三月底劍橋分析(Cambridge Analytica)外洩用戶個資醜聞後,臉書開始查緝濫用大量用戶個資的app。周一臉書公佈迄今已有約200個app遭到暫時下架調查。
三月底英國資料分析業者劍橋分析非法蒐集了臉書5,000萬(後來證實為8,700萬)筆用戶個資。當時執行長祖克柏宣佈提供用戶檢視自己個資是否被蒐集的工具,同時對2015年以前放上臉書平台的app全面體檢是否濫用或對第三方單位分享、銷售用戶個資。本次宣佈則是後者實施近兩個月以來的結果。
為了實施總體檢,臉書結合內、外部人力成立大批工作團隊,迄今已檢視了數千個app,而有將近200個app被暫時下架,以徹底調查是否真實濫用、分享用戶個資的情形。一旦發現確切證據,將禁止相關app,並經由臉書平台通知使用者他或他的親友在2015年以前安裝了濫用個資的app。
臉書表示總體檢需要一些時間,日後還會再做進度更新。
5月初祖克柏還預告臉書日後會提供Clear History,讓使用者清除他們在臉書上的上網及app使用紀錄。
歐盟研究人員於本周警告,他們利用「可塑性工具」(Malleability Gadgets)技術,成功攻陷電子郵件的兩大端對端加密標準—OpenPGP與S/MIME,讓加密郵件以明文呈現,經測試有數十款郵件客戶端軟體受到影響,從Outlook、Apple Mail、Postbox、Thunderbird到Gmail等。
研究人員先藉由CBC/CFB工具把惡意的指令注入加密郵件中,以濫用既有且標準的反向回轉通道(backchannels),例如以HTML、CSS或x509功能在解密後竊取完整的明文,這類的攻擊也適用於過去所蒐集的加密郵件,只要收信方解密了駭客所傳來的特製電子郵件,就能被觸發,並將其命名為EFAIL攻擊。
在可能的攻擊場景中,駭客先藉由中間人(man-in-the-middle)攻擊、存取SMTP伺服器/IMAP帳號或其它方式蒐集端對端的加密郵件;再透過適當的可塑性工具來處理這些加密內容,可能需要猜測對方所使用的作業系統、電子郵件品牌與加密軟體;之後再把這些加密郵件寄回給寄件人或收件人;對方收到時即會解密此封已被處理過的加密內容,解密後的郵件將含有駭客所注入的滲透通道( exfiltration channels),例如一個HTML的超連結,而會自動將此一解密過的郵件以明文寄回給駭客。
研究人員測試了35款S/MIME電子郵件客戶端軟體,發現其中有23款會出現滲透通道,而所測試的28款OpenPGP客戶端電子郵件中,則有10款存在著滲透通道,有些郵件客戶端軟體的S/MIME與OpenPGP可同時被滲透,例如Outlook 2007、Postbox、Thunderbird、Apple Mail、Airmail等。(下圖)
要解決EFAIL攻擊的最佳作法是更新OpenPGP與S/MIME標準,其次則是客戶端郵件軟體製造商的修補,現在研究人員則建議使用者可暫時關閉HTML描繪功能,或是別在電子郵件客戶端進行解密。
正當iPhone X都問世大半年,第一代iPhone的專利官司還在打。蘋果、三星自2011年起的專利官司,在7年的往返後又再起新回合。
2011年蘋果控告三星Galaxy S2手機侵犯第一代iPhone 3項設計專利,包括黑色矩形圓角、矩形圓角周圍擋板及16個圖示的多色彩方格顯示介面3項專利。蘋果在2012年一審時勝訴,地方法院判決三星應賠償蘋果10億美元,後來調降到9.4億美元經過三星上訴,2013年時加州地院法官Lucy Koh仍然判決蘋果勝訴,但大砍了三星賠償金額。在各級法院來回之後,本案去年再度回到地方法院,由法官Lucy Koh決定於5月第一周再審此案。
法院判決中,三星侵權已經沒有異議,之後蘋果vs. 三星案爭議的重點都在於賠償金額的計算基礎。最早地方法院判決是以三星整支手機所有銷售獲利來計算賠償金額,判賠3.99億元,但三星認為外觀設計僅佔手機產品組件極小價值比例,要求重新計算。三星以車子做比喻:如果某公司只擁有車子杯架的專利,則判賠金額不應以整台車的獲利來計算。
因此這次的判決重點在於處理最高法院並未處理的燙手山芋:即「是否以侵權組件的獲利比例來計算賠償金」。三星在2015年12月的判決中已付了5.48億,如果最新一回合判決結果對三星有利,則三星將可拿回一部份已支付的賠償金。當然,蘋果的論點希望能保有三星Galaxy S2整支手機的獲利。
本案將從本周一開始一連5天做出判決。
Wi-Fi聯盟(Wi-Fi Alliance)周一(5/14)針對正在竄起的無線網狀網路(Mesh Wi-Fi networks)推出了 Wi-Fi CERTIFIED EasyMesh認證服務,通過該認證的裝置將可互通,意謂著企業或使用者在部署網狀網路時,可依據需求採用不同品牌的產品。
無線網狀網路是利用多對多的方式連結周邊裝置,每個裝置都可充當節點,可彼此或跳躍式地連結,目前在市場上的主要應用為擴大無線網路的服務區域,讓覆蓋範圍無死角。(來源:Wi-Fi Alliance)
然而,現階段若要以A業者的路由器來部署無線網狀網路,也只能購買A業者的無線AP,但在Mesh Wi-Fi networks認證上路後,通過認證的裝置將能不限品牌而彼此互通。
Wi-Fi聯盟指出,Wi-Fi EasyMesh技術可協調各種品牌的AP以創造一個統一的智慧型網路,讓家中可完整地被Wi-Fi網路覆蓋,在經過簡單的設定之後,Wi-Fi EasyMesh即可監控網路狀態並自我調整,以讓智慧型手機、平板電腦或其它裝置能連結最適合的AP,而且就算是在家中四處走動也能享受無縫經驗。
該聯盟主席Edgar Figueroa則說,Wi-Fi EasyMesh允許服務供應商與Wi-Fi用戶存取不同的AP解決方案,此一標準化解決方案將可替市場上主要的產品類別建立一個互動的生態體系。
一群歐洲的資安研究人員發布了一系列E-mail端到端加密技術OpenPGP和S/MIME的漏洞警告,這個漏洞被稱為EFAIL,能使加密的電子郵件以明文的形式曝露給駭客,這個漏洞確認會對使用E-mail的用戶造成直接威脅,而且歷史郵件也存在暴露的風險。EFF與資安專家警告,應立刻在客戶端禁用OpenPGP和S/MIME加密技術,暫時停止發送,也不要閱讀以PGP加密的郵件,並暫時以加密通訊軟體如Signal代替。
電子前線基金會(Electronic Frontier Foundation,EFF)在星期一的時候揭露了這個訊息,EFF表示,他們為了降低風險,與資安研究人員溝通了延後漏洞揭露的時間,並先行告知了更廣泛的PGP用戶群。簡單來說,EFAIL濫用HTML電子郵件的活動內容,像是外部載入的圖像或是樣式,通過請求URL來滲透郵件明文。
而要建立這些滲透通道,駭客需要先存取這些加密信件,通常是以竊聽網路流量或是入侵E-mail帳號、E-mail伺服器、備份系統以及客戶端電腦,而這些系統可能存有數年的歷史郵件。駭客能以特殊的方式更改加密郵件,並將更改後的加密郵件發送給受害者,受害者在客戶端解密郵件且載入外部HTML內容後,這些郵件內容便會隨即以明文洩漏給駭客。
EFAIL的攻擊手法有兩種,第一種是直接滲透攻擊,利用Apple郵件、iOS郵件以及Mozilla Thunderbird等客戶端中的漏洞,直接洩露加密電子郵件的明文。第一種攻擊方法,可以在E-mail客戶端應用程式直接修補。第二種則是CBC/CFB小工具攻擊,透過濫用OpenPGP和S/MIME規範中的漏洞來洩漏明文。
這兩個方法的差異,資安專家指出,任何使用標準加密規範的客戶端都會受到攻擊,各供應商也都可以提供自家的解決方案,有些方案有效有些反之,以長遠來看,終究還是需要有新的規範來徹底解決漏洞造成的原因。
資安專家指出,雖然CBC/CFB小工具攻擊對PGP和S/MIME攻擊方式非常相近,但成功機率有差。要攻破S/MIME非常簡單,以他們的測試,駭客只要對受害者發送一個精心製作的S/MIME郵件,就能直接開啟500封受害者的其他郵件,但是以當前他們的研究狀況,因為PGP在加密前壓縮了明文,使得解密工作變得比較複雜,PGP的CFB小工具攻擊大約只有三分之一的成功率。
資安專家提供了短中長期的安全建議。短期上,使用者不要進行任何E-mail客戶端信件的解密,最佳防範EFAIL的方法,就是在E-mail客戶端外獨立進行解密動作。使用者可以在E-mail客戶端中刪除S/MIME和PGP私鑰,然後將密文複製到單獨的應用程式中進行解密。如此E-mail客戶端便無法開啟滲透通道,資安專家認為,這是目前最安全的方法,缺點就是手續繁瑣。
另外,E-mail客戶端也可以透過禁用HTML的功能來降低危害,資安專家表示,EFAIL主要透過濫用活動內容,像是HTML圖像或是樣式等形式。禁用HTML在E-mail中顯示,將能直接關閉EFAIL的主要攻擊手段,但其中仍然存在與HTML無關的反向通道,但這些通道相對較難以被利用。
中期解決方案,當然是依靠供應商修補EFAIL的漏洞,而長期上,資安專家仍然認為,應該更新OpenPGP和S/MIME標準,因為該攻擊直接利用了標準中的缺陷以及未定義的行為。不過標準更新需要的時間較長,E-mail使用者應該先採取相對應的方式減緩危機。
Google近日公開了行動裝置版深度學習模型壓縮技術Learn2Compress,能為開發者自製的深度學習模型建置出行動版的輕量型深度學習模型,開發者不需擔心優化記憶體和速度的問題,能夠在行動裝置上快速地執行模型,Google即將透過ML Kit釋出圖像分類的Learn2Compress技術。
成功的深度學習模型通常需要許多計算資源、記憶體和能源來訓練和執行,也因此,若要在行動裝置、IoT裝置上得到好的執行效能似乎有些困難,不過裝置上運行機器學習模型不但可以直接在介面上執行,還能確保資料隱私性和資料取得的便利性。
過去Google曾推出行動裝置版的機器學習系統,像是MobileNets、ProjectionNets,來解決行動裝置的資源瓶頸,但是,若開發者想為自己打造行動裝置的ML模型呢?
Google在前幾天的 I/O大會上宣布為行動App的開發人員,提供機器學習套件包ML Kit,來降低行動裝置App應用的AI技術門檻, 其中ML Kit一項核心服務自動壓縮模型的技術,就是Google研究團隊開發的Learn2Compress,該技術能夠自動壓縮自製的深度學習模型,讓模型有效率地在行動裝置上執行。
Learn2Compress結合了多種最新的壓縮神經網路技術,將開發者輸入的大型TensorFlow模型經過訓練和優化,自動產生規模較小、記憶體效能較高、耗能更低、速度更快的行動裝置模型,Learn2Compress使用的神經網路優化和壓縮技術包含修剪(Pruning)、量化(Quantization)、聯合訓練(Joint training)和萃取(Distillation)。
首先修剪的技術可以降低模型維度,利用刪除對預測結果影響最小的權重和運算,來縮減模型規模,Google表示該方法對於稀疏輸入資料的模型相當有用,最多能夠縮減為原來模型的一半,且維持97%原來預測模型的預測品質。
而量化則是透過減少模型的權重和活化參數占用的位數,來針對訓練和改善速度,舉例來說,相比用浮點數的表示法,用8位數定點能夠加速模型執行速度,減少能源消耗,也能將模型大小壓縮4倍。
聯合訓練和萃取的方法則是像師生的學習策略,用一個較大的網路當成老師,來訓練出壓縮過的學生網路,進而達到損失最小準確度品質的目的。(來源:Google)
老師網路可以被優化,並同時訓練出不同大小的學生網路,因此,Learn2Compress可以一次產生多個行動裝置模型,包含不同大小的模型,運算效率也不同,讓開發者自行選擇最適合自己需求的模型。
Google研究團隊表示,未來將會利用機器學習和深度學習等技術,繼續改善Learn2Compress,除了支援圖像分類模型的壓縮之外,還會陸續擴展更多的應用領域,讓開發者可以為電腦視覺、自然語言和其他機器學習應用,建立更多有用的App。
基礎架構工具廠商HashiCorp旗下的開源開發工具,像是Terraform、Vagrant、Packer等,都相當受到開發者好評。而近日,該公司旗下的產品Consul釋出了新的1.1版,此工具的用途,在分散式應用程式、基礎架構環境,可用於服務探查、Runtime組態設定等操作。
在功能面的強化,其中一個亮點,就是開始支援熱度相當高的開源監控工具Prometheus。HashiCorp表示,Consul的遙控(Telemetry)元件,可以利用布建在基礎架構環境各處的Consul Agent,蒐集不同子系統、系統函式庫的效能,而每10秒鐘為單位,Consul就會重新整併一次最新的數據。而這些數據,可以被儲存至後端的數據蒐集伺服器,如Statsd、Statsite 等,最後彙整至開源量測工具Graphite,而現在Consul也能支援Prometheus格式。
再者,1.1版也移除部分1.0版中的API支援,包含命令程式列、組態設定以及遙測功能中的API元件,HashiCorp表示,現在部分API已被標示不建議使用(Deprecated)。
至於Consul企業版的使用者,HashiCorp現在也新整合了授權系統,讓企業可以採取自助式模式,簡化授權流程,進行產品試用或繼續續約。不過該公司表示,即使釋出此新功能,既有的交付模式依舊不變。
在Consul 1.1版中,HashiCorp也重新設計了其UI介面。目前新UI為Beta階段。在清單列中,使用者可以馬上看到服務的狀態,包含已經失效、處於警告狀態,以及正常運作三種動態,如此呈現,可以讓開發者快速決定,當前是否要重啟服務,或是進行更新等操作。圖片來源:HashiCorp
相仿清單列的設計,在節點清單中,也能快速檢視節點的狀況,包含節點的名稱、記憶體使用、健康檢查等資訊。圖片來源:HashiCorp
【東京現場直擊】
富士通今天(5/16)在年度大會東京論壇2018活動中,展示了自家開發的深度學習晶片DLU(Deep Learning Unit)和DLU加速卡,富士通表示,DLU加速卡將能支援Nvidia的CUDA運算框架,希望做到CUDA平行運算程式不用修改就可改用DLU支援,要讓DLU加速卡成為GPU加速卡的替代選擇,來挑戰Nvidia GPU在高效能AI運算市場的地位。富士通預計2019年初正式上市DLU和DLU加速卡。
富士通在2016年底就預告要開發AI專用晶片,去年5月正式揭露了自行開發的深度學習專用晶片DLU,這是源自富士通曾列全球第一超級電腦「京」的技術,但重新為深度學習設計了新架構。
富士通將在2018財年(2019年初)開賣這款深度學習專用晶片DLU。
相較於傳統架構,DLU採取領域專用核心架構(New ISA架構)而非通用的核心架構,另外也用Deep Learning Integer(8位元或16位元整數)提供必要的最佳精度來節省電力,取代以雙、單精度浮點運算的的高精度小數點運算設計,Deep Learning Integer設計可以比32位元浮點運算省電許多,另外則採用了京超級電腦所用的Tofu晶片內高速網路技術(On-chip Network),以處理大規模神經網絡平行運算。
除了實體DLU晶片今年首度亮相外,富士通還展示了一款低耗電設計的DLU深度學習加速卡,可安裝於一般x86電腦上,來加快深度學習模型訓練之用,就像是Nvidia的GPU顯示卡一樣,DLU加速卡也會支援Nvidia的CUDA框架,富士通希望讓DLU加速卡成為大規模平行運算的另一個硬體加速選擇。不過,富士通沒有進一步揭露DLU加速卡的規格和上市時間。
首度曝光的DLU加速卡,要來挑戰Nvidia的GPU顯示卡的地位。
外,富士通還預告將推出深度學習伺服器系統,稱為Zinrai深度學習系統,要來降低企業內部訓練機器學習的門檻,將可支援富士通自家Zinrai深度學習雲端服務,也可和企業內網邊緣運算裝置串連來計算。
除了深度學習晶片首度亮相之外,富士通下一代超級電腦「Post-K」(後京)計畫電腦原形也首度曝光。富士通京超級電腦曾在2011年奪下超級電腦排名第一名,京超級電腦在2017年底最新排名仍是全球Top10。富士通從2014年就展開下一代京超級電腦的開發計畫稱為Post-K超級電腦。
下圖為Post-K超級電腦原形,預計2019年才會正式投產。
不同於京的處理器採用SPARCv9架構,Post-K處理器開始更講究省電設計,改採ARMv8架構來設計,預計可以達到京100倍運算效能,但只需要增加3~4倍的耗電(京用電是12.7MW,而Post-K預計是30~40MW用電)。富士通預計2019年完成Post-K的研發,正式投入量產,預估2021年可以上市。
臺灣中央氣象局就是採用了京伺服器,來打造出臺灣第一套Peta級超級電腦,最近也升級規格達到1.6PFlops,不過,氣象局沒有申請超級電腦排名,根據Top500超級電腦排名,氣象局超級電腦約相當於排名80左右的超級電腦。
倒是最近上線的國網中心超級電腦「臺灣杉」,也同樣採用了京超級電腦伺服器,是臺灣第一套企業可租用的公用Peta級超級電腦,效能可達1.325PFlops,在最新的全球超級電腦500強中,排行第95名,重新擠進全球超級電腦百大。
延宕許久的《資通安全管理法草案》,也是列為民進黨團的優先法案之一,在5月11日召開的立法院院會中,依照民進黨送進委員會的資通安全法草案版本進行審查,順利完成三讀程序。一般而言,立法院完成三讀的條文會在一個月內送交總統宣讀後就正式實施,根據《資通安全管理法》第23條規定,正式施行日期將由資安主管機關行政院另外訂定公布。
行政院資安處處長簡宏偉則指出,2017年4月27日行政院院會通過行政院版的《資通安全管理法草案》,並於5月進到立法院完成一讀程序,迄今一年的時間可以順利完成三讀程序,也是因為各界對於資安的重要性都有共識,加上,《資通安全管理法》已經是國家發展資安重要的法規基礎,主管機關更可以據此規範攸關民眾權益的關鍵基礎設施業者的資安防護水準,「《資通安全管理法》是臺灣資安發展重要的里程碑。」簡宏偉說道。更多內容
臺灣HITCON戰隊再度傳出好消息,由DEF CON CTF新的主辦單位OOO(Order-of-the-Overflow)初試啼聲,於5月12~5月13日舉辦的DEF CON CTF預賽中,臺灣HITCON戰隊不負眾望,再度獲得決賽資格。
不過臺灣HITCON戰隊CTF領隊李倫銓表示,這次主辦方OOO預計邀請全球25隊隊伍參加DEF CON CTF在今年8月9日~12日於美國拉斯維加斯舉辦的決賽,扣除之前DEF CON各大種子賽事的冠軍隊伍,是當然的入圍決賽成員外,另外也有另外一隊臺灣隊,是由交大Bamboofox、臺大Balsn、中央大學DoubleSigma以及中科院Kerkeryuan CTF戰隊等四隊聯軍組成的BFS,也極有可能成為臺灣第二隊入圍DEF CON CTF決賽的隊伍,預計一周內會公布名單。更多內容
資安公司Check Point Research發現了LG所有的主流旗艦智慧型手機,其預設鍵盤皆存在兩個漏洞,允許駭客可以遠端執行程式碼,這些型號包括LG G4、LG G5和LG G6等較新的機型,而LG也在Check Point Research通報後,已於5月安全更新釋出了漏洞修補補丁
Check Point Research在數月前向LG揭漏了這兩個漏洞,這兩個漏洞可以讓駭客在LG行動裝置上以特殊權限遠端執行任意程式碼,以鍵盤記錄程式危害用戶的隱私。第一個漏洞造因於不安全的連線,LG的鍵盤支援各種語言,包括用戶自行定義的語言,而英文則為預設鍵盤。當安裝新語言或是更新現有語言鍵盤時,裝置會向伺服器請求語言檔案,但是裝置與伺服器的連線使用不安全的HTTP協定,因此用戶裝置極有可能受駭客進行中間人攻擊,下載了惡意檔案而非合法的語言檔案。更多內容
近期 Google I/O開發者大會的眾多宣佈之中,有一項攸關Android裝置的安全性:Google即將要求Android裝置品牌業者定期為其售出的裝置提供安全更新。
9to5Google和 XDA Developer分別報導,Google Android平台安全部門主管David Kleidermacher在此次開發者大會上一場名為「What's new in Android Security」(下)的專題演說提到,Google透過Project Treble做了底層架構的改善,方便Android品牌商(OEM)們更容易派送安全修補程式。更多內容
資安業者Bitdefender最近發現新版本的Hide and Seek(HNS)殭屍病毒,今年初才現身的HNS原本只是全球首個透過客製化P2P協定通訊的殭屍網路,但新的版本則讓它再多了一個全球第一的封號,成為全球首支在重開機之後還能存活的殭屍病毒。
新版HNS開採了更多的漏洞,以感染更多的IPTV監視器,還能辨識其中兩款監視器以利用預設憑證入侵,此外,它還會掃描附近的遠端登錄(Telnet)服務,企圖展開暴力破解,成功登錄後還能限制23埠的存取能力以避免被其它惡意程式挾持。更多內容
Ubuntu社群重要成員Bryan Quigley在ubuntu-devel郵件列表向社群提出了停止支援i386的提案。事實上,這個問題已被討論多次,因為現在多數硬體都已支援x86-64,再加上i386上的Meltdown漏洞並沒有被完全修補,因此Bryan Quigley提案,乾脆趁這次一舉決定放棄支援i386,而社群也討論了對Arm 32位元停止支援的可能性。
Bryan Quigley提到,現在消費者可以買到不支援Amd64(Intel64)的i386硬體已經越來越少,在十年前製造商就不再生產這些規格的設備,而且上游的生產支援也都已經停止了。由於最近Ubuntu 18.04釋出,評估產品、團隊以及支援的意願,支援期限約落在在2021年或是2023年,在那時候這些老舊機器也都是接近20年的機器了,因此社群開始重新省視i386硬體支援的問題。更多內容
Google Project Zero團隊近期發表一研究報告,指出微軟於Windows 10 Creators Update中替Microsoft Edge所部署的「任意程式碼防護」(Arbitrary Code Guard, ACG)機制並不足以防範高明的駭客突破瀏覽器的沙箱,駭客得以透過攻擊Edge中的JIT伺服器而繞過各種安全機制。
當ACG被應用在Edge的內容程序(Content Process)時,便無法於程序中分配新的可執行記憶體或變更現有的可執行記憶體,讓已取得瀏覽器內容程序某些能力的駭客更難展開程式攻擊。Edge中另有一個「代碼完整性防護」( Code Integrity Guard,CIG)機制,規定所有進入內容程序的DLL檔案都必須通過驗證,以及Windows中用來限制應用程式所執行之程式碼來源的「內容流防衛」(Content Flow Guard,CFG)機制,它們共同保障了Edge的安全性。更多內容
在今年4月於美國舉行的RSA安全會議(RSA Conference)上,主辦單位針對與會的155個資安專家進行了問卷調查,顯示出只有47%的組織會在第一時間修補安全漏洞,另有5.2%說一年只修補一到兩次。
該調查詢問了組織中最不安全的技術,有24.5%認為是雲端架構與應用,23.2%覺得是IoT裝置,還有20%填了行動裝置,另有14.8%認為是網路應用,資料庫及自家資料中心則分別佔了12.9%與4.5%。更多內容
The Register最近報導,IBM將在未來幾周禁止全球員工使用各種的可攜式儲存裝置,包括USB、SD卡或外接硬碟。
根據報導,IBM在某些區域早就實施了此一政策,但預計在未來幾周將該政策部署至全球據點。原因是這些可攜式裝置可能會遭到濫用或遺失,造成IBM在財務與名譽上的損失,因而決定儘可能減少受到影響的機會,並建議員工使用同步與分享服務來移轉資料。更多內容
GDPR規定實施在即,9to5mac報導,蘋果可能已經動手移除會將用戶地點資訊分享或銷售給第三方單位的app。
報導指出,過去幾天來已有數家app開發商接獲蘋果以電子郵件通知其app有違反蘋果規定的行為而施以「重新評估」的處分,已將app從App Store下架。更多內容
蘋果執行長庫克(Tim Cook)日前證實,Apple Music包括付費與免費用戶已經跨越5,000萬大關。
庫克是在本周上彭博電視《The David Rubenstein》接受專訪時透露上述數字。這個數字較一個月前增加了至少200萬。4月間蘋果對媒體公佈,蘋果串流音樂服務用戶數為4800萬人,包括付費用戶4000萬。再參考3月的3600萬,Apple Music總訂閱用戶以每月200萬的速度成長。不過庫克並未透露Apple Music最新的付費用戶規模。
Apple Music被視為蘋果開拓新營收的重要來源。在蘋果上季財報中,除了iPhone X表現亮眼外,包括Apple Music、iTunes、Apple Pay等在內的服務營收也比去年成長31%,加上蘋果1000億美元買回庫藏庫的計畫及股神巴菲特加碼投資,激勵華爾街信心,令蘋果市值一度來到9340億美元的歷史新高。。
Apple Music具備驚人擴張速度,不過這個數字距離Spotify還差了一截。根據Spotify 上市後第一次財報,Spotify每月用戶數已經來到1.7億,包括付費用戶數7500萬。
微軟在上周的Build 2018發布了不少Visual Studio的功能擴充,也更新Visual Studio 2017至15.7版本,除了提升IDE本身的效能外,還新增了多項功能,幫開發者提升生產力,也強化了除錯以及診斷能力。與此同時,微軟也釋出了Visual Studio 2017 15.8預覽版,開始在ASP.NET Core中支援Docker。
在Visual Studio 2017 15.7中,強化了使用者介面的回應性,使用者會很直接的感受到介面操作體驗變好。微軟透過將一般使用者介面與除錯視窗非同步化,使用者操作不再因為除錯工作而被阻擋,這也表示使用者的工作效率提高,因為進行的工作不會受到中斷。另外,這個版本也會在編譯時啟動並部署Xamarin Runtime,這能減少開發者等待應用程式啟動的時間,根據微軟的實測,不同的情境效能可能提升33%到300%。
在提升開發者生產力部分,強化了XAML相關功能,現在XAML編輯器開始提供IntelliSense功能(下圖,來源:微軟),現在系統不只會有警告訊息,還會提供修復建議幫助開發者編輯XAML。開發者在Visual Studio 2017 15.7使用Xamarin.Forms,會在編輯XAML時感覺到IntelliSense使用體驗有大幅提升,微軟提到,現在Xamarin.Forms XAML編輯功能使用與WPF和UWP相同的驅動引擎。
現在Visual Studio也為C++開發者提供ClangFormat支援(下圖,來源:微軟),與EditorConfig相同,開發者可以在ClangFormat啟用自動化設置樣式,調整個人或是整個團隊的程式碼格式。微軟也提到,Visual Studio強調C++一致性,現在Visual C++符合C++11、C++14以及C++17標準。
另外,程式碼除錯以及診斷能力也獲得了強化,IntelliTrace從15.5版本開始支援後退除錯,開發者不只可以順著程式碼往下一步一步除錯,現在也能回退到之前的中斷點或是步驟,而這個功能在15.7開始支援.NET Core。Visual Studio ASP.NET和ASP.NET Core開發人員現在可以使用微軟Edge瀏覽器設置中斷點並對JavaScript程式進行除錯。
Visual Studio 2017的15.7版本對更新安裝做了改進,透過直接下載快取、共享組件及部分SDK來減少硬碟使用容量,而這些安裝在Visual Studio中是共用的,會存在許多相依關係,也就是說使用者在第一次安裝之後便無法變更,微軟也建議使用者可以把Visual Studio裝在SSD上,可以大幅加速運作速度。
而微軟釋出在Visual Studio 2017 15.8預覽版中,其中一大亮點便是可以在ASP.NET Core網頁專案中,新增單一Docker容器,這項功能是基於現存Docker組合容器工具,能讓使用者在Visual Studio中創建、除錯以及建置Docker容器。
最近DeepMind發布了AI能夠產生類似動物網格細胞功能走迷宮的研究成果,過去科學家尚未確認網格細胞是如何讓動物執行定位和導航能力的細節,DeepMind則訓練AI系統,在虛擬的迷宮中尋找路徑,實驗結果發現AI能夠自動發展出類似動物網格細胞的功能學會導航,還能走捷徑。
大部分的動物包括人類都夠在新的區域中認路,記得來回的位置、發現捷徑等,這種能力是動物天生的本能,但是執行的過程相當複雜,相較之下,對AI系統來說,空間導航有本質上的困難。
在2005年,科學家發現動物之所以能夠自動導航、認路,是因為身上具有網格細胞(Grid cell),網格細胞會對多個空間點產生反應,點跟點之間會排列成六角形,就像是座標系統一樣,讓動物了解如何在特定空間中移動,並前往目的地。
首先,DeepMind訓練了遞歸神經網路執行虛擬環境中的定位任務,讓神經網路學習實驗鼠的移動軌跡,主要是利用與移動速度相關的訊號,來計算到達目的地所需的距離和方向,舉例來說,哺乳類動物時常在搬移到不熟悉的地區時,運用這項定位能力。
研究團隊發現,訓練AI系統的過程中,AI系統自動產生了類似網格細胞功能的網格單位,接著,研究團隊透過深度強化學習來訓練AI系統,測試AI系統是否能在虛擬環境中定位並導航。
實驗結果顯示,AI系統展現了超人類水準的表現,超越了專業的迷宮玩家,選擇了創新的路線和捷徑,經過一連串的實驗操作,發現網格單元對於導航能力相當重要,舉例來說,當AI系統沒有啟用網格細胞時,AI系統就失去導航的能力,在距離和方向上的判斷都變得不正確。
DeepMind研究團隊相信,這項研究是理解網格細胞底層運算機制的重要進展,也證明可以透過AI來探索人類大腦的運作,讓神經科學家更了解人類大腦,提供了新的實驗方式,同時也讓AI系統能夠學會像動物一樣導航。
DeepMind最近於自然神經科學期刊中,發表了利用元強化學習(Meta-reinforcement learning)了解多巴胺與學習過程的關係,該研究透過元強化學習網路模擬多巴胺的功能,發現該AI網路能夠從過去的經驗中,學習抽象的規則,應用到新任務中,有助於強化AI系統一次性學習的成效,並能加速AI學習新任務的速度,就像人類一樣,能夠活用過去的知識,套用到新的任務上。
最近AI系統的能力已經能夠駕馭許多遊戲,但是要達到這樣的成果,AI還是需要上千個小時的遊戲訓練,才能在遊戲中超越人類的表現,而相較之下,人類卻可以在幾分鐘內,學會玩從來沒玩過的遊戲。
人類可以用很少的知識做很多新的事的特性,這種學習能力被稱之為元學習(Meta-learning)或是學會學習(Learning to learn),人類的學習分為長期和短期,短期將會聚焦於特定的案例,而長期則是會學習抽象的技能和規則來完成別的任務,人類就是結合了兩種學習方式,因此在面對新的任務時,可以很快又有彈性地處理新任務。
DeepMind將人類學會學習的能力套用到AI系統中,並稱之為元強化學習,實驗成果顯示該方法能夠強化AI系統一次性學習的成效,並能加速AI學習新任務的速度。不過,人類大腦的學習機制在神經科學中仍然還無法解釋。
DeepMind的研究中,透過元強化學習框架來研究多巴胺(Dopamine)在大腦中幫助人類學習的作用,多巴胺通常被稱為大腦快樂的訊號,對應到AI系統中,類似用來評斷預測誤差的獎勵訊號,AI系統會依據獎勵機制反覆訓練。
而DeepMind認為,多巴胺不僅是利用獎勵機制來理解就過去完成任務的行為,更是能夠讓人類快速、有效地學習新任務的關鍵。
因此,DeepMind為了要測試這個想法,用模擬的方式重新建立神經科學領域的6個Meta-learning實驗,每個代理網路都有相同的技能和規則,並要求代理網路執行任務。
首先,研究團隊透過標準的深度強化學習(代表多巴胺的角色),訓練了一個遞歸神經網路(代表前額葉皮質),接著,將遞歸神經網路的表現,與之前在神經科學實驗中得到的實際數據進行比較,結果顯示,遞歸神經網路對於Meta-learning是好的代理網路,因為網路能夠將過去的行為和觀察內化,在從事多種不同任務時,應用這些過去的經驗。
另外,研究團隊也重建了探索Meta-learning概念的哈洛(Harlow)實驗,原本的實驗測試中,給予一群猴子選擇兩個不熟悉的物體,只有其中一個有提供食物的獎勵,總共會進行6次測試,每次都會隨機更換兩個物體左右的位置,讓猴子學習辨識哪一個物體會給予食物的獎勵。
經過訓練後,猴子會發展出一套策略來選擇有獎勵的物體,第一次先隨機選一個物體,接下來再根據有無獎勵的結果來選擇特定物體,而不是選擇左右邊來選擇,這項實驗說明了猴子會內化潛在的規則,學習抽象的規則結構,也就是學會學習的概念。
當研究團隊用虛擬電腦螢幕模擬類似的實驗,並隨機選擇圖像,實驗發現,元強化學習的代理網路能夠像哈洛實驗中的猴子一樣學習,即便是給予從未出現過的圖像,代理網路也能正確選出有獎勵的圖像。
該研究發現,大部分的學習行為在遞歸神經網路中進行,證實了研究團隊的論點,多巴胺在Meta-learning中扮演非常重要的角色,過去,多巴胺被認為能夠增強前額葉系統的突觸連結,強化完成特定任務的行為。
在AI系統中,這項實驗結果代表,當AI學會解決任務的正確方法時,類似多巴胺的獎勵訊號調整了人工突觸的權重,不過,在實驗中,神經網路的權重卻被凍結,不能在學習的過程中調整權重,但元強化學習的代理網路還是可以解決新任務,也就是說,類似多巴胺的獎勵訊號不只依賴調整權重,還能傳遞抽象技能和規則的重要訊息,來快速適應新任務。
神經科學家過去就已經觀察到,前額葉皮質的神經活動能夠讓人類快速適應新任務,但是還沒找到充分的原因解釋,而DeepMind的實驗發現前額葉皮質不是依賴調整神經突觸的權重來學習規則的架構,而是用了多巴胺來轉譯抽象的規則訊息。
繼於今年4月公布作為移除用戶內容標準的《社群守則》(Community Standards)之後,臉書本周首度公布了內部的強制執行數據,以期提供更透明化的資訊,並指出光是在今年第一季該站就關閉了5.83億個假帳號。
外界可能很難想像垃圾蟲企圖在臉書上所建立的假帳號數量,根據臉書的統計,該站平均每天要阻止數百萬假帳號的建立,而且從今年1到3月的第一季中,總計關閉了5.83億個假帳號,當中大多數都是在註冊之後的幾分鐘之內即被關閉。就算是這樣,臉書估計目前該站仍有3~4%的假帳號仍活躍著。
這些假帳號通常被用來散布垃圾訊息,今年第一季臉書移除了8.37億個垃圾訊息,全數是由臉書的機制所發現,也移除了2,100萬個涉及性與裸露的訊息,有96%藉由臉書技術揭露,估計該站每1萬筆內容就有7至9筆違反了裸露與色情標準,另有350萬筆暴力內容被移除,85%來自臉書技術。
此外,臉書坦承以技術來辨識仇恨內容的效果尚不佳,仍需要人力審核,因此所移除的250萬筆仇恨言論中只有38%源自技術。
臉書解釋,目前人工智慧仍不足以判斷某人是在散布仇恨或只是描述發生於自己身上的事情,而且技術需要大量的訓練資料以辨識特定的行為模式,在某些較少使用之語言或內容的資料是缺乏的,再者對手也不斷地變更手法來突破臉書的控制,亦意謂著臉書必須要持續地精進與調整,以讓該站更加安全。
荷蘭政府本周宣布將逐步淘汰來自卡巴斯基實驗室(Kaspersky Labs)的產品,同時也要求參與國防任務的企業遵循此一規定,成為繼美國與英國之後,第三個棄用卡巴斯基產品的國家。
美國政府在去年指控俄羅斯情報份子透過美國政府官員電腦上所安裝的卡巴斯基軟體竊取重要的美國機密,懷疑卡巴斯基與俄羅斯政府有所掛勾,先是在去年7月限制採購卡巴斯基產品,再於9月要求政府機關全數移除卡巴斯基產品,美國總統川普(Donald Trump)還在去年12月所簽署的《美國國防授權法案》(National Defense Authorization Act,NDAA)中明文禁止政府機關使用任何來自卡巴斯基的產品。
英國國家網路安全部門也在去年底指出,俄羅斯可能利用網路工具對英國政府與重要基礎設施發動攻擊,因而建議政府部門應避免於與國安相關的系統中採用卡巴斯基的產品。
荷蘭政府則說,防毒軟體可連結網路與系統,並握有存取IT系統的權限以對抗病毒,若遭到濫用可能會造成破壞或展開間諜行動。有鑑於卡巴斯基實驗室屬於俄羅斯企業,總部設於俄羅斯且受到俄羅斯法令的管轄,且該國法令要求企業具備支援國家情報行動的義務。
為了國家安全,荷蘭政府決定採取預防措施,淘汰內部所使用的卡巴斯基產品。
卡巴斯基實驗室則在聲明中表示,該公司正在進行全球透明度倡議以緩解各界疑慮,對荷蘭政府此一基於推理的決定感到非常失望。
安全服務公司Imperva指出,物聯網裝置UPnP協定的特定問題可能讓駭客用它來發動新型態分散式阻斷服務攻擊(DDoS),繞過一般偵查及緩解機制。安全公司相信此類攻擊已經在發生中。
這項新型態攻擊利用的是已廣為人知,但仍然未解決的UPnP(Universal Plug and Play)協定漏洞攻擊。UPnP是執行於UDP port 1900埠及TCP埠,用於區域網路上鄰近物聯網裝置尋找與控制的網路協定。研究人員指出,UPnP的缺點在於它缺少流量驗證機制,使得拙劣的預設可能導致連網裝置遭遠端攻擊者存取,此外UPnP也存在遠端程式碼攻擊漏洞。
研究人員並指出,像路由器之類的連網裝置設定理應區分來自內、外部IP流量,但實際上很少路由器驗證兩者流量,而遵守連接埠轉送(port forwarding)的規則。一旦攻擊者開採路由器漏洞而修改傳輸埠對照表(port mapping table),就能讓該裝置成為一台代理伺服器,達到流量轉送,同時隱藏原始來源IP的目的。這個手法即為近年流行的UPnProxy攻擊。
UPnProxy漏洞攻擊原本主要用作低調的進階持續性滲透(APT)攻擊,但Imperva相信它也可用來發動大規模分散式阻斷服務(DDoS)攻擊。該公司在4月間發現針對SSDP(Simple Service Discovery Protocol)殭屍網路攻擊,之後成功複製出一起結合UPnProxy漏洞的DNS放大式攻擊(amplification attack)並證明研究團隊的假設。
傳統上針對DNS的DDoS放大式攻擊(或稱反射式DDoS攻擊)中,攻擊者對目標DNS伺服器發出請求封包後,經由DNS處理後再傳送給目標裝置,要求裝置回送內容,後者再經由DNS回傳給攻擊者。其中攻擊流量的來源傳輸埠和接受目標裝置回送流量的傳輸埠是相同的。但在Imperva的概念驗證(PoC)攻擊中,DDoS結合UPnProxy攻擊手法,DDoS流量的來源傳輸埠已經被改為隨機的傳輸埠,因讓使研究人員無從追蹤來源進而緩解攻擊。
Imperva研究人員指出,只要利用Shodan搜尋服務即可找到上百萬包含傳輸埠比對表的rootDesc.xml檔案,並用來發動DDoS攻擊。他們也偵測到據信已利用UPnP來隱藏攻擊來源、躲避偵測的攻擊行為。
研究人員並未釋出PoC攻擊程式,表示只希望藉此研究突顯安全業界對UPnP的安全威脅,進而促使物聯網裝置廠商及銷售業者強化產品安全。
家用路由器等已成為下一個安全隱憂。上個月卡巴斯基也公佈報告警告,以路由器為對象的APT攻擊愈來愈多,已成為僅次CPU漏洞的高風險領域。
主要飛行於歐洲的廉價航空瑞安航空(Ryanair)宣佈將把IT基礎架構,從資料庫、分析及儲存全部搬上AWS,同時使用Amazon機器學習、AI技術強化客戶端的服務。
瑞安航空是歐洲知名廉價航空,擁有1.3億用戶,每天飛行航班高達2000次。在此之前,瑞安航空的訂房系統及Ryanair.com網站已經跑在AWS上。而在最新合作下,瑞安航空將把全部IT基礎架構遷移到AWS上,並計畫未來三年內關閉大部份資料中心。
瑞安航空計畫把所有舊式系統雲端化,全部使用AWS服務,包括AWS資料庫、分析、機器學習及深度學習服務。目前這家航空公司已在Amazon S3上建立全公司資料庫,並使用Amazon Kinesis方案分析客戶及公司資料。它也將配合AWS 機器學習解決方案團隊開發一款可自動偵測飛行航段需求增加,以及預測行程變更的app。它還要將其每天發送2200萬封電子郵件、號稱歐洲最大郵件行銷系統的資料庫,由Microsoft SQL Server換成Amazon Aurora。
瑞安航空技術長John Hurley 指出,機器學習攸關該公司未來成長,因此該公司將使用Amazon多項機器學習服務,包括以Amazon SageMaker提供入口網站MyRyanair的個人化服務。此外,瑞安航空已將Alexa整合到MyRyanair網站,由語音機器人(chatbot)協助顧客完成訂票、查詢航班及回答常見問題,他們目前在測試AI助理Alexa的底層技術Amazon Lex來改善客服流程,使顧客可以被導向適切的協助,包括真人客服人員或是AI助理。
宏達電(HTC)Vive創始人陳信生在周二(5/15)於紐約舉行的區塊鏈會議上宣布,宏達電正在打造基於區塊鏈技術的Exodus手機,且已開放消費者預約,但裝置售價或正式上市時程仍未定。
事實上,宏達電已替Exodus成立了專屬網站,指稱Exodus將是首款專注於分散式應用與安全手機,可望擴大區塊鏈生態體系。根據該站的說明,Exodus將支援分散式應用程式(Decentralized Application,DApp),讓每支手機都成為以太坊或比特幣的節點,也會提供可靠的硬體堆疊與APIs以連結加密貨幣錢包,將使用者身分資料存放在手機上而非中央式雲端。
其中,DApp並非由個人或公司所部署,而是運作在P2P的區塊鏈網路上,它以區塊鏈來儲存資料,利用加密代幣來儲值,藉由加密演算法產生代幣,而且是開源且自主管理的。
根據外電報導,宏達電計畫建立一個原生的區塊鏈網路,讓所有的Exodus手機都擔任節點的角色,以促進手機用戶間的加密貨幣交易,預計會在未來幾個月揭露更多合作夥伴。
其實Sirin Labs在今年4月就曾發表名為Finney的區塊鏈手機,它同樣以Finney手機形成獨立的區塊鏈網路,採用基於Android的Sirin OS平台,可支援諸如加密貨幣錢包、安全交易存取、加密通訊等區塊鏈應用,Sirin Labs同時還發行了SRN代幣。Finney售價為999美元,預計於今年10月上市。
去年AWS趕在re:Invent大會前,推出AR/VR開發工具Amazon Sumerian,讓開發者可以在Oculus Rift、HTC Vive、iOS行動裝置,甚至網頁瀏覽器環境,製作3D、虛擬實境或擴增實境(VR/AR)應用。而現在,該公司也宣布Amazon Sumerian已經正式上線。
AWS首席傳教士Jeff Barr表示,Amazon Sumerian服務上線後,開發者不需要3D繪圖、動畫製作、程式開發等專業經驗,也可以開始著手開發虛擬環境。完成建置後,Amazon Sumerian也會接手後續部署程序,使用者不需要額外開發程式碼,或者處理部署工作。該平臺也可以與AWS後端服務進行串接,像是AWS Lambda、AWS IoT、AWS DynamoDB等。
該工具本身也採取多平臺運作的設計,採用WebGL JavaScript API呈現圖像,在VR環境,則相容WebVR JavaScript API。因此,除了支援臉書Oculus Rift、HTC Vive等裝置,該工具也相容iOS裝置的ARKit,及Android裝置的ARCore。此外,支援WebGL及WebVR的瀏覽器,同樣也能作為Amazon Sumerian的執行環境。
.png)
在Amazon Sumerian的操作介面中,開發者可以利用視覺化腳本工具,設定、控制虛擬物件。圖片來源:AWS
AWS首席傳教士Jeff Barr表示,Fidelity Labs是首先開始利用Amazon Sumerian開發應用的企業,該工作室所開發的VR應用,讓使用者可以與虛擬人物互動,詢問企業的營運表現,秀出營運數字等。圖片來源:AWS
提供Hadoop開源應用程式平臺服務的Cask,其創辦人Jonathan Gray在官方部落格宣布了加入Google雲端的消息,他提到,即使加入Google雲端,他們仍然會繼續維護其原本的資料應用程式部署平臺(Cask Data Application Platform,CDAP)
Jonathan Gray興奮的在部落格發文宣布,Cask將要加入Google雲端的訊息。Cask是Google雲端服務初期就開始使用的客戶,對於CDAP和GCP結合,Jonathan Gray提到,將能為企業客戶提供全新具備可用性、效能以及規模的服務。Cask的目的是以簡單存取方式,提供背後由強健且複雜技術支援的服務,他們希望以標準化以及簡化層來提供企業加速大資料應用的部署,實現跨環境可移植性、跨用戶群的可用性以及高安全性與治理性。
Cask的主要產品CDAP是個開源的應用程式平臺,其整合了Hadoop生態系,提供資料以及應用的抽象層,開發人員能以快速且簡單的方式開發應用。可以將CDAP看做是在Cloudera Enterprise Data Hub或Hortonworks Data Platform這類Apache Hadoop平臺上執行的軟體層。
CDAP將Hadoop生態系統元件整合到單一平臺上,其工作流程讓開發者以拖拉的方式進行UI開發,Cask不只提供加速應用程式建置的工具以及服務,也能讓應用程式保有可移植性,透過底層資料的邏輯表現來提供Hadoop環境抽象化的資料。CDAP也定義並實作了多種Hadoop基礎架構整合,支援HBase、HDFS、YARN、MapReduce、Hive和Spark的應用程式與資料。
Jonathan Gray提到,過去他們曾專注發展企業內部的部署,但是雲端應用的崛起,企業開始在雲端部署資料儲存池、資料分析或是機器學習,使得他們的戰略開始移向雲端,過去6年間,Cask花費大量時間發展開源CDAP,並且已經在全球一些大型企業中部署,取得階段性的成就。
Google雲端產品經理William Vambenepe為此表示,CDAP有助提高企業在雲端以及本地端的資料處理效率,期待驅動CDAP在更廣泛的開發者社群中發展。