https://opennet.dev/openforum/vsluhforumID3/113584.html Компания Intel представила (https://newsroom.intel.com/news/expanding-intels-bug-bounty-program/) новую инициативу (https://security-center.intel.com/BugBountyProgram.aspx) по выплате вознаграждений за выявление уязвимостей в своих продуктах. В отличие от ранее действовавшей программы, участники которой отбирались по приглашениям, в новой программе может принять участие любой исследователь безопасности. Максимальный размер вознаграждения за уязвимости увеличен до 100 тысяч долларов (минимальная премия - $500). Для атак на оборудование по сторонним каналам, таким как Meltdown, учреждена отдельная премия, выплаты по которой составляют от 5 до 250 тысяч долларов.<br><br><br>Размер выплаты сильно зависит от уровня опасности уязвимости (CVSS) и типа продукта. За критическую уязвимость (CVSS 9.0 - 10.0) <br>в программном обеспечении (драйверы, приложения и утилиты, за исключением открытых проектов) максимальная премия составляет $10000, в прошивках (UEFI BIOS, Intel ME, BMC, прошивки SSD-накопителей) - $30000, в оборудо https://opennet.dev/openforum/vsluhforumID3/113584.html#34 Mon, 19 Feb 2018 21:13:20 GMT Удалили мой комментарий, малыш, но ты понял, что я тебе хотел сказать.<br> https://opennet.dev/openforum/vsluhforumID3/113584.html#32 Mon, 19 Feb 2018 19:23:47 GMT &gt; Заметили это, во-первых, при появлении ещё самых первых Centrino. Во-вторых, заметили при <br>&gt; появлении Core 2. В-третьих, заметили при появлении Nehalem. В-четвёртых, заметили при <br>&gt; появлении Sandy Bridge. И вообще мы наблюдательные. Все интеловские срезания углов <br>&gt; у нас занесены в журнал. Только супротив Штеуда наше слово тихое. <br><br>Что-то не помню сообщений от вас о meltdown и spectre. Да и уровень этот атак больно уж крут для таких как вы деградов.<br><br><br> https://opennet.dev/openforum/vsluhforumID3/113584.html#31 Mon, 19 Feb 2018 07:43:53 GMT &gt; если про дырки действительно не в курсе,<br><br>ну это вряд ли, скорее есть оптимизации, о которых думают, что их никогда не найдут, и, несомненно, есть закладки/бекдоры (ну куда же без этого!)<br><br>&gt; и готовы платить чтобы о них узнать,<br><br>судя по копеечным суммам, в Интеле знают о наличии других "уязвимостей", но НЕ готовы за это платить, но чтобы сохранить лицо, делают вид, что не знают.<br><br>Если найдешь - молодец - так и быть, на тебе конфетку<br> https://opennet.dev/openforum/vsluhforumID3/113584.html#30 Sun, 18 Feb 2018 17:09:44 GMT &gt; Походу оптимизации такие: чем меньше проверок всяких граничных условий и прочих ненужно <br>&gt; в OoO тем быстрее работает процессор. А то что кто-то все-же <br>&gt; заметил через 20 лет что интел срезал угол - "ну значит <br>&gt; не прокатило" (c) :) <br><br>Заметили это, во-первых, при появлении ещё самых первых Centrino. Во-вторых, заметили при появлении Core 2. В-третьих, заметили при появлении Nehalem. В-четвёртых, заметили при появлении Sandy Bridge. И вообще мы наблюдательные. Все интеловские срезания углов у нас занесены в журнал. Только супротив Штеуда наше слово тихое.<br> https://opennet.dev/openforum/vsluhforumID3/113584.html#29 Sun, 18 Feb 2018 14:48:21 GMT Походу оптимизации такие: чем меньше проверок всяких граничных условий и прочих ненужно в OoO тем быстрее работает процессор. А то что кто-то все-же заметил через 20 лет что интел срезал угол - "ну значит не прокатило" (c) :)<br> https://opennet.dev/openforum/vsluhforumID3/113584.html#27 Sat, 17 Feb 2018 21:44:02 GMT &gt;амд нужно срочно PSP открывать и опять позволить загрузку с coreboot<br><br>Сдаётся мне, АМД этого при всём желании сделать не сможет: наверняка там какие-то соглашения с Интел, АНБ и K°, правообладателями и прочими. Иначе они б давно выпихнули Интел с очень многих рынков чисто на coreboot Vs. Intel ME.<br> https://opennet.dev/openforum/vsluhforumID3/113584.html#26 Sat, 17 Feb 2018 18:32:41 GMT Боюсь это архитектурная проблема. Не скоро исправят.<br> https://opennet.dev/openforum/vsluhforumID3/113584.html#24 Sat, 17 Feb 2018 16:24:48 GMT Начало там вообще пафосное:<br>&gt; Intel Corporation believes that working with skilled security researchers across the globe is a crucial part of identifying and mitigating security vulnerabilities in Intel products and technologie<br><br>Если бы они еще лет на 10 раньше озаботились (Intel Bug Bounty стартовала в марте 2017). <br>И не накладывли такие ограничения. <br>И не жмотились на премии за ковыряние в блобах &#8211; у того же гугла премии посолиднее будут, а для ковыряния совсем не нужно покупать/экспериментировать с недешевым железом, с риском превращения оного в кирпич. Тогда и выглядело бы все более ... достоверно что ли, а не как судоржные попытки PR отдела выправить репутацию.<br> https://opennet.dev/openforum/vsluhforumID3/113584.html#23 Sat, 17 Feb 2018 15:49:00 GMT &gt; возможно это тонкий намёк на то что дырки есть и по толще, хотя куда уж там<br><br>такую награду объявляют в двух случаях - если про дырки действительно не в курсе, и готовы платить чтобы о них узнать, либо если абсолютно уверены что платить не придется - для саморекламы.<br><br>для попытки сохранить информацию в тайне и сумма маловата, и условия странные.<br><br>так что вполне возможный вариант, что закупили пару деревенек разработчиков где-нибудь в Синьцзяне, и впрямь собираются существенно менять архитектуру.<br>