факап интеля (инфа из первых рук :)

Intel заплатил ему 20k€

Как-то маловато.

ну такие дела в современном маркетинге.

студенту

Уже не за еду, парень наверное обомлел когда посчитал сколько это в дошиках.

Я так понимаю, что к тому времени, как он сделал хак, у него уже была фирма cyberus

Сомневаюсь, что немецекие студенты считают в дошираках, но комп и квартиру, парень, скорее всего, приобрел. квартёру ессно в аренду.

подозрительное название, НЕТ ЛИ ТАМ какой фобии?

Ну что за желтизна опять

Но еще большая смаковка, что Intel заплатил ему 20k€ за то, чтобы он молчал.

Про эмбарго на эксплоиты никогда не слышал? Не публиковать сведения об эксплоитах в открытый доступ ранее назначенного дедлайна - это базовая этика security-инженеров.

А, тогда главный бяка это тот, кто слил сведение до того как интел пошевелился доделал свои исправления?

Ну что за желтизна опять

Но еще большая смаковка, что Intel заплатил ему 20k€ за то, чтобы он молчал.

Это не желтизна, а реальность.

Про эмбарго на эксплоиты никогда не слышал? Не публиковать сведения об эксплоитах в открытый доступ ранее назначенного дедлайна - это базовая этика security-инженеров.

1. Этика как-то соотносится с оплатой за молчание?

2. Причем сведения об эксплоите были опубликованы уже к осени того
года. Не от его имени (гуглить блог fefe)

Ух, скорее бы интел сдох. Еще несколько таких новостей, и уже можно надеяться, что рынок очистится от говна, и останется только божественный AMD.

Собсно intel хакнул Thomas Prescher.
Но еще большая смаковка, что Intel заплатил ему 20k€ за то, чтобы он молчал.

Какой он продажный!

Вот Jann Horn из Google Project Zero неподкупный и раскрыл все. А еще открыл Spectre.

Ну а вообще баг с 2008 года Хакер Крис Касперски нашел уязвимость в процессорах Intel

узбагойся, никто никуда не денется.
АМД и Интел - одна контора. Почитай историю.
начинали они обыкновенно, отпочкованием от более старых товарищей.

Штеуд - это инвестиции в R&D, какие-бы результаты не вываливались на рыночек, но кормятся именно будущие поколения.

студенту

читаем ссылку и находим:

Thomas Prescher ist Software Architekt und einer der Mitgründer der Cyberus Technology GmbH in Dresden. Nach seinem Abschluss an der Brandenburgischen Technischen Universitaet Cottbus-Senftenberg im Jahr 2013 arbeitete er erst beim Chip Giganten Intel, und anschliessend beim Sicherheitsunternehmen Fireeye. Der Schwerpunkt seiner Arbeit und Forschung liegt dabei auf Betriebssystemen, Virtualisierung und Prozessorarchitektur.

Werner Haas ist CTO der Cyberus Technology GmbH in Dresden. Nach seinem Studium der Elektrotechnik an der Uni Erlangen-Nürnberg arbeitete er zunächst als Wissenschaftlicher Mitarbeiter an formalen Methoden zur Spezifikation ereignisgesteuerter Systeme. Danach war er 10 Jahre für die Intel Labs in Braunschweig in der Optical Networking Division, dem Germany Microprocessor Lab und den Intel Labs in Oregon/USA tätig

так что никакие они не студенты

Который сразу скатится. man монополия.

Но еще большая смаковка, что Intel заплатил ему 20k€ за то, чтобы он молчал.

Более, чем скромно

в дошираках

Максимальная студенческая «стипендия»(так называемый BAFöG) в Германии составляет на данный момент ~670€. Но это так, оффтопик.

квартёру ессно в аренду

как и 2/3 всего населения.

подозрительное название, НЕТ ЛИ ТАМ какой фобии?

да это у вас пригорает просто.

Самое интересное, то заюзать (сделать рабочий эксплоит) этот баг он смог еще прошлым летом. Но еще большая смаковка, что Intel заплатил ему 20k€ за то, чтобы он молчал.

Где скриншот чека или перевода?

Ссылки по теме: https://meltdownattack.com/meltdown.pdf (актуальная статья от собсно людей, которые это открыли)

из этого документа:

We would also like to thank Jann Horn for comments on an early draft.
Jann disclosed the issue to Intel in June.

да это у вас пригорает просто.

Зачем ты на меня пытаешься натянуть тёплую зимнюю верхнюю одежду? Она мне не идёт!

Максимальная студенческая «стипендия»

Ну это же максимальная... а минимальная?
Хотя, на 20euro можно вкусно питаться целый день и даже сэкономить.

с оплатой за молчание?

Это называется bounty program. Находите эксплоит, приносите нам и не разглашаете больше никому - получаете деньги. Есть во всех крупных конторах, даже в моей.

гуглить блог fefe

это phoronix-like журналистика, и ты продолжаешь их дело - копипастишь слухи с громкими заголовками не вдумываясь и не разбираясь в сути работы.

Кстати про контору, quantum-integration.org — это твой сайд-проект? Я припоминаю, что у тебя на каком-то FOSDEM или эквиваленте был доклад про CI с каким-то похожим забавным названием.

Где скриншот чека или перевода?

давай просто поверим человеку на слово, ок?

Да это мой бложик.

Так-то я сейчас в trivago работаю, в глубоком энтерпрайзе.

это phoronix-like журналистика, и ты продолжаешь их дело - копипастишь слухи с громкими заголовками не вдумываясь и не разбираясь в сути работы.

это не слухи, про это говорилось вчера на докладе от человека, который собсно все сделал.

это phoronix-like журналистика, и ты продолжаешь их дело - копипастишь слухи с громкими заголовками не вдумываясь и не разбираясь в сути работы.

это не слухи, про это говорилось вчера на докладе от человека, который собсно все сделал.

В амд одни оукожопы.

Аргументации нет, заявление уровня дяди Васи-сантехника.

Ты не поверишь, но примерно так оно и есть.

Есть факты, а есть желтая пресса.

Например, репорт о баге, назначение по нему даты disclosure и выплата премии нашедшему - это вполне проверяемые факты, которые возможно верны и являются стандартной практикой.

А подача их в стиле «Intel заплатил чтобы он молчал!!» - это второе.

Забавно кстати выглядит твой коммент Линус Интелу: ваши патчи полное говно (комментарий) в контексте этого треда.

«Правильно зайти», да.

Пока что в треде обосрался только Intel.

Без аргументации я даже Линусу или Столлману не поверю.

За верой - это к религиозным чушкам.

Получается, они полгода пинали фаллос, чтобы потом выкатить полусырые патчи в аврале?

Да и в целом твое «из первых рук от человека, который всё сделал» дурно пахнет.

Я так подозреваю автор доклада гораздо приличнее себя вел, чем ты пытаешься изобразить. Даже на процитированной тобой рекламной странице его конторы и то написано скромно «members of the founder team of Cyberus Technology GmbH were among the first experts to discover this vulnerability».

И я уже приводила ссылку:

https://cyber.wtf/2018/01/05/behind-the-scene-of-a-bug-collision/

приличные люди не пишут «я первый сделал», они пишут «естественно, что несколько участников пришли к результату, который давно напрашивался. Вот, например, как это было у меня.»

Ну это же максимальная... а минимальная?

0€. Ибо 670€ это т.н. «потребность»(высчитывается каждый год на основании закона), а стипендия выплачивается как разница между «потребностью» и «возможностью. „Возможность“ зависит от таких факторов как заработок твоих родителей, снимаешь ли ты хату или живёшь с родоками, твой собственный заработок(если подрабатываешь), итдитп. Подрабатывать можно до 450€ без уменьшения стипендии. Таким образом получается в месяц 670+450€ макс.

К примеру когда я получал эту „стипендию“ „потребность“ была 600€. Из этих 600€ по подсчёту по хитрой формуле родители мне должны были платить ~130€, а разницу в 470€ я получал от государства. Если бы я не снимал отдельную хату, былоб меньше, т.к. „потребность“ была бы меньше.

Выше я выделил жирным „должны были платить“ не просто так. Родители именно должны платить, и если они это не делают, можно затребовать деньги через суд.

Есть факты, а есть желтая пресса.

это вполне проверяемые факты, которые возможно верны и являются стандартной практикой.

ну, мне достаточно поверить первоисточнику на слово. Если хочешь, проверь.

Я так подозреваю автор доклада гораздо приличнее себя вел, чем ты пытаешься изобразить.

я где-то говорил про неприличное поведение??!

Кукуруза до последнего года.
Вечное говно в драйверах на видео.

я всегда говорил, что responsible disclosure и этический хакинг - это хрень собачья. слишком много нытья о том, что сначала «приличные люди» должны уведомить вендора, потом подождать, потом ... хрень собачья. выкидывайте все в паблик и сразу все, кому надо почешутся, а остальным это будет уроком.

Не публиковать сведения об эксплоитах в открытый доступ ранее назначенного дедлайна - это базовая этика security-инженеров.

см. сообщение выше

Ну а вообще баг с 2008 года

мда... иногда стоит подумать, потом писать. у меня с того самого 2008 года лежит на диске видео с той конференции... откуда ты взял, что это ТОТ ЖЕ САМЫЙ баг? CPU такой же продукт, как и все остальные, там сотни багов поменьше и побольше. Об этом Крис и говорит.

видео в студию

ну ща тебе все на блюдечке вынесу. я спать.

засчитан

ну даже если не тот же самый баг, значит был (или до сих пор) есть еще не менее эпичный

Видеозапись доклада бы.

а есть оно на ютубе? или может, зальёшь?

ну поищите сами, че как маленькие. если не найдете на днях могу выложить. ютубами не пользуюсь.

ой да кому ты нужен. ты не смотрел, твои проблемы.

Он имел в виду вот это

Слайды: http://www.cs.dartmouth.edu/~sergey/cs258/2010/D2T1 - Kris Kaspersky - Remote...

Видео: https://www.youtube.com/watch?v=8wIvmQkTzR4

Software wants to be free! Штольман так завещал

Родители именно должны платить, и если они это не делают, можно затребовать деньги через суд.

А если они не подписывались на обучение совершеннолетнего спиногрыза, он сам всё по своей инициативе?

Спасибо!