send/recv, as long as they have identical length.
With UDP_SEGMENT a single send() can transfer multiple packets.
Tap devices support offloading which exposes that very functionality. With TUN_F_TSO4 and TUN_F_TSO6 flags the tap application signals it can deal with long packet trains. Note, that with these features the application must be ready to receive much larger buffers – up to 65507 bytes for IPv4 and 65527 for IPv6.
TSO4/TSO6 flags are enabling long packet trains for TCP and have been supported for a long time. More recently TUN_F_USO4 and TUN_F_USO6 bits were introduced for UDP. When any of these offloads are used, the gso_type contains the relevant offload type and gso_size holds a segment size within the GRO packet train.
TUN_F_UFO is a UDP fragmentation offload which is deprecated.
By setting TUNSETOFFLOAD, the application is telling the kernel which offloads it's able to handle on the read() side of a tap device. If the ioctl(TUNSETOFFLOAD) succeeds, the application can assume the kernel supports the same offloads for packets in the other direction.
Bug in rx-udp-gro-forwarding – TUN_F_USO4
When working with tap and offloads it's useful to inspect ethtool:
$ ethtool -k tap0 | egrep -v fixed
tx-checksumming: on
tx-checksum-ip-generic: on
scatter-gather: on
tx-scatter-gather: on
tx-scatter-gather-fraglist: on
tcp-segmentation-offload: on
tx-tcp-segmentation: on
generic-segmentation-offload: on
generic-receive-offload: on
tx-udp-segmentation: on
rx-gro-list: off
rx-udp-gro-forwarding: off
With ethtool we can see the enabled offloads and disable them as needed.
While toying with UDP Segmentation Offload (USO) I've noticed that when packet trains from tap are forwarded to a real network interface, sometimes they seem badly packetized. See the netdev discussion, and the proposed fix. In any case – beware of this bug, and maybe consider doing "ethtool -K tap0 rx-udp-gro-forwarding off".
Miscellaneous setsockopts
Setup related socket options
TUNGETFEATURES
Return vector of IFF_* constants that the kernel supports. Typically used to detect the host support of: IFF_VNET_HDR, IFF_NAPI and IFF_MULTI_QUEUE.
TUNSETIFF
Takes "struct ifreq", sets up a tap device, fills in the name if empty.
TUNGETIFF
Returns a "struct ifreq" containing the device's current name and flags.
TUNSETPERSIST
Sets TUN_PERSIST flag, if you want the device to remain in the system after the tap_fd is closed.
TUNSETOWNER, TUNSETGROUP
Set uid and gid that can own the device.
TUNSETLINK
Set the Ethernet link type for the device. The device must be down. See ARPHRD_* constants. For tap it defaults to ARPHRD_ETHER.
Set the carrier state of an interface, as discussed earlier, useful with IFF_NO_CARRIER.
TUNGETDEVNETNS
Return an fd of a net namespace that the interface belongs to.
Filtering related socket options
TUNSETTXFILTER
Takes "struct tun_filter" which limits the dst mac addresses that can be delivered to the application.
TUNATTACHFILTER, TUNDETACHFILTER, TUNGETFILTER
Attach/detach/get classic BPF filter for packets going to application. Takes "struct sock_fprog".
TUNSETFILTEREBPF
Set an eBPF filter on a tap device. This is independent of the classic BPF above.
Multi queue related socket options
TUNSETQUEUE
Used to set IFF_DETACH_QUEUE and IFF_ATTACH_QUEUE for multiqueue.
TUNSETSTEERINGEBPF
Set an eBPF program for selecting a specific tap queue, in the direction towards the application. This is useful if you want to ensure some traffic is sticky to a specific application thread. The eBPF program takes "struct __sk_buff" and returns an int. The result queue number is computed from the return value u16 modulo number of queues is the selection.
Single queue speed
Tap devices are quite weird — they aren't network sockets, nor true files. Their semantics are closest to pipes, and unfortunately the API reflects that. To receive or send a packet from a tap device, the application must do a read() or write() syscall, one packet at a time.
One might think that some sort of syscall batching would help. Sockets have sendmmsg()/recvmmsg(), but that doesn't work on tap file descriptors. The typical alternatives enabling batching are: an old io_submit AIO interface, or modern io_uring. Io_uring added tap support quite recently. However, it turns out syscall batching doesn't really offer that much of an improvement. Maybe in the range of 10%.
The Linux kernel is just not capable of forwarding millions of packets per second for a single flow or on a single CPU. The best possible solution is to scale vertically for elephant flows with TSO/USO (packet trains) offloads, and scale horizontally for multiple concurrent flows with multi queue.
In this chart you can see how dramatic the performance gain of offloads is. Without them, a sample "echo" tap application can process between 320 and 500 thousand packets per second on a single core. MTU being 1500. When the offloads are enabled it jumps to 2.7Mpps, while keeping the number of received "packet trains" to just 56 thousand per second. Of course not every traffic pattern can fully utilize GRO/GSO. However, to get decent performance from tap, and from Linux in general, offloads are absolutely critical.
Multi queue considerations
Multi queue is useful when the tap application is handling multiple concurrent flows and needs to utilize more than one CPU.
To get a file descriptor of a tap queue, just add the IFF_MULTI_QUEUE flag when opening the tap. It's possible to detach/reattach a queue with TUNSETQUEUE and IFF_DETACH_QUEUE/IFF_ATTACH_QUEUE, but I'm unsure when this is useful.
When a multi queue tap is created, it spreads the load across multiple tap queues, each one having a unique file descriptor. Beware of the algorithm selecting the queue though: it might bite you back.
By default, Linux tap driver records a symmetric flow hash of any handled flow in a flow table. It saves on which queue the traffic from the application was transmitted. Then, on the receiving side it follows that selection and sends subsequent packets to that specific queue. For example, if your userspace application is sending some TCP flow over queue #2, then the packets going into the application which are a part of that flow will go to queue #2. This is generally a sensible design as long as the sender is always selecting one specific queue. If the sender changes the TX queue, new packets will immediately shift and packets within one flow might be seen as reordered. Additionally, this queue selection design does not take into account CPU locality and might have minor negative effects on performance for very high throughput applications.
tc qdisc add dev tap0 root handle 1: multiq
tc filter add dev tap0 parent 1: protocol ip prio 1 u32 \
match ip dst 192.168.0.3 \
action skbedit queue_mapping 0
tc is fragile and thus it's not a solution I would recommend. A better way is to customize the queue selection algorithm with a TUNSETSTEERINGEBPF eBPF program. In that case, the flow tracking code is not employed anymore. By smartly using such a steering eBPF program, it's possible to keep the flow processing local to one CPU — useful for best performance.
Summary
Now you know everything I wish I had known when I was setting out on this journey!
To get the best performance, I recommend:
enable vnethdr
enable offloads (TSO and USO)
consider spreading the load across multiple queues and CPUs with multi queue
consider syscall batching for additional gain of maybe 10%, perhaps try io_uring
Well designed and well timed deepfake or two Slovakian politicians discussing how to rig the election:
Šimečka and Denník N immediately denounced the audio as fake. The fact-checking department of news agency AFP said the audio showed signs of being manipulated using AI. But the recording was posted during a 48-hour moratorium ahead of the polls opening, during which media outlets and politicians are supposed to stay silent. That meant, under Slovakia’s election rules, the post was difficult to widely debunk. And, because the post was audio, it exploited a loophole in Meta’s manipulated-media policy, which dictates only faked videos—where a person has been edited to say words they never said—go against its rules.
I just wrote about this. Countries like Russia and China tend to test their attacks out on smaller countries before unleashing them on larger ones. Consider this a preview to their actions in the US next year.
Ако всичко в политиката върви, както върви – по мед, Пеевски и Борисов, – на 6 март догодина правителството с мандат на ПП–ДБ и премиер акад. Николай Денков (ПП) ще се ротира с кабинет с премиер Мария Габриел (ГЕРБ), (няколко) министри от ГЕРБ и подкрепа от парламентарно мнозинство, дирижирано от ГЕРБ и ДПС. Водачът на ГЕРБ Бойко Борисов вече изрече гласно онова, за което се догаждахме още при договарянето на ротацията – министри, които не са се справили, ще бъдат сменени.
Обществото имаше нужда от нов обществен договор, основан на върховенство на правото, морал в политиката и жизнеспособна демокрация с активни граждани, а получи Левиатан – лидера на ГЕРБ и лидера в сянка на ДПС, които не са в затвора.
Лозунги? Пропагандни внушения?
Избелване, официализиране, приемане
Ами ето го Борисов, необезпокояван от никого, който казва как
Пеевски проведе реално преговорите с протестиращите [миньори и енергетици – б.а.] и ги доведе до успешен край, колкото и да не се харесва на умнокрасивитета.
Три години по-рано го беше нарекъл „Шиши, който нареди [първия служебен – б.а.] кабинет на президента“, а допреди това изобщо избягваше да го назовава – въпреки че свързвани с Пеевски бизнеси печелеха многомилионни обществени поръчки. Имат и една и съща пъпна връв – политическият път и на двамата тръгна от НДСВ. На Пеевски – като учредител на младежкото НДСВ, на Борисов – като охранител на Царя и по-късно главен секретар на МВР.
Парламентарният съюз, придобил вицовия етикет „сглобка“, освен че избелва публичния образ на Борисов и Пеевски, публично узаконява и отдавнашната им връзка, за която първият отричаше, а вторият мълчеше. Стори и нещо повече от избелването – направи и двамата обществено приемливи заради значимостта, която придобиват в парламентарната власт, най-високата по конституция. Същата тази власт и двамата игнорираха дълги години – единият не стъпваше в парламента, макар и депутат, другият избягваше, макар и премиер.
Конституционното мнозинство, чийто формат официално ги съеши, досега е произвело промени с неясно бъдеще, критикувани от всички юридически общности и съюзи. От някои от тях, като 24 май за национален празник, ГЕРБ и ДПС дружно се отказаха. Засега е ясно, че след приемането им промените ще бъдат отнесени до Конституционния съд, който да се произнесе дали преструктурирането на Висшия съдебен съвет и др. могат да се извършат от Обикновено народно събрание.
А „умнокрасивитетът“ е същият, заради който Бойко Борисов се отказа от първия мандат след изборите на 2 април, подкрепи създаването на кабинет с втория и накрая се оказа, че го е вкарал във вълчи капан. Колкото повече се бориш с капана, толкова повече се забива в тялото. Дори и с факта, че управлението на кабинета „Денков“ приключва през март, но времето на бъдещото правителство с министър-председател Габриел не е лимитирано.
Сегашната ситуация е дори по-изгодна за ГЕРБ и ДПС, отколкото ако управляваха заедно в изпълнителната власт. Първо, не трупат публични негативи за едно или друго решение. Второ, не носят отговорност, но се сдобиват с позиции в регулатори. И трето, което е най-важното – тяхната сглобка в сглобката парира опитите за малки промени. (За по-значими няма нито политическа воля от всички страни, нито капацитет.)
Например отпадането на намалената ставка от 9% ДДС за ресторантьорите, въведена от ГЕРБ по време на пандемията от COVID-19, отшумяла преди повече от година. Или продължаването на забраната за внос на селскостопанска продукция от Украйна, основно слънчоглед, докато земеделци и преработватели в България не се разберат за квоти – а междувременно за зърнопроизводителите, най-субсидираните земеделци у нас, бяха излети нови милиони.
Съпротивата на ГЕРБ осуети и предложението на ПП–ДБ частните болници да провеждат обществени поръчки за доставка на лекарства и лекарствени средства, както го правят държавните и общинските. Тази неравнопоставеност, която дава конкурентни предимства на частните болници, е заложена от години и макар да е известна, не е поправена. Това позволява на големи частни болници, които използват собствени дистрибутори, да ценообразуват, както намерят за добре. НЗОК после заплаща лекарствата и на едните, и на другите със средствата от здравните осигуровки.
От години срещу България има наказателна процедура от ЕК, че не спазваме правото на Съюза, за което ние ще плащаме от нашите джобове като данъкоплатци съответните санкции.
Това обясни доц. Васил Пандов от ПП. Напразно – ГЕРБ с помощта на „Възраждане“ отхвърли предложението, зад което има бизнес за няколко милиарда.
В ситуация на висок геополитически риск ГЕРБ и ДПС вършат онова, което европейските и евроатлантическите партньори на България очакват – гласуват оръжие за Украйна и не кривват от ангажиментите към съюзниците. Все пак и двете партии са членове на европейски политически семейства, които недвусмислено осъждат руската агресия.
Но когато става въпрос за вътрешнополитически теми и свързаните с тях интереси, правят онова, което са правили и преди – брокери на влияние, защитници на статуквото и на мафиотизирано правораздаване. Пример за това са спецслужбите и демонстрираният отказ да се извършат каквито и да било промени, което означава, че ще ги оставят със селектираните от президента Румен Радев началници.
Има за какво да му се отблагодаряват – служебните кабинети на Радев върнаха немалко кадри на ГЕРБ във властта, а схеми на ДПС бяха запазени. Но и правителството на Денков запази президентски назначения, при това в ресурсни институции като ДФ „Земеделие“ (ДФЗ), който разпределя годишно над 3 милиарда. Така, след като избраният от „Промяната“ за шеф Камен Диков се оттегли, начело на ДФЗ е Георги Тахов, назначение на първото служебно правителство на Гълъб Донев. Един от заместниците му е бивш депутат от БСП – Димитър Горов, а друг – 37-годишната Ива Иванова, също е на поста още от служебното управление, при това запазвайки тогавашните си ресори – Програмата за развитие на селските райони 2014–2020 и Програмата за морско дело и рибарство 2014–2020, които са с най-много средства и интересите към тях са най-големи.
Неуспелият да оглави ДФЗ Диков, който е и бивш шеф на „Напоителни системи“, бе монтиран начело на Националната компания „Железопътна инфраструктура“ – макар и без опит в железниците. А от квотата на ДПС там влезе бившият военен контраразузнавач и щатен сътрудник на Държавна сигурност о.р. полк. Васко Балабанов.
Така, макар да се водят партньори „само“ в конституционното мнозинство, ДПС тихомълком се уреждат с места в бордове и регулатори като БНБ. Официално обяснение за това от лидерите на ПП–ДБ няма. Няма и регламент за назначенията, какъвто, по думите на Борисов, трябваше да изготви Христо Иванов.
Няма съмнение, че в тричленното ръководство на новата Комисия за противодействие на корупцията ще има представител на ДПС, освен на ГЕРБ и ПП. (Къде ли е ДБ…?)
Облекчена структура, трима човека да е управлението, изключително независим директор на дирекция с големи правомощия, да може да сезира директно двете прокуратури – и българската, и европейската без Комисията, което показва, че има независим човек и цедка – някой, който да може да обира сигналите.
Хвалебствията са откъм Пеевски за новоприетия закон, по който никой от ДБ не отрони дума при второто му четене в пленарната зала. Е, нищо чудно ДПС да се цели именно в този „изключително независим директор“ и да извади свой стаен кадър.
Денков – самотен бегач
Така Борисов и Пеевски управляват, без да управляват, при това в любимата на почетния председател на ДПС Ахмед Доган „заедност“. Паралелно с това ГЕРБ обстрелват правителството на ПП–ДБ с повече от приятелски огън, а вместо парламентарната група на ПП–ДБ да подкрепи активно министрите си, се е снишила. При протестите на зърнопроизводителите парламентарната група на ПП–ДБ и нейните лидери, което ще рече председателите на партиите в коалицията, оставиха на правителството и персонално на премиера Денков да се справя с първата сериозна криза. Разбира се, „подпомогнат“ от Борисов и неговия апарат в лицето на бившия земеделски министър Десислава Танева, която оглавява и парламентарната Земеделска комисия, а заместници са ѝ депутати от ДПС и от ПП.
Зърнопроизводителите плашеха с „хляба на България“, миньорите и енергетиците – със „загуба на енергийната независимост“. „Хляб и ток“, ключови послания, както отбеляза по БНР социоложката Елена Дариева, а „нещата се форматираха много добре“ – както обобщи Пеевски след срещата с енергетиците в парламента.
Неслучайно мястото на срещата, променяно няколко пъти, в крайна сметка бе определено да е там – при Пеевски и Борисов, управляващи диалога за българския енергиен преход и „услужливо самопоканили се, за да покажат, че ще ги решат“ (по евродепутата Радан Кънев). Единствено Кънев публично заяви по националното радио, че за никого не са тайна влиянието на Пеевски и кръга край него върху ТЕЦ „Марица-изток 2“, назначенията там и обществените поръчки, както и връзките между друг мастит собственик във въглищната енергетика – Христо Ковачки, и ДПС. Затова и Ковачки и офшорките – собственици на бизнеса му, са големият печеливш от протестите.
На правителството на Денков се падна да решава проблем, голям колкото няколко хиляди човешки съдби, гарниран с опасен за дишане въздух и хиляди декари за рекултивация, нерешен от предишните управления на ГЕРБ и съучастниците им от ДПС. Приносът на енергийния министър Румен Радев в преговорите с протестиращите обаче не се открои, независимо че самият Радев е от Стара Загора, работил е като координатор на проекта за водородна долина (ZAHYR) и е участвал в развитието и популяризирането на водородните технологии в България.
Но балансираният подход на премиера Денков при сблъсъка с толкова социални трусове и протести беше оценен. Министър-председателят говори сдържано и честно, независимо от цената, която плаща. Не той обаче, а парламентарната сглобка определя назначенията и посоката на развитие на протести и каквито и да било реформи.
Изявлението на Борисов, че няма да сваля правителството (тоест ГЕРБ няма да оттегли подкрепата си), означава, че до ротацията ще има контролирани трусове. По-силни от приятелски огън, но по-слаби от разрушения. Ако ГЕРБ и ДПС не пропускат законодателни предложения, като обществените поръчки за частните болници, какво ли ще сполети конституционните промени? Чака се ротацията – дали ще надделее реалната, или формалната сглобка и това ще покаже колко дълго още ще живее българският Левиатан. В един руски филм не успяха да го убият.
Пиша този текст в Бруклин по време на потоп. На 29 септември сутринта в Ню Йорк само за три часа падна едномесечно количество дъжд, който наводни метрото и улиците на Манхатън, Бруклин, Куинс, спря влакове, блокира улици и летища, канализацията преля, а губернаторът на щата обяви извънредно положение. Тропическата буря „Офелия“ продължава вече няколко дни по Източното крайбрежие на САЩ.
Това се случва след катастрофалните наводнения на 10 и 11 септември в Либия с хиляди жертви, както и след поройните дъждове, съсипали Северна Гърция, Турция и Югоизточна България. Град Аризона в щата Финикс, САЩ, преживя 31 последователни дни с температури над 43ºС – нечуван рекорд, а в щата Джорджия, където прекарах по-голямата част от месец август, бяха отбелязани най-горещият юни и най-горещият юли изобщо в статистиката. Колко горещо беше във Финикс? Толкова, че беше опасно да се пипа метален парапет, а водата от градинския маркуч можеше да те изгори. Тротоарите се нагряваха до над 70ºС, а децата получаваха изгаряния втора степен, ако излезеха боси на балкона.
След екстремните горещини и пожарите очаквано дойдоха и наводненията.
Небето е като гъба,
коментираха още на 5 септември в подкаста The Ezra Klein Show на „Ню Йорк Таймс“. То поема изпаряващата се влага от горещата земя и затоплените океани и после я връща обратно не равномерно, а като катастрофални изливания.
Какво научихме обаче от това лято на рекордни температури и природни катаклизми?
В треперещия от жега въздух на август шестлентовите магистрали на американския Юг бяха пълни с коли, обикновено бензинови. Във всяка кола – не повече от един човек, запътил се към някоя тежко климатизирана сграда, в която живее или работи. Неизолираните къщи на американските предградия, със своите милиони квадратни метри застроена площ и лоша дограма, огромните халета на американските хипермаркети, малкото наличен градски транспорт, дори кината поддържаха изкуствено температури близо 20 градуса по-ниски от външните. Топлинните острови в корпоративния център бяха непоносими. А усещането беше, че въглеродният отпечатък на град Атланта примерно за ден е колкото този на България, и то преди у нас да са спрели въглищните централи. Впрочем това потвърди пред мен и Джоузеф Хийткот, декан на Факултета по урбанизъм и околна среда на The New School в Ню Йорк.
Имат ли какво да кажат архитектурата и изкуствата по темата?
За климата от Венеция
Линеен климатизиран град в пустинята, „Ловци в снега“ на Брьогел или традицията за охлаждане чрез зеленина и водни огледала на андалуските вътрешни дворове – има много начини, по които да говорим за климатичните промени през изкуство и архитектура. А Венеция е добър декор за подобен разговор – град, застинал в крехката си красота, фатално заплашен от постоянно повишаващите се водни нива, ужасно горещ през лятото.
В края на ноември приключва 18-тото Архитектурно биенале във Венеция. Климатът не е основна тема тази година, но присъства осезаемо в няколко ярко контрастни изложби и си струва да бъде обсъден именно след лятото на 2023-та с най-горещите средни температури, измерени на Земята, откогато се води статистика.
През май британската архитектка от ганайски произход Лесли Локо стана първата цветнокожа жена куратор на този най-престижен архитектурен форум в света и призова целия свят да мисли за бъдещето през темата Африка – най-младия континент, който може да се окаже една „Лаборатория на бъдещето“. Доколко биеналето успя да постигне това (по-скоро не), е тема за друг текст. Но съдбата на планетата, а и на обществото ни, включително през дебатите за климата, също е незаобиколима част от тази лаборатория, от общото ни бъдеще.
Everybody talks about the weather
Така че не е лошо да поговорим за времето – както правим всъщност всеки ден и както ни предлага кураторът Дитер Ролщрете в едноименната изложба в палацо Ca’ Corner della Regina – пространството на Фондация „Прада“ във Венеция.
Сградата сама по себе си е великолепен експонат – бароков венециански дворец, построен между 1724 и 1728 г. за фамилия Корнер от Сан Касиано. За изложбите си Фондация „Прада“ използва първите три етажа след внимателна реставрация, включително на всички детайли, мазилки и стенописи.
Венеция е обречена. До 75 години града вече няма да го има и всичко ще е под вода, включително тази сграда тук,
казва обаче Ролщрете. Надвисналият риск и неизбежността на разрухата ясно се четат като умишлено послание в цялата изложба. Въпросът е как през изкуството да осъзнаем огромното влияние на климата не само за ежедневието ни, но и исторически, глобално и за развитието на цивилизацията въобще.
На входа ни посреща стена от екрани, на които се излъчват телевизионни прогнози за времето по цял свят. На първия етаж преминаваме през лабиринт от табла, където статистически данни за екстремни изменения на климата на планетата през вековете са сложени редом до известни картини, които всъщност ги изобразяват. През 1565 г. Брьогел рисува вече споменатите „Ловци в снега“ по време на т.нар. малка ледникова епоха, когато температурите на Земята падат рязко с няколко градуса. Това води до особено тежки зими, поредица от лоши реколти, глад и в крайна сметка до драматична глобална криза, която бележи времето между средата на XVI и средата на XVII век.
Немският романтик Каспар Давид Фридрих рисува прословутата си картина „Море от лед“ като отражение на общото мрачно настроение, обхванало Европа след т.нар. година без лято. През 1815 г. избухването на вулкана Тамбора в Индонезия изпраща такова голямо количество вулканичен прах в атмосферата на Земята, че небето потъмнява за една година, температурите падат, а мрачното време и валежите бележат цялото лято на 1816 г. Същото лято, в което Мери Шели пише „Франкенщайн“ като отговор на предизвикателството на Байрон кой ще измисли най-мрачната призрачна история, докато цялата компания стои затворена с месеци в къща на брега на Женевското езеро в непрестанен дъжд.
Изложбата продължава с повече от 500 книги, видеоматериали и интервюта за климата и климатичните промени. Както и с няколко антиутопични сценария, които всеки трябва да види, прочете и изживее сам за себе си.
Град на бъдещето или антиутопичен кошмар
Всъщност именно една антиутопия, представена като успешна рецепта за бъдещето, е контрапункт на изложбата във Фондация „Прада”.
The Line е проект за 170-километров линеен град, който вече се изгражда в пустините на Саудитска Арабия и се рекламира като бъдещето на урбанизма. На места изцяло климатизираната структура достига 500 метра височина и предлага суперкомпактен модел на обитаване, при който в даден момент 80 000 души ще бъдат на 5 минути пешеходно разстояние от всичко необходимо. The Line може да събере 9 млн. души върху 2% от обичайната градска територия, която би била необходима за такова население. Така земята остава свободна – а хората оставят минимален отпечатък, скрити зад половинкилометрови стени в едно от най-горещите места на планетата. Разбира се, според авторите на проекта животът в града ще бъде поддържан от възобновяема енергия и ще произвежда водата и храната си изцяло устойчиво.
Изложбата на проекта във Венеция се проведе отново успоредно с Биеналето в Abbazia di San Gregorio и показа колко много и все големи световни архитекти са склонни да захвърлят доброто си име и да работят за материализирането на една рециклирана визия за бъдещето, продукт на архитектурните утопии на ХХ в., която през XXI в. изглежда абсурдно безотговорно. Устойчивото бъдеще на градовете на Земята със сигурност няма да се построи, спонсорирано от петролни долари и с очевидно спекулативни инвестиционни намерения. А животът в този линеен град, визуализиран с макети и видеа, генерирани сякаш от AI, изглежда плашещо антиутопичен. Живот на една планета, в която природата е тотално разрушена и човечеството се е спасило в изкуствена, абсолютно климатизирана среда.
За климата от Америка
В добрите галерии на САЩ изложбите на тема климат, екология и климатични промени са навсякъде тази есен. В Hirschhorn Museum във Вашингтон се намира изключително впечатляващата видеоинсталация Purple на Джон Акомфра, която на шест екрана смесва натрапчив разказ за влиянието на човека върху природата и климата на Земята през кадри от Аляска, Гренландия, тихоокеански острови.
В MoMA в Ню Йорк до януари 2024 г. ще може да се разгледа изложбата Emerging Ecologies. Architecture and the Rise of Environmentalism, която проследява екологичните тревоги на архитектите в САЩ още от 60-те години на ХХ в. и умишлено приключва с проекти от началото на 90-те, за да покаже кога „екология“ става клиширана дума, лишена от първоначалния си тревожен заряд.
Струва ми се обаче, че няма да стане само с изкуство и говорене. През септември десетки хиляди протестираха по улиците на Манхатън за пълна забрана на изкопаемите горива, а в речта си пред тълпата лявата конгресменка Александрия Окасио-Кортес каза, че „движението трябва да стане прекалено голямо и радикално, за да бъде игнорирано“. Но Ню Йорк, както всички знаем, не е Америка.
Няма време да разчитаме на малки архитектурни намеси, на пилотни проекти, на изграждане на мрежи (каквито се опитва да прави Новият европейски Баухаус) или на внимателно образоване на едно много разделено общество (както се опитват да правят галериите в Америка). Дошъл е моментът да се паникьосаме, да спрем просто да говорим и да действаме решително и заедно – отвъд икономически интереси и политически пристрастия. Това ще бъдат трудни и непопулярни мерки, които трябва да се прилагат едновременно и глобално. Въпросът е: можем ли?
Блусът се ражда като музика на бедните, разчитайки на „синята нота“ (blue note) и повторимостта на фразите, на ритмичното вдълбаване в суровите емоции, в тъгата и носталгията под далечния зноен дъх на спиричуъла. Тъкмо това прави и Юли Шумарев в „Макгахански блусове и балади“ –
сборник с разкази от етюден тип, който всъщност може да се чете и като поетичен роман за израстването.
Роман, изсвирен по грифа не на американската делта, а на спомена за една малка, вече напълно променена и джентрифицирана пловдивска уличка, затворена някога между стръмното на Стария град и началото на циганската махала.
„Макгахан“ е уличка на градската беднота, уличка на малките хора и съдби.
В тези автобиографични истории авторът разказвач пътува с така наречената от него „времевръщачка“ в детството си на ул. „Макгахан“ 10 – в присъствието на своите брат, баба и най-вече дядо, може би централния герой в тази книга. Той прави това по един типично прустовски, или по-скоро господиновски начин. Също като при Господинов, и тук миналото бива страстно инвентаризирано, опредметено, капсулирано преди всичко във вещи и предмети, както и в звуци, миризми и ритуали. Паметта се вкопчва в чисто сетивното, във физическото, в онова, което – като при неверния Тома – ни убеждава в съществуващото, в съществувалото.
Да, Юли Шумарев признава крехкостта и ненадеждността на тази памет – а следователно и нейното сродство с въображението, което идва да запълни празнините ѝ, но всъщност може би е самата нея.
Едва ли мога да си спомня тези неща. Сигурно си измислям. Аз съм лъжец.
Тази памет-въображение има нужда от патерица, от мадленка: стария дядов куфар, коланчето от роклята на баба, черницата на двора, запазеното билетче, запалката „Зипо“. Тя се рее над някогашните звуци и миризми: шляпането на гумените чехли, съскането на кибритената клечка, дъха на липовия цвят и риванола. Всичко това са не просто неща, а насъщна част от състояния и действия, които в детството (а може би чак в спомена за него?) придобиват смисъла на мистични, повтарящи се ритуали, съвсем буквално крепящи света.
Всяко нещо е важно и ненарушимо.
И така ритуалите по ежедневното курдисване на часовниците, боядисването напролет, запалването на печката, поправянето на повреденото се превръщат в част от донкихотовската битка на дядото на разказвача с ентропията и разпада. Същата обречена и неравна битка, която той води и със забравата, записвайки си на куп бели листчета имената на хора, места и предмети, започнали да му се изплъзват с напредването на деменцията.
Помнен, дори и само на хартия, светът ще остане цял.
Не е случайно, че едно от имената върху белите листчета е на кораба „Титаник“, който се споменава на много места из страниците. Старата къща на ул. „Макгахан“ 10, която разказвачът определя като „целия фундамент в живота ми“, е обречена пред айсберга на времето, който ще я разруши физически, слагайки край на детството. Тя е Шумаревият титаник, потънал насред океана на модернизиращия се град и порастването. Опитът на малкия Юли да излъже веднъж времето, размествайки стрелките на всички часовници у дома, така и не сработва.
И все пак машината на времето, за която мечтае авторът, вече е изобретена от самия него – чрез разказването.
Ще построя кораб срещу времето. Корпуса ще скова от дъските на дядовата ограда, ребрата ще направя от старите дворни плочи, килът ще е от вехтите греди, които подпират тавана. В сърцето му ще забия ръждивия цигански пирон, който крепи света ми. За мачти ще отсека любимите си макгахански дървета. Ще ги изправя да стърчат гордо, после ще ги превържа с такелаж, изплетен от бабината червена нишка. Ще връзвам здраво и няма да забравя парче за себе си.
И ето. Конецът от червеното кълбо се превръща в нишката на Ариадна, която не отвежда извън, а до самото сърце в лабиринта на детството. А потъващият „Титаник“ се издига в кораба на Ноевия ковчег. Така че може би финалната четвърта фраза на този макгахански блус се римува с възклицанието на разказвача, че „истинска загуба няма“. Най-малкото защото всяко изгубено от някого нещо е откритие за другиго, точно като изпадналите двайсет стотинки. Сума огромна впрочем…
… защото детството е лупата на живота.
Малката къщичка и дворчето на Юли са с размерите на „поле и катедрала“, хралупата на дървото е „светилище“, качването на тавана е равносилно на стъпването на Луната или поне на покоряването на Еверест. А куп пространства придобиват статута на убежища – такова само по себе си е детството, където криенето от света е част от преживяването му.
„Макгахански блусове и балади“ е не по-малко и книга за братството и връзката през поколенията. За сметка на бабите и дядовците, родителите почти липсват в наратива (те може би се нуждаят от собствена книга). В българското детство това е „изконна“ традиция, която максимално приближава детето до емоционалното преживяване на смъртта. Детството в крайна сметка е свикване с кръвта и смъртта. Включително тази на любимите домашни животни, заклани, за да бъдат изядени – както в дългата сцена с обезглавеното петле, спасително задигнато от котарака – страшилище на махалата.
Всъщност Юли Шумарев е преди всичко художник – от тези, израснали покрай Античния театър, учили се от платната на Слона, Кольо Карамфилов и други знакови артисти на града. Може би затова в дебютната си книга е способен да види небето в „цвят на изтъркани дънки“. Привидно семпъл, езикът на историите е силно образен и метафоричен, сетивен, поетично красив в носталгията си.
Фабулирането се случва и през езика, придавайки на всеки разказ почти библейски, епични измерения. На места историите звучат като притчи, в чиито архетипни образи поне няколко поколения ще разпознаят собственото си детство. Всичко там все още ще е преводимо в нещо друго – точно както всяка вещ от натуриите в бараката-убежище-светилище може да бъде употребявана за куп други неща, та да бъде светът самодостатъчен и самозакрепим. И в крайна сметка разказването е колкото сбогуване, толкова и отказът от него, както признава Юли Шумарев:
Не знам кога ще се сбогувам с миналото си. Не знам кога ще си простя. Не знам кога ще освободя баба и дядо от мислите си и ще ги оставя да се реят между звездите. Знам, че времето е жива материя. Мога да се върна по него, да видя старите места и липсващите любими хора.
Активните дарители на „Тоест“ получават постоянна отстъпка в размер на 20% от коричната цена на всички заглавия от каталога на „Жанет 45“, както и на няколко други български издателства в рамките на партньорската програма Читателски клуб „Тоест“. За повече информация прочетете на toest.bg/club.
Никой от нас не чете единствено най-новите книги. Тогава защо само за тях се пише? „На второ четене“ е рубрика, в която отваряме списъците с книги, публикувани преди поне година, четем ги и препоръчваме любимите си от тях. Рубриката е част от партньорската програма Читателски клуб „Тоест“. Изборът на заглавия обаче е единствено на авторите – Стефан Иванов и Севда Семер, които биха ви препоръчали тези книги и ако имаше как веднъж на две седмици да се разходите с тях в книжарницата.
To provide the best experiences, we use technologies like cookies to store and/or access device information. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Functional
Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
