身為中國前三大比特幣交易中心的比特幣中國(BTC China)在周四(9/14)宣布將於9月30日暫停所有交易業務,讓昨天比特幣的最高跌幅接近20%,從3874美元一路下滑到3229美元。
比特幣中國指出,此一決定源自於中國在9月4日釋出的《關於對代幣發行融資開展清理整頓工作的通知》,秉持著防範投資風險,最大限度保障用戶利益的原則,決定即日起停止新用戶的註冊,並將在9月30日停止所有交易業務。
不過,比特幣中國仍將持續經營礦池業務。
儘管中國政府在9月4日發出的通知表面上是要整頓境內的首次貨幣發行(Initial Coin Offering,ICO)活動,但隨後即傳出中國打算大力取締當地的虛擬貨幣交易,中國《第一財經》亦於周四引述消息來源報導,中國已要求境內的比特幣交易平台全面終止交易,期限為今年9月底。
若報導屬實,比特幣中國只是第一家宣布結束交易的業者,未來將陸續看到其他業者退出市場。
目前市場上的比特幣價格為3357美元,不過,9月4日在中國發布《通知》之前,比特幣還有4420美元的價值,顯示這十天以來的跌幅達到24%。
資安業者Check Point周四(9/14)指出,駭客透過名為gtk的軟體開發套件(SDK)散布ExpensiveWall惡意程式,偷偷自使用者裝置傳送高價簡訊,至少有50款曾上架到Google Play上,目前已被Google移除。
分析顯示,gtk軟體開發套件中所暗藏的ExpensiveWall惡意程式會在裝置開啟或重新連線時連結到命令暨控制(C&C)伺服器,並透過內建的WebView開啟C&C伺服器所傳來的惡意網址,接著擅自訂閱各種付費服務或傳送高價簡訊。
根據估計,Google Play上至少有50款行動程式感染了ExpensiveWall,下載次數總計超過100萬次。因駭客加密了惡意程式碼,才能躲過Google Play上的防毒軟體保護機制。
Check Point指出,ExpensiveWall現階段雖為獲利導向,但稍加變更就能用來拍照、記錄聲音或是竊取個人資訊,並將它們傳送到C&C伺服器。
更令人擔心的是,即使Google在今年8月7日接到Check Point的通知後便移除了相關程式,不過,含有ExpensiveWall的行動程式幾天內便再度出現在Google Play上。
Check Point列出了受到ExpensiveWall感染的行動程式,可發現它們存在於各種類別,從工具程式、桌布程式、相機程式、鈴聲程式到Wi-Fi程式等,並提醒就算這些程式已自Google Play下架,但可能還存在於使用者的裝置中。
這些程式的開發人員很可能並不知道自己使用了有毒的SDK,就像是百度的SDK所造成的「蟲洞」(WormHole)漏洞,或是Igexin行動廣告SDK含有惡意外掛下載功能,都讓開發人員無意中成為漏洞或惡意程式的散布者。
就在自動駕駛車正風起雲湧之際,三星電子(Samsung Electronics)周四(9/14)宣布設立三星汽車創新基金(Samsung Automotive Innovation Fund,SAIF),以3億美元的資金扶植汽車市場的新創企業。同一天三星也宣布甫於去年底以80億美元買下的汽車設備大廠Harman將增設新的自駕車事業單位。
有鑑於自駕車已被視為汽車產業的未來,因此三星汽車創新基金將鎖定連網汽車與自駕車技術,涵蓋智慧型感應器、機器視覺、人工智慧、高效能運算、連網解決方案、汽車安全解決方案,以及隱私與安全性等。
另一方面,專注於車聯網產品的Harman則將增設自駕暨先進駕駛輔助系統(ADAS)策略事業單位(Autonomous/ADAS Strategic Business Unit,SBU),並與三星策略暨創新中心(SSIC)的智慧機器團隊合作,共同發展更安全且聰明的連網汽車關鍵技術。
迄今市場採納自駕車的最大誘因為它能減少車禍的發生,保障乘客的安全,三星的這兩項策略也都是以此為宗旨,計畫開發各種能提升自駕車安全的技術,不論是感應器或資料處理解決方案。
三星汽車創新基金的第一個投資對象為TTTech,TTTech的強項在於網路安全控制,主要開發基於時間觸動技術與模組化安全平台的各種網路解決方案。SAIF投資TTTech的金額為7500萬歐元(約9000萬美元)。
蘋果在今天(9/15)正式開放iPhone 8及8 Plus手機線上預購,中華、遠傳、台灣大、亞太電信等電信業者也公佈了購機資費方案,讓果粉搭配電信資費以優惠價格入手。
國內電信龍頭中華電信在今天搶先發佈iPhone 8資費方案,大4G資費方案,若選擇1399月租費,空機售價25500元的iPhone 8 64GB優惠價為10900元,iPhone 8 Plus 64GB則是14300元。
若選擇月付2699元,iPhone 8或iPhone 8 Plus(64GB機型)皆可0元帶回家。9月22日正式開賣,中華電信也祭出iPhone 7最高降價5500的促銷。
中華電信大4G資費方案(資費僅為部份截圖,方案詳情以業者官網資訊為主):
遠傳電信也在今天公佈資費,遠傳4.5G超極速方案,月付1399元以上資費可享4G上網吃到飽,以1399元資費為例,iPhone 8優惠價為10900元起,若選擇最高的月付2699元,iPhone 8與iPhone 8 Plus(64GB)手機優惠價0元。
遠傳4.5G超極速方案(資費僅為部份截圖,方案詳情以業者官網資訊為主):
台灣大哥大也在下午公佈資費,台灣大用戶搭配4G+飆速方案,可選擇綁約24或30個月,以月付1599元綁約30個月為例,iPhone 8 64GB為8900元,而iPhone 8 Plus則為12300元。
台灣大資費(資費僅為部份截圖,方案詳情以業者官網資訊為主):
遠傳與台灣大均提供舊機折抵新機方案,但實際折抵金額多少依門市判定為主。
亞太電信公佈的方案中,選擇月付1599元,綁約30個月,iPhone 8 64GB為10400元,iPhone 8 Plus為13800元。資費方案包括最高2598元月租費的全國悠遊網方案,以及全國壹大網、雙飽三種方案:
另一家電信業者台灣之星在昨天已提前公佈資費,並針對其他業者方案祭出買貴退差價。
4年前,擁有150萬名會員的老字號杏一醫療用品做了一個大膽的決定,自建了一座3千坪的大型物流倉儲中心,來負責每日全臺220家門市、超過2千項醫療用品的進、出貨作業,不再將物流委外。但是,一啟用就面臨考驗,叫貨作業不順,許多訂單最少得等上3天才能交貨,導致不少門市缺貨頻頻,不只顧客抱怨買不到貨,也衝擊門市的業績,進而影響了全公司的整體營運,這是杏一資訊部門歷年罕見的大挑戰。
「從零售業IT開始跨入物流IT,這是杏一資訊部門陌生的資訊應用範疇。」杏一醫療用品資訊管理處經理林妍伶表示,過去杏一將物流作業委外,直到2013年才決定自行接手,在桃園市楊梅區打造一座倉儲與物流中心,透過由統一採購、中央發貨的方式,希望能一次滿足全臺各門市的供貨需求。
物流中心成立初期,當時沒有設置專責部門來負責相關物流IT的建置和維運,所以,凡是物流中心的資訊系統需求、建置和維運,全都由杏一資訊部門一手包辦。
不過一開始,這座杏一物流倉儲中心啟用初期運作並不順利,沒辦法完成每家店每天出貨的要求,常常門市今天叫貨,物流中心收到貨單後,最快隔天才能出貨,後天門市才能到貨,所以等到店家收到貨時,時間已經是第3天,若是這段缺貨期間,顧客要買的商品,剛好遇到當天門市沒補貨時,就可能因此買不到,而造成門市營收因而下滑。
門市補貨之所以得等3天才到,林妍伶解釋,這是因為杏一的物流作業流程,最早是採用傳統人工方式作業,物流人員得依據每天收到門市的每張貨單清單來依序揀貨,加上杏一的醫療產品線眾多,每天出貨的醫療用品高達2,500項,若是一張門市訂單含有50項不同貨品,物流人員就需要來回從分散在倉庫不同區域的50個貨架上,才能將貨品全部揀出,再加上物流人力有限,每天來回往反貨倉揀貨,再將貨品送到門市,時間根本來不及。要如何解決,也成為杏一首要面對的迫切的IT挑戰。
縮短門市到貨第一步,先從建立自動化的物流作業流程做起
為了縮短門市到貨的時間,林妍伶表示,他們先從倉儲物流作業流程全面改造著手,並導入了一套自動倉儲管理系統,建立一套系統化的貨品進出管理的作業流程,可自動化管理醫藥用品的進出貨,並還與自家ERP系統介接,讓採購部門可以統一通過系統,來彙整門市每日需求後,再跟供應商下單採購,全部貨物送至物流中心後,作業人員核對掃描商品條碼後,馬上就可快速從系統上查看當日門市貨單進行揀貨,以便於讓整個出貨可以按時如期完成。
有了一套標準化的倉儲物流作業流程還不夠,杏一還另外針對物流人力作業進行優化,自行開發一套匯總揀貨系統,來逐步改善現場物流人員的揀貨機制,可以讓系統收到訂單後,先依據當日所有門市訂單的商品種類,再重新分拆成不同的揀貨單,讓同一類型的商品可以合併成同一張單,以減少人工往反揀貨的次數,即使是在人力有限情況下,還是可以依據門市的訂貨要求,快速將商品從貨架揀出,再將商品送到貨品分發區時,還搭配輸送帶傳遞的方式,盡可能縮短貨品搬運的時間。
搭配揀貨優化新作法,來減少人員作業時間
從原來傳統人工作業方式,到後來杏一建立一套系統化的物流作業標準流程,並搭配揀貨新機制,總共花了一年的時間才完成。林妍伶表示,現在,杏一的物流作業已經能做到更快出貨,「今日門市叫貨,隔天馬上就能到貨,大幅縮短出貨時間,門市因此可以更快補貨,減少門市缺貨情況發生。」她說。
杏一之所以能從零售IT,很快跨入到較不熟悉的物流新領域,其實和過去資訊部門開發經驗累積有很大關係,甚至林妍伶自豪地說:「杏一IT是個創新部門,而不是資訊部門。」林妍伶更進一步說明,杏一的資訊創新核心有3大,第一個是管理的創新,重在如何有效利用IT管理方式,協助改善公司營業績效和提高行政效率,第二則是服務創新,希望透過IT幫助門市,找出能夠提高顧客服務品質的更好作法。最後是營運的創新,則是利用IT來協助門市創新,提高公司整體的營收。所有的杏一IT人員都遵循這3個創新核心原則。
杏一醫療用品資訊管理處經理林妍伶說,將IT視為創新部門,正是杏一從零售跨足物流新領域的關鍵。(攝影/洪政偉)
靠建立自動化庫存管理,還能自行幫門市叫貨
林妍伶也以杏一在2013年門市導入的一套自貨補貨系統來舉例。林妍伶表示,以前門市需要補貨時,都得等到隔天早上由當日負責執班的店長到店後,才能開始叫貨,可是一旦遇到店長休假或忘記叫貨時,商品就不會到貨,導致門市就會缺貨,客人要購買時就會買不到,下次就不會再來光顧,進而造成門市營收上的減損。
後來,杏一也自行開發了一套自動補貨系統,可以依據每天門市的商品存貨情況,在隔日一早自行先計算出需要補貨的訂單需求,並主動向物流中心送出訂單,物流中心一大早收到貨單後可以馬上作業,而不需要早班店長到店後才能處理。林妍伶表示,透過建立的這套庫存管理機制,可以針對每家門市的每項商品,預先設定商品庫存標準,只要低於門市庫存數量時,隔日系統就會自動幫店長計算所需補貨的商品數量,即使是遇到店長人不再時,系統也能夠自動下單補貨,可以減少人為疏忽的情況發生,例如忘記補貨等。
門市銷售預測則是杏一IT的另一個創新應用例子。林妍伶表示,以往逢年過節或遇到周末連假時,門市常常事前就需要提前備貨,以因應節慶帶動的龐大消費人潮,不過有時門市也會遇到不知該優先針對哪些可能的熱賣商品進貨,或者是只能根據過往經驗來判斷,並沒有一套可供門市參考的進貨依據,所以就可能出現因為事前沒先進貨而導致熱賣商品缺貨的狀況發生。
後來,杏一IT也利用蒐集歷年門市節慶銷售等歷史資料加以分析後,建立一套門市銷售預測機制,能給予門市不同節慶商品配置的建議,方便於各門市可以依據這些參考建議,來決定進貨數量的配置,以便提高商品銷售的機會。
不過,林妍伶坦言,與其他零售業相比,醫療零售是一個相較複雜許多的行業,以杏一為例,全臺門市平均單月銷售的醫療相關用品,就高達8千多項,每天管理品項繁多,而且平時除了販售醫療護理等用品外,還有另外提供醫療器材的租賃服務,如氧氣桶、氧氣製造機等。這也成為了杏一IT維運管理上的一大重擔。曾一路見證杏一IT轉變的林妍伶感受最深。
杏一營運很早就開始導入ERP和POS系統,但一開始功能有限,很多時候還是得交由人工方式作業,例如要取得門市每天營收時,得先派人到銷售門市的電腦來收取,等到將資料拿回到總公司後還要經過格式轉換,才能存放到後端營運系統產出報表,再加上應用伺服器和資料庫建置並不完整,須人工逐一比對確認,因此,公司高層若想知道門市當天營收,最少得隔3天後才能夠得知,所以沒辦法馬上很快來下達決策。
林妍伶表示,杏一在2007年開始全面汰換老舊系統,導入了新的ERP和POS系統,以取代人工作業,讓杏一高層可以每天依據門市營收來加快決策,後來還重新調整了IT架構,以因應杏一門市持續展店的需求。直到3年後,杏一的營運系統運作逐漸穩定後,才讓杏一IT有了更多自主開發的時間。
資訊系統至今已超過7成完成虛擬化
杏一從2012年也開始導入了伺服器虛擬化整併IT架構,以便節省硬體的空間,並且增加應用上的使用彈性。林妍伶表示,至今已有超過7成系統完成虛擬化,包括了Mail等,甚至連核心營運系統ERP的應用程式伺服器也都已經虛擬化,只保留後端的資料庫還採用實體機方式部署。目前杏一總共配置20臺伺服器,來提供全臺門市使用。林妍伶也表示,今年4月,杏一也開始將原來位在桃園龜山總公司機房的資訊設備,陸續搬遷至台灣大哥大內湖IDC機房集中託管,不過目前優先完成的是營運系統相關的設備進駐,如ERP等,其餘對外服務系統,之後也將分階段完成搬移。
未來將聚焦虛實整合,以提高顧客購物體驗
林妍伶也提到,未來杏一不只要擴大實體零售版圖,也計畫透過虛實整合的方式,來提升消費者到店門市的購物體驗,之後還要導入行動版POS,來提供門市多元的零售服務方式,並且也要推出更多可供杏一會員互動,以及加值的新應用服務。
杏一近來也因為看好未來長照2.0的商機,而跨入健保藥局市場。「這也將成為IT管理面臨的另一項重大挑戰,」林妍伶表示,零售門市和藥局的IT管理方式截然不同,她形容,門市的管理,就像是在一家公司下管理很多小分店,管理上相較容易,可是當以藥局做為管理對象時,每家藥局都可視為是一間公司,「所以未來如何在一套系統內,來實現建立跨多個藥局間的管理,以便做到同時一次產出報表和損益,這也是接下來我們要面對的新考驗。」林妍伶說。
CIO小檔案
林妍伶
杏一醫療用品資訊管理處經理
學歷:中華大學資工系學士
經歷:2002年進入杏一資訊部門 ,從基層人員一路做起,曾先後歷任系統部主任及經理,負責主導全集團系統建置維運及開發,2017年更接下資訊管理處經理一職,肩負起運用IT來協助公司高層決策並提升公司營運的重任,未來更要朝向虛實整合服務邁進
公司檔案
杏一醫療用品
● 地址:桃園市龜山區復興一路94號
● 網址:www.medfirst.com.tw
● 成立時間:1990年
● 主要業務:醫療用品、醫療保健
● 員工數:約1,300人
● 創辦人暨董事長:陳麗如
● 總經理:蔡德忠
● 資本額:2.82 億元
● 年營收:41億元(2016年)
資訊部門檔案
● 資訊部門主管職稱:資訊管理處經理
● 資訊部門主管姓名:林妍伶
● 資訊部門人數:13人
● 資訊部門分工:系統維運、程式開發、資訊工程
● IT預算:約1,000萬元
IT大事記
● 2007年:導入新ERP及POS系統
● 2008年:POS/CRM整合、導入保固卡系統
● 2011年:導入B2B電子發票、重整企業內部網路架構
● 2012年:開始導入主機虛擬化、HT揀貨系統上線
● 2013年:完成IFRS系統轉換、物流倉儲中心建置倉儲管理系統
● 2014年:完成中國杭州/北京分店ERP系統建置、導入電子簽核系統
● 2015年:建置人資管理系統、導入員工電子卡
● 2016年:藥局ERP及POS系統導入、建置行動辦公環境
● 2017年:建置營運分析平臺、建立機房異地備援,將重要核心營運系統搬遷至IDC機房託管、開發內部員工App
自從勒索蠕蟲WannaCry在今年5月重擊全球,各國企業資訊系統遭勒索加密,無法繼續執行業務頻傳,造成企業重大損失後,資安險議題在臺灣又被炒熱,大家又重新關注資安險,但熱度高、買氣低,2017年總共也只有40筆資安險保單,還比去年減少了33張。
雖然臺灣目前現行有個人資料保護法和刑法電腦犯罪專章等法律,要求企業重視資料方面的安全防護,但購買資安險的企業未增反減。過去曾從事金管會副主委,目前擔任保發中心董事長桂先農表示,臺灣訂定這些法規僅確認資安事件發生後的法律責任,而沒有從資安風險角度檢視臺灣整體企業面臨資安威脅的情況。
過去,關於資安方面的風險較不受到保險公司重視,桂先農解釋,資安風險在傳統商業責任險保單中都是除外不保。但是,現在企業執行任何作業都跟資訊科技息息相關,許多企業一旦受到網路攻擊造成資料外洩的情形,不僅業務作業被迫中斷,財物受到損失之外,更嚴重會影響企業的商譽,因此桂先農認為,現在推動資安險已經不是合宜性的問題,而是思考如何發展資安險。
政府需要求企業定期揭露資安現況
桂先農指出,企業資料安全的責任應該由企業自行負擔,資安險只是在於損害填補,彌補無法預料的資安威脅,而不是都是倚賴資安險來做資安防護,企業在正常商業活動中,仍需架構足夠的資訊安全防護機制。
企業資安風險無所不在,任何時間都可能遭到駭客攻擊,一方面,資安險能提供損害防阻服務功能給企業,可以災害發生前預防損失的發生與損失金額的擴大,甚至在災害當下,資安險也能夠執行緊急應變處理,協助企業恢復正常運作。另一方面,企業投保資安險如同取得安全保證書,消費者在投資該企業之前的參考依據,認定該企業有能力防護資料,也有能力在災害發生後有能力處理,對企業來講是加分的效果。
然而,除了臺灣多數企業尚未投保資安險外,也無法得知該企業資安建置現況。桂先農認為,陽光是最好的防腐劑,政府應該要求公開發行公司定期揭露資安險承保範圍,承保金額,以及資安措施等,才會引起投資者注意企業是否擁有足夠保險保障及資安等級,進一步督促企業需要購買足夠、合理的資安保險。
不僅如此,每個資安公司定義資安等級的條件不同,造成資安等級無法統一,影響保險公司評估企業可承保之資安風險,以及所具備的資安防護強度。桂先農為此提出臺灣需要建立第三方資安認證機構,才能夠進行風險辨識、量化與風險定價,保險公司必須採用客觀的標準,來評估企業的資安防護強度,以便正確計算保費。
桂先農舉例說明,從資料毀損觀點來談,有的企業導入ISO 27001國際標準的資安管理制度並且通過驗證,但有的企業自行建立資安管理制度,並未由第三方機構來認證,兩者對於資料毀損的資安防護強度不同。
資安險能夠降低企業資訊安全不確定風險之外,桂先農表示,資安險出現能夠促進資安產業及保險產業發展,不僅能夠降低社會風險,也可以減少資安事件發生的政府財政負擔,更可以增加國內就業機會,政策性推廣資安險也會產生企業、資訊產業、保險產業和政府四贏的機會。
剛剛落幕的世大運大受好評,臺灣不只成績亮眼,以26金34銀和30銅共90面獎牌高居全球第三,臺北市長柯文哲也成功地用運動跟全世界交朋友,讓世界各國的運動好手看見臺灣,也將臺灣風情展現到世界。
緊接在後的另一場大型活動,則是靠IT,同樣讓世界看見臺灣。作法不同但目標一致。在9月中的這場世界資訊科技大會活動,成了臺灣向各國展示資訊國力的最佳機會。
有資通訊科技界奧林匹克運動會之稱的第21屆世界資訊科技大會(The 21st World Congress on Information Technology,WCIT 2017),在17年後重回臺灣舉辦,來自全球80個國家,2千多位資訊領袖紛紛來臺與會。
今年正是臺灣尋找下一個轉型發展的一年,政府為了推動數位國家、發展數位經濟,蔡英文總統也在開場致詞上,介紹了臺灣這一年來陸續推動的亞洲‧矽谷計畫,以及規畫中的未來8年計畫「Digi+數位國家、創新經濟發展方案」,就是要向各國資訊圈領袖展現出,臺灣努力想要擺脫過去電腦代工王國的形象,轉而成為資訊應用的數位強國。而臺北市長柯文哲則是從地方經驗,揭露臺北市目前在交通、公共住宅、教育、悠遊卡、醫療上如何發展數位市政。
相較於會議,更有趣的是在世貿一館的展覽,這是個臺灣少見的大型臺灣資訊應用展。臺灣發展智慧城市多年,不少城市如臺北、新北、桃園等,紛紛展現了最新成果,臺北市剛上路的自動駕駛小巴依舊搶走不少風采,但引起我注意的倒是,已經在內湖展開示範設點的IoT智慧路燈,不只可以照明,還可以監控環境資訊如空氣品質,PM2.5懸浮微粒,也能發布市政公告、回報居家水表用電數值,甚至內建定位資訊發送裝置,可供其他應用裝置,作為追蹤位置的參考點。
而新北市展區上,那一個用來治理城市的關鍵的BIM 4.0平臺,則是一個看不見,但這卻是實現數位都市治理的關鍵平臺,從建築設計、施工管理到維護都能透過這套BIM數位管理機制來監督。
另外,在桃園市展場入口則有一臺Pepper機器人來回穿梭,預告了接下來市政服務擁抱AI和機器人的發展,今年9月開始就會開始在桃園市政府大廳出沒,提供洽公民眾諮詢市政QA,而不只是迎賓而已。
不只地方政府單位,如國家級的國家災害防救科技中心也展示了一套能蒐集社群災害輿情來輔助救災的災害情資平臺,而且還是現場即時展示了全臺各地的災情監控情況。這套系統在去年多次颱風中,就發揮了不小的作用。例如去年梅姬颱風來襲時,全臺不論大小,共有923處災情,其中有84處的災情情報,是從12.8萬篇社群網站或PTT上的公開資料分析而得,而且是能讓應變中心指揮官,比任何媒體或通報機制,平均還要早20分鐘,就能得知第一手災情,這是政府藉助社群資訊救災的成功應用之一。
多家企業也展示了不同的ICT高度整合應用系統,例如研華集團和長庚集團聯手展出的全套智慧照護系統,從醫院治療到社區居家照護,如何串接各種ICT軟硬體。而中國信託也搬來了臺灣剛上路的VTM視訊櫃員機,甚至他們自己做了一款智慧喇叭雛形,來展示自家語音金融助理的成果。
不同於年中軟體展或年底的電腦資訊月,WCIT的展場上,少了商業銷售味,反而展現了許多臺灣政府和業界的多種創新嘗試和成果,是臺灣難得一次的資訊國力大展示。
相關報導
全球政府都在瘋區塊鏈之際,身為臺灣金融機構中介者的財金資訊公司(簡稱財金資訊),也在去年喊出要搭建一套臺灣國產區塊鏈平臺,串連了48家臺灣金融機構,並成立「金融區塊鏈委員會」,深度研議各項區塊鏈議題。去年12月時,也選出個人金融與企業金融的特定業務項目,準備著手進行概念性驗證(POC),經過幾個月的實作歷練,目前的概念性驗證也已有初步的成果。
目前加入國產區塊鏈平臺計畫的48家金融業者,包括了35家本國金融業者,不只涵蓋了公股行庫,民營銀行,還有中型的信用合作社,另外還有9家外商金融機構,以及其他類型的金融機構,例如票券業者。
財金資訊公司副總經理黃昱程表示,金融區塊鏈委員會的成員們共同決議,選出個金的公益捐款、企金的企業資金調度未完成交易部分,各以10家金融業者的規模來進行實驗。他透露目前POC驗證的進度:「節點都建置完成,資料也可以同步分散、同步更新。」只不過,在實作的過程中,不得不面臨區塊鏈技術的未成熟、以及適用場景的選擇。預計11月會公開展示公益捐款的實驗結果,結合慈善單位和全國繳費稅系統,上線供各界捐款。
黃昱程還表示,未來邁入第二階段POC,可能會優先以電子函證作為實作驗證的項目。
財金資訊嚴選實作驗證項目,不為了區塊鏈而區塊鏈
實作驗證要選擇哪些項目,是一項重要的工程,「我認為,不管哪個機構要採用,都要先思索為什麼要用區塊鏈,它改善了內部流程的哪個地方?改善程度是多少?」他說,不能為了做而做,忽略它實際所產生的效益。而財金資訊也確實設立幾個考慮層面,來選定實作驗證項目。
他強調,不應好高騖遠,必須是技術面、業務面都合理可行的項目,可行性是第一優先考量的部份。再則是貢獻性,要真正能夠解決金融支付領域的問題。最後則是創新性,他表示,將電子函證應用在區塊鏈上就是一個比較少見、創新的項目。
不僅如此,委員會也視區塊鏈技術的成熟度,來排除一些不適合的項目,「目前區塊鏈效能不是很好,一秒只能完成幾筆交易而已,參與節點越多,速度又更慢,所以它不適合做大量高頻的交易。」不單大量高頻的交易會在技術上碰壁,他也指出,跨境、跨國的外幣資金轉移,目前也不太可行,因涉及洗錢防制問題,還會面臨各國司法管轄權、外匯管理的不同,並非單一國家能夠解決。
排除了不適合的項目後,他思索,區塊鏈又適合哪些項目。「大家認為區塊鏈是一個信任機器,就是要用來解決原本信任不足的地方。」
公益捐款要靠信任機器,企業資金調度確認時間縮短為分鐘級
黃昱程指出,在公益捐款項目上,通常會有款項不夠透明的問題,或是捐款人不夠了解募款單位的信用如何,會產生疑慮。因此,區塊鏈可追溯、不可竄改的優點,就可應用在追蹤公益款項的最終去路。
財金資訊預計要跟聯合勸募合作,跟目前的全國繳費稅系統串連,民眾捐款時,資料就會寫入區塊鏈中,預計11月時對外公開驗證成果。
在企金項目方面,負責人同時也是財金資訊系統部經理的鄧介銘說,企業資金調度未完成的部份,是指匯出行已經匯出款項後,轉入行沒有收到款項,就會到負責銀行間帳務清算的財金資訊詢問。財金資訊此時為了保有紙本證明,就要用傳真的方式確認彼此的款項狀況。這一段耗費人力、時間的查詢工作,目前就試著用區塊鏈來實作。
「以前傳真確認最快要一個小時,現在縮短為分鐘級。」鄧介銘說。
現在,系統會自動掃描未完成交易的部份,然後寫入區塊鏈。匯出行A的連線管制人員看到鏈上的未完成交易,就像是收到過去財金資訊傳真的確認信一樣,連線管制人員就會去確認資金匯款狀況,確認完成就點選畫面上的完成鈕。此時,匯入行可以同步看到資料的更新,確認交易完成。
未來,若財金資訊發展電子函證區塊鏈也是要減少人工查核的功夫。傳統審計過程中,會計師做了各種防護措施來確保詢證函及回函的訊息不會被竄改。財金資訊打算利用准許制的區塊鏈,設定專屬的驗證機制,讓審計過程變得更簡易、安全。
不壓寶單一技術,多方嘗試
面對公部門要採用的區塊鏈技術,外界都非常關注,黃昱程表示,經過委員會多方的評估後,財金資訊最後選定用Linux基金會旗下的開源區塊鏈專案Hyperledger作為實作驗證的基礎架構,因為它一開始就是以准許制、實名制做為特色的區塊鏈。
「但我們不排除各種技術,未來也可能會用Ethereum、R3,或是國內的創新業者的技術。」黃昱程特別強調,財金資訊未來真正採用的技術尚未定案,他們會抱持開放的態度來看待技術。原因在於,沒有人能預測最終哪一種區塊鏈技術會成為市場的最終主流。甚至,現在區塊鏈連統一規格都沒有,技術也未成熟,效能不夠快,就無法應用在金融的實際場景上。他也表示,現在全球的區塊鏈平臺,幾乎聚焦在小規模實作上而已,因此財金資訊不打算一開始就壓寶單一技術。
目前,個金與企金的實作驗證,各自的10個節點都已經建立完成,資料也可以同步分散、同步更新,但由於只是POC階段,並非用最頂尖的軟硬體設備執行,自身的研究限制可能也會導致效能不佳,另外,單一節點失敗的問題跟諸多風險也還要再進一步驗證。
鄧介銘就指出,目前採用的Hyperledger 0.6版本中沒有顯著的隱私管理功能,還要另外開發。正式版1.0出世後,共識機制做了大轉彎,現在拆得更加細緻,資料寫入的時間序排列、確認動作都有所提升。
財金資訊帶頭整合,領中小金融研究區塊鏈
「對中小金融機構來講,可藉由我們這個平臺來認識區塊鏈。」黃昱程表示,區塊鏈正在發展初期,金融機構勢必要投入很高的金錢、時間成本進行研究,但要實際看見成果可說遙遙無期。每家銀行都嗅到這股潮流,但是不知道怎麼發展,因此向主管機關、央行反映,最後促成了財金資訊成立金融區塊鏈委員會,以及打造區塊鏈平臺。
財金資訊也經常性的舉辦研討會、教育訓練的課程,找來國內外的專家、學者來進行經驗分享,供金融業者學習。
截至今年7月底,委員會也已經召開11場教育訓練,進行節點安裝的教學、API介接等技術層面進行交流。
金融業者們串在一起後,彼此交流時,就可以看到各自在解決什麼樣的金融痛點,作為發展的借鏡。
對中小型金融業者來說,財金資訊所扮演的角色,確實讓區塊鏈的接觸門檻大幅降低。但是,對早有策略、應用方向的大型金融機構來說,則是另一種角度,「他們也想看不同平臺的思維跟想法,更重要的是,有沒有可能跨行運用。」黃昱程說。
許多大型金融機構跟Hyperledger、Ethereum或是國內的G-Coin等單位合作,也只在自行、封閉的環境中做驗證。但是在財金資訊,有機會可以完成跨行實作的驗證。再則,成本也確實低廉,他強調,財金資訊的所有課程、教育訓練都是免費的。
去中介的特性,財金資訊會不會被取代?
面對區塊鏈的去中介化特性,許多人預言,財金資訊這種銀行中介者的角色將被取代;甚至也有人質疑,財金資訊也跳進來做區塊鏈是為了抵制技術的發展。
對此,黃昱程回應,財金資訊將會扮演管理者的角色。「區塊鏈需要實名制、驗證機制,哪個節點要加入、退出,這都要有管理機制。」他更說,不只財金的角色不會消失,銀行作為消費者間的中介者,也勢必還是要存在。「消費者的爭議,甚至是銀行的爭議,都還是要有仲裁者來處理。」他說。
鄧介銘也認為,財金資訊會成為像是維運者(Operator)的角色,當A銀行與B銀行間帳務不通時,就要有一套標準流程、維運機制來維持整個網絡的正常。未來的聯盟鏈中,會有3種角色。財金資訊扮演維運者,銀行是會員、而金管會或央行就會是稽核者或監管者的角色。
面對外界的質疑,財金資訊選擇用行動證明,捲起袖子跳下來自己實作,沒有額外招聘專業人才,所有成果,都是同仁們身兼多職所換來的。最後,鄧介銘認真地說,我們始終都跑在前面,要扶植新產業,絕對不會扼殺新技術。
資安險橫跨了保險業與資安業的範疇,保險公司除了提供公關服務,保險理賠服務之外,也有提供資安服務,看似保險業開始爭奪原先資安業的業務發展,趨勢科技臺灣暨香港區總經理洪偉淦認為:「我不會這樣認為,反而樂觀其成看到企業願意如果花錢投保資安險,也就代表他們也重視資安。……會願意付保費的人,在資安投資上也不會手軟。」
洪偉淦表示,過去確實曾經與蘇黎世產險(已更名為和泰產物保險)、怡安保險(AON)談過合作方案,例如客戶在投保之前能夠派資安公司做資安體檢,分析客戶的資安成熟度和管理成熟度,或者是發生資安事件後,安排資安公司來協助處理,但是目前臺灣投入資安險的企業不多,市場需求不大,後來也不了了之。
洪偉淦也認為,資安沒有百分之百,因為駭客攻擊型態永遠都會有變化,資安公司假設可以抵禦90%的攻擊,資安險可以保護沒辦法達到100%的地方,資安總是有缺口、漏洞出現,有些風險沒辦法事先預料,但這些前提都是企業資安措施需要先建置好。
保險與資安都是非常專業的領域,洪偉淦解釋,保險公司只是做理賠方面業務,其實沒有跨入資安界的領域,如同醫院不會提供壽險,所以企業發生資安事件的時候,企業仍然是派資訊部門人員來解決,資安部門一定是最重要窗口,不會回頭諮詢保險公司,因為資訊部門不會處理資安險理賠的業務,一般企業都是透過財務部門或是負責保險業務部門來執行。
洪偉淦也說明,當企業發生資安事件時,需要在短時間內去處理,在這方面,資安公司在處理資安事件方面比較有效率,因為資安公司收到通報之後,最晚要在4小時之內及時到現場來處理資安事件,保險公司則可允許在24小時內通報,同時他表示,客戶取得保險公司理賠金後,「搞不好出事之後,客戶會拿理賠金尋找資安公司來解決。」
另外,根據客戶觀點來看,洪偉淦認為,一般資安意識不高的客戶,不會每年編固定資安預算來強化企業內部的資安,而且客戶雖然投保了資安險,可以提供用戶來轉嫁損失,但仍然無法實際解決資安問題,客戶還是需要尋求專業資安團隊協助才能解決。
洪偉淦也帶著樂觀態度表示,資安險還有助於資安業的發展,因為客戶遭遇資安事件後,就有能力帶著理賠金來強化企業內部的資安建置。
同時他認為,客戶為了維持服務正常營運,會希望投保高額的保費,但是,這並非代表用戶的資安環境是具有高風險的環境,反而更注重企業的資安環境。
在二○三○年一個明媚的上午,你漫步走入一個當地的雜貨店去買牛奶。
隨著你的手一揮,你的智慧手錶檢測到牛奶盒中內置的透明加密晶片,並且獲得了它的雜湊代碼。這一瞬間,這盒牛奶就毫無爭議地成了你的牛奶。未來,的確很有可能出現這樣的情況:我們將不再使用現金買東西,也完全重新定義事物所有權的概念。
即使互聯網已經經由各種方式在各個方面改變了我們的生活,但是從來沒有一種方法能夠真正地在沒有中心化權威機構的授權下讓你「擁有」某些數位產品。你在網上擁有的一切,從你的錢到你的身分,都需要一個公正的協力廠商機構才能證明,這是我們能真正證明擁有某物的唯一途徑。從技術上講,所有你的線上資產實際上都是你借用的。不過從現在開始,不再如此!
如果你真正擁有線上資產、能夠降低抵押貸款利率、更加容易地更新遺囑、貸款沒有處理費用、買賣交易免手續費……那會怎樣?這些應用和其他更多的應用是智慧合約(註:Smart Contract,又稱智能合約)向我們許諾的未來。由於密碼學貨幣的出現,智慧合約這一技術正愈來愈走近我們的現實生活。
智慧合約是能夠自動執行合約條款的電腦程式。未來的某一天,這些程式可能取代處理某些特定金融交易的律師和銀行。智慧合約的潛能不只是簡單地轉移資金。一輛汽車或者一所房屋的門鎖,都能夠被連接到物聯網上的智慧合約打開。但是與所有的金融前沿技術類似,智慧合約的主要問題是:它怎樣與我們目前的法律系統相協調呢?還有,會有人真正使用智慧合約嗎?
智慧合約賦予物聯網「思考的力量」
物聯網是一個設備、車輛、建築物和其他實體(嵌入了軟體、感測器和網路連接)相互連接的世界。小到恒溫器,大到自動駕駛汽車(如配有召喚模式的特斯拉Model S 型轎車),這些都可以成為物聯網的一部分。
現在的物聯網還存在一些安全問題,如汽車系統可能會受到惡意攻擊、房屋進入系統安全性需要加強、互聯網的安全挑戰等。區塊鏈中的智慧合約技術具有解決這些問題的潛力。首先,區塊鏈的最大特點就是去中心化,運用區塊鏈技術後,我們對智慧設備發出的指令無須上傳到網路的中心,因為我們每個人都是一個中心,指令只需要在我們中間進行迴圈,大大減少了資訊流通的時間成本。其次,在資訊安全上,智慧合約也是無法被超越的,區塊鏈技術的安全性能夠保證我們在使用智慧設備的時候,資訊不被其他人竊取,我們再也不用擔心在網上借了一筆錢,之後手機被垃圾貸款資訊填滿了。
從智慧合約到智慧資產
雖然智慧合約仍然處於初始階段,但是其潛力顯而易見。想像一下,分配你的遺產就像滑動可調滑塊就能決定誰得到多少遺產一樣簡單。如果開發出足夠簡單的使用者互動介面,它就能夠解決許多法律難題,例如更新遺囑。一旦智慧合約確認觸發條件,合約就會開始執行。在未來,智慧合約將會改變我們的生活,我們現在所有的合約體系都可能會被打破。智慧合約在未來可以解決所有的信任問題。
智慧合約也可以用在股票交易所,設定觸發機制,達到某個價格就自動執行買賣;也可以用在京東眾籌這樣的平臺,合約可以跟蹤募資過程,設定達到眾籌目標自動從投資者帳戶劃款到創業者帳戶,創業者以後的預算、開銷可以被跟蹤和審計,從而增加透明度,更好地保障投資者權益。
未來律師的職責可能與現在的職責大不相同。在未來,律師的職責不是裁定個人合約,而是在一個競爭市場上生產智慧合約範本。合約的賣點將是它們的品質、定制性、易用性如何。許多人將會針對不同事項創建合約,並將合約賣給其他人使用。所以,如果你製作了一個非常好的、具有不同功能的權益協議,那麼就可收費許可別人使用。以智慧合約管理遺囑為例,如果你的所有資產都是比特幣,用智慧合約管理遺囑的方式就可行。對於實體資產,智慧資產也能解決這些問題。在尼克•薩博(Nick Saab)一九九四年的論文中,他預想到了智慧資產,寫道:「智慧資產可能以將智慧合約內置到物理實體的方式,被創造出來。」
智慧資產的核心是控制所有權,對於在區塊鏈上註冊的數位資產,能夠透過私密金鑰來隨時使用。這些新理念、新功能結合在一起會怎麼樣呢?以出租房屋為例,我們假設所有的門鎖都是連接互聯網的。當你為租房進行了一筆比特幣交易時,你和我達成的智慧合約將自動為你打開房門。你只需持有存儲在智慧手機中的鑰匙就能進入房屋。當這些數位鑰匙到期時,智慧合約也將使得設置日期更加容易。
智慧資產的一個典型例子是,當一個人償還完全部的汽車貸款後,智慧合約會自動將汽車從財務公司名下轉讓到個人名下(這個過程可能需要多個相關方的智慧合約共同執行)。但如果貸款者不還款,智慧合約將自動收回發動汽車的數位鑰匙。
基於區塊鏈的智慧資產,讓我們有機會構建一個無須信任的去中心化的資產管理系統。只要物權法能跟上智慧資產的發展,透過在資產本身上記錄所有權將極大地簡化資產管理,大幅提高社會效率。
有執行力的合約
現行法律的本質是一種合約。但法律的制定者和合約的起草者們都必須面對一個不容忽視的挑戰:在理想情況下,法律或者合約的內容應該是明確而沒有歧義的,但現行的法律和合約都是由語句構成的,而語句則是出了名的充滿歧義。
因此,一直以來,現行的法律體系都存在著兩個巨大的問題:首先,合約或法律是由充滿歧義的語句定義的;其次,強制執行合約或法律的代價非常大。而智慧合約透過程式設計語言,滿足觸發條件即可自動執行,有望解決現行法律體系的這兩大問題。當然如果你不是一名程式設計師的話,一開始就讀懂合約可能要花點時間,但一旦學會如何閱讀,這份合約絕對比現有的律師們起草的合約要通俗易懂得多。如果採用這種方式,簡單的合約一般的用戶就可以起草,特殊一點的合約可能需要稍微資深一點的專家起草(就像複雜的傳統合約也需要專門的律師起草一樣)。作為結果,我們得到的這份合約,完全消除了類似「我認為,你認為」的這種誤解,締約雙方是否依法履約的不確定性也一併被消除。也就是說,代碼寫成的這份合約,既定義了合約內容,也保證了合約內容的執行。在本質上,這份合約真的就是一份不會毀約的合約,而這一點非常強大。
初期,智慧合約會首先在涉及虛擬貨幣、網站、軟體、數位內容、雲服務等數位資產的領域生根發芽,因為針對數位資產的「強制執行」非常直接有效。
但是,隨著時間的推移,智慧合約會逐步滲透到「現實世界」。比如,基於智慧合約的某種租賃協議的汽車可以經由某種數位憑證進行發動(而不是傳統的車鑰匙)。而如果這個數位憑證不符合該租賃協議(例如證書到期),汽車就不會發動。
在一個私法和公法可以被完美地監督和執行的未來世界裡,很多事情都變得可能。你可以設想一個當地法律都靠智慧合約訂立的小鎮。在這個小鎮上,新法的通過和針對既有法律的修正案都必須通過投票系統進行公開投票決議,而且這個投票系統也是由智慧合約實現的。同時,鎮上的居民也會非常清晰地意識到法律的執行和適用範圍。你甚至可以想像一個不靠地理邊界而是基於智慧合約的法規和權益的國家,未來人們甚至可以自由選擇最適合自己的虛擬國度。(摘錄整理自《區塊鏈革命》)
書名 區塊鏈革命:中介消失的未來,改寫商業規則,興起社會變革,經濟大洗牌
徐明星、劉勇、段新星、郭大治/著
遠足文化出版
售價:420元
作者簡介
徐明星/區塊鏈創業企業OK Inc創始人及CEO,中國區塊鏈應用研究中心創始理事兼理事長
劉勇/國培機構創始人兼董事長、中關村互聯網金融研究院執行院長
段新星/西安交通大學學士,南京大學碩士。金融及技術領域研究者
郭大治/中央財經大學、喬治亞理工大學聯合培養經濟學博士,目前擔任中關村互聯網金融研究院研究總監
圖片來源_中國信託
近日舉行的WCIT世界資訊科技大會上,金融科技無疑是展出的亮點之一,中國信託現場展示多項創新服務,其中之一是利用VTM(Video Teller Machine)視訊櫃員機,讓民眾以視訊和銀行客服完成開戶手續,並在現場取得金融卡。
傳統在銀行開戶,民眾必須在下午3點半之前臨櫃,攜帶身份證等雙證件,列印證件複本,填寫開戶文件資料,並留下民眾本人的影像,最後由櫃檯人員發給存摺、金融卡,過程至少要30分鐘以上。(詳全文)
圖片來源_哥本哈根大學
微軟將投資數百萬美元和丹麥哥本哈根大學合作,微軟研究團隊將和哥本哈根大學Niels Bohr研究所合作開發拓撲量子電腦,其中Niels Bohr研究所的量子裝置中心將扮演關鍵位置。微軟期望打造實用且具擴充性的量子電腦,以更快地找出全球暖化、材料、藥物哀究、加密等複雜問題的解案。(詳全文)
圖片來源_Google
Google推出網頁開發者認證專案,提供開發者線上訓練課程,來準備此認證考試,線上課程包含基本網頁編排和設計、漸進式網頁應用程式設計、測試與除錯等內容,而開發者在通過認證考試後,Google將給予數位徽章以示證明。(詳全文)
圖片來源_MIT
IBM與麻省理工學院(MIT)宣布共同成立IBM Watson人工智慧(AI)實驗室,IBM計畫於10年內投資該實驗室2.4億美元,以進行AI的基礎研究,進而釋放AI潛力。
MIT表示,此一新的實驗室將是全球最大的AI產學長期合作專案之一,將召集超過100名的AI科學家、教授及學生並與IBM位於麻州劍橋的研究實驗室合作。此一IBM研究實驗室緊臨MIT校區,且與Watson Health及IBM Security總部同樣都座落在Kendall Square。(詳全文)
圖片來源_Amazon
中國浙江大學的6名研究人員近日發表了一篇研究論文,指出市場上的各種數位語音助理皆含有設計漏洞,駭客只要將語音命令轉成人耳聽不見的超高頻率,以悄悄地要求裝置執行命令,研究人員把這類的攻擊命名為「海豚攻擊」(DolphinAttack)。
被點名的數位語音助理包括蘋果的Siri、Google Now、Samsung S Voice、華為的HiVoice、微軟的Cortana,以及Amazon的Alexa。(詳全文)
圖片來源_Equifax
美國消費者信用報告業者Equifax周四主動發佈該公司遭駭的消息,導致1.43億筆個資外洩,佔將近美國人口的一半。
Equifax指出,歹徒是入侵Equifax網站上一個應用程式的漏洞而成功存取到用戶資料檔案。這批外洩資料包括美國消費者的姓名、社會安全號碼、生日及住家地址,及若干駕照資料。此外,還有21萬筆美國消費者信用卡號、18萬筆可辨識身份的信用卡爭議交易文件也遭存取。Equifax另外發現這批文件中還有英國及加拿大居民的部份個人資訊。(詳全文)
圖片來源_GitHub
微軟與臉書(Facebook)共同發表了「開放神經網路交換」(Open Neural Network Exchange,ONNX)格式,這是一個開源專案,打算建立一個標準讓不同框架上的深度學習模型能夠移轉。目前已透過GitHub發表,臉書的Caffe2、PyTorch與微軟的Cognitive Toolkit都將在9月的新版中支援ONNX,同時號召其他框架的社群加入。
臉書的應用機器學習總監Joaquin Quinonero Candela說明,當工程師或研究人員在開發學習模型時,市場上有許多的AI框架可供選擇,他們會根據功能而依賴特定框架,很多時候在研發時所需的功能與產品化所需的功能並不同,於是可能會要求研究人員在生產系統上運作或是手動轉換模型,而臉書與微軟共同推動的ONNX就是為了消弭不同框架間的差異。(詳全文)
圖片來源_Energy and Commerce Committee
在眾科技及汽車廠商力促下,美國眾議院本周無異議通過第一部為放寬自駕車管制的法案,希望能加速自駕車產業的發展。
這部法案名為「Safely Ensuring Lives Future Deployment and Research In Vehicle Evolution Act」,簡稱「自駕車法案」(SELF DRIVE Act)在獲得眾議院通過後即將付參議院表決。一旦也如期通過將成為美國第一部自駕車專法。(詳全文)
圖片來源_Google
Google計畫在今年12月11日正式結束對Mac與PC上Google Drive程式的支援,繼之於明年3月12日終止Google Drive程式的功能。
Google Drive桌面程式原本是用來搭配同名的Google Drive雲端服務,它允許使用者自桌面同步及上傳檔案至雲端的Google Drive服務,但Google在今年進行大翻修,打造了兩款桌面程式來取代Google Drive程式,分別是鎖定一般用戶的備份與同步處理(Backup and Sync)程式,以及針對G Suite用戶的Drive File Stream。其中,Backup and Sync程式已在今年6月出爐。(詳全文)
圖片來源_微軟
微軟宣布Azure App Service雲端服務Linux版本正式上市(GA),讓開發者能夠更專注於軟體應用的開發,而非基礎建設,以加速開發者建立、部署和擴充應用程式。另外,此版本還包含了Container的網頁應用(Web App for Container)服務。
Azure App Service雲端服務是由微軟於2015年3月發布,整合了Azure 網站(Websites)、行動服務(Mobile Services)及Biztalk服務(BizTalk Services),提供開發者透過單一服務,來建置網頁及行動裝置的雲端應用。(詳全文)
還記得聯想在2015年被爆於旗下多款筆電產品中植入廣告程式VisualDiscovery嗎?經過了兩年半之後,聯想終於與美國聯邦交易委員會(FTC)及美國的32個州達成和解協議,雙方並未公布和解金額,但外傳聯想同意支付350萬美元的罰款。
聯想是在2014年8月開始於出售給消費者的數十萬台筆電中預裝由Superfish所打造的VisualDiscovery廣告程式,FTC將它稱之為「中間人」(man-in-the-middle)程式,因它能干預使用者瀏覽器與網站的互動,可在使用者滑鼠移到類似的產品時跳出Superfish客戶的廣告內容,帶來嚴重的安全漏洞。(詳全文)
圖片來源_賽門鐵克
賽門鐵克研究顯示近日美國與歐洲能源設施遭到新一波駭客攻擊,駭客可能已經成功入侵這些設施的作業設備。
根據駭客使用的工具和手法,賽門鐵克相信發動這波攻擊的是一個名為Dragonfly的駭客組織,它在2011年到2014年相當活躍,經過短暫銷聲匿跡後,過去兩年又死灰復燃。賽門鐵克因此稱這波攻擊行動為Dragonfly 2.0。(詳全文)
彭博社(Bloomberg)報導蘋果一直不讓印度電信管理局(Telecom Regulatory Authority of India)所打造的Not Disturb程式上架到App Store,惹毛了當局,正準備建立有關個人資料的新法令,將影響蘋果與Google等掌控大量用戶資料的業者,也可能衝擊iPhone在印度的銷售。(詳全文)
圖片來源_Cruise Automation
通用汽車(GM)在去年買下的自駕車新創公司Cruise Automation近日發表了全球首款已可邁入量產的自駕車設計,成為業界先驅。不過迄今尚無量產時程表。
目前各大業者仍在自駕車的設計或微調階段,而Cruise Automation的宣布意味著該公司自駕車的軟硬體及生產線皆已準備就緒。(詳全文)
圖片來源_Stride
專門打造企業軟體的澳洲業者Atlassian最近發表了全新的團隊通訊解決方案Stride,成為Slack、Microsoft Teams與Google Hangouts Chat在企業協作市場上的競爭對手。(詳全文)
Anandtech最近發現,英特爾(Intel)已宣布將結束基於802.11ad(WiGig)的無線產品,涵蓋Intel Wireless Gigabit 11000、Intel Wireless Gigabit Sink W13100、Intel Wireless Gigabit Antenna-M M100041與Intel Tri Band Wireless-AC 18260等系列。
WiGig為一使用60 GHz頻段的無線技術,它提供即時與最高可達7 Gbps的傳輸技術。(詳全文)
7月19日,臺灣花了6年自行研發的福衛五號衛星即將出國門,運往美國加州的范登堡空軍基地。當天的啟運典禮中,還找來乖乖公司總經理助陣,帶上限量版「乖乖」零食,祝福這顆國產衛星能「乖乖」運行順暢。想必IT人看到這則新聞,莫不會心一笑,不只機房,現在連衛星出門都需要「乖乖」了。
「怕主機出事,那就放一包乖乖吧。」這個過往老IT的習慣,早就不是MIS圈的專利,科學園區許多科技大廠也都乖乖在產線、機臺旁擺上一包,還限定得用「綠色」才有效,台積電去年初美濃大地震後,12吋晶圓14A廠產線震損搶修完成後,台積電也跟乖乖公司定了一批聯名款綠色乖乖,送給工程師們備用。就連去年底,我在西門町電影院旁的金馬影展售票點,不少印票機旁也出現了綠乖乖。
為何MIS、工程師們如此「堅信」,機房非有乖乖不可?甚至半夜進機房維修,肚子餓了也不能打開乖乖來吃,「一吃必出事」的傳聞軼事,時有所聞。只是因為其他公司的IT也都這麼做,所以才跟著擺嗎?我也曾看過,連臺灣Top100企業,控管嚴密,滴水不落的資料中心內,乖乖成了唯一能夠進入機房的食物,連主管們都默許底下部屬的這種不成文習俗。
幾年前,一位銀行IT主管對我說過的一番話,道出了機房非放乖乖不可的心情。他相當清楚,食物不進機房是條鐵律,但無論他們做了多少努力,上百位IT人員,不眠不休想盡辦法調校系統、解決問題、排除風險,還是會出現意外,「想盡了辦法,還是無法放心,所以,就放一包乖乖吧。」乖乖就像是這位銀行IT主管的最後底牌,就算做了所有事,還想再多做一點,來確保系統的可靠和穩定。
臺灣IT圈、科技圈都買單的乖乖,不曉得,Google在彰化的資料中心內有沒有來上一包?我沒有答案,但從Google公布過幾次美國機房的內部360度照片和影片來看,一包食物都沒有。
我不知道Google臺灣工程師或資料中心 SRE們信不信「乖乖」的習俗,但我聽過Google前員工透露的機房維運原則,其中一項就是,Google「預設」機房內的設備就是「會壞」,並以此為前提,重新設計整套資料中心維運系統和架構。與其想盡辦法降低主機故障當機的可能性,Google乾脆打造出一座「壞了也不影響營運」的機房,如此一來,機房內到底要不要放上一包乖乖來「安心」,對Google工程師而言,也就不是那麼要緊的事了。
但是,你、我都不是Google,Google做得到的事,不見得每一家企業都做得到。在臺灣,恐怕得像台積電、鴻海等級的大企業,才有能力自己重新設計資料中心。
難道,對多數臺灣企業而言,想要降低系統、主機的風險,做到極致後,還是只能多擺幾包乖乖嗎?雖然做不到像Google那樣從根源排除風險,但分散風險或轉嫁風險,倒是一般企業可以思考的另一個方向。資安保險,就是企業轉嫁IT風險的一種新選擇。
資安保險其實在臺灣已出現近30年,但鮮有人問津,直到近2年,各種資安威脅,駭客攻擊頻傳,系統漏洞層出不窮,連勒索軟體,DDoS攻擊都透過自動化機制或雲端服務,變成了無差別攻擊,企業資安防護做得再好,也無法100%保證不會成為被攻擊的對象。就像火險、震險是為了在出事後,分擔損失來轉嫁對企業營運的風險,資安險也開始成了企業轉嫁資安威脅的一個選項。
去年經歷ATM事件的第一銀行,也以一年七、八百萬元的費用,投保了資安險中的「資料系統不法行為保險」來避險,也用來彰顯自己對資安的重視。儘管資安險並非固定式收費,而採按件估價,理賠金額或資安事前諮詢和事後協助各家不同,也不盡然能涵蓋所有損失,但倒不失作為企業資安防護的最後手段。與其用乖乖來「擺安心」,不如考慮更實質的資安險,至少要先了解資安險,讓自己多懂一招避險對策也無妨。
Hacking With Swift上周揭露,隨著iOS 11即將於本周二(9/19)出爐,蘋果上周修改了App Store的程式審核準則(App Store Review Guidelines),明文禁止病毒掃描程式,並要求採用人臉辨識機制的程式必須針對13歲以下的兒童提供額外的解鎖方案。
蘋果原本就規定開發人員必須清楚描述程式功能,不得含有未公開的隱藏功能,新準則亦要求開發人員不得以無法提供的功能來行銷程式,例如病毒或惡意程式掃描程式。
事實上,由於iOS的沙箱禁止程式直接與彼此或是與iOS系統互動,因此第三方程式根本無從掃描iOS上的病毒。
消息曝光後,即有開發人員質疑蘋果為何過去會允許這類的程式上架,因為這些程式看起來就是要騙取使用者的資訊或金錢。
另一方面,有鑑於iPhone X開始支援人臉辨識,新準則要求只要是利用人臉辨識進行認證的程式都必須採用LocalAuthentication,而非ARKit或其他人臉辨識技術,此外,針對13歲以下的兒童,程式必須額外提供另一種認證方法。這也讓開發人員懷疑如何才能確定使用者的年紀。
蘋果亦要求基於ARKit的行動程式必須提供豐富且完整的擴增實境體驗,意謂著那些太過簡單或粗糙的AR程式很可能會被打回票。
全球最大BT網站海盜灣(The Pirate Bay)免費提供存取盜版內容服務,但有用戶發現,它其實也試圖收費,但方式是借用用戶電腦CPU來挖礦。
上周用戶發現當他連上海盜灣網站某些torrent網頁時,他的電腦CPU執行緒使用量忽然衝上80-85%,直到關閉該頁才停止。經過分析,發現海盜灣網頁上一段JavaScript正在偷偷執行比特幣挖礦。
這名用戶的最新版Chrome安裝的程式過濾軟體ScriptSafe發現此事進行封鎖及發出告警,Windows Defender及MalwareBytes軟體則未發出警告。另外海盜灣的用戶討論區也有多名使用者反映類似情形。當中Firefox也顯示受到影響。
Torrent Freaks網站報導,這段挖礦程式碼是由Coinhive所提供,它藏在網站的footer中,伺機載入訪客電腦後就借用電腦的CPU進行Monero貨幣的採礦。雖然只有搜尋功能及分類頁埋有挖礦程式,首頁和個別torrent頁並沒有,但整個過程海盜灣都未坦承告知,引發眾多用戶不滿。這家網站又引述消息說,表示這項功能週六開始測試,海盜灣計畫在現有廣告外另闢新財源,並希望最終能以挖礦取代廣告收益。
海盜灣對加密貨幣並不陌生,在4年前該網站就率先接受比特幣捐款至今。
只要透過瀏覽器的JavaScript設定或以NoScript和ScriptBlock等script封鎖外掛,或是以廣告封鎖程式來阻斷挖礦URL,就可免於被吸收為挖礦工具。
海盜灣因為提供許多非授權內容下載的「種子」而在2014年底歐洲法院判決違反著作權法而遭強制下線,之後於2015年初復活。
一則法院文件顯示,Waymo/Google這六年來為了發展自駕車,已經投資了超過11億美元。
科技網站IEEE Spectrum上周取得一份Waymo與Uber的自駕車官司文件,當中包含Waymo財務分析師Shawn Bananzadeh的證詞。Bananzadeh的證詞大量遭到隱藏,不過部份文字透露,從2009年一開始到2015年底Google在Project Chauffeur花了11億美元,這筆費用涵括了專案從一開始到結束的所有自駕車軟硬體研發支出。Waymo後來在2016年自專案中獨立出來,與成為Alphabet子公司之一。
這份文件曝光的起因為Waymo於今年初控告Uber藉由收購Google前工程師Anthony Levandowski所創的Otto取得了Google的自駕車商業機密。Waymo指稱Levandowski離職竊取該公司包括光達系統(LiDAR)系統及電路板等高達14,000筆機密檔案,之後成立了Otto,這些資料隨後成為Uber自駕車研發的重要基礎。官司還在進行中,不過Levandowski已經遭Uber掃地出門。
在此之前,Google從來沒公佈自駕車相關投資費用。一開始自駕車專案Project Chauffeur是藏在Google X實驗室中,而在財報中,相關費用則是連同Google Fiber、家庭自動化Nest及生技部門Verily等合併成「其他」選項。
這項官司目前還進行中,本周Waymo宣稱取得了重大證據,因而向法院申請延後預定下個月開始的審理。為了發展自駕車,Waymo積極投入研發也投入政治遊說。本月初美國眾議院已通過首部自駕車法案,放寬自駕車上路的數量上限。另一方面也有消息傳出Waymo母公司Alphabet可能考慮收購Uber競爭者Lyft。
不讓Google專美於前,微軟的Bing搜尋引擎團隊上周宣布,將於搜尋結果中加入事實查核標籤,以協助使用者判斷搜尋結果中的新聞或網頁資訊的真實性。
Google與微軟都是利用來自Schema.org的ClaimReview標記來顯示事實查核。Schema.org是由Google、微軟與Yahoo三大搜尋業者共同發表的組織,該組織建立了各種共享標記供網站管理員使用,方便搜尋引擎進行索引並改善搜尋結果。
微軟表示,此一事實查核標籤可能同時被應用在新聞及網頁上,當Bing發現網頁含有事實查核資訊時即會顯示它以協助使用者判斷網路上的內容是否可靠。
不過,並非所有含有ClaimReview標記的網頁都會受到Bing的青睞,還必須取決於其事實查核的來源與方法,以及有否清楚的結論與摘錄,即便網頁採用了ClaimReview標記,若未遵循ClaimReview相關準則,仍有可能遭Bing忽略。
安全研究人員Ed Foudil最近提交了新的Security.txt草案予網際網路工程任務小組(Internet Engineering Task Force,IETF),這是一個供網站描述安全政策及聯繫管道的草案,期望讓它標準化以讓安全研究人員與網站之間的溝通更為流暢。
Foudil指出,當獨立安全研究人員發現網路服務的漏洞時,他們經常缺乏適當的揭露管道,於是,這些漏洞可能就沒有修補,進而危害網路安全。
因此,由Foudil所設計的Security.txt標準將允許網站定義安全政策,透過清楚的準則協助安全研究人員回報網站漏洞,此一文字檔描述了網站所允許的漏洞回報範圍、漏洞種類、聯繫管道、安全頁面、抓漏專案、付款方式、獎金規模、獎金捐贈途徑及揭露政策等,也可表明並不希望研究人員測試他們的平台。
Security.txt與robot.txt的用法類似,它們都是被存放於網站根目錄的文字檔案,只是robot.txt定義的是網站的爬梳政策,對象為搜尋引擎,而Security.txt定義的則是網站的安全政策,對象為安全研究人員。
專門提供WordPress安全外掛程式的Wordfence上周指出,知名的WordPress外掛程式Display Widgets含有後門,將允許作者於採用該外掛的WordPress網站上發布任何內容,並建議使用者立即移除它。
Display Widgets的功能在於可根據不同的網頁、類別、客製化分類或WPML語言以自動變更側邊欄位的內容,以免除使用者手動製作眾多側邊欄位的困擾,估計有超過20萬名WordPress用戶正在使用它。
Wordfence發現,Display Widgets的作者不斷利用該後門於各個採用它的WordPress網站發布垃圾內容,該後門允許作者更新或移除WordPress網站上的內容,還能避免登入的WordPress用戶看到這些內容。
即使WordPress.org曾經把它自外掛資料庫中移除,但Display Widgets作者卻鍥而不捨地上傳含有後門的版本,這3個月以來,WordPress.org總計刪了它4次。(來源:Wordfence)
上周WordPress.org發布了未含後門的Display Widgets 2.7版,宣稱它與尚未遭植入後門的Display Widgets 2.0.5版一樣,是個乾淨的版本,主要供正在使用它的用戶升級。
然而,Display Widgets 2.7版只供既有用戶升級,並不允許新用戶安裝,WordPress.org認為Display Widgets的作者已經摧毀了使用者對該外掛程式的信任,因此已經將之移除,並建議需要相關功能的用戶或者更新,或者尋找其他的外掛程式。
事實上,Display Widgets的原始作者在今年6月就把該外掛程式賣掉了,作怪的是Display Widgets的新主人,從接手後所發表的Display Widgets 2.6.0到2.6.3都含有後門。
VMware上周修補3個產品漏洞,其中的CVE-2017-4924含有允許訪客執行程式的安全漏洞,影響VMware ESXi、Workstation與Fusion。
CVE-2017-4924漏洞藏匿在VMware的內建顯卡VMware SVGA中,它是一個越界寫入漏洞,可能讓訪客得以在主機上執行程式。受到影響的是VMware ESXi 6.5、Workstation 12.x與Fusion 8.x,被列為重大(Critical)漏洞。
另外兩個漏洞分別是CVE-2017-4925與CVE-2017-4926,前者為訪客遠端程序呼叫空指標提領漏洞(Guest RPC NULL pointer dereference),同樣波及VMware ESXi、Workstation與Fusion,問題出現在上述平台處理訪客RPC指令時,成功的開採將允許駭客以一般使用者權限破壞VM。包括Workstation 12.x、Fusion 8.x及VMware ESXi 5.5/6.0/6.5都含有此一漏洞。
CVE-2017-4926漏洞則是出現在vCenter Server H5 Client中,該漏洞允許跨站指令碼(cross-site scripting,XSS)的儲存,具有VC使用者權限的駭客可藉此注入惡意指令以在其他VC用戶造訪該網頁時執行。只有vCenter Server 6.5受到波及。
