Comments 43
Заранее были оповещены облачные хостинги (Microsoft...Что-то не верится в это. У нас в ажуре прям 3 января появился «scheduled critical maintenance», и после имейла (этого же числа) начали без нашего реагирования ребутать все машины без исключения, важные — не важные, всё равно.
Что-то не верится в это. У нас в ажуре прям 3 января появился «scheduled critical maintenance», и после имейла (этого же числа) начали без нашего реагирования ребутать все машины
Посмотрите внимательнее, первое письмо было 29-го декабря, и время перезагрузки планировалось на 10-е января, но
2 января информацию слило в открытый доступ издание The Register
и обновление переназначили на 3-е.
Я 15 декабря ресайзил несколько виртуалок в ARM и пару в ASM. Так вот у них был стататус Already Updated по крайней мере 2-го января, когда начал готовиться к риьутам 10-го… И они не бутались.
Но ведь чтобы воспользоваться уязвимостью. нужно иметь возможность запускать произвольный код. А это и раньше было критично.
В первую очередь неприятно VPS хостингам, но ведь ничего не мешает уйти на VDS, верно?
А интел и правда все мутнее и мутнее. Их решение с отдельной невидимой ОС в железе, Intel ME, постоянные смены сокетов.
В первую очередь неприятно VPS хостингам, но ведь ничего не мешает уйти на VDS, верно?
А интел и правда все мутнее и мутнее. Их решение с отдельной невидимой ОС в железе, Intel ME, постоянные смены сокетов.
Но ведь чтобы воспользоваться уязвимостью. нужно иметь возможность запускать произвольный код.JavaScript в пользовательских браузерах, собственно, такую возможность и предоставляет.
В первую очередь неприятно VPS хостингам, но ведь ничего не мешает уйти на VDS, верно?Проблема только в том, что VDS куда дороже VPS. И администрировать на порядок сложнее.
А интел и правда все мутнее и мутнее. Их решение с отдельной невидимой ОС в железе, Intel ME...А вот тут полностью согласен. Компьютер из понятного набора понятных микросхем превращается в черный ящик, живущий своей отдельной разумной жизнью.
Парни, А можно узнать разницу между VDS и VPS? И первое и второе это виртуальный сервер.
Ну да. Как-то я букву V в VDS и не заметил… Лично я под VDS имел в виду выделенный физический сервер, проcто Dedicated Server. Пардон.
А можно узнать разницу в администрировании? А то на уровне OS, что там, что там — в общем-то одно и то же.
Развернуть несколько виртуалок с нужным содержимым легко и просто. И работать с ними легко и просто — вас не волнует, какое физическое железо там используется, есть ли SAN, какова топология сети, что делать при сбое железа. Платформа виртуализации все берет на себя. При сбое же часто оказывается проще и быстрее развернуть все заново, чем восстанавливать проблемное.
Развернуть несколько выделенных серверов — легко получится, только если все железо одинаковое и разворачиваются уже готовые образа. Но чуть что не так — все шишки будут ваши, в каждом конкретном случае придется разбираться индивидуально. Когда такой сервер один — с ним носятся как с писаной торбой и пылинки сдувают. Когда их вагон и маленькая тележка — возиться с каждым нет ни времени, ни сил. Нужно делом заниматься, а не сервера бесконечно настраивать.
Развернуть несколько выделенных серверов — легко получится, только если все железо одинаковое и разворачиваются уже готовые образа. Но чуть что не так — все шишки будут ваши, в каждом конкретном случае придется разбираться индивидуально. Когда такой сервер один — с ним носятся как с писаной торбой и пылинки сдувают. Когда их вагон и маленькая тележка — возиться с каждым нет ни времени, ни сил. Нужно делом заниматься, а не сервера бесконечно настраивать.
В VPS у вас есть внешняя админка, предоставляемая сервисом. Оттуда машину всегда можно ребутнуть, сбросить раздел, а в лучших случаях — восстановить бекап и войти в консоль без SSH. Админка может делать/восстанавливать бекапы независимо от оси сервака.
С DS всех этих радостей нет. Если в нём повис и не поднимается SSH — то аля-улю, гони гусей.
Ну, сейчас, наверное, пойдут тарифы вида "только ваши VPS на физическом сервере".
Если в нём повис и не поднимается SSH — то аля-улю, гони гусей.… логинься в KVM, который выглядит абсолютно точно так же, как и для VPS?
Не «аля-улю», а iLO :-)
И это уже дофига лет как, если сервер — таки сервер, а не разожравшийся десктоп.
И это уже дофига лет как, если сервер — таки сервер, а не разожравшийся десктоп.
вы конечно же можете привети юзкейсы данной уязвимости? ну тоесть есть уязвимости, а есть петя, который бушует на миллиарды долларов. и ничо, майкрософт заплатку накатил, никаких криков переходим на линукс не наблюдается.
проблема с интелом в том, что он занимает 99.7% корпоративного рынка. амд тут не игрок, из-за решения вложится в портатив они отстали лет на 10. тем более и они подвержены спектру. стоит отдать должное сектантам, как искренним, так и профессиональным, они создают впечатление что амд из себя хоть что-то представляет.
проблема с интелом в том, что он занимает 99.7% корпоративного рынка. амд тут не игрок, из-за решения вложится в портатив они отстали лет на 10. тем более и они подвержены спектру. стоит отдать должное сектантам, как искренним, так и профессиональным, они создают впечатление что амд из себя хоть что-то представляет.
Что самое интересное, по информации осведомлённых источников, Intel оповестила китайских партнёров об уязвимостях раньше, чем сообщила о них правительственным агентствам США, пишет The Wall Street Journal.
С какой стати вообще специально сообщать правительственным агентам США что-либо раньше коммерческих? Чем они важнее партнёров компании? Насколько известно, компания Intel вполне себе частная и государству ничем не обязана.
Из-за государственной безопасности. Представьте разработчики российской системы сообщили о проблеме и о вносимых изменениях своим китайским производителям, а через время оповестили о проблеме российские госорганы. Есть промежуток времени в который китайские органы и не органы знают, а отечественные органы нет. Могут злоумышленники использовать в это время уязвимости?
Не вижу принципиальной разницы. С каких пор отечественные органы вдруг стали «добромышленниками»? Государственная безопасность подразумевает сохранение государства и государственного строя. Простым людям с этого ни горячо ни холодно.
Государственная безопасность
Вот от этого и пляшите для техники используемой госорганами и работающей во исполнение указаний госорганов, забыв что такую же технику в личном владении могут иметь простые люди.
Притом под грифом много чего не связанного с вооружением, в том же финансовом и добывающем секторе, энергетике,.....
С какой стати вообще специально сообщать правительственным агентам США что-либо раньше коммерческих?
Наверняка на оборудовании интел работают какие-нибудь системы в оборонке.
В том же финансовом секторе наверняка много всякого на оборудовани интел.
Например с такой, что intel — это корпорация с головным оффисом в США. И тот факт, что китайские спецслужбы получили доступ к этой информации раньше чем штатовские может, при некотором старании, прокатить за гос. измену.
Учитывая, что ген. директор еще и акции продал практически перед самым оповещением об уязвимости. Вполне повод заинтересоваться этим гражданином Брайаном Кржанич.
Учитывая, что ген. директор еще и акции продал практически перед самым оповещением об уязвимости. Вполне повод заинтересоваться этим гражданином Брайаном Кржанич.
О какой измене вы говорите? В этом мире никто никаким куклам поклоняться не обязан. И патриотические чувства испытывать тоже. Intel — коммерческая корпорация. Она обязана только своим акционерам. Всё остальное притянуто за уши. Да, конечно она некоторым образом несёт ответственность за продукцию, которой пользуется весь мир.
Intel, как организация является резидентом страны и подчиняется ее законодательству. Но в придачу ко всему решения в компании принимают люди, которые тоже имеют гражданство и традиционно для США даже давали присягу флагу и стране.
Незнание закона не освобождает от ответственности. Что уж говорить о сознательном игнорировании.
Незнание закона не освобождает от ответственности. Что уж говорить о сознательном игнорировании.
Незнание закона не освобождает от ответственности. Что уж говорить о сознательном игнорировании.
Простите, незнание какого именно закона вы вменяете Intel-овскому начальству?
Не им, а предыдущему оратору 107-56.
Они-то вряд ли могут пытаться мотивировать что-то незнанием. Собственно и не пытаются.
Они-то вряд ли могут пытаться мотивировать что-то незнанием. Собственно и не пытаются.
естесственно. в идеале, они должны действовать так, что бы принести наибольшую выгоду бизнесу, или, в данном, случае — причинить наименьший ущерб. очевидно, очередность оповещения слабо связана с величиной ущерба; я думаю они, зная о масштабе проблемы, пытались минимизировать ущерб лично для себя любимых, а уж потом все остальное. вот это — реальная проблема, а не очередность оповешения и уж точно не то, что гос-во было оповещено не в первую очередь.
Какое из действий минимизировало ущерб? Insider trading или treason?
Какое из действий минимизировало ущерб?А вы видите только эти действия? Очевидно у Intel был выбор, что делать и, наверняка, они рассматривали многие версии. Так же очведно, что государство рассматривалось как равноправный партнер и клиент.
Insider trading или treason?
Insider trading — это еще не оконченная история. Насчет treason — не смешите вы публику. Вы что на самом деле считаете, что если бы Intel в первую очередь побежал к президенту или в fbi, то это как-нибудь повлияло на их ситуяцию, что она была бы лучше? Это, наверное, верно для стран суверенной демократии, здесь — пока еще не так.
Если вы видите предательство в действиюх Intel, почему вы не видите, по крайней мере, преступной халатности в действиях государственных огранов, использовавших процессоры Intel?
Абсурд, правда? Так же как и ваши обвинения в предательстве…
> А вы видите только эти действия?
А вы видите какие-то еще? Это факты или фантазии?
> Насчет treason — не смешите вы публику. Вы что на самом деле
> считаете, что если бы Intel в первую очередь побежал к президенту
> или в fbi
Если бы у бабушки… не очень понятно, что вы хотите доказать прибегая к такому приему. Можно, конечно, немного пофантазировать, но не понятно зачем.
> Это, наверное, верно для стран суверенной демократии, здесь — пока
> еще не так.
Этого я не понял. Вы о чем вообще? Здесь — это где?
> Если вы видите предательство в действиюх Intel, почему вы не
> видите, по крайней мере, преступной халатности в действиях
> государственных огранов
Гос. органы еще 30 лет назад всеми правдами и неправдами вытягивало AMD, как альтернативу Intel. Вполне себе адекватная перестраховка. Вы предлагаете судить гос. органы (кого например поименно или хотя бы по должностям?) за то, что не смогли предсказать то, что у intel будут такие уязвимости?
С одной стороны обладание информацией и сокрытие, с другой телепатия.
> Абсурд, правда? Так же как и ваши обвинения в предательстве…
Правда абсурд. Как и ваша демагогия.
А вы видите какие-то еще? Это факты или фантазии?
> Насчет treason — не смешите вы публику. Вы что на самом деле
> считаете, что если бы Intel в первую очередь побежал к президенту
> или в fbi
Если бы у бабушки… не очень понятно, что вы хотите доказать прибегая к такому приему. Можно, конечно, немного пофантазировать, но не понятно зачем.
> Это, наверное, верно для стран суверенной демократии, здесь — пока
> еще не так.
Этого я не понял. Вы о чем вообще? Здесь — это где?
> Если вы видите предательство в действиюх Intel, почему вы не
> видите, по крайней мере, преступной халатности в действиях
> государственных огранов
Гос. органы еще 30 лет назад всеми правдами и неправдами вытягивало AMD, как альтернативу Intel. Вполне себе адекватная перестраховка. Вы предлагаете судить гос. органы (кого например поименно или хотя бы по должностям?) за то, что не смогли предсказать то, что у intel будут такие уязвимости?
С одной стороны обладание информацией и сокрытие, с другой телепатия.
> Абсурд, правда? Так же как и ваши обвинения в предательстве…
Правда абсурд. Как и ваша демагогия.
не очень понятно, что вы хотите доказать прибегая к такому приему. Можно, конечно, немного пофантазировать, но не понятно зачем.прием называется — мысленный эксперимент :) обычно, прежде чем действовать, анализируешь последствия. Что бы понять мотивации, часто полезно анализировать postmortem возможные варианты действий, «если бы» (what-if analysis).
Здесь — это где?в штатах.
С одной стороны обладание информацией и сокрытиеВы путаетесь в показаниях… Определитесь, сокрытие информации или, все-таки, предательство.
FYI, даже Розенбергов не судили за предательство. Но вы почему-то считаете, что Intel нужно судить именно за предательство. абсурд.
Интересно услышать почему Intel молчал в течении 6 месяцев — это да. Но даже это молчание на криминал не тянет, имхо.
> Что бы понять мотивации, часто полезно анализировать
> postmortem возможные варианты действий, «если бы» (what-if
> analysis).
Т.е. теперь вы вменяете главе Intel то, что он рассматривал такой вариант и отмел его как несущественный. Другими словами приписываете ему умысел, верно?
> Вы путаетесь в показаниях… Определитесь, сокрытие
> информации или, все-таки, предательство.
Это вы путаетесь в понятиях. «treason — 1) the crime of betraying one's country,...», «Преда́тельство — нарушение верности кому-либо или неисполнение долга перед кем-либо.»
Сокрытие информации или дезинформация лежит в другой плоскости. Перпендикулярной.
> в штатах.
See it, say it — пока еще не закон. 107-56 подходит близко.
> FYI, даже Розенбергов не судили за предательство.
Ну… Клинтон только пальчиком погрозили за организацию утечки секретной инофрмации. Фемида, как известно, не зрячая.
> Интересно услышать почему Intel молчал в течении 6 месяцев —
> это да. Но даже это молчание на криминал не тянет, имхо.
Почему молчал как раз понятно. Стандартная практика при получении оповещения о взломе — сначала постараться нейтрализовать проблему и уменьшить последствия, а только потом переставать молчать.
> postmortem возможные варианты действий, «если бы» (what-if
> analysis).
Т.е. теперь вы вменяете главе Intel то, что он рассматривал такой вариант и отмел его как несущественный. Другими словами приписываете ему умысел, верно?
> Вы путаетесь в показаниях… Определитесь, сокрытие
> информации или, все-таки, предательство.
Это вы путаетесь в понятиях. «treason — 1) the crime of betraying one's country,...», «Преда́тельство — нарушение верности кому-либо или неисполнение долга перед кем-либо.»
Сокрытие информации или дезинформация лежит в другой плоскости. Перпендикулярной.
> в штатах.
See it, say it — пока еще не закон. 107-56 подходит близко.
> FYI, даже Розенбергов не судили за предательство.
Ну… Клинтон только пальчиком погрозили за организацию утечки секретной инофрмации. Фемида, как известно, не зрячая.
> Интересно услышать почему Intel молчал в течении 6 месяцев —
> это да. Но даже это молчание на криминал не тянет, имхо.
Почему молчал как раз понятно. Стандартная практика при получении оповещения о взломе — сначала постараться нейтрализовать проблему и уменьшить последствия, а только потом переставать молчать.
Т.е. теперь вы вменяете главе Intel то, что он рассматривал такой вариант и отмел его как несущественный. Другими словами приписываете ему умысел, верно?Вменяю, приписываю? Вы читаете между строк? Если, да, то явно не моих.
я-то как раз ничего, никому не вменяю. это вы призываете судить Intel то за предательство, то за сокрытие информации… Я всего лишь предполагаю. И исхожу при этом, что они все-таки компетентные люди, что бы принимать решения такого уровня.
Это вы путаетесь в понятиях. «treason — 1) the crime of betraying one's country,...», ...Словарь Даля здесь вообще ни причем. Если вы говорите об обвинениях, о суде, то, наверное, нужно использовать юридическое значение слов.
Термин treason в Конституции США (Article III, section 3) определен так:
Treason against the United States, shall consist only in levying War against them, or in adhering to their Enemies, giving them Aid and Comfort.С какой стороны в действиях Intel вы видите предательство: War, Aid or Comfort?
Скажите вы верите, что в структурах Intel, в том числе максимально высоких уровней, не было людей от госструктур?
То что говорят, ничего не значит, никак на ситуацию они повлиять не могли.
Если будем доверять каждому слову, то если скажу, что ваша мама это папа, вы мне поверите?
То что говорят, ничего не значит, никак на ситуацию они повлиять не могли.
Если будем доверять каждому слову, то если скажу, что ваша мама это папа, вы мне поверите?
А каким образом разглашение уязвимости в ИХ собственном продукте может попасть под гостайну? Спецификации процессоров и технологий пусть под NDA, но доступны.
Интересно, почему Google Project Zero полгода молчали?
За комментариями к Баффету или к Сноудену?
За комментариями к Баффету или к Сноудену?
geektimes.ru/post/297311
Проект вовсе не молчал, они почти сразу сообщили и не обнародовали информацию, пока все не слил The Register.
Проект вовсе не молчал, они почти сразу сообщили и не обнародовали информацию, пока все не слил The Register.
Sign up to leave a comment.
Intel предупредила китайских поставщиков об уязвимостях Meltdown и Spectre раньше, чем правительство США