AMD hat den Bluff gecallt und jetzt hört sich das schon wieder ganz anders an:

There is no fix for Intel’s crashing 13th and 14th Gen CPUs — any damage is permanent

Leuchtet ein. CPUs, die schon einen Schaden haben, werden durch Microcode-Updates nicht wieder heile. Aber es geht noch weiter.

And, Intel confirms, too-high voltages aren’t the only reason some of these chips are failing. Intel spokesperson Thomas Hannaford confirms it’s a primary cause, but the company is still investigating. Intel community manager Lex Hoyos also revealed some instability reports can be traced back to an oxidization manufacturing issue that was fixed at an unspecified date last year.

Mit anderen Worten: Sie wissen es auch nicht. Oder sie wissen es und es ist peinlicher das zuzugeben als Unwissen zu heucheln. Ist beides eher nicht so überzeugend für Kunden und potentielle Kunden.

Stellt sich die Frage, was Intel jetzt machen will. Die Optionen sind alle eher nicht so attraktiv für sie.

Sie könnten den Verkaufe instellen. Sie könnten kaputte CPUs tauschen. Sie können einen Rückruf machen. Darauf angesprochen ist ihre Antwort wie folgt:

Intel has not halted sales or clawed back any inventory. It will not do a recall, period. The company is not currently commenting on whether or how it might extend its warranty.

Das ist jetzt nicht gerade der beste Zeitpunkt für solche Allüren, denn AMD frisst ihnen jetzt seit Monaten mit den Zen-CPUs die Kunden weg. Erst im Desktop-Segment, dann im Laptop-Segment, dann im Server-Segment. Es ist schon länger nicht mehr so, dass irgendwer Intel kaufen muss — außer, ja außer den Bitcoin-Deppen, die sich "Geschäftsmodelle" auf Basis von SGX herbeihalluziniert haben. SGX ist zwar schon dutzendfach gebrochen worden, aber das ist die eine Intel-Sache, die AMD nicht hat. Ist auch gut so, denn das ist eine echt bescheuerte Idee.

But Intel does tell us it’s “confident” that you don’t need to worry about invisible degradation.

Ja super. Krisen-PR können die schon bei Intel. Wenn die CPUs failen, dann katastrophal!1!! Und das drücken die noch als Vorteil aus!

Netanjahu war ja gerade in den USA, um dort eine Rede im Parlament zu halten.

Jetzt muss er wohl seinen Rückflugplan ändern, weil die neue Regierung in UK sagt, sie wolle keinen Einspruch gegen den internationalen Haftbefehl des Internationalen Strafgerichtshof gegen Netanjahu einlegen.

Hat der etwa doch Zähne, der Haftbefehl?!

Erst hat die Post alle Filialen zugemacht, weil man ja auch in einem Späti eine "Filiale" nebenbei "betreiben" kann.

Jetzt macht die Post die Späti-Filialen zu, weil Packstationen billiger sind.

Und irgendwann wird jemandem auffallen, dass man das Porto dafür zahlt, dass die Post dem Empfänger zugestellt wird, nicht irgendeiner versifften Packstation.

Oder hey, vielleicht baut die Post auch "KI" in ihre Packstationen ein. Die auf Fragen genau so verwirrt reagiert wie "echte" Postfilialen. Das sollte nicht weiter schwierig sein oder viel Training brauchen. Geht eigentlich auch ganz ohne Training.

In der schönen Tradition von Jörg Schönbohm und Schafen jetzt: JD Vance (Trumps Vizepräsident) und seine Couch.

Die Talkshows hatten auch schon Spaß damit.

Wie schlimm ist die Lage? So schlimm:

Wild sharks off Brazil coast test positive for cocaine, scientists say

Hey, seid ihr eigentlich in die Cloud gegangen?

Weil ihr euch gedacht habt, das wird da von Profis gemanaged, da gibt es dann keine Ausfälle mehr?

It's a bold strategy, let's see if it pays off!

Bitkom hat da mal eine Umfrage gemacht. Ergebnis:

4 von 10 Unternehmen berichten von Cloud-Ausfällen

Ja gut, wenn man dermaßen mit heruntergelassenen Hosen erwischt wird, und man auf echt überhaupt gar niemand anderen zeigen kann, weil man das vollständig selbst zu verantworten hat, dann werden an dieser Stelle die Optionen knapp. Da bleibt eigentlich nur eine Strategie aus Blackjack: Double Down!

Als Reaktion entwickeln Betroffene einen Notfallplan – und setzen auf die Multi-Cloud

Ja klar, denn zurück geht ja nicht. Da würden ja alles sehen, was wir für inkompetente Flachpfeifen-Quacksalber sind. Fehler eingestehen? Niemals!!

Außerdem haben wir ja unser Personal ausgedünnt, und wenn wir die jetzt zurück einstellen wollen würden, dann würden die ja marktübliche Gehälter fordern. Das können wir uns gar nicht leisten!1!!

Kurze Frage am Rande: Zahlt sich eigentlich eure Blockchain-Strategie schon aus? Wie hoch ist denn der ROI auf eure "KI"-Strategie so?

Nee, lasst euch nicht aufhalten. Macht lieber weiter wie bisher und hört erst auf mich, wenn das Kind im Brunnen ist.

Update: Eines Tages wird jemandem auffallen, dass es gar keine Inflation gab, sondern dass die Aufpreise einfach nur daher kamen, weil irgendwer ja den Cloud-Aufpreis zahlen musste. Und das werden ganz sicher nicht die sein, die ihn zu verantworten hatten. Logisch.

Umgerechnet fünf Fusionskraftwerke. Aber hey, "KI" braucht ja keinen Strom, gell?

Update: Falls ihr euch übrigens gefragt habt, wo eigentlich das Geld für diese Geldverbrennungsaktion herkommen soll: Das wird bei Internet-Infrastruktur-Programmen wie NGI eingespart, die damit OpenSSL-Audits und so gemacht hatten. Das war eines der ganz wenigen EU-Förderprogramme, das tatsächlich Ergebnisse vorzuweisen hat. Liegt möglicherweise daran, dass das von den Niederländern vorangetrieben wurde, nicht von Deutschland. Bei uns wäre die Kohle bei Fraunhofer versickert, ohne Ergebnisse oberhalb der Nachweisgrenze zu zeitigen.

Update: Man könnte fast vermuten, dass Flinten-Uschi NGI absichtlich weghaben will, weil der Kontrast zu ihren eigenen "Projekten" die Korruption der CDU so deutlich zeigt. Den Präzedenzfall konnte die CDU nicht dulden, dass jemand Fördermittel nimmt und nicht bloß unter seinen Wahlspender verteilt.

Damit war zu rechnen. Das könnte spannend werden.

OpenAI soll etwa sieben Milliarden US-Dollar für die Entwicklung neuer KI-Modelle ausgeben. 1,5 Milliarden US-Dollar bezahlen sie den Mitarbeitern. Laut einem Bericht von The Information kommen aber offensichtlich nur etwa 2,5 Milliarden US-Dollar rein. Das Magazin beruft sich auf Informanten und nicht veröffentlichte Finanzberichte, die nahelegen, OpenAI werde in den kommenden zwölf Monaten kein Geld mehr zur Verfügung haben. Sie schreiben von fünf Milliarden US-Dollar Verlusten in diesem Jahr.

7 + 1,5 - 2,5 sind 6 Milliarden Miese, nicht 5.

Die 1,5 Milliarden für Gehälter fand ich ein bisschen viel, aber angeblich hat OpenAI 2500 Angestellte. Das läppert sich.

Manchmal passen Meldungen einfach gut zusammen.

Meldung 1: Milliardenverlust für die Deutsche Bahn.

Meldung 2: Spielemarkt: Deutsche geben fast 3 Milliarden Euro für Handyspiele aus.

Are you thinking what I'm thinking?

Das feier ich ja gerade. Was für ein großartiger Move. Auf der einen Seite sagen sie ihren Kunden: Bei uns ist das nicht wie bei Intel. Wir shippen lieber funktionierende Produkte und testen vorher.

Auf der anderen Seite liegt die Vermutung nahe, dass die unspezifizierten Qualitätsprobleme nicht bei ihnen sondern bei Intel liegen :-)

Könnte sein, dass AMD gesehen hat, dass Intel unlauter die Benchmarks frisieren will, und lässt die jetzt mal so richtig auflaufen.

Oder die haben wirklich unspezifizierte Qualitätsprobleme. Kann auch sein.

Ich amüsiere mich gerade über diese Meldung. Das BSI hat gemerkt, dass alle KRITIS-Branchen von Crowdstrike betroffen waren, und sie wollen jetzt Microsoft und Crowdstrike "in die Pflicht nehmen".

Lasst mich mal kurz die ketzerische Frage stellen, warum die alle betroffen waren!

Ja warum denn, lieber Fefe? Na weil das fucking BSI denen vorgeschrieben hat, sie müssen ihre EDV "nach Stand der Technik" mit Schlangenöl tapezieren!

Und jetzt passiert völlig überraschend, was schon immer klar war: Das Zeug ist Software und hat auch Fehler.

Eigentlich sollte das BSI mal sich selbst in die Pflicht nehmen, wieso sie den Firmen gesagt hat, dass sie diesen Mist brauchen. Glaubt mal gar nicht, dass Carbon Black irgendwie besser ist, oder wie die Konkurrenten alle heißen. Das ist alles derselbe Klärschlamm, der da die Getriebe mit Sand füllt.

Also, liebes BSI. Ich finde auch, dass Microsoft und Crowdstrike in die Pflicht genommen werden sollten. Microsoft sollte endlich für ihre Ranzsoftware haften, und Crowdstrike sollte für die Schäden aufkommen, inklusive der Gehälter der IT-Leute, die hinter ihnen herräumen mussten. Das soll ruhig mehrere Milliarden kosten, Crowdstrike hat eine unfassbar große Marktkapitalisierung.

Aber stoppt da nicht. Nehmt als nächstes das BSI in die Pflicht. Es soll bitte von diesem pseudowissenschaftlichen Esoterik-Scheiß weg und evidenzbasiert arbeiten. Angriffsoberfläche kann man messen, und man kann sie minimieren. Potentielle Auswirkung von Sicherheitslücken kann man quantifizieren und das Risiko minimieren. Aber DAS schlägt das BSI irgendwie nie vor. Sie faseln lieber was von "secure by default" (was völlig sinnentleert ist und nichts konkretes bedeutet) und empfehlen flächendeckende Schlangenöl-Kontamination.

Und wenn dann was passiert, dann zeigen sie auf Microsoft und Crowdstrike.

Ich möchte auch noch mal kurz aus Sicht eines Code Auditors auf diese Crowdstrike-Sache gucken.

Wie kommen solche Dinge zustande? Die hatten doch Code Audits von ihrer Software!

Das kann ich aufklären. Bei Code Audits sagen die Auftraggeber, was "in scope" ist und was nicht. Typischerweise sind Config-Dateien nicht in Scope, weil Crowdstrike findet, die können ja schließlich nur von uns kommen, und der Übertragungsweg ist kryptografisch gesichert, also kann da nichts passieren.

Dazu kommen so Überlegungen der Form (je nach Mächtigkeit der Konfigurationsmechanismen): Wenn der Angreifer DA Dinge zu unseren Kunden pushen kann, dann ist eh alles verloren!1!!

Am Anfang meiner Karriere habe ich mich über diesen Scope-Scheiß noch endlos aufgeregt und da gegen Windmühlen gekämpft. Ich habe z.B. wochenlang mit Microsoft verhandelt, dass USB eine Security Boundary ist, d.h. etwas, wo ein erfolgreicher Angriff schlecht ist und verhindert werden sollte. Microsoft fand damals, USB sei ein physischer Angriffsvektor und die seien eh nicht zu verhindern, da könne ja auch jemand mit einem Hammer kommen und das Gerät kaputthauen. Also war USB jahrelang kein Angriffsvektor, und damit auch nicht die Filesysteme und die Autorun-Dateien darauf. Das hat sich erst geändert, als das USB-Forum "wireless USB" standardisierte, also das über Funk erreichbar war. Das kam nie weit, aber hat fundamental Tore aufgemacht bei Microsoft und ich vermute auch bei anderen Betriebssystemherstellern.

Ich habe bei Microsoft auch mal den SMB-Code auditiert, und habe dann einen Riesenschreck gekriegt, als die ETERNALBLUE von der NSA bekannt wurde. Hatte ich das übersehen? Nein, hatte ich nicht. Das Scope endete ca 3cm links davon. Ich sollte SMB angucken, und ETERNALBLUE war ein RPC über eine Named Pipe von SMB. Andere Arbeitsgruppe, out of scope.

Wenn ihr also mal einen Code Audit oder Pentest beauftragt, tut mir einen Gefallen und erzählt den Auditoren nicht, was in Scope ist und was nicht. Ihr habt die eingeladen und beauftragt, weil ihr glaubt, dass die wissen, wo die Bugs sind. Dan lasst sich auch dort gucken, um Himmels willen!

Aus der beliebten Reihe "wäre billiger gewesen, gleich auf mich zu hören", heute: Captchas sind Scheiße.

We explore the cost and security of reCAPTCHAv2 and conclude that it has an immense cost and no security. Overall, we believe that this study’s results prompt a natural conclusion: reCAPTCHAv2 and similar reCAPTCHA technology should be deprecated.

Ja NO SHIT, Sherlock! Hätte uns doch nur jemand rechtzeitig gewarnt!1!!

Es gibt hier doch sicher einige Leser, die auf Arbeit einen "Threat Intelligence"-Feed abonniert haben.

Könnt ihr mal gucken, ob in irgendeinem davon die IPs von Crowdstrike gelistet sind?

Die waren ja wohl der größte Threat der letzten Jahre bis Jahrzehnte!

Und? Ist nicht auf der Liste? Na sowas!

Was sagt euch das über den Sinn dieser Threat-Intelligence-Dienste?

Ihr müsst jetzt sehr tapfer sein.

77% Of Employees Report AI Has Increased Workloads And Hampered Productivity, Study Finds.

Despite 96% of C-suite executives expecting AI to boost productivity, the study reveals that, 77% of employees using AI say it has added to their workload and created challenges in achieving the expected productivity gains. Not only is AI increasing the workloads of full-time employees, it’s hampering productivity and contributing to employee burnout.

To add insult to injury, nearly half (47%) of employees using AI say they don’t know how to achieve the expected productivity gains their employers expect, and 40% feel their company is asking too much of them when it comes to AI. Workers are feeling the strain from rising productivity demands, with one in three full-time employees saying they will likely quit their jobs in the next six months due to feeling overworked and burnt out. The majority of global C-suite leaders (81%) acknowledge they have increased demands on their workers in the past year. Consequently, 71% of full-time employees are burned out, and 65% report struggling with their employer’s demands on their productivity.

Ja Scheiße, Bernd! Hätte uns das doch nur vorher jemand gesagt!

Aber wer konnte auch ahnen, dass der nächste Bullshit-Hype, der durchs Dorf getrieben wird, schon wieder ein Vehikel für Scammer sein würde, und am Ende vor allem negative Auswirkungen auf die Mitarbeiter und die Umwelt haben würde!?

Ein Leser hatte den sachdienlichen Hinweis, dass das BIOS-Update auf dem Framework-Laptop vielleicht deswegen failed, weil auf der EFI-Partition nicht genug Platz ist.

Und tatsächlich. Ich habe da temporär ein paar Linux-Kernels runtergeschmissen und dann lief das Update durch.

Ich sage euch: Diagnostik im Fehlerfall. So wichtig!

Immer dieser fiese antisemitische Judenhass, der die ganzen rassistischen Stereotype bedient!!1!