LINUX.ORG.RU
ФорумTalks

факап интеля (инфа из первых рук :)

 


0

3

В продолжение темы: Факап интеля и прочих

Собсно intel хакнул Thomas Prescher. Вчера он делал тут доклад на эту тему:

https://www.b-tu.de/news/artikel/13433-die-entdecker-der-computer-sicherheits...

Самое интересное, то заюзать (сделать рабочий эксплоит) этот баг он смог еще прошлым летом. Но еще большая смаковка, что Intel заплатил ему 20k€ за то, чтобы он молчал.

Ссылки по теме: https://meltdownattack.com/meltdown.pdf (актуальная статья от собсно людей, которые это открыли)

страничка: http://blog.cyberus-technology.de/posts/2018-01-03-meltdown.html

★★☆☆☆

Последнее исправление: dikiy (всего исправлений: 3)

ну такие дела в современном маркетинге.

Deleted
()
Ответ на: комментарий от Andrew

Сомневаюсь, что немецекие студенты считают в дошираках, но комп и квартиру, парень, скорее всего, приобрел. квартёру ессно в аренду.

Deleted
()
Ответ на: комментарий от dikiy

подозрительное название, НЕТ ЛИ ТАМ какой фобии?

Deleted
()

Ну что за желтизна опять

Но еще большая смаковка, что Intel заплатил ему 20k€ за то, чтобы он молчал.

Про эмбарго на эксплоиты никогда не слышал? Не публиковать сведения об эксплоитах в открытый доступ ранее назначенного дедлайна - это базовая этика security-инженеров.

alpha ★★★★★
()
Ответ на: комментарий от alpha

А, тогда главный бяка это тот, кто слил сведение до того как интел пошевелился доделал свои исправления?

Andrew ★★★
()
Ответ на: комментарий от alpha

Ну что за желтизна опять

Но еще большая смаковка, что Intel заплатил ему 20k€ за то, чтобы он молчал.

Это не желтизна, а реальность.

Про эмбарго на эксплоиты никогда не слышал? Не публиковать сведения об эксплоитах в открытый доступ ранее назначенного дедлайна - это базовая этика security-инженеров.

1. Этика как-то соотносится с оплатой за молчание?

2. Причем сведения об эксплоите были опубликованы уже к осени того
года. Не от его имени (гуглить блог fefe)

dikiy ★★☆☆☆
() автор топика

Ух, скорее бы интел сдох. Еще несколько таких новостей, и уже можно надеяться, что рынок очистится от говна, и останется только божественный AMD.

ozz_is_here
()

Собсно intel хакнул Thomas Prescher.
Но еще большая смаковка, что Intel заплатил ему 20k€ за то, чтобы он молчал.

Какой он продажный!

Вот Jann Horn из Google Project Zero неподкупный и раскрыл все. А еще открыл Spectre.

Ну а вообще баг с 2008 года Хакер Крис Касперски нашел уязвимость в процессорах Intel

NULL
()
Ответ на: комментарий от ozz_is_here

узбагойся, никто никуда не денется.
АМД и Интел - одна контора. Почитай историю.
начинали они обыкновенно, отпочкованием от более старых товарищей.

Штеуд - это инвестиции в R&D, какие-бы результаты не вываливались на рыночек, но кормятся именно будущие поколения.

Deleted
()
Ответ на: комментарий от Andrew

студенту

читаем ссылку и находим:

Thomas Prescher ist Software Architekt und einer der Mitgründer der Cyberus Technology GmbH in Dresden. Nach seinem Abschluss an der Brandenburgischen Technischen Universitaet Cottbus-Senftenberg im Jahr 2013 arbeitete er erst beim Chip Giganten Intel, und anschliessend beim Sicherheitsunternehmen Fireeye. Der Schwerpunkt seiner Arbeit und Forschung liegt dabei auf Betriebssystemen, Virtualisierung und Prozessorarchitektur.

Werner Haas ist CTO der Cyberus Technology GmbH in Dresden. Nach seinem Studium der Elektrotechnik an der Uni Erlangen-Nürnberg arbeitete er zunächst als Wissenschaftlicher Mitarbeiter an formalen Methoden zur Spezifikation ereignisgesteuerter Systeme. Danach war er 10 Jahre für die Intel Labs in Braunschweig in der Optical Networking Division, dem Germany Microprocessor Lab und den Intel Labs in Oregon/USA tätig

так что никакие они не студенты

Deleted
()

Но еще большая смаковка, что Intel заплатил ему 20k€ за то, чтобы он молчал.

Более, чем скромно

Manhunt ★★★★★
()
Ответ на: комментарий от Deleted

в дошираках

Максимальная студенческая «стипендия»(так называемый BAFöG) в Германии составляет на данный момент ~670€. Но это так, оффтопик.

квартёру ессно в аренду

как и 2/3 всего населения.

подозрительное название, НЕТ ЛИ ТАМ какой фобии?

да это у вас пригорает просто.

Deleted
()

Самое интересное, то заюзать (сделать рабочий эксплоит) этот баг он смог еще прошлым летом. Но еще большая смаковка, что Intel заплатил ему 20k€ за то, чтобы он молчал.

Где скриншот чека или перевода?

Ссылки по теме: https://meltdownattack.com/meltdown.pdf (актуальная статья от собсно людей, которые это открыли)

из этого документа:

We would also like to thank Jann Horn for comments on an early draft.
Jann disclosed the issue to Intel in June.

NULL
()
Ответ на: комментарий от Deleted

да это у вас пригорает просто.

Зачем ты на меня пытаешься натянуть тёплую зимнюю верхнюю одежду? Она мне не идёт!

Максимальная студенческая «стипендия»

Ну это же максимальная... а минимальная?
Хотя, на 20euro можно вкусно питаться целый день и даже сэкономить.

Deleted
()
Ответ на: комментарий от dikiy

с оплатой за молчание?

Это называется bounty program. Находите эксплоит, приносите нам и не разглашаете больше никому - получаете деньги. Есть во всех крупных конторах, даже в моей.

гуглить блог fefe

это phoronix-like журналистика, и ты продолжаешь их дело - копипастишь слухи с громкими заголовками не вдумываясь и не разбираясь в сути работы.

alpha ★★★★★
()
Ответ на: комментарий от alpha

Кстати про контору, quantum-integration.org — это твой сайд-проект? Я припоминаю, что у тебя на каком-то FOSDEM или эквиваленте был доклад про CI с каким-то похожим забавным названием.

intelfx ★★★★★
()
Ответ на: комментарий от NULL

Где скриншот чека или перевода?

давай просто поверим человеку на слово, ок?

dikiy ★★☆☆☆
() автор топика
Ответ на: комментарий от intelfx

Да это мой бложик.

Так-то я сейчас в trivago работаю, в глубоком энтерпрайзе.

alpha ★★★★★
()
Ответ на: комментарий от alpha

это phoronix-like журналистика, и ты продолжаешь их дело - копипастишь слухи с громкими заголовками не вдумываясь и не разбираясь в сути работы.

это не слухи, про это говорилось вчера на докладе от человека, который собсно все сделал.

dikiy ★★☆☆☆
() автор топика
Ответ на: комментарий от alpha

это phoronix-like журналистика, и ты продолжаешь их дело - копипастишь слухи с громкими заголовками не вдумываясь и не разбираясь в сути работы.

это не слухи, про это говорилось вчера на докладе от человека, который собсно все сделал.

dikiy ★★☆☆☆
() автор топика
Ответ на: комментарий от dikiy

Есть факты, а есть желтая пресса.

Например, репорт о баге, назначение по нему даты disclosure и выплата премии нашедшему - это вполне проверяемые факты, которые возможно верны и являются стандартной практикой.

А подача их в стиле «Intel заплатил чтобы он молчал!!» - это второе.

Забавно кстати выглядит твой коммент Линус Интелу: ваши патчи полное говно (комментарий) в контексте этого треда.

«Правильно зайти», да.

alpha ★★★★★
()
Ответ на: комментарий от Andrew

Без аргументации я даже Линусу или Столлману не поверю.

За верой - это к религиозным чушкам.

anonymous8 ★★
()

Получается, они полгода пинали фаллос, чтобы потом выкатить полусырые патчи в аврале?

anonymous00 ★★
()
Ответ на: комментарий от dikiy

Да и в целом твое «из первых рук от человека, который всё сделал» дурно пахнет.

Я так подозреваю автор доклада гораздо приличнее себя вел, чем ты пытаешься изобразить. Даже на процитированной тобой рекламной странице его конторы и то написано скромно «members of the founder team of Cyberus Technology GmbH were among the first experts to discover this vulnerability».

И я уже приводила ссылку:

https://cyber.wtf/2018/01/05/behind-the-scene-of-a-bug-collision/

приличные люди не пишут «я первый сделал», они пишут «естественно, что несколько участников пришли к результату, который давно напрашивался. Вот, например, как это было у меня.»

alpha ★★★★★
()
Последнее исправление: alpha (всего исправлений: 1)
Ответ на: комментарий от Deleted

Ну это же максимальная... а минимальная?

0€. Ибо 670€ это т.н. «потребность»(высчитывается каждый год на основании закона), а стипендия выплачивается как разница между «потребностью» и «возможностью. „Возможность“ зависит от таких факторов как заработок твоих родителей, снимаешь ли ты хату или живёшь с родоками, твой собственный заработок(если подрабатываешь), итдитп. Подрабатывать можно до 450€ без уменьшения стипендии. Таким образом получается в месяц 670+450€ макс.

К примеру когда я получал эту „стипендию“ „потребность“ была 600€. Из этих 600€ по подсчёту по хитрой формуле родители мне должны были платить ~130€, а разницу в 470€ я получал от государства. Если бы я не снимал отдельную хату, былоб меньше, т.к. „потребность“ была бы меньше.

Выше я выделил жирным „должны были платить“ не просто так. Родители именно должны платить, и если они это не делают, можно затребовать деньги через суд.

Deleted
()
Последнее исправление: nepank (всего исправлений: 1)
Ответ на: комментарий от alpha

Есть факты, а есть желтая пресса.

это вполне проверяемые факты, которые возможно верны и являются стандартной практикой.

ну, мне достаточно поверить первоисточнику на слово. Если хочешь, проверь.

dikiy ★★☆☆☆
() автор топика
Ответ на: комментарий от alpha

Я так подозреваю автор доклада гораздо приличнее себя вел, чем ты пытаешься изобразить.

я где-то говорил про неприличное поведение??!

dikiy ★★☆☆☆
() автор топика

я всегда говорил, что responsible disclosure и этический хакинг - это хрень собачья. слишком много нытья о том, что сначала «приличные люди» должны уведомить вендора, потом подождать, потом ... хрень собачья. выкидывайте все в паблик и сразу все, кому надо почешутся, а остальным это будет уроком.

crypt ★★★★★
()
Ответ на: комментарий от alpha

Не публиковать сведения об эксплоитах в открытый доступ ранее назначенного дедлайна - это базовая этика security-инженеров.

см. сообщение выше

crypt ★★★★★
()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от NULL

Ну а вообще баг с 2008 года

мда... иногда стоит подумать, потом писать. у меня с того самого 2008 года лежит на диске видео с той конференции... откуда ты взял, что это ТОТ ЖЕ САМЫЙ баг? CPU такой же продукт, как и все остальные, там сотни багов поменьше и побольше. Об этом Крис и говорит.

crypt ★★★★★
()

Видеозапись доклада бы.

stevejobs ★★★★☆
()
Ответ на: комментарий от stevejobs

ну поищите сами, че как маленькие. если не найдете на днях могу выложить. ютубами не пользуюсь.

crypt ★★★★★
()
Ответ на: комментарий от NULL

ой да кому ты нужен. ты не смотрел, твои проблемы.

crypt ★★★★★
()
Ответ на: комментарий от Deleted

Родители именно должны платить, и если они это не делают, можно затребовать деньги через суд.

А если они не подписывались на обучение совершеннолетнего спиногрыза, он сам всё по своей инициативе?

Harald ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.