Chinese Supply-Chain Attack on Computer Systems

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2021/02/chinese-supply-chain-attack-on-computer-systems.html

Bloomberg News has a major story about the Chinese hacking computer motherboards made by Supermicro, Levono, and others. It’s been going on since at least 2008. The US government has known about it for almost as long, and has tried to keep the attack secret:

China’s exploitation of products made by Supermicro, as the U.S. company is known, has been under federal scrutiny for much of the past decade, according to 14 former law enforcement and intelligence officials familiar with the matter. That included an FBI counterintelligence investigation that began around 2012, when agents started monitoring the communications of a small group of Supermicro workers, using warrants obtained under the Foreign Intelligence Surveillance Act, or FISA, according to five of the officials.

There’s lots of detail in the article, and I recommend that you read it through.

This is a follow on, with a lot more detail, to a story Bloomberg reported on in fall 2018. I didn’t believe the story back then, writing:

I don’t think it’s real. Yes, it’s plausible. But first of all, if someone actually surreptitiously put malicious chips onto motherboards en masse, we would have seen a photo of the alleged chip already. And second, there are easier, more effective, and less obvious ways of adding backdoors to networking equipment.

I seem to have been wrong. From the current Bloomberg story:

Mike Quinn, a cybersecurity executive who served in senior roles at Cisco Systems Inc. and Microsoft Corp., said he was briefed about added chips on Supermicro motherboards by officials from the U.S. Air Force. Quinn was working for a company that was a potential bidder for Air Force contracts, and the officials wanted to ensure that any work would not include Supermicro equipment, he said. Bloomberg agreed not to specify when Quinn received the briefing or identify the company he was working for at the time.

“This wasn’t a case of a guy stealing a board and soldering a chip on in his hotel room; it was architected onto the final device,” Quinn said, recalling details provided by Air Force officials. The chip “was blended into the trace on a multilayered board,” he said.

“The attackers knew how that board was designed so it would pass” quality assurance tests, Quinn said.

Supply-chain attacks are the flavor of the moment, it seems. But they’re serious, and very hard to defend against in our deeply international IT industry. (I have repeatedly called this an “insurmountable problem.”) Here’s me in 2018:

Supply-chain security is an incredibly complex problem. US-only design and manufacturing isn’t an option; the tech world is far too internationally interdependent for that. We can’t trust anyone, yet we have no choice but to trust everyone. Our phones, computers, software and cloud systems are touched by citizens of dozens of different countries, any one of whom could subvert them at the demand of their government.

We need some fundamental security research here. I wrote this in 2019:

The other solution is to build a secure system, even though any of its parts can be subverted. This is what the former Deputy Director of National Intelligence Sue Gordon meant in April when she said about 5G, “You have to presume a dirty network.” Or more precisely, can we solve this by building trustworthy systems out of untrustworthy parts?

It sounds ridiculous on its face, but the Internet itself was a solution to a similar problem: a reliable network built out of unreliable parts. This was the result of decades of research. That research continues today, and it’s how we can have highly resilient distributed systems like Google’s network even though none of the individual components are particularly good. It’s also the philosophy behind much of the cybersecurity industry today: systems watching one another, looking for vulnerabilities and signs of attack.

It seems that supply-chain attacks are constantly in the news right now. That’s good. They’ve been a serious problem for a long time, and we need to take the threat seriously. For further reading, I strongly recommend this Atlantic Council report from last summer: “Breaking trust: Shades of crisis across an insecure software supply chain.

Дигитална археология на „Редута“

Post Syndicated from Светла Енчева original https://toest.bg/digitalna-arheologiya-na-reduta/

94 месеца. Това са седем години и десет месеца. От толкова време според RSS четеца ми следя сайта „Редута“. Подозирам, че четецът ми греши, защото имам ясен спомен, че редовно четях сайта и преди това. Помня дори първата му публикация, която днес не може да се намери там, защото достъпният архив е от 21 октомври 2016 г. насетне.

След кратко търсене в интернет може да се установи, че

„Редута“ стартира през март 2011 г.

Първият анонс за сайта е от 22 март и се намира в блога на Владимир Шопов. Ден по късно и Стойко Тонев, по-известен като Тони Филипов, д-р, пуска кратко съобщение по темата в блога си „Из делниците на един луд“. Това е впрочем последният пост в блога му и оттам нататък рубрика под същото име става част от „Редута“. На следващия ден блогър с псевдонима Флайко препубликува първата статия от новосъздадения сайт. Същата, която помня. Блогът му, изоставен година по-късно, е единственото налично в интернет свидетелство, потвърждаващо моя спомен. Съдържанието на статията присъства и в описанието на страницата на „Редута“ във Facebook.

В голямата си част всъщност онази първа публикация е цитат от романа на Кърт Вонегът „Сирените от Титан“. В него Вонегът въвежда понятието „хроно-синкластичен инфундибулум“: „Това са местата, където всички различни видове истина застават заедно по местата си толкова хубаво, колкото частите в слънчевия часовник на татко ви. Тези места наричаме хроно-синкластични инфундибулуми.“

Именно това понятие използват създателите на сайта, за да го опишат най-добре. Те отправят към бъдещата му аудитория следното послание:

Добре дошли, уважаеми читатели, в нашия хроно-синкластичен инфундибулум! Не се стряскайте от сложното наименование. Както повечето сложни наименования, то е измислено, за да скрие нещо много просто – възможността най-различни истини да съществуват заедно, без да воюват.

През годините едни автори се присъединяват към „Редута“, други си отиват, но основните остават четирима: Стойко Тонев, Веселина Седларска, Любослава Русева и Владимир Шопов. При всички различия между тях – ценностни, стилови, политически и пр., „Редута“ е пространството, в което техните истини „съществуват заедно, без да воюват“ помежду си. Свързващата ги фигура е Стойко Тонев – социолог по образование, с докторантура по политология, известен най-вече със сатиричната си публицистика. В сайта са посочени именно неговите координати за контакт.

В някои от вариантите си дефиницията на думата редут, послужила за заглавие на сайта, звучи за неспециалистите почти толкова неясно, колкото и „хроно-синкластичен инфундибулум“. Според Уикипедия редут е „постоянно или временно фортификационно, обикновено землено съоръжение от затворен вид“. Преведено на понятен език, това ще рече: постоянно или временно укрепление. На френски, откъдето произхожда думата, redoute означава както укрепление, така и място за провеждане на празненства, танци, карнавали.

Авторите на „Редута“ предложиха на аудиторията си едно укрепление,

от което изстрелваха стрелите на социалната си критика, обединявани от карнавалната ирония на д-р Тони Филипов. Читателите, от своя страна, знаеха, че имат сигурно убежище срещу ниските стандарти в публицистиката и в журналистиката като цяло, срещу безгръбначността и манипулативността; място, където да се подслонят. И така – почти десет години.

Край на този идиличен хроно-синкластичен инфундибулум сложи внезапната смърт на Стойко Тонев на 31 януари 2021 г. Последната му публикация е от 27 януари и завършва с To be continued next Sunday („Ще продължи следващата неделя“). За д-р Тони Филипов следваща неделя нямаше. Не и тук. А там, където винаги е неделя, в компанията на Кърт Вонегът и други брилянтни ироници.

Останалите трима автори на „Редута“ не искат да продължат сайта без „доктора“: „За съжаление, колкото и да звучи банално, всяко нещо има своето начало и своя край. Без д-р Тони Филипов това място просто не би било същото. По наша преценка сегашният момент е подходящ да поставим точка на това начинание. Надяваме се, че то оставя съществена следа в усилията за удържане на свободата на словото в страната.“

„Редута“ ще продължи да съществува, но само като архив.

Редутите биват временни и постоянни. Да си призная, приемах „Редута“ за даденост. За постоянно укрепление, зад което не се налага човек да се крие през цялото време – достатъчно е да знае, че то е там и че от него се произвеждат качествени словесни залпове. И изведнъж, докато се усетя, сайтът премина от полето на медийното всекидневие в това на дигиталната археология. Превърна се в обект на архивиране и консервация.

Информационното общество внася нови измерения не само в живота, но и в смъртта. С годините дигиталната гробница в нашия онлайн свят заема все по-голямо място. Тази гробница се пълни не само с архивирани, зарязани, изчезнали или загубили притегателната си сила сайтове, блогове, социални мрежи, приложения, а и с онлайн профили на покойници. Facebook вече предлага инструмент за превръщането на профилите на покойници във възпоменателни, тъй щото да не получаваме жизнерадостни напомняния за всеки техен рожден ден.

От един финал се очаква да е поне малко жизнеутвърждаващ. Вероятно тук трябва да възложа надежди за дълголетно онлайн битие на читавите медии, които остават, при съблюдаването на високи професионални стандарти. И да пожелая в тях останалите трима автори от „Редута“ да са добре дошли. Разбира се, силно се надявам това да се случи. Но единственото, което ми хрумва в момента, е едно стихотворение на Марин Бодаков:

Нищо не донесе зрелостта –
само нападали столове, неогладено пране.
И на финала, за да поправи впечатлението,
по-малко тайни срещи,
повече тайни раздели.

Само че в ума си заменям „тайни“ с „дигитални“.

Заглавно изображение: © Diego Ruschel / Fort Zeelandia Museum

Тоест“ разчита единствено на финансовата подкрепа на читателите си.

Гражданска квота, фалшива брада

Post Syndicated from Емилия Милчева original https://toest.bg/grazhdanska-kvota-falshiva-brada/

Знаете ли, че Тома Биков е депутат от т.нар. гражданска квота на ГЕРБ? Както и Спас Гърневски, и бившият конституционен съдия Георги Марков. Три от най-гласовитите „остриета“ на управляващата партия не са нейни членове. Впрочем и един от най-тежките фактори не просто в ДПС, а в държавата – Делян Пеевски, също е от гражданската квота на ДПС. (Най-вероятно конструирана специално за него.) За други, като Петър Курумбашев, един от създателите на „Ку-ку“, гражданската квота на БСП се оказа добър трамплин – тръгна от общински съветник в София, после – депутат и сега евродепутат.

Винаги е добре политиците да имат по едно мекере до себе си, за да им „чеше коня по ханищата“ (пo Захари Стоянов). И ако за тази цел е необходимо на шията му да виси етикет „гражданин“, окачва се. Мекерето има здрава шия – и хамут да му наденеш, носи.

Под прикритие

Ако се замислим по-надълбоко, ще разберем, че определението „гражданска квота“ в партийните листи е безсмислица, нещо като фалшивата брада на дядоколедовците. Иначе се мисли за „крем дьо ла крем“. Дефинитивно това би трябвало да са граждани, които не са партийни членове, не са длъжни да се подчиняват на всички партийни повели и трябва да са чистият, неподправен глас на „обикновените хора“ – или поне на някаква част от социума. Например когато партийната група дружно реши да отвори вратичка за застрояване на още от Черноморието, те да кажат: „Ааа, не така другари/господа, тая работа не бива да става!“ Или когато парламентарната група се кани да извърши друга шашма – да уреди някому текст в Наказателния кодекс или държавна подкрепа за нечий бизнес, да откажат своя кеш и да порицаят. Нали уж са граждани, дето не са длъжни да се подчиняват на партийна заповед…

Извън тия либерални утопии е реалността и там такива лиготии няма – или си с нас, или си против нас. Искам да видя тоя „гражданин“, който ще се възпротиви на Бойко Борисов или Корнелия Нинова, пък и не само. Който го може, няма място в гражданските квоти. „Гражданските квоти“ разнообразяват сивотата от партийни безличия и политически калъфи и чрез тях влизат известни на други поприща, най-търсени от които са „интелектуалците“. Не е задължително да говориш латински, за да си от тая категория – важно е да можеш достатъчно неясно да обясниш защо си се качил на джипката. Това е като разговор с австралийски аборигени. На въпроса защо сте в листите на ГЕРБ/БСП/ДПС и т.н., отговарят: „Виждам гущер до югоизточния ми крак.“ Това антрополозите го могат добре, но и не само те. Има, разбира се, и спортисти, актьори, предприемачи, професори. Никой от тях не е случаен гражданин – случайните граждани носят пазарски чанти, не могат да донесат гласове.

Работници няма, но лакомници има

Музикантите като че ли са най-рядко канени. Барабанистът Калин Вельов, който на два пъти се закле като депутат от ГЕРБ в настоящия парламент, е от малкото изключения. Кавалджията Теодосий Спасов обаче се огорчи, когато името му беше спрягано за гражданска квота на БСП през 2017 г. „Аз съм музикант на моя народ и не мога да имам политически или религиозни пристрастия“, каза той тогава пред „24 часа“. (Депутатката от „БСП за България“ Нона Йотова не я броим за музикантка, а за актриса, която може да свири на китара и чийто съпруг управлява Панаира на Георги Гергов.)

Но в листата на левицата например няма да откриете работници. Какво от туй, че Маркс и Енгелс вярваха в историческата мисия на пролетариата и в естествената му склонност към социалистическите идеи. При режима на Тодор Живков поне за цвят слагаха по някой представител на работническата класа, като знатната тъкачка Найда Манчева, депутатка в три Народни събрания и Герой на социалистическия труд. Но сега пунта мара се прави с други, като земеделеца Спас Панчев, известен с прякора си Лакомото, изключен от групата на социалистите сигурно защото си е напълнил прекомерно чинията. Ето отговора му в интервю по bTV, запитан от Мария Цънцарова какви качества трябва да притежава човек, за да се сдобие с прякора Лакомото.

Аз не знам кой го измисли и кога. Честно, не си спомням. Защото ако „лакомото“ е, че ям много, не ям. Напротив. От моята чиния слагам винаги на приятелите. Ако е „лакомото“ като желание за власт – аз съм от много години председател на партията (БЗНС „Александър Стамболийски“ – б.р.), нямам конкуренция, не се боря с никой. Така че в случая с властта също да кажат, че съм „лакомото“, не знам. Признавам си, че повечето ми приятели бяха изненадани от това някой да каже за мен, че съм „лакомото“, Спас Лакомото. Аз наистина предпочитам да давам, а не някой да си помисли, че той ми е дал и аз съм му задължен.

Не казва, но прякорите, както е известно, са нецензурирана характеристика на делата на човека. Ако вярваме на Панчев, излиза, че в случая с изключването може да не е сложил от своята чиния на колегите от „Позитано“ 20. Не е възприел японската препоръка за правилно хранене: „Закуската изяж сам, обяда раздели с приятел, а вечерята дай на врага си.“

Лакомници има, събирачи на суджук има, но ИТ предприемачи например в групата на ГЕРБ няма. Как да ѝ се вярва на партията, че иска да прави е-правителство?!

Като потекат едни граждани след 4 април

На 17 февруари приключва процесът по регистрация на кандидатдепутатските листи за предстоящите на 4 април избори. Много непознати… граждани ще има в политическите сили, които се борят за представителство в парламента. Мнозина от тях ще се обявят срещу продажните политически елити, ще казват, че са на наша страна в тази несправедлива и корумпирана държава. В това състезание по надвикване да се вгледаме внимателно – това не са ли същите кебапчета от миналите избори? Или от по-по-миналите?

Нищо чудно да открием сред викащите мнозина, сменили по няколко партии, обвързани със задкулисни договорености, и/или такива като Гърневски, които с еднаква лекота могат да възхваляват един режим или да го хулят, в зависимост от поръчката. В действителност „гражданските квоти“ са въдица за гласове. Автентичното гражданско има граждански позиции и не е готово да поддаква на партиите на всяка цена.

Няма „граждански квоти“, както няма и „eкспертно правителство“. Всички експерти, известни нам от няколко правителства, са били назначения на нечий политико-икономически кръг, от Беров до Дянков и Емил Караниколов. Не съществува политическа сила, която би се съгласила да подкрепи кабинет, в който няма възможност да дърпа конците на поне един министър. Експертно правителство означава работа в действителна полза на обществото, а не на един или друг невидим за широката публика кръг. Съставено от хора с доказан интегритет и конкретна програма за конкретно време. В никакъв случай да не се бърка със служебно, назначено от президента, което някои също гледат да пробутат като „eкспертно“. Както и някои видни граждани, експертите също са склонни да мърдат с уши, за радост на публиката, и да споделят храната в чинията си с когото им наредят от партиите.

Заглавна снимка: Element5 Digital / Unsplash

Тоест“ разчита единствено на финансовата подкрепа на читателите си.

Новите предизборни коалиции – опортюнизъм без изненади

Post Syndicated from Венелина Попова original https://toest.bg/novite-predizborni-koalitsii/

За първи път от началото на целия Преход в България социолози и политолози са толкова затруднени и предпазливи в прогнозите си за резултатите от предстоящите парламентарни избори през април. В силно конфронтираната среда участниците в сегашната управленска коалиция залагат на това, което са направили през мандата си, а техните опоненти от парламентарната и извънпарламентарната опозиция – на това, което не са направили, и на свършеното от тях с отрицателен знак, на корупцията и мафиотизирането на държавата, на липсата на правосъдие за лицата от високите етажи на властта и т.н.

Политическото ожесточение и инерцията от миналогодишните протести, продължили дълго, но без успех, може да доведат до повишаване на избирателната активност и до силно фрагментиран парламент, нестабилно правителство, влизане в политическа криза и нови избори. Това може и да не се случи,

ако се създаде една голяма следизборна коалиция срещу ГЕРБ,

но тя изглежда по-скоро невъзможна, защото е опасна за политическата идентичност на евентуалните участници в нея. Тя няма как да имитира фалшивото всенародно движение като Отечествения фронт, което послужи за прикритие на Деветосептемврийския преврат на БКП и беше патерица на комунистите до края на тоталитарния им режим.

Не изглежда възможно, както предлага Татяна Дончева, създаването и на една голяма коалиция като СДС, защото Съюзът събра антикомунистически формации и отделни личности в началото на Прехода, просъществува кратко и излъчи правителство, което не успя да направи реформите. И понеже организациите в него бяха като орел, рак и щука, затова и бързо се разпадна.

Следизборните коалиции, които биха могли да съставят мнозинство в следващия парламент, безспорно са благодатна тема за политолозите, за техните прогнози и анализи.

Но по-важни и по-интересни в момента са предизборните съюзявания.

Като самостоятелни играчи на терена засега се очертават ДПС, ВМРО и „Има такъв народ“. Всички останали ще се явят на вота в коалиционен формат. Обичайно предизборен брак сключват политически субекти с близка идеология и програми за управление. Такава, с известни резерви, е коалицията между ГЕРБ и СДС. В другото обединение „БСП лява България“, освен социалистите, едва ли някой знае кои са останалите партии. Броени дни остават до 17 февруари, когато е крайният срок за регистрация в ЦИК на участниците в парламентарните избори.

Две от новите коалиции представляват особен интерес.

„Изправи се! Мутри вън!“

Гражданската платформа на Мая Манолова „Изправи се.БГ“ се обедини с т.нар. „Отровно трио“ на Арман Бабикян, Николай Хаджигенов и Велислав Минеков. С бившия национален омбудсман ги събраха летните антиправителствени протести. Коалицията използва регистрацията на три партии от обединението – Движение „България на гражданите“, Единна народна партия и „Движение 21“.

Очевидно в нея липсва общата идейна основа, защото се събират субекти с лява, центристка и дясна идентичност.

От кратката биография на коалицията засега Мая Манолова обсебва лидерската позиция, това личи дори и от колективна снимка, на която тя е в централна позиция и със самочувствието на безспорна фаворитка. Без съмнение, тя е разпознаваема веднъж като бившето парламентарно острие на БСП, а след това и като национален омбудсман. Манолова застана зад различни каузи, като тази на „Майките в черно“ и събра обществена подкрепа, която се опита да използва в битката си за столичен кмет срещу Йорданка Фандъкова, но не успя.

Не успя да се пребори с „триглавата ламя“ (Борисов–Пеевски–Гешев) и „Отровното трио“, защото, вместо да бъде обединена, енергията на протеста беше разпиляна между отделните политически участници в него. Затова устоите на кабинета „Борисов 3“ бяха силно разклатени, но издържаха на политическите трусове и не рухнаха.

Според лидерката на „Движение 21“ Татяна Дончева

най-важното в сегашния исторически момент е мутрите и мафията да бъдат изринати от властта.

Затова тя пледира за намирането на формула, която да обедини максимално повече хора около тази цел, дори те да имат различия във възгледите си. Дончева е наясно, че такова обединение се постига трудно, но заявява, че рискът си заслужава. И препоръчва на партньорите от коалицията да заимстват формула от ранното СДС – една по-скоро утопична идея в сегашната обществено-политическа ситуация в страната.

В „Изправи се! Мутри вън!“ не идейните различия могат да породят проблеми между партиите в състава на коалицията, още повече че приоритети като повишаването на доходите, ревизия на управлението и съдебна реформа са релевантни и за леви, и за десни, и за центристки формации.

Проблемите може да възникнат от егоцентрични амбиции за това кой да води „дружината“.

Между Мая Манолова и Татяна Дончева може да възникне подобен тип напрежение, макар лидерката на „Движение 21“ вече да декларира, че няма да е в листите на коалицията, в които 70% е предвидено за гражданското участие и само 30% – за партиите. Но тя едва ли ще се откаже от ролята на политически визионер, която харесва и смята, че ѝ принадлежи. Не е ясно как мъжкото трио, отровно или не, ще отстъпи лидерството на жените, но във всички случаи едва ли Бабикян, Хаджигенов и Минеков биха заложили на карта успеха на формацията заради подобни амбиции. Кой знае, развитието на кампанията ще покаже и това.

Патриотична коалиция „Воля–НФСБ“

Поредната „патриотична“ коалиция този път е между НФСБ на Валери Симеонов и „Воля“ на Веселин Марешки. Според двамата за създаването ѝ те работели повече от година и половина и в предварителните им планове Каракачанов трябвало да бъде с тях. Само че ВМРО решиха да играят солово. Основание за това им дават резултатите, които получиха на европейските избори, както и самочувствието, че по време на мандата на коалиционния кабинет „Борисов 3“ са изпълнили по-голямата част от своите обещания към избирателите.

Брак по сметка, скрепен единствено от безпринципни интереси и страха на Симеонов и Марешки да не изпаднат от следващото Народно събрание – така изглежда за мнозина т.нар. Патриотична коалиция „Воля–НФСБ“. В своите първи медийни изяви двамата лидери демонстрираха самочувствие, особено Марешки, който обяви, че ще са най-малко трета политическа сила в следващия парламент и ще изместят ДПС от ролята му на вечния балансьор.

„Ние тръгваме на тези избори, за да управляваме. […] Няма да скромнича и ще кажа, че спасихме България от втори служебен кабинет на Радев“,

каза Веселин Марешки в предаването „Референдум“ по БНТ в началото на седмицата. А Валери Симеонов обяви, че без оградата му по южната ни граница страната ни щеше да е препълнена с бежанци; че без блокадата на границата и спирането на туристите от Турция по време на предишните парламентарни избори ДПС щеше да има друг резултат и нямаше да бъде отстранено като балансьор в Народното събрание; че са изнесли битката с хазарта и шума по морските курорти – все високородолюбиви заслуги.

Дуото „Симеонов–Марешки“ обяви амбиция да създаде едно голямо консервативно патриотично обединение. Според Валери Симеонов коалицията им е отворена и за други патриотични формации, но отхвърли възможността в този формат да попадне партия „Възраждане“. А според Марешки при тях има място за всеки неоцапан с корупция.

Не е ясно каква програма ще предложи тази коалиция на избирателите,

след като по ключови теми – като енергийните проекти, свързани с Русия например – досега НФСБ и „Воля“ са имали различни позиции. Съглашателство по каквито и да е въпроси между Симеонов и Марешки дори чисто характерологично изглежда трудно постижимо. Защото първият е твърде неотстъпчив и краен, а вторият отстоява позициите си от ден до пладне и е склонен да ги променя от чисто интересчийство. Затова пък е щедър на обещания, като това да осигури безплатни лекарства за пенсионерите. Което си е държавна политика в някои страни от ЕС отдавна.

Засега някои от заявените участници в предизборната битка обещават ако не друго, поне някаква интрига. И със сигурност няма да е скучно.

Заглавна снимка: © Огнян Цветков

Тоест“ разчита единствено на финансовата подкрепа на читателите си.

Не сме центърът на вселената. Разговор с д-р Светлозар Василев

Post Syndicated from Марин Бодаков original https://toest.bg/dr-svetlozar-vasilev-interview/

Предложих на д-р Светлозар Василев да осъществим това интервю, воден от убеждението, че обясненията за актуалната ситуация, давани ни от политолози, социолози, икономисти, публицисти и пр., направо буксуват. Трябва обаче да намерим подстъпи към осмисляне на нарцисизма и омразата, които ескалират в обществото – и каква по-стабилна основа за това от един сборник с психоаналитични статии. При това статии, вдъхновени от работата на легендарната Мелани Клайн. 

През 2002 г. под съставителството и редакцията на проф. Орлин Тодоров издателство ЛИК публикува „Любов, завист, благодарност“, избрани статии от Мелани Клайн. Какво се случи от този момент до днес, близо 20 години по-късно, когато издателство „Колибри“ отпечата с Вашето съставителство, редакция и предговор представителния том „Съвременна клайнианска психоанализа“? Как се променяха българският и световният клайниански психоаналитичен пейзаж, как общуваха те помежду си?

Сборникът на проф. Тодоров е резултат от процеси, започнали много преди 2002 г. Падането на желязната завеса ни позволи да участваме в конференции и да общуваме с колеги от Западна Европа и Северна Америка. Преломният момент бе в средата на 90-те години, когато установихме контакт с Международната психоаналитична асоциация, в която членуват 20 000 психоаналитици от цял свят.

По същото време проф. Робърт Йънг се съгласи да стане съдиректор на Българския институт за отношения между хората и започнахме работа по създаването на програма за обучение по психоанализа към Нов български университет. Ръководството на университета стоеше плътно зад идеята и инвестира в закупуването на няколко хиляди тома аналитична литература. Започнахме съвместни проекти и с психоаналитици като Нанси Кук фон Бретцел от Сан Франциско, проф. Ана и Рой Фрийд от Бостън и Жерар Люка от Франция.

Най-важният резултат от тези обмени бе, че д-р Николай Колев се премести от Стокхолм в София за период от няколко години с цел да анализира първата група български професионалисти. Именно неговият принос ни позволи да започнем обучение по психоанализа според стандартите и изискванията на Международната психоаналитична асоциация.

Близо половината от участниците в тази група се интересувахме от клайнианска психоанализа и след дипломирането си като аналитици започнахме специализация в Лондон, която продължава вече 13 години. В основата ѝ е участие в група от психоаналитици от различни европейски страни, в рамките на която дискутираме важни статии, но най-вече пациенти и случаи, които супервизираме. Паралелно с това друга част от членовете на Българското психоаналитично общество се анализират от британски специалисти или обсъждат работата си с тях.

Клайнианската техника е особено ценна с приносите си към работата с деца и хора с нарцистични и гранични проблеми, затова за мен е особено важно, че все повече млади колеги започват да се интересуват от възможността да работят с патология, различна от невротичните състояния.

През 2000 г. интервюирах проф. Елизабет Рудинеско, автор (заедно с Мишел Плон) на прочут „Речник на психоанализата“. Тогава – и през творчеството на Мелани Клайн – коментирахме дали трябва да говорим за психоанализа, или за психоанализи. И за мегаломанията на абсолютното знание. Какво е мястото на Клайн днес? За какво спорят с нея нейните опоненти/съперници? За какво спорят с нея нейните последователи? 

И двете са верни: и психоанализа, и психоанализи. Днешните психоаналитици изучават всички школи, но в същото време са обучавани да мислят и работят парадигмално. Нека кажа няколко думи как се е стигнало до това.

Психоаналитичната общност по времето на Клайн е била доминирана от идеите на Фройд, които са били идеализирани, а опонентите им са ставали обект на яростна критика. Като създател на оригинална и иновативна парадигма ѝ се е налагало да се бори за идеите си, иначе те никога не биха били чути. От биографиите и свидетелствата на нейните съвременници знаем, че в определени моменти тя също е ставала догматична, но съвременните клайнианци, които познавам, са изключително умерени и сдържани хора.

Питате ме за споровете, които водим с Клайн от позицията на днешния ден. Една от големите ревизии на нейните теории е свързана с контрапреноса. През последното десетилетие от живота на Клайн психоаналитичната общност прави завой по отношение вярването на Фройд, че чувствата, мислите, фантазиите и сънищата на психоаналитика възпрепятстват способността му да анализира. Една от ученичките на Клайн, Пола Хайман, лансира идеята, че контрапреносът е събуден от преноса на пациента и може да бъде използван като лакмус за несъзнаваните процеси в кабинета. Клайн е скептична и поддържа становището, че подобна идея крие риска да обясняваме трудностите в терапията единствено с проблемите на пациента и да не мислим за слепите петна на самия аналитик.

Съвременните терапевти са много внимателни към личната анализа, в клайнианската парадигма тя обикновено е много по-продължителна от обичайното, защото се работи с дълбоките пластове на несъзнаваното, формирани в най-ранните фази на емоционалното развитие. Учениците на Клайн – като Хана Сигъл, Бети Джоузеф и нашите съвременници и учители Джон Стейнър, Майкъл Фелдман и Роналд Бритън – доразвиват възгледите на Хайман и интегрират контрапреноса в ежедневната си работа с пациенти.

„Лакан няма литературните умения на Фройд“, каза ми тогава проф. Рудинеско… Как обаче пише Мелани Клайн? И какво е мястото на литературата и културата в нейната психотерапевтична парадигма?

Клайн е родена и израства във Виена, тоест майчиният ѝ език е немският. Тя е знаела и френски, но без съмнение пише и се изразява прекрасно на английски език. Най-голямото ѝ постижение обаче, с което остава в съкровищницата на най-брилянтните умове на ХХ век, е, че разбира и говори езика на несъзнаваното. Тя е имала невероятната дарба да намира думи за несъзнаваните преживявания на своите пациенти, включително и за тези от предвербалните стадии на тяхното развитие, когато представите са образни и все още не са обвързани с понятия.

Клайн е била начетена и добре образована, затова и анализите ѝ на литературни и театрални произведения са проникновени и задълбочени. Тя следи културните събития на своето време, а представителите на интелектуалния елит се интересуват от теориите ѝ. Ето например впечатлението на Вирджиния Улф след посещението в дома ѝ в Лондон на улица „Клифтън Хил“ №42: „Госпожа Клайн е пряма сивокоса жена с големи ясни очи, изпълнени с въображение.“ Трябва да отбележим, че макар Клайн да публикува основно психоаналитични статии, тя пише рецензии за книги и е автор на забележително есе върху „Орестия“ на Есхил. Един от най-интересните ѝ текстове, написани в края на живота, е посветен на самотата.

Не е случайно, че години след смъртта ѝ личността и творчеството ѝ продължават да вълнуват. Ще дам само два примера. През 1988 г. един от най-уважаваните британски драматурзи, Никълъс Райт, поставя пиесата „Госпожа Клайн“ – представление, в центъра на което са отношенията между Клайн, дъщеря ѝ и една от най-добрите ѝ ученички, същата тази Пола Хайман, за която споменах по-горе. Пиесата се играе и до днес, включително на Бродуей, а благодарение на Стилиян Петров – от 2015 г. насам и в „Театър 199“. Нека припомня, че Илка Зафирова спечели „Аскеер“ за водеща женска роля точно за тази роля. Юлия Кръстева, която е едновременно световноизвестен психоаналитик и уважаван автор, посвети един от томовете в трилогията си „Женският гений“ именно на Мелани Клайн, като я нарежда до Хана Аренд и Колет.

На какви принципи почива съставителството на „Съвременна клайнианска психоанализа“ – и защо разделихте тома на „Съвременни клайнианци в Лондон“ и „Съвременни клайнианци в Европа“, в т.ч. София? 

Сборникът съдържа няколко текста, които са специално написани за българското издание, както и ревизирани и допълнени текстове на лекции, изнасяни в България през последните 20 години. Разделянето на две части е продиктувано от факта, че най-изтъкнатите автори живеят и работят в Лондон, който е сърцето на тази империя на мисълта и емпатията.

В същото време много аналитици от други страни и континенти са специализирали клайнианска анализа, като са прекарали определен брой години в Англия, за да се анализират и почерпят опит от извора. Най-силни традиции в това отношение има в Западна Европа, но и в Южна и Северна Америка. Страните от Източна Европа, в това число и България, сме изостанали с близо 100 години от този процес. Наваксването е с цената на огромни лични усилия, но както казах, към днешна дата вече има български аналитици, които са се анализирали и са специализирали в Лондон. По-голямата част от тях са авторите и преводачите, взели участие в сборника.

Ако използвате като инструмент понятийното наследство на Клайн, какво бихте идентифицирали в състоянието на съвременното българско общество? Например връзката между политика и нарцисизъм?

Моделът за ума на Клайн е много по-динамичен от този на Фройд. Тя описва склонността на индивидите не само да еволюират, но и постоянно да се завръщат към параноидните режими на ума на кърмачето. Нейните последователи, най-важните измежду които е Уилфред Бион, откриват, че това е свойство и на човешките общности и институции.

Примерите за това как опростяваме сложната картина на реалността и възприемаме другия като източник на заплаха за физическото ни оцеляване и моралния интегритет са много – от конспиративните теории за човешката намеса в пандемията, през демонизацията на политическите опоненти, до преживяването на най-близките ни хора и колеги като врагове. В случаите, когато това е не временно, а продължително състояние, говорим не просто за нарцисизъм, а за патологичен нарцисизъм, доминиран от омраза, завист и алчност.

Може ли творчеството на Клайн да бъде отправна точка в размисъла ни как да се справим с агресията в обществото, предизвикана и от политическата криза, и от пандемията? Какво ни казват авторите в сборника за любовта и благодарността? Как да се свързваме един с друг, подкрепени от Клайн?

Клайн и постклайнианските идеи определено могат да бъдат отправна точка в подобен дебат, но не и решение на проблема. Ние, психоаналитиците, не смятаме агресията за нещо лошо, защото тя има и конструктивни варианти – проявява се под форма на амбиция, състезателен дух и градивно съперничество, които са движещите сили на цивилизацията. Разрушителната агресия е истински опасната – неин двигател са несъзнаваната омраза, която подкопава цивилизованите човешки отношения. В тези случаи завистта доминира над любовта и човек не само че не изпитва благодарност, а е воден от желание да разруши доброто.

Какви трябва – през призмата на Клайн – да бъдат човешките институции и организации, за да противостоят на агресивните импулси?

Някои мои колеги вярват, че е достатъчно институциите да гарантират свободата на изразяване – и всичко ще си дойде на мястото. Моят управленски опит ме е научил, че трябва да има динамично равновесие между свобода и съблюдаване на норми, правила и граници. Както пее Васил Гюров в една своя песен – „място за всеки и всеки на мястото си“. Голяма част от българите съвсем правилно мислят, че ключовите проблеми в България са корупцията и злоупотребата с власт. Много малко обаче осъзнават, че другата причина за неуспешния Преход е склонността им да не участват в решенията на ежедневните проблеми, но с готовност да обвиняват ръководството на организациите и държавата в демагогия или авторитаризъм.

Основният принос на Фройд е, че ни кара да осъзнаем причините за омразата към бащата, а Клайн ни изправя очи в очи с омразата към извора на живота – майчината гърда, която храни. Страховете, породени от глобализацията, финансовите и здравните кризи, поставят експертите, авторитетите и лидерството пред едни от най-яростните атаки, познати на човечеството до днес.

Вие сте автор на книга за психоанализата на филмовото преживяване. Надзърта ли Мелани Клайн от този Ваш труд – и ако да, как?

Моята първа книга е резултат от десетгодишния ми опит като участник в публични дискусии на филми през призмата на психоанализата. Психоаналитичната кинокритика изисква да анализираме както филма, така и нашите преживявания, чувства и мисли, тоест контрапреноса ни като зрители. И доколкото Клайн е обект в моя вътрешен свят, тя не само надзърта, а активно адмирира, но и активно дебатира и се конфронтира с определени сюжети, актьорски и режисьорски решения. Имайте предвид, че е била доста рязка в оценките си – тя например заявява, че „няма нищо интересно в двамата несретници, очакващи Годо“. Съжителството с Клайн е провокиращо, тя настоява за искреност и търсене на истината.

Един последен, но „поетичен“ въпрос, стимулиран от статията на Едит Харгрейвс в сборника: съвместими ли са съзнанието за преходността и радостта от живота? 

Едит Харгрейвс цитира Фройд, който е впечатлен от неспособността на Райнер Мария Рилке да се зарадва на красотата на природата по време на съвместен излет в планината. Мърморенията на Рилке стават повод Фройд да се замисли защо един успешен млад поет се чувства блокиран във връзката си със света, и постепенно стига до идеята, че за да можем да се насладим на живота, е необходимо да приемем факта, че сме преходни.

Изследванията на Клайн потвърждават тази идея и показват, че учим този урок още в кърмаческа възраст. Тя открива, че психичното развитие се задвижва от преживяването за загуба и че успешното тъгуване по загубения рай на единението с родителите ни е двигател на човешката съзидателност. Поезията, прозата, музиката, киното, дори работата с пациенти са резултат от „приемането на провала“ – тоест на факта, че не сме център на вселената, не сме вечни и времето ни на земята е ограничено. Затова и е важно да се насладим на мига и да дадем най-доброто от себе си.

Д-р Светлозар Василев е психоаналитик и преподавател в Нов български университет. Първоначалното му образование е медицина, след което работи като психиатър към Медицинския университет в София и специализира психоанализа в Нидерландия и Великобритания. Автор е на монографията „Огледало на въображението. Психоанализа на филмовото преживяване“ и на публикации в областта на епидемиологията, общественото здраве, психоанализата и изкуството. Василев е съосновател и настоящ председател на Българското психоаналитично общество, както и ръководител на Комитета за нови групи в Източна Европа към Международната психоаналитична асоциация.
Заглавна снимка: Стопкадър от видеоинтервю с д-р Светлозар Василев за Store.bg по повод публикуването на първата му книга „Огледало на въображението“

Тоест“ разчита единствено на финансовата подкрепа на читателите си.

По буквите: Барнс, Улф, Фосе

Post Syndicated from Марин Бодаков original https://toest.bg/barnes-woolf-fosse/

От човек до човек, с нова книга в ръка – ходенето по буквите продължава. Два пъти месечно Марин Бодаков представя по три нови литературни заглавия. И пита с какво точно тези книги ни променят.

„Мъжът с червеното палто“ от Джулиан Барнс

превод от английски Надежда Розова, София: изд. „Обсидиан“, 2021

Можем да четем „Мъжът с червеното палто“ като скрупульозна приписка към „По следите на изгубеното време“ на Марсел Пруст. Или като капризно показно как се пише биография. Разбира се, с производството на точно такъв портрет авторът няма как да натрупа точки пред безстрастните академични среди, тъй като разбутва едрите им конструкти, но с находчивите си забележки, с ревността си към духа на епохата, с елегантния си стил Джулиан Барнс ни печели. Както винаги.

След като неотдавна описа творческата трагедия на Шостакович, в новата си книга Барнс се занимава с Бел епок и великолепния екземпляр д-р Самюел Поци, французин с италиански произход. И покрай него – с цялото хлевоустие на една разгулна, лекомислена, нагла, самовлюбена, безобразна, прелестна епоха.

Хлевоустие като шампанско.

Д-р Поци е прочут парижки хирург, почитател на изкуството и бонвиван. Докато ни разказва неговата история, Джулиан Барнс ни среща с Уайлд, Юисманс, Сара Бернар, братята Гонкур, с кого ли не… Как забравих Робер де Монтескьо, когото познаваме от романа на Пруст. И през увеличителната леща, каквато представлява личността на красивия лекар с червено палто, виждаме сума ти фигури с освежени лица и разкрити чувствени забежки, виждаме мрежата, изтъкана от винаги сложните им отношения на лицемерие, сродство в порока и лукс. Виждаме и свободата, на която са се радвали тези хора – въпреки непрестанната опасност да бъдат озлочестени от пресата.

И понеже стигнах до пресата – една моя забежка. Ето историйката на някой си Жан Лорен, такава каквато днес я описва Барнс:

Въпросният Лорен е истеричен и двуличен клюкар според дневника на Гонкур. „Лорен клевети Гонкур пред господин и госпожа Алфонс Доде, после злослови пред семейство Доде за Гонкур с ясното съзнание (поне отчасти), че те ще съпоставят казаното. Просто не е способен да се сдържа. Гонкур често се пита какво поражда поведението му и дали основният импулс у Лорен е „злобата или пълната липса на тактичност“. Лорен си задава същия въпрос и едно от обясненията, които намира, е фактът, че цял Париж злонамерено го е отклонил от истинския му път като поет. „Тези свине! – възкликва той веднъж. – Те ме направиха журналист.“

Та и мен така… Шегата настрана, и във времена като Бел епок повече от всякога триумфират romans à clef (романите с ключ) – онези четива, в които под измислени имена се представят отмъстително и изобличително реални лица и събития от светската върхушка. В тях авторът споделя вътрешна информация без страх да го обвинят в клевета. Сатира. Джулиан Барнс ни предлага ключ без роман. Съгласен съм, и още как, че реалността е по-голяма измишльотина от фикцията.

Как ще продължи пътя си в литературата франкофилът Барнс? Историята му за Шостакович се казваше „Шумът на времето“. Дали Бел епок е много шум за нищо? Кой знае.

… Но пък какво фантастично, просто фантастично нищо!

П.П. Струва ми се, че „Папагалът на Флобер“ на Барнс, публикуван у нас от „Народна култура“ през 1990 г., има непризнати приноси в развитието на постмодернизма в българската белетристика. Като се замисля, след посещението си в София малко по-късно големият британски писател написа романа „Бодливото свинче“, в който видяхме диктатора Живков… Каква поредица, а? – Флобер, Живков, Шостакович, Поци… А пропускам още много.

„Флъш“ от Вирджиния Улф

превод от английски Иглика Василева, илюстрации Ираче Лопес де Мунаин, София: изд. „Кръг“, 2020

Различни, но направени по един и същи калъп, възможно ли е единият да допълва онова, което дреме у другия неизявено? Тя би могла да е… всичко това; а той… Но не. Делеше ги възможно най-дълбоката бездна, която разделя едно същество от друго. Тя говореше. Той беше безсловесен. Тя беше жена, той беше куче. Толкова подобни и толкова различни, двамата стояха и се гледаха. Но ето че с един скок Флъш се озова върху канапето и се сви там, където щеше да лежи оттук нататък – върху килимче в краката на госпожица Барет. 

„Флъш“ е биография. Биография на куче.

Биография на кокер шпаньола на голямата английска поетеса Елизабет Барет Браунинг. Знаменитата викторианска авторка е искала да напише историята на по-доброто си аз. Дали Вирджиния Улф в случая не прави точно това – една нейна биография от любов и златен огън. И благородно слово.

Улф пише тази книга – като експеримент за отмора – току след като написва „Вълните“, едно от най-забележителните произведения на европейския модернизъм. Книгата за Флъш, публикувана през 1933 г., обаче има неочакван успех.

Във „Флъш“ е концентрирана цялата страст на Вирджиния Улф към аристокрацията. Дори на кокер шпаньола му е вменено, че е аристократ. Тук е и цялата ѝ съзерцателна битка срещу закостенелите английски порядки. Обичта ѝ към старинното слънце на Италия, споделена със семейство Елизабет и Робърт Браунинг. Колко много от Вирджиния има в биографията на едно щастливо куче, чиято глава е почивала в скутовете на някои от най-забележителните човешки същества на епохата.

Чистокръвна, породиста английска проза, която надали може да бъде преведена от друг така, както от бляскавата както винаги Иглика Василева.

Защото „Флъш“, ти да видиш, е празненство на българския език. Аз поне скачам – и се кротвам в краката му.

„Трилогия. Бдение. Бленуванията на Улав. Отмала“ от Юн Фосе

превод от новонорвежки Стела Джелепова, София: изд. „Лист“, 2021 

„Жребец си имам, мегдан си нямам.“ Това чувах, докато Фосе отбелязваше в историите си навесите за лодки. Отдавна даден израз не ме е карал да мечтая така: навес за лодки.

На четвъртата корица мястото на действието е означено като Берген, а между кориците – Бьорген. Не е грешка. Това е точно така, защото норвежкият писател пише на новонорвежки – диалект, употребяван в западните части на северната държава. И тук се намесва превъзходната работа на преводачката Стела Джелепова, чрез която и българският език се сдобива с нова, необичайна мелодика, прорязва се от трудни смислови фиорди…

Колкото и да са напевни, старинни или модерни, на места трите истории издават звука на черната торба, която Палачът надява на главата на Ашле преди неговата публична екзекуция. Същият този Ашле, който безпомощно е обикалял Бьорген в търсене на подслон, където неговата любима Алида да роди бебето им. Ашле, който е убил, оказва се, акушерката, за да се настанят в нейната къща. Не е знаел, че убива точно акушерката. И това далеч не е единственото му убийство.

Ще доразвия мисълта на Джелепова от едно хубаво нейно интервю: у Юн Фосе няма Витлеемска звезда, нито влъхви – само студен, неприветлив свят, в който отмъщението е повече от милостта. Как щеше да се промени историята на християнското човечество, ако Йосиф беше убивал заради любовта си към Мария?

Норвежкият писател работи с първозданни материи – четеш и постепенно разказът наедрява, израства над теб, подслонява те. Разказ, в който Ашле не само за Алида си остава добро момче… И разказ, в който винаги убиецът ще бъде разпознат, но никога убийствата не са пред очите ни, едва гадаем, че са се случили.

Казват, че Юн Фосе, познат у нас с една-две пиеси, е спряган като възможен носител на Нобелова награда за литература. Изобщо не бих се учудил. Той наистина е великан – в „Трилогия“ мрачната история прекосява времето и въздава справедливост за унижените от живота чрез своя неподкупен, ако щете, самоубийствен хуманизъм. Завладяващи детайли от смърт и любов, какво повече.

Какво повече от хората, които са диалект, а не официалният език на живота…

Активните дарители на „Тоест“ получават постоянна отстъпка в размер на 20% от коричната цена на всички заглавия от каталога на издателство „Лист“, както и на няколко други български издателства в рамките на партньорската програма Читателски клуб „Тоест“. За повече информация прочетете на toest.bg/club.
Заглавна илюстрация: © Александра Димитрова

Тоест“ разчита единствено на финансовата подкрепа на читателите си.

„Не съм забравил, че ме прегръщаха“

Post Syndicated from Нева Мичева original https://toest.bg/ne-sum-zabravil-che-me-pregrushtaha/

Хей, Нева,

Как се отнасяш към „приятел в нужда се познава“? Наистина ли е нужна тази нужда, за да се убедим, че някой ни е близък, и редно ли е например да я създадем изкуствено? Ако да речем, наоколо няма достатъчно стимули или пречки, които да ни разкрият човека в „истинските му цветове“, а ни се иска да знаем кой е, чий е, приятелско ли е да го подложим на изпитание? Ти как разпознаваш приятелството?

Невена

Когато бях малка, ритуалът по връщането на баща ми от работа беше следният: звънец – тичам до вратата – „Кой е?“ – „Свой!“ – отварям. Веднъж, пак в онези далечни времена, отидохме с него на кино и гледахме „Лейла и Маджнун“ (помня го като индийски филм, нищо че историята е арабска или персийска). Плакахме и двамата. Една от сцените, които най-силно ме поразиха, беше как бият Маджнун през ръцете, а белезите се появяват по дланите на Лейла, също дете като него (и мен тогава). Така си съставяме идеите за нещата – парче по парче от материала, с който разполагаме. Затова ако трябва да кажа как си представям приятеля, ще започна със: свой е и го боли за теб.

Имам и още такива парчета, много. От близости от всякакъв вид и с всякаква продължителност. Преди четвърт век бях на валенсианския рибен пазар с приятел. Двама рибари се сдърпаха, озовах се твърде наблизо до някакви размахани ръце и този приятел просто ме бутна зад себе си. От него ми останаха първите думи на каталунски, рецептата за тортиля и въпросния жест. Преди има-няма година бях на север, бях наела за месец стая в голяма стара къща на остров с още един наемател – момиче на половината от моята възраст и габарити, с което току-що се бяхме ръкували за първи път. Започнах да си разопаковам багажа, на външната врата се почука, отворих и се озовах срещу двуметров мъж, който, както се разбра в петнайсетината минути натрапен ми разговор, беше рибар, подпийнал и твърдо решен да се покани в къщата. Аз бях твърдо решена това да не стане, но не смеех да го отпратя грубо – каквото и да казвах, той не си тръгваше. И тогава момичето изникна иззад гърба ми, изпречи се с бебешкото си лице пред него и каза: „Трябва да затваряме, моята приятелка измръзна.“ И затворихме, и станахме приятелки, и аз всеки път ахвам пред неизменната ѝ готовност да ме брани.

За мен сякаш тази е една от най-ярките черти на приятелството. Да те защитават. Не само по общия начин, в който хуманният рефлекс на всеки е да закриля слабия, но и лично и съзнателно – не толкова защото си уязвим, колкото защото си ти. Някой беше казал (Марк Твен или стотици други – за приятелството са се произнасяли всички), че и баба знае да те защити, ако си прав, но приятелят е на твоя страна дори ако не си. Не че приятелство е някой да поддаква на глупавите ти решения или да те лъже, за да ти стане хубаво, тъкмо напротив – в моето разбиране приятелят задължително ще ти съобщи, когато не си на ниво, но и ще вярва, че те бива за повече; ще гледа да те издърпа оттатък.

Единствените изкуствени изпитания, които намирам за приемливи, са от порядъка на изпит в университета, бараж в реката или „стена“ във футбола. По рождение сме абонирани за пълната програма от препъване, смут, мъка, срам, самота и какви ли не други тегоби, та ми се струва излишно да си създаваме допълнителни. Нещо повече, неналожителните пречки пред спокойния ход на живота ми се виждат обида към същината му; действат ми отблъскващо у отделния човек и в цели общества и епохи. А в случая с нарочното изпробване на здравината на връзките не ми понася и мисълта, че изпробващият се поставя някак отгоре и отвън. Нещо, което троши самите темели на приятелството: равенството, взаимността, доверието.

Нуждата връхлита така или иначе. И да, когато дойде, набързо се изяснява кой кум, кой – сват, а кой – обикновен гастрольор (както веднъж моята приятелка Марина справедливо описа свой познат). Убедена съм, че във всички „позиции“ от тази на брат до тази на гост има хляб и че всякакви форми на другаруване, дори най-краткотрайните, нещо дават и на нещо учат. Но късите човешки обмени на симпатия и информация са в крайна сметка несравними с онези, които неделимо се преплитат с основната ти сюжетна линия. Да, безметежният живот е също лакмус в детайлното опознаване на другия. Но в него изборите не изискват жертва, впечатленията са двуизмерни и уплътнени с догадки, а реалността на заявените намерения често няма как да се прецени. То е като да разговаряш за поход в планината в сравнение със самия поход в планината. В единия случай имаш много повече възможности да останеш чист, ненатъртен и очарован от компанията, което е прекрасно и валидно до момента, в който животът не те запокити в другия случай.

Да съм избрана, разбрана и добре дошла. Така си представям приятелството – и не само си го представям, така имам късмета да го живея. Да знам на кого да се обадя, когато изпадна в конфликт с мирозданието, и да съм онази, на която се обаждат в аналогичен случай. Да има кой да ми припомни коя съм, когато забравя. Да има кой да каже „Идвам!“ или „Отиваме!“, или „Не бой се!“, и да направи необходимото. Да усещам прилива на онази възхитителна невъзможност „да оставя приятеля си без приятел“. Да знам, че ако се затворя в себе си и изпищя без звук, поне двама ще чуят ехото и ще откликнат. Да спра да съм нащрек и гузна, че не давам колкото вземам. Да се гордея или любувам безконтролно, с детински патос, пред думи, дела, лица и решения, които не идват от мен, но все пак са мои. Да говорим наш език, който другите не разбират. Да можем да обсъдим всеки страх, всяко чудо.

И тук, мила ми Невена, просто нямаше как да продължа иначе, освен с включване от приятели. Направих едно от моите „народни допитвания“ сред желаещи да ми кажат те как са усещали нечия близост като събитие и как отличават приятелството. По-долу ще забележиш, че много от включванията препращат именно към „нужда“. И през нея – към движение, действеност и решимост. Приятелството не е пасивно. Виж.

Моментът, в който разбрах кои са истинските ми приятели, беше, когато попаднах в психиатрия за близо месец, и само двама от тях ми идваха на свиждания. Не си спомням много от целия престой онази зима, но не съм забравил, че ме прегръщаха и ходехме в близкото кафене да пием чай от лайка.

Х. Д.

Преди години получих „камшичен удар“, не можех да стана от леглото, В. беше малък, а майка ми – в болница. Дианка се обади някъде към десет вечерта да си побъбрим. След като разбра какво се е случило, каза: „Ей сега ще взема едно такси и ще дойда. Аз ще гледам В.“ Представяш ли си: човек, който не домакинства, няма вземане-даване с деца, и за секунда не се поколеба: „Идвам.“ Оттогава досега сме все така двете – тя зад гърба ми, аз – зад нейния.“

Мая

Преди да тръгна на фитнес, често страдах от болки и сецнат кръст. Един ден се оказах скована вкъщи. С претъркаляне и подпиране успях да се обадя в офиса, че няма да отида на работа. Не мина час и моята приятелка и колежка звънна да предупреди, че пристига с масажистка. И след два часа работа върху масата в дневната, насред хаоса на неоправената къща, вече ме бяха раздвижили и изправили на крака… Приятелки сме от около 40 години. Понякога я дразня с твърдението, че грижата е префинена форма на контрол, но истината е, че тя ме научи да приемам помощ и подаръци с благодарност.

Галя

Разбрах, че М. ми е истинска приятелка, в една дъждовна майска неделя, тъкмо бях навършила 20. Едно обаждане, с което ми съобщиха, че баща ми е починал, раздели живота ми на две половини. М. просто дойде: тя беше единствената, която го направи. Стоя край мен цяла вечер, без разговори, без кой знае какви мъдрости. Когато няма какво да се направи, присъствието е спасително.

Габи

„Ако ще хвърляш боклука, сложи си обувките, не излизай по джапанки“, настойчиво ме инструктира по телефона загриженият му глас. Преследва ме с тази заръка, откакто миналото лято паднах по стълбите. И макар че винаги сумтя да спре да ми я повтаря, болезненото прискърцване в гърба ме подсеща колко е прав. Омъжих се за най-добрия си приятел и това го знаят и телефонът, и прешлените ми, и дори злополучните джапанки.

Радина

Разбрах, че Б. ми е приятелка, когато извади снимка от ехограф на яйчниците си.

Нелсън

„Знам, че сутрин ставаш преди мен да огледаш за паяци, за да не пищя после“ – така би се включила Яна в рубриката, ако знаеше, но не знае, защото съм ѝ приятелка (а и за да не пищи).

Калина

Първото е нормативното, онова, което смятам за идеал, но рядко виждам, и то е цитатът от Евангелието: „Никой няма по-голяма любов от това да даде живота си за приятелите си“… което, естествено, вдига летвата много високо. А второто е много ясно – приятел е онзи, с когото можеш да се оригваш в парка над кенче бира, да ядеш скара и да дрънкаш глупости, без страх, че ще те осъди за каквото и да било!

Насо К.

Когато отидох да се видя с Джес в Южна Германия, взех нощен влак, който се оказа изненадващо студен, а бях и уморена от предното си пътуване. Джес ме взе от гарата и на моята седалка в колата ѝ открих термос с горещ чай с мляко. Разговорът по пътя към тях, пастите, които купи, пиенето на този чай…

С.

Приятелството е за мен постоянно море, не толкова могъща вълна. Повече от това, което чувствам в себе си, е онова, което се проявява, докато сме заедно – чувството за сходство, за еднакъв ритъм, за разбиране без много думи, но с много споделени спомени. И радостта от всяка среща!

З. К.

Прибирах се в скромния си апартамент в Япония след три седмици на път. Минаваше десет вечерта, по улиците нямаше никой. Преди да поема към втория етаж, се отбих през смълчаните пощенски кутии. Отворих своята. Сметки, сметки, реклами и… картичка. Ще ги разгледам след минута, рекох си, само да се кача. Затъркалях нагоре огромния куфар. Ръцете ми поддаваха, бях уморена и нямах сили. Докато се боричкахме по стъпалата, сълзите най-накрая рукнаха. Стигнах някак си, седнах на ниското дървено легло с футон и погледнах картичката. „Хубавите неща отнемат време, но ще ти се случат, защото заслужаваш!“… Тя нямаше как да знае какво преживявам в момента, не бяхме се виждали от три месеца, а и аз не бях споделяла. Сълзите не спираха, но вече не бях сама.

К. И.

Б., с когото след години виртуално общуване случайно се срещнахме на живо. Той ме позна, аз дори не знаех как изглежда. Говорихме, сякаш цял живот сме се познавали. Още на втората ни среща споделих с него тайна, която ме мъчеше толкова, че не я бях казала на никого две години. По-късно той ми разкри свои тайни. Станахме неразделни. Самоуби се след четири месеца. Предната вечер дойде при мен – за да се сбогува и да ме утеши, но така, че нищо да не заподозра. „Ще ти се обадя утре привечер“ бяха последните му думи.

С.

Веднъж разбрах, че имам истински приятел по изчервяването. Нали знаеш, когато човек е сгрешил – неволно или не – и се изчерви от неудобство. И си ставате осъзнато важни един на друг.

И. И.

Мисля си, че ако човечеството имаше мото, то трябваше да бъде: I have always depended on the kindness of strangers. Това е последната реплика от „Трамвай Желание“ и не е лесна за превод, защото kindness може да значи много неща: „Винаги съм зависила от добрината на непознати.“ Или от милостта. Отзивчивостта. Великодушието. Приятелството е един от основните човешки таланти и един от ключовите ни шансове за оцеляване. Така и така направих завой към Америка, нека за довиждане те поздравя с нещо тамошно, в което приятелството като водещо лично изживяване се съчетава с дружелюбността към света. На снимките по-долу ще видиш няколко от паметните табелки по близо десетте хиляди пейки в нюйоркския Сентръл Парк, чиито мънички „реплики“ един ден ми грабнаха сърцето. Приятно четене!

Click to view slideshow.

Снимки: © Нева Мичева
„Говори с Нева“ е рубрика за писма от читатели. Винаги съм си мечтала да поддържам такава и да имам адрес, на който непознати да ми пишат, за да ми разкажат нещо важно за себе си, което да обсъдим – както във влака, когато разговорът тръгне. Случка, върху която да поразсъждаваме, чуденка, която да разчепкаме още малко, наблюдение, към което да добавя друго. Сигурна съм, че както аз винаги съм искала да отговарям на писма, така има хора, които винаги са искали да ги напишат. Заповядайте.

Тоест“ разчита единствено на финансовата подкрепа на читателите си.

Седмицата в „Тоест“ (8–12 февруари)

Post Syndicated from Тоест original https://toest.bg/editorial-8-12-february-2021/

Тази власт беше обида за националното ни достойнство и трябва да намерим начин да изкупим вината си, че сме я избрали и търпели толкова време!

Светла Енчева

Цитатът е на журналиста Стойко Тонев, по-известен с псевдонима си Тони Филипов, д-р, който почина на 31 януари т.г. През седмицата неговите колеги от сайта reduta.bg оповестиха решението си да поставят точка на съвместното им начинание. „Редута“ ще липсва на мнозина. На сбогуване Светла Енчева припомня защо този сайт беше своеобразно укрепление срещу посредствеността и премълчаването. А ние от „Тоест“ се спряхме на цитата в началото, за да напомним, че вината на избирателите се трупа или изкупува на избори. Каквито наближават.

Емилия Милчева

И докато обсъждаме изборите, Емилия Милчева обръща внимание на явлението гражданска квота – тоест онези имена, които партиите вмъкват измежду своите послушковци в стремеж да добавят „цвят и аромат“ в блудкавото меню, преди да го сервират на избирателите си. Специална селекция формално безпартийни, които обаче „също са склонни да мърдат с уши, за радост на публиката, и да споделят храната в чинията си с когото им наредят партиите“.

Венелина Попова

Седмичният вътрешнополитически коментар на Венелина Попова също е посветен на изборна тема, а именно очерталите се вече нови предизборни коалиции. Малко от тях изглеждат сформирани на база принципи или идеологическа основа. Повечето са опортюнистични и поне засега обещават повече интриги, отколкото решения за важните проблеми пред България.

Марин Бодаков

Марин Бодаков не приема очевидните обяснения на ситуацията, в която живеем, давани от обичайните заподозрени политолози, социолози, икономисти, публицисти и др. Затова потърси за разговор психоаналитика д-р Светлозар Василев. Дали приемането на провала е един от възможните начини за деескалиране на нарцисизма и омразата – прочетете в интервюто, озаглавено „Не сме центърът на вселената“.

Време е за рубриката „По буквите“ и новите препоръки на Марин за книги, на които си струва да обърнете внимание. Този път това са „Мъжът с червеното палто“ от Джулиан Барнс, „Флъш“ от Вирджиния Улф и „Трилогия. Бдение. Бленуванията на Улав. Отмала“ от Юн Фосе.

Нева Мичева

Нека завършим броя с един разговор за това как разпознаваме истинското приятелство. Разбира се, под формата на отговор на читателско писмо в рубриката „Говори с Нева“. „Приятелството е един от основните човешки таланти и един от ключовите ни шансове за оцеляване“, обобщава Нева Мичева, но преди това предлага да прочетем дефинициите на нейни приятели за приятелството. И да разгледаме табелките по няколко нюйоркски пейки.

Запазете се здрави и до следващата събота!

Тоест“ разчита единствено на финансовата подкрепа на читателите си.

Gentoo mourns the loss of Kent Fredric

Post Syndicated from original https://lwn.net/Articles/846054/rss

A brief
post on the Gentoo site is in memory of Kent “kent\n” Frederic.
Kent was an active member of the Gentoo community for many years. He tirelessly managed Gentoo’s Perl support, and was active in the Rust project as well as in many other corners. We all remember him as an enthusiastic, bright person, with lots of eye for detail and constant willingness to help out and improve things. On behalf of the world-wide Gentoo community, our heartfelt condolences go out to his family and friends.

Medieval Security Techniques

Post Syndicated from Bruce Schneier original https://www.schneier.com/blog/archives/2021/02/medieval-security-techniques.html

Sonja Drummer describes (with photographs) two medieval security techniques. The first is a for authentication: a document has been cut in half with an irregular pattern, so that the two halves can be brought together to prove authenticity. The second is for integrity: hashed lines written above and below a block of text ensure that no one can add additional text at a later date.

Architecture Monthly Magazine: Manufacturing

Post Syndicated from Jane Scolieri original https://aws.amazon.com/blogs/architecture/architecture-monthly-magazine-manufacturing/

Architecture Monthly Magazine - Manufacturing

How is operational data being used to transform manufacturing? Steve Blackwell, AWS Worldwide Tech Leader for manufacturing, speaks about considerations for architecting for manufacturing, considerations for Industry 4.0 applications and data, and AWS for Industrial.

We hope you’ll find this edition of Architecture Monthly useful. My team would like your feedback, so please give us a rating and include your comments on the Amazon Kindle page. You can view past issues and reach out to [email protected] anytime with your questions and comments.

In this month’s Manufacturing issue:

  • Ask an Expert: Steve Blackwell, Tech Leader, Manufacturing, AWS
  • Case Study: Amazon Prime Air’s Drone Takes Flight with AWS and Siemens
  • Reference Architecture: PTC Windchill Product Lifecycle Management on AWS
  • Blog: How Genie® (a Terex® brand) improved paint quality using AWS IoT SiteWise
  • Solution: Amazon Virtual Andon
  • Whitepaper: Achieve Production Optimization with AWS Machine Learning
  • Reference Architecture: OSIsoft PI System Enterprise Data Infrastructure on AWS
  • Blog: AWS for Industrial – Making it easy for customers to scale their industrial
    workloads on AWS
  • Case Study: Arneg Predicts Customer Maintenance Needs Worldwide Using Amazon
    Forecast and Amazon SageMaker
  • Related Videos: Driving Predictive Quality with Machine Connectivity, AWS Knows
    Industrial Operations

Download the Magazine

How to access the magazine

View and download past issues as PDFs on the AWS Architecture Monthly webpage.
Readers in the US, UK, Germany, and France can subscribe to the Kindle version of the magazine at Kindle Newsstand.
Visit Flipboard, a personalized mobile magazine app that you can also read on your computer.
We hope you’re enjoying Architecture Monthly, and we’d like to hear from you—leave us star rating and comment on the Amazon Kindle Newsstand page or contact us anytime at [email protected].

Metasploit Wrap-Up

Post Syndicated from Adam Galway original https://blog.rapid7.com/2021/02/12/metasploit-wrap-up-98/

MicroFocus? More like MacroVuln

Metasploit Wrap-Up

MicroFocus’s Operations Bridge Manager is a security information and event management (SIEM) tool designed to collect and parse security logs from multiple disparate sources. OBM has a large attack surface—something Pedro Ribeiro was able to take advantage of with his new RCE module. This module leverages a Java deserialization bug to allow payload execution as either root or SYSTEM, depending on the victim OS.

We’ve one other OBM module currently in the process of being landed, but for anyone who needs their fix of MicroFocus hacks right away, we’d recommend pedrib’s super detailed writeup of his findings.

Patches? We don’t need no stinkin’ patches!

While PR #14607 doesn’t add a totally new exploit for Microsoft Exchange Server, that’s only because zeroSteiner was able to update an earlier module to support a bypass for the patch that was supposed to fix the vuln it exploited.

CVE-2020-16875 originally allowed remote attackers to execute arbitrary code on affected installations of Microsoft Exchange Server so long as they were authenticated as a user who had an active mailbox and who was assigned the Data Loss Prevention role. This was believed to have been patched in the Exchange Server 2016 Cumulative Update 18 (September 15 2020) and Exchange Server 2019 Cumulative Update 7 (September 15 2020). However, this patch was later bypassed and assigned CVE-2020-17132. Microsoft’s second patch was also later bypassed—a tough shake for organizations’ patch cycles. Both the original vulnerability and the patch bypass) were discovered by Steven Seeley, and the Metasploit code is based on his work.

zeroSteiner’s changes allow the exchange_ecp_dlp_policy module to exploit the two patched versions of Exchange Server and the unpatched server.

External modules, internal quality

Last but not least, cgranleese-r7 has spearheaded our efforts to improve usability of Metasploit’s external modules by providing more informative error messages for users when they lack the required languages in their environment (#14480). This will help avoid instances of users missing out on useful modules due to their not knowing some languages outside of ruby can be needed for the full metasploit experience.

msf6 > use auxiliary/scanner/msmail/host_id
[-] Failed to load module: LoadError Failed to execute external Go module. Please ensure you have Go installed on your environment.
msf6 >

New modules (1)

  • Micro Focus Operations Bridge Manager Authenticated Remote Code Execution by Pedro Ribeiro, which exploits ZDI-20-1327 / CVE-2020-11853 This adds an exploit module that leverages an insecure Java deserialization vulnerability in multiple Micro Focus products. This allows remote code execution as the root user on Linux or the SYSTEM user on Windows. Initial authentication is required, but any low-privileged user can be used to successfully run this exploit.

Enhancements and features

  • #14154 from cgranleese-r7 This ensures that all modules that previously used manual AutoCheck behavior now leverage the AutoCheck mixin instead.
  • #14480 from cgranleese-r7 Improves the handling of external modules when they’re missing runtime dependencies and gives the user a more useful error. It will now return which runtime language the user is missing on their environment (this has been implemented for both Python and Go).
  • #14607 from zeroSteiner This updates the Exchange ECP DLP Policy module exploit to leverage a new technique that bypasses the original patch. This new technique also works on unpatched versions.
  • #14669 from jmartin-r7 Improves error message feedback when using the auxiliary/analyze/crack_* modules. Examples include notifying the user that the database needs to be active, and having JohnTheRipper Jumbo patch installed
  • #14685 from geyslan Reduced the size of the linux/x64/shell_bind_tcp_random_port payload while maintaining the functionality.
  • #14708 from timwr Add offsets to the exploit/osx/browser/safari_proxy_object_type_confusion exploit module for Mac OSX 10.13.1 and 10.13.2.
  • #14721 from bcoles This adds a target for Debian 10 to the sudo exploit CVE-2021-3156.
  • #14728 from FireFart Updates have been made to lib/msf/core/module/reference.rb as well as associated tools and documentation to update old WPVDB links with the new WPVDB domain and to also ensure that the new URL format is properly checked in the respective tools.
  • #14725 by h00die moves creds to a default-cred "userpass" list instead of splitting known cred pairs across files.

Bugs fixed

  • #14714 from adfoster-r7 Updates the sqlite gem in preparation for Ruby 3.0 support & fixes SQLite3 deprecation warning.
  • #14720 from dwelch-r7 Fixed an issue in the lib/msf/core/exploit/remote/http_client.rb and lib/msf/core/opt_http_rhost_url.rb libraries where the VHOST datastore variable would be set incorrectly if a user used an /etc/hosts entry for resolving a hostname to an IP address.

Get it

As always, you can update to the latest Metasploit Framework with msfupdate and you can get more details on the changes since the last blog post from GitHub:

If you are a git user, you can clone the Metasploit Framework repo (master branch) for the latest. To install fresh without using git, you can use the open-source-only Nightly Installers or the binary installers (which also include the commercial edition).

Opt-in to the new Amazon SES console experience

Post Syndicated from Simon Poile original https://aws.amazon.com/blogs/messaging-and-targeting/amazon-ses-console-opt-in/

Amazon Web Services (AWS) is pleased to announce the launch of the newly redesigned Amazon Simple Email Service (SES) console. With its streamlined look and feel, the new console makes it even easier for customers to leverage the speed, reliability, and flexibility that Amazon SES has to offer. Customers can access the new console experience via an opt-in link on the classic console.

Amazon SES now offers a new, optimized console to provide customers with a simpler, more intuitive way to create and manage their resources, collect sending activity data, and monitor reputation health. It also has a more robust set of configuration options and new features and functionality not previously available in the classic console.

Here are a few of the improvements customers can find in the new Amazon SES console:

Verified identities

Streamlines how customers manage their sender identities in Amazon SES. This is done by replacing the classic console’s identity management section with verified identities. Verified identities are a centralized place in which customers can view, create, and configure both domain and email address identities on one page. Other notable improvements include:

  • DKIM-based verification
    DKIM-based domain verification replaces the previous verification method which was based on TXT records. DomainKeys Identified Mail (DKIM) is an email authentication mechanism that receiving mail servers use to validate email. This new verification method offers customers the added benefit of enhancing their deliverability with DKIM-compliant email providers, and helping them achieve compliance with DMARC (Domain-based Message Authentication, Reporting and Conformance).
  • Amazon SES mailbox simulator
    The new mailbox simulator makes it significantly easier for customers to test how their applications handle different email sending scenarios. From a dropdown, customers select which scenario they’d like to simulate. Scenario options include bounces, complaints, and automatic out-of-office responses. The mailbox simulator provides customers with a safe environment in which to test their email sending capabilities.

Configuration sets

The new console makes it easier for customers to experience the benefits of using configuration sets. Configuration sets enable customers to capture and publish event data for specific segments of their email sending program. It also isolates IP reputation by segment by assigning dedicated IP pools. With a wider range of configuration options, such as reputation tracking and custom suppression options, customers get even more out of this powerful feature.

  • Default configuration set
    One important feature to highlight is the introduction of the default configuration set. By assigning a default configuration set to an identity, customers ensure that the assigned configuration set is always applied to messages sent from that identity at the time of sending. This enables customers to associate a dedicated IP pool or set up event publishing for an identity without having to modify their email headers.

Account dashboard

There is also an account dashboard for the new SES console. This feature provides customers with fast access to key information about their account, including sending limits and restrictions, and overall account health. A visual representation of the customer’s daily email usage helps them ensure that they aren’t approaching their sending limits. Additionally, customers who use the Amazon SES SMTP interface to send emails can visit the account dashboard to obtain or update their SMTP credentials.

Reputation metrics

The new reputation metrics page provides customers with high-level insight into historic bounce and complaint rates. This is viewed at both the account level and the configuration set level. Bounce and complaint rates are two important metrics that Amazon SES considers when assessing a customer’s sender reputation, as well as the overall health of their account.

The redesigned Amazon SES console, with its easy-to-use workflows, will not only enhance the customers’ on-boarding experience, it will also change the paradigms used for their on-going usage. The Amazon SES team remains committed to investing on behalf of our customers and empowering them to be productive anywhere, anytime. We invite you to opt in to the new Amazon SES console experience and let us know what you think.

Use tags to manage and secure access to additional types of IAM resources

Post Syndicated from Michael Switzer original https://aws.amazon.com/blogs/security/use-tags-to-manage-and-secure-access-to-additional-types-of-iam-resources/

AWS Identity and Access Management (IAM) now enables Amazon Web Services (AWS) administrators to use tags to manage and secure access to more types of IAM resources, such as customer managed IAM policies, Security Assertion Markup Language (SAML) providers, and virtual multi-factor authentication (MFA) devices. A tag is an attribute that consists of a key and an optional value that you can attach to an AWS resource. With this launch, administrators can attach tags to additional IAM resources to identify resource owners and grant fine-grained access to these resources at scale using attribute-based access control. For example, a security administrator in an AWS organization can now attach tags to all customer managed policies and then create a single policy for local administrators within the member accounts, which grants them permissions to manage only those customer managed policies that have a matching tag.

In this post, I first discuss the additional IAM resources that now support tags. Then I walk you through two use cases that demonstrate how you can use tags to identify an IAM resource owner, and how you can further restrict access to AWS resources based on prefixes and tag values.

Which IAM resources now support tags?

In addition to IAM roles and IAM users that already support tags, you can now tag more types of IAM resources. The following table shows other IAM resources that now support tags. The table also highlights which of the IAM resources support tags on the IAM console level and at the API/CLI level.

IAM resources Support tagging at IAM console Support tagging at API and CLI level
Customer managed IAM policies Yes Yes
Instance profiles No Yes
OpenID Connect Provider Yes Yes
SAML providers Yes Yes
Server certificates No Yes
Virtual MFAs No Yes

Fine-grained resource ownership and access using tags

In the next sections, I will walk through two examples of how to use tagging to classify your IAM resources and define least-privileged access for your developers. In the first example, I explain how to use tags to allow your developers to declare ownership of a customer managed policy they create. In the second example, I explain how to use tags to enforce least privilege allowing developers to only pass IAM roles with Amazon Elastic Compute Cloud (Amazon EC2) instance profiles they create.

Example 1: Use tags to identify the owner of a customer managed policy

As an AWS administrator, you can require your developers to always tag the customer managed policies they create. You can then use the tag to identify which of your developers owns the customer managed policies.

For example, as an AWS administrator you can require that your developers in your organization to tag any customer managed policy they create. To achieve this, you can require the policy creator to enter their username as the value for the key titled Owner on resource tag creation. By enforcing tagging on customer managed policies, administrators can now easily identify the owner of these IAM policy types.

To enforce customer managed policy tagging, you first grant your developer the ability to create IAM customer managed policies, and include a conditional statement within the IAM policy that requires your developer to apply their AWS user name in the tag value field titled Owner when they create the policy.

Step 1: Create an IAM policy and attach it to your developer role

Following is a sample IAM policy (TagCustomerManagedPolicies.json) that you can assign to your developer. You can use this policy to follow along with this example in your own AWS account. For your own policies and commands, replace the instances of <AccountNumber> in this example with your own AWS account ID.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "TagCustomerManagedPolicies",
            "Effect": "Allow",
            "Action": [
                "iam:CreatePolicy",
                "iam:TagPolicy"
            ],
            "Resource": "arn:aws:iam::: <AccountNumber>:policy/Developer-*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Owner": "${aws:username}"
                }
            }
        }
    ]
}

This policy requires the developer to enter their AWS user name as the tag value to declare AWS resource ownership during customer managed policy creation. The TagCustomerManagedPolicies.json also requires the developer to name any customer managed policy they create with the Developer- prefix.

Create the TagCustomerManagedPolicies.json file, then create a managed policy using the the following CLI command:

$aws iam create-policy --policy-name TagCustomerManagedPolicies --policy-document file://TagCustomerManagedPolicies.json

When you create the TagCustomerManagedPolicies.json policy, attach the policy to your developer with the following command. Assume your developer has an IAM user profile and their AWS user name is JohnA.

$aws iam attach-user-policy --policy-arn arn:aws:iam::<AccountNumber>:policy/TagCustomerManagedPolicies --user-name JohnA

Step 2: Ensure the developer uses appropriate tags when creating IAM policies

If your developer attempts to create a customer managed policy without applying their AWS user name as the value for the Owner tag and fails to name the customer managed policy with the required prefix Developer-, this IAM policy will not allow the developer to create this AWS resource. The error received by the developer is shown in the following example.

$ aws iam create-policy --policy-name TestPolicy --policy-document file://Developer-TestPolicy.json 

An error occurred (AccessDenied) when calling the CreatePolicy operation: User: arn:aws:iam::<AccountNumber>:user/JohnA is not authorized to perform: iam:CreatePolicy on resource: policy TestPolicy

However, if your developer applies their AWS user name as the value for the Owner tag and names the policy with the Developer- prefix, the IAM policy will enable your developer to successfully create the customer managed policy, as shown in the following example.

$aws iam create-policy --policy-name Developer-TestPolicy --policy-document file://Developer-TestPolicy.json --tags '{"Key": "Owner", "Value": "JohnA"}'

{
  "Policy": {
    "PolicyName": "Developer-Test_policy",
    "PolicyId": "<PolicyId>",
    "Arn": "arn:aws:iam::<AccountNumber>:policy/Developer-Test_policy",
    "Path": "/",
    "DefaultVersionId": "v1",
    "Tags": [
      {
        "Key": "Owner",
        "Value": "JohnA"
      }
    ],
    "AttachmentCount": 0,
    "PermissionsBoundaryUsageCount": 0,
    "IsAttachable": true,
    "CreateDate": "2020-07-27T21:18:10Z",
    "UpdateDate": "2020-07-27T21:18:10Z"
  }
}

Example 2: Use tags to control which IAM roles your developers attach to an instance profile

Amazon EC2 enables customers to run compute resources in the cloud. AWS developers use IAM instance profiles to associate IAM roles to EC2 instances hosting their applications. This instance profile is used to pass an IAM role to an EC2 instance to grant it privileges to invoke actions on behalf of an application hosted within it.

In this example, I show how you can use tags to control which IAM roles your developers can add to instance profiles. You can use this as a starting point for your own workloads, or follow along with this example as a learning exercise. For your own policies and commands, replace the instances of <AccountNumber> in this example with your own AWS account ID.

Let’s assume your developer is running an application on their EC2 instance that needs read and write permissions to objects within various developer owned Amazon Simple Storage Service (S3) buckets. To allow your application to perform these actions, you need to associate an IAM role with the required S3 permissions to an instance profile of your EC2 instance that is hosting your application.

To achieve this, you will do the following:

  1. Create a permissions boundary policy and require your developer to attach the permissions boundary policy to any IAM role they create. The permissions boundary policy defines the maximum permissions your developer can assign to any IAM role they create. For examples of how to use permissions boundary policies, see Add Tags to Manage Your AWS IAM Users and Roles.
  2. Grant your developer permissions to create and tag IAM roles and instance profiles. Your developer will use the instance profile to pass the IAM role to their EC2 instance hosting their application.
  3. Grant your developer permissions to create and apply IAM permissions to the IAM role they create.
  4. Grant your developer permissions to assign IAM roles to instance profiles of their EC2 instances based on the Owner tag they applied to the IAM role and instance profile they created.

Step 1: Create a permissions boundary policy

First, create the permissions boundary policy (S3ActionBoundary.json) that defines the maximum S3 permissions for the IAM role your developer creates. Following is an example of a permissions boundary policy.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3ActionBoundary",
            "Effect": "Allow",
            "Action": [
                "S3:CreateBucket",
                "S3:ListAllMyBuckets",
                "S3:GetBucketLocation",
                "S3:PutObject",
                "S3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::Developer-*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": "us-east-1"
                }
            }
        }
    ]
}

When used as a permissions boundary, this policy enables your developers to grant permissions to some S3 actions, as long as two requirements are met. First, the S3 bucket must begin with the Developer prefix. Second, the region used to make the request must be US East (N. Virginia).

Similar to the previous example, you can create the S3ActionBoundary.json, then create a managed IAM policy using the following CLI command:

$aws iam create-policy --policy-name S3ActionBoundary --policy-document file://S3ActionBoundary.json

Step 2: Grant your developer permissions to create and tag IAM roles and instance profiles

Next, create the IAM permission (DeveloperCreateActions.json) that allows your developer to create IAM roles and instance profiles. Any roles they create will not be allowed to exceed the permissions of the boundary policy we created in step 1, and any resources they create must be tagged according to the guideline we established earlier. Following is an example DeveloperCreateActions.json policy.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateRole",
            "Effect": "Allow",
            "Action": "iam:CreateRole",
            "Resource": "arn:aws:iam::<AccountNumber>:role/Developer-*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Owner": "${aws:username}",
                    "iam:PermissionsBoundary": "arn:aws:iam::<AccountNumber>:policy/S3ActionBoundary"
                }
            }
        },
        {
            "Sid": "CreatePolicyandInstanceProfile",
            "Effect": "Allow",
            "Action": [
                "iam:CreateInstanceProfile",
                "iam:CreatePolicy"
            ],
            "Resource": [
                "arn:aws:iam::<AccountNumber>:instance-profile/Developer-*",
                "arn:aws:iam::<AccountNumber>:policy/Developer-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/Owner": "${aws:username}"
                }
            }
        },
        {
            "Sid": "TagActionsAndAttachActions",
            "Effect": "Allow",
            "Action": [
                "iam:TagInstanceProfile",
                "iam:TagPolicy",
                "iam:AttachRolePolicy",
                "iam:TagRole"
            ],
            "Resource": [
                "arn:aws:iam::<AccountNumber>:instance-profile/Developer-*",
                "arn:aws:iam::<AccountNumber>:policy/Developer-*",
                "arn:aws:iam::<AccountNumber>:role/Developer-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Owner": "${aws:username}"
                }
            }
        }
    ]
}

I will walk through each statement in the policy to explain its function.

The first statement CreateRole allows creating IAM roles. The Condition element of the policy requires your developer to apply their AWS user name as the Owner tag to any IAM role or instance profile they create. It also requires your developer to attach the S3ActionBoundary as a permissions boundary policy to any IAM role they create.

The next statement CreatePolicyAndInstanceProfile allows creating IAM policies and instance profiles. The Condition element requires your developer to name any IAM role or instance profile they create with the Developer- prefix, and to attach the Owner tag to the resources they create.

The last statement TagActionsAndAttachActions allows tagging managed policies, instance profiles and roles with the Owner tag. It also allows attaching role policies, so they can configure the permissions for the roles they create. The Resource and Condition elements of the policy require the developer to use the Developer- prefix and their AWS user name as the Owner tag, respectively.

Once you create the DeveloperCreateActions.json file locally, you can create it as an IAM policy and attach it to your developer role using the following CLI commands: 

$aws iam create-policy --policy-name DeveloperCreateActions --policy-document file://DeveloperCreateActions.json 

$aws iam attach-user-policy --policy-arn arn:aws:iam::<AccountNumber>:policy/DeveloperCreateActions --user-name JohnA

With the preceding policy, your developer can now create an instance profile, an IAM role, and the permissions they will attach to the IAM role. For example, if your developer creates an instance profile and doesn’t apply their AWS user name as the Owner tag, the IAM Policy will prevent the resource creation process from occurring render an error as shown in the following example.

$aws iam create-instance-profile --instance-profile-name Developer-EC2-InstanceProfile

An error occurred (AccessDenied) when calling the CreateInstanceProfile operation: User: arn:aws:iam::<AccountNumber>:user/JohnA is not authorized to perform: iam:CreateInstanceProfile on resource: arn:aws:iam::<AccountNumber>:instance-profile/Developer-EC2

When your developer names the instance profile with the prefix Developer- and includes their AWS user name as value for the Owner tag in the create request, the IAM policy allows the create action to occur as shown in the following example.

$aws iam create-instance-profile --instance-profile-name Developer-EC2-InstanceProfile --tags '{"Key": "Owner", "Value": "JohnA"}'

{
    "InstanceProfile": {
        "Path": "/",
        "InstanceProfileName":"Developer-EC2-InstanceProfile",
        "InstanceProfileId":" AIPAR3HKUNWB24NBA3HRC",
        "Arn": "arn:aws:iam::<AccountNumber>:instance-profile/Developer-EC2-InstanceProfile",
        "CreateDate": "2020-07-30T21:24:30Z",
        "Roles": [],
        "Tags": [
            {
                "Key": "Owner",
                "Value": "JohnA"
            }
        ]

    }
}

Let’s assume your developer creates an IAM role called Developer-EC2. The Developer-EC2 role has your developer’s AWS user name (JohnA) as the Owner tag. The developer has the S3ActionBoundaryPolicy.json as their permissions boundary policy and the Developer-ApplicationS3Access.json policy as the permissions policy that your developer will pass to their EC2 instance to allow it to call S3 on behalf of their application. This is shown in the following example.

<Details of the role trust policy – RoleTrustPolicy.json>
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
<Details of IAM role permissions – Developer-ApplicationS3Access.json>

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3Access",
            "Effect": "Allow",
            "Action": [
                "S3:GetBucketLocation",
                "S3:PutObject",
                "S3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::Developer-*"
        }
    ]
}

<Your developer creates IAM role with a permissions boundary policy and a role trust policy>

$aws iam create-role --role-name Developer-EC2
--assume-role-policy-document file://RoleTrustPolicy.json
--permissions-boundary arn:aws:iam::<AccountNumber>:policy/S3ActionBoundary --tags '{"Key": "Owner", "Value": "JohnA"}'


<Your developer creates IAM policy for the newly created IAM role>
$aws iam create-policy –-policy-name Developer-ApplicationS3Access –-policy-document file://Developer-ApplicationS3Access.json --tags '{"Key": "Owner", "Value": "JohnA"}'

<Your developer attaches newly created IAM policy to the newly created IAM role >
$aws iam attach-role-policy --policy-arn arn:aws:iam::<AccountNumber>:policy/Developer-ApplicationS3Access --role-name Developer-EC2

Step 3: Grant your developer permissions to create and apply IAM permissions to the IAM role they create

By using the AddRoleAssociateInstanceProfile.json IAM Policy provided below, you are allowing your developers the permissions to pass their new IAM role to an instance profile they create. They need to follow these requirements because the DeveloperCreateActions.json permission, which you already assigned to your developer in an earlier step, allows your developer to only administer resources that are properly prefixed with Developer- and have their user name assigned to the resource tag. The following example shows details of the AddRoleAssociateInstanceProfile.json policy.

< AddRoleAssociateInstanceProfile.json>
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AddRoleToInstanceProfile",
            "Effect": "Allow",
            "Action": [
                "iam:AddRoleToInstanceProfile",
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::<AccountNumber>:instance-profile/Developer-*",
                "arn:aws:iam::<AccountNumber>:role/Developer-*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Owner": "${aws:username}"
                }
            }
        },
        {
            "Sid": "AssociateInstanceProfile",
            "Effect": "Allow",
            "Action": "ec2:AssociateIamInstanceProfile",
            "Resource": "arn:aws:ec2:us-east-1:<AccountNumber>:instance/Developer-*"
        }
    ]
}

Once you create the DeveloperCreateActions.json file locally, you can create it as an IAM policy and attach it to your developer role using the following CLI commands: 

$aws iam create-policy –-policy-name AddRoleAssociateInstanceProfile –-policy-document file://AddRoleAssociateInstanceProfile.json

$aws iam attach-user-policy –-policy-arn arn:aws:iam::<AccountNumber>:policy/ AddRoleAssociateInstanceProfile –-user-name Developer

If your developer’s AWS user name is the Owner tag for the Developer-EC2-InstanceProfile instance profile and the Developer-EC2 IAM role, then AWS allows your developer to add the Developer-EC2 role to the Developer-EC2-InstanceProfile instance profile. However, if your developer attempts to add the Developer-EC2 role to an instance profile they don’t own, AWS won’t allow the action, as shown in the following example.

aws iam add-role-to-instance-profile --instance-profile-name EC2-access-Profile --role-name Developer-EC2

An error occurred (AccessDenied) when calling the AddRoleToInstanceProfile operation: User: arn:aws:iam::<AccountNumber>:user/Developer is not authorized to perform: iam:AddRoleToInstanceProfile on resource: instance profile EC2-access-profile

When your developer adds the IAM role to the instance profile they own, the IAM policy allows the action, as shown in the following example.

aws iam add-role-to-instance-profile --instance-profile-name Developer-EC2-InstanceProfile --role-name Developer-EC2

You can verify this by checking which instance profiles contain the Developer-EC2 role, as follows.

$aws iam list-instance-profiles-for-role --role-name Developer-EC2


<Result>
{
    "InstanceProfiles": [
        {
            "InstanceProfileId": "AIDGPMS9RO4H3FEXAMPLE",
            "Roles": [
                {
                    "AssumeRolePolicyDocument": "<URL-encoded-JSON>",
                    "RoleId": "AIDACKCEVSQ6C2EXAMPLE",
                    "CreateDate": "2020-06-07T20: 42: 15Z",
                    "RoleName": "Developer-EC2",
                    "Path": "/",
                    "Arn":"arn:aws:iam::<AccountNumber>:role/Developer-EC2"
                }
            ],
            "CreateDate":"2020-06-07T21:05:24Z",
            "InstanceProfileName":"Developer-EC2-InstanceProfile",
            "Path": "/",
            "Arn":"arn:aws:iam::<AccountNumber>:instance-profile/Developer-EC2-InstanceProfile"
        }
    ]
}

Step 4: Grant your developer permissions to add IAM roles to instance profiles based on the Owner tag

Your developer can then associate the instance profile (Developer-EC2-InstanceProfile) to their EC2 instance running their application, by using the following command.

aws ec2 associate-iam-instance-profile --instance-id i-1234567890EXAMPLE --iam-instance-profile Name="Developer-EC2-InstanceProfile"

{
    "IamInstanceProfileAssociation": {
        "InstanceId": "i-1234567890EXAMPLE",
        "State": "associating",
        "AssociationId": "iip-assoc-0dbd8529a48294120",
        "IamInstanceProfile": {
            "Id": "AIDGPMS9RO4H3FEXAMPLE",
            "Arn": "arn:aws:iam::<AccountNumber>:instance-profile/Developer-EC2-InstanceProfile"
        }
    }
}

Summary

You can use tags to manage and secure access to IAM resources such as IAM roles, IAM users, SAML providers, server certificates, and virtual MFAs. In this post, I highlighted two examples of how AWS administrators can use tags to grant access at scale to IAM resources such as customer managed policies and instance profiles. For more information about the IAM resources that support tagging, see the AWS Identity and Access Management (IAM) User Guide.

If you have feedback about this post, submit comments in the Comments section below. If you have questions about this post, start a new thread on the AWS IAM forum or contact AWS Support.

Want more AWS Security how-to content, news, and feature announcements? Follow us on Twitter.

Author

Michael Switzer

Mike is the product manager for the Identity and Access Management service at AWS. He enjoys working directly with customers to identify solutions to their challenges, and using data-driven decision making to drive his work. Outside of work, Mike is an avid cyclist and outdoorsperson. He holds a master’s degree in computational mathematics from the University of Washington.

 

Contributor

Special thanks to Derrick Oigiagbe who made significant contributions to this post.

[$] Introducing maple trees

Post Syndicated from original https://lwn.net/Articles/845507/rss

Seen from outside, the internals of the Linux kernel appear to be stable,
especially in subsystems like the memory-management subsystem. However,
from time to time, developers need to replace an internal
interface to solve a longstanding problem. One such
issue is contention on the lock used to protect essential
memory-management structures, including the page tables and virtual memory areas
(VMAs). Liam Howlett and Matthew Wilcox have been developing a new
data structure, called a “maple tree”, to replace the data structures
currently used for VMAs. This potentially big change in internal kernel
structures has been recently posted
for a review in a massive patch set.

The collective thoughts of the interwebz

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close