iThome

在去年第三季時，資安研究人員相繼揭露了涉及藍牙與Wi-Fi的BlueBorne與KRACK漏洞，皆影響數十億裝置，然而，趨勢科技在今年4到5月間的掃描發現，還有58%的Android裝置存在著BlueBorne與KRACK的攻擊風險。

BlueBorne是資安業者Armis Labs在去年9月所揭露的攻擊向量，它是由8個零時差漏洞所組成，可藉由藍牙攻擊各種裝置，估計至少有82億個藍牙裝置可能遭受BlueBorne攻擊，將允許駭客執行惡意程式、竊取裝置資料，並自遠端挾持裝置。

至於KRACK則是由比利時的研究人員所發現，它是由藏匿在WPA2 （Wi-Fi Protected Access 2）Wi-Fi安全協定中的10個漏洞所組成，允許駭客存取或干預裝置與無線網路之間的通訊內容，同樣波及全球數十億款裝置。不管是BlueBorne或KRACK被公布的當時都尚未傳出攻擊行動。

趨勢科技表示，BlueBorne與KRACK都允許駭客在一定的範圍內展開攻擊，由於iOS與Android平台都同時支援了藍牙與Wi-Fi，亦皆蒙受一致的風險，儘管蘋果與Google都修補了相關漏洞，然而迄今仍有58%的Android裝置含有BlueBorne與KRACK漏洞，而在iOS裝置上，仍然含有漏洞的比例只有12%。

這與Android陣營修補時程不一有關，例如BlueBorne漏洞雖然在9個月前就被揭露，但聯想一直到上周才修補了旗下的Android平板電腦產品線，涵蓋4款Lenovo Tab、14款Tab Essential，以及3款Yoga Tab。不過，聯想解釋，該公司之前已先行更新了筆電產品，這是最後一波有關BlueBorne漏洞的更新。

新聞

近日LinkedIn推出新功能，結合微軟Bing的地圖平臺、地圖API，讓使用該平臺的求職者，直接在應用程式內的工作選擇中，即時瀏覽通勤至求職公司所需的時間。使用該功能進行路程規畫時，延續Bing地圖的使用經驗。根據使用者通勤工具不同，如自行駕駛、步行，或者搭乘大眾運輸工具，亦會計算出相異的路程、通勤時間。

LinkedIn表示，現在該平臺求職功能已經更趨於完善，在工作列表上，求職者可以直接瀏覽多種相關資訊，如職缺薪水、能力是否符合該職缺、該公司團隊的相關資訊，以及適合該職缺的工作推薦人。

現在該平臺求職功能已經更趨於完善，在工作列表上，求職者可以直接瀏覽多種相關資訊，如該職缺的薪水、公司團隊訊息外，現在使用者在同一介面上，也能直接看到通勤至該公司，所需要耗費的路程。透過該功能，使用者也不需額外鍵入其它的地址資訊。圖片來源：LinkedIn

根據使用者通勤工具不同，如自行駕駛、步行，或者搭乘大眾運輸工具，亦會計算出相異的路程、通勤時間。而使用者還可自行選擇通勤時間的長短、慣用通勤工具，以及通常出門上班的時間，透過該功能，協助使用者規畫通勤方式。圖片來源：LinkedIn

新聞

亞特蘭大市資訊管理主管Daphne Rackley在公開會議上提到，由於今年3月市政機關遭遇勒索病毒攻擊，除了之前分配3,500萬美元的IT預算外，還需要額外追加950萬美元來恢復受衝擊的服務。從3月受攻擊以來，亞特蘭大官方從未公開勒索病毒攻擊對市政以及財務的影響程度，但從市政會議的預算訊息透露出，這可能是目前全美最嚴重的網路攻擊。

在3月22日亞特蘭大市政府遭到勒索病毒攻擊，公家機關被要求關閉無線網路以及電腦5天，8千名市政府員工受到影響。這個勒索病毒加密了部分市政資料，導致公家服務受到嚴重衝擊，包括市民無法使用支付帳單或是查詢法院相關資訊等線上服務。駭客向亞特蘭大市政府勒索市值5.1萬美元的比特幣，但是市政府並沒有支付贖金，亞特蘭市市長Keisha Lance Bottoms對此表示，這不僅只是勒索病毒攻擊，而是鎖定政府的攻擊行動。

Daphne Rackley向市議會報告，市政府的424個電腦程式中有三分之一在攻擊中受到影響，其中有30％是關鍵服務，其中包含市政核心服務、警政以及法務。除了有6個檢察官辦公室的77臺電腦與10年的檔案丟失外，警方則損失了所有行車紀錄器的影像。亞特蘭大警察局局長Erika Shields提到，這些影像都已經遺失且不可能恢復，當有酒醉駕駛案件需要追溯那會有點麻煩。

一開始他們認為受勒索病毒影響的應用只有20％，而且沒有關鍵服務受到攻擊，Daphne Rackley提到，但是後來發現受影響的服務每天都在增加。在最初市政府分配了3,500萬美元的IT預算，但由於勒索病毒攻擊而擱置了，現在評估出爐，Daphne Rackley請求市議會追加950萬美元預算，用來恢復受衝擊的市政系統。

新聞

蘋果近日更新App Store審查指導原則，明訂禁止可用來挖礦的app。

蘋果App Store審查指導原則中在關於設計有效使用硬體電力的app條文中，加入「App，包括在app中展示的任何第三方廣告，都不得執行無關的背景程序，像是加密貨幣挖礦」的新字句。同時，在支付相關規定中，也明訂「App不得執行加密貨幣挖礦，除非這個過程是在裝置外執行（例如在雲環境下挖礦）」。（來源：Apple）

新規定適用於iOS、macOS、watchOS及tvOS等所有平台的軟體商店。

這項新增變革也反映網站、廣告及app偷偷使用用戶手機或電腦挖礦情形十分猖獗。去年知名BT網站海盜灣偷藏挖礦程式曝光後，掀起了全球挖礦綁架風潮。今年初Google旗下的DoubleClick廣告遞送網路也被用來在眾多知名網站上植入了嵌有Coinhive挖礦程式的廣告，連Google自己的YouTube也受害。受害硬體除了效能嚴重下降、電力耗損驚人外，這些挖礦軟體也可能結合其他種惡意程式，造成個資或財物竊取的後果。

Ars Technica分析蘋果的新政策相當嚴格，因為它禁止了一切在裝置上的挖礦，包括使用者知情且同意的行為。

此外，蘋果還新增加密貨幣的相關規定，包括只有加密貨幣交易平台提供的app才能提供用戶加密貨幣的收、付及交易。加密貨幣app也不得提供虛擬貨幣供用戶下載其他app、鼓勵其他用戶下載，或是在社群網站貼文等行為。媒體指出，蘋果禁令一出，可望會讓現有仰賴加密貨幣經濟的開發商雞飛狗跳。

新聞

在2015年成立的飛天汽車新創公司Kitty Hawk，發表全新娛樂用的電動飛機Flyer，這是該公司第一架個人飛行交通工具，目標是要提供人們像開車一樣的飛行體驗，不久的將來，開飛機出門上班、郊遊或許會跟開車一樣普遍。

Kitty Hawk是由Google共同創辦人投資的新創公司，在3月公開其自駕飛天計程車Cora，要在紐西蘭做為測試首站，而今又發表了Flyer，官網提到這飛行器的安全性已經足以公開進行飛行測試。Flyer外型就像是縮小版的水上飛機，下方有2個浮筒，其搭載的10個獨立螺旋槳，可以讓Flyer像直升機般垂直升降，專為個人乘坐設計的飛行器，使用電力做為動力來源，飛行高度距地表約3公尺，並能以約30公里的速度飛行12到20分鐘。（來源：Kitty Hawk）

官方表示，駕駛Flyer非常容易，其搭載的自動穩定系統，駕駛員只需應付兩種移動控制，剩下的機身平衡Flyer會自己處理，因而駕駛Flyer並不需要有飛行經驗，也不需要一般飛機的飛行執照。Flyer可能會轉為商業化的私人飛行服務，不過在這之前，還需要通過相關的批准。

Flyer的售價以及發售日期皆未公布，但是有興趣的買家現在已經可以預購。

新聞

老牌組態管理工具廠商Puppet近日補強自家產品布局，併購了才成立3年資料視覺化服務新創公司Reflect。該公司表示，現在市場上有琳瑯滿目的商業智慧解決方案，「不過這些產品的設計，主要都是滿足商務人士的需求。」Puppet表示，這次併購的Reflect，則是鎖定產品、工程團隊的需求，讓這些使用者，可以更容易將資料匯入平臺，進行分析，並且將應用程式進行視覺化。而讓產品、工程團隊獲得更多洞察後，「企業可以更快的做出更正確的商業決策。」

Reflect執行長Alex Bilmes表示，未來自家平臺會被整合至Puppet當中，在今年7月底時該公司的服務就會終止。該公司表示，由於Puppet並非開發資料視覺化服務的廠商，「該公司不會繼續支援第三方廠商的服務」，例如，第三方的資料整合、視覺化工具、嵌入式服務，當Reflect的服務終止後，都將無法使用。

在併購Reflect前，在去年9月時，Puppet也買下了持續交付廠商Distelli，加強開發自動化的功能。當時Puppet執行長Sanjay Mirchandani表示，這個併購布局，就是要軟體交付生命週期，全程都可自動化。

在Reflect的既有產品中，使用者可以利用拖拉的操作介面，建立資料模型。該公司表示，即使是非技術背景的使用者，也可以利用網頁介面，自行修改、編輯資料模型。圖片來源：Reflect

在Reflect的平臺，可以利用視覺化方式，呈現該服務觸及的使用者數量，藉此，企業可以評估新推出的服務成效是否良好。圖片來源：Reflect

新聞

美國聯邦通訊委員會（Federal Communications Commission，FCC）在周一（6/11）宣布，《恢復網路自由命令》（Restoring Internet Freedom Order）正式生效，這也代表著FCC於2015年所制定的網路中立政策在同一天亦已遭到廢除。

2015年上路的網路中立政策要求ISP業者與政府應該平等對待網路上的資料，不應根據不同的使用者、內容、型態、網站、平台、通訊模式，或設備而有差別待遇，並將ISP業者納入電信法中類似公共事業規範的Title II類別。然而，後來上任的FCC主席Ajit Pai卻認為網路中立政策限制了ISP業者的發展與競爭，因而決議廢除網路中立政策，並以《恢復網路自由命令》取而代之。

外界認為網路中立的廢除將賦予ISP業者更大的權限，將嚴重影響消費者與企業權益。FCC的舉措引發了外界對網路中立政策的聲援，最近一次企圖攔截《恢復網路自由命令》的行動是美國參議院在今年5月中旬以52比47的票數通過禁止FCC執行該命令，但該議案一直未進入眾議院，使得《恢復網路自由命令》仍然順利於本周一生效。

FCC強調，《恢復網路自由命令》將會保護珍貴的開放網路，也會帶來更快且更便宜的網路存取能力，可望保護消費者避免遭受不公平待遇，促進ISP業務的透明化，以及移除阻礙寬頻投資的規定。

儘管《恢復網路自由命令》已正式上路，但FCC仍然面臨許多挑戰，例如紐約州檢察長Eric Schneiderman在今年2月率領其它22州的檢察長控告FCC非法撤銷了網路中立，並向美國上訴法院提出複審請求；另一方面，美國各州則秉持著「上有政策、下有對策」的精神，華盛頓州的全美第一個州立的網路中立保護法案《House Bill 2282》也在本周一生效，明文禁止於該州經營的ISP業者偏坦特定流量，以與《恢復網路自由命令》相抗衡，此外，還有其它州正準備效法華盛頓州，訂出自家的網路中立法案，以規範當地的ISP業者。

新聞

特斯拉執行長Elon Musk周一推文預告，即將推出的下一版軟體Autopilot將加入全自動駕駛的功能。

Autopilot是特斯拉車系的駕駛軟體，具備定速巡航、自動輔助變道、防撞預警等功能，不過特斯拉一直將之定位在自動輔助駕駛軟體，強調車主仍然必須掌控行車首要責任，例如手必須全程握著方向盤。

不過周一一名網友對Autopilot對行車安全性表達疑慮，Musk回答說，用戶的問題在8月即將釋出的Autopilot 9.0獲得解決。「外界期待已久」的V9版軟體將首度加入完全自動駕駛功能。

That issue is better in latest Autopilot software rolling out now & fully fixed in August update as part of our long-awaited Tesla Version 9. To date, Autopilot resources have rightly focused entirely on safety. With V9, we will begin to enable full self-driving features.
— Elon Musk (@elonmusk) 2018年6月10日

特斯拉這款軟體將在近來外界重重疑慮中上市。特斯拉今年以來多次發生車禍；本周美國國家交通運輸管理委員會（NTSB）針對3月間發生在加州的死亡車禍做出報告，顯示雖然特斯拉曾經發出2次視覺及1次聲音提示，要求車主將手擺回方向盤，但最後一次是出事的15分鐘前。出事的特斯拉在高速行駛下撞上車道分隔島，根據NTSB的數據，在撞毁前3秒特斯拉車速從99公里時速忽然加速到114公里，並沒有煞車或轉向跡象。

5月間，特斯拉也在佛州及加州發生撞上路旁圍牆及停靠在路邊的警車，前者造成二死一傷，兩事件都是發生於Autopilot啟動狀態下。

新聞

臉書（Facebook）周一（6/11）開源了內部所使用的跨平台行動程式除錯工具Sonar，它同時支援iOS與Android程式，可用來實現新功能、抓蟲，或是調校程式效能，以協助社群加速程式開發流程，現已可自GitHub下載。

臉書表示，當初在設計Sonar時考量了擴充性，內部工程師已建立各種通用或臉書專用的外掛工具，此次同時開源了Sonar平台與外掛工具。

Sonar的核心功能只是一組UI元件，以及管理與裝置之間的連結，而所有工具都是以外掛的方式呈現，因此，除了內建的紀錄檢視、互動布局分析或網路分析等工具之外，開發人員亦可建立客製化的外掛工具。

Sonar有兩個主要部份，一為桌面客戶端程式，二為行動SDK，開發人員可將此一行動SDK植入所要除錯的行動程式中，之後它就會把資料回傳到桌面客戶端程式，開發人員可從桌面程式理解應用程式的行為與狀態，以進行除錯或效能的改善。

新聞

小米集團上個月初向香港交易所申請首次公開發行股票（IPO），打算募資100億美元，而上周出爐的招股說明書則透露了該集團在今年第一季仍虧損70億元人民幣（約11億美元）。

小米集團旗下有數十家公司，並以手機、IoT裝置與網路服務為經營核心，其中，手機佔小米集團總營收的70.28%，IoT與生活消費產品佔了20.46%，網路服務則佔8.63%。

根據市場研究機構IDC今年第一季的調查，小米現為全球第四大智慧型手機業者，以8.4%的市佔率落後三星（23.4%）、蘋果（15.6%）與華為（11.8%），且與去年同期相較，小米手機的出貨量大幅增加87.8%，是排行榜上成長最多的業者。

儘管如此，小米今年第一季還是交出了虧損70億元人民幣的成績單，此外，小米在去年也虧損了439億元人民幣。

根據彭博社的報導，香港交易所已於上周批准了小米集團的IPO申請，小米也計畫在這幾天開始衡量投資人的需求。

新聞

微軟近日公告，自今年7月起，多個Microsoft Community的論壇將無法再取得微軟官方的技術支援，包括Windows 7/8.1/8.1RT、Office 2010/2013與IE 10等，代表這些論壇將不會再獲得微軟員工的主動評論，也不再回答問題。

遭微軟棄守的都是屬於老舊的產品或應用，亦已終止主流支援，除了上述之外，還包括Microsoft Security Essentials、Surface Pro/Pro 2/RT/2、Microsoft Band、Zune，以及行動裝置論壇（Mobile devices forum）。

微軟表示，未來這些論壇將不會有來自微軟員工的技術支援，不管是主動評論、監控，或是回答問題，微軟只會負責維持安全與正面的論壇環境，同時也歡迎社群彼此相互幫助。

新聞

美國司法部與聯邦調查局（FBI）周一（6/11）宣布，已聯手破獲國際商業電子郵件詐騙（Business E-mail Compromise，BEC）活動，總計逮捕了74名嫌犯，其中有32名是在海外被捕。

BEC又稱為網路金融詐騙，通常是鎖定那些握有企業財務權限的員工展開詐騙，例如誘導員工匯款到以為是可靠的合作夥伴帳戶，結果是匯到了駭客的帳戶，而且這些犯罪份子也把詐騙目標擴大到個人，例如老人，或是房地產買家，同樣是欺騙他們以將款項匯至駭客戶頭。

FBI表示，這樣的詐騙手法原本源自奈及利亞，但現在已遍布全球。

美國將此次的逮捕行動稱為Operation WireWire，除了司法部與FBI之外，連美國國土安全部、財政部及美國郵政檢查局也都參與了，在美國逮捕了42名嫌犯，在奈及利亞逮捕29名嫌犯，還有3位嫌犯分別是在加拿大、模里西斯與波蘭落網，並追回了約1,400萬美元的詐騙款項。這些嫌犯有些是負責詐騙，有些則專門洗錢。

FBI也列出了最熱門的BEC手法並提醒民眾小心，包括入侵企業執行長或財務長的電子郵件帳號以進行詐騙，偽裝成房地產的賣家，入侵高層郵件帳號並索取報稅資料，偽裝成企業供應鏈，或是冒充律師事務所客戶，以變更匯款帳戶等。

新聞

近日思科2018年的使用者大會Cisco Live開跑，而在大會中思科也宣布，推出自家超融合架構產品HyperFlex 3.5版，該產品現在已經支援Nvidia Tesla V100 GPU，鎖定了企業執行人工智慧、機器學習應用的需求。該公司表示，思科周邊的生態系夥伴，也持續將AI、機器學習的方案，整合至HyperFlex中運作。

人工智慧的風潮日漸在業界興起，但為支撐該技術發展，思科表示，不僅機器學習模型變得日漸複雜，基礎架構環境也得要能彈性擴張，才能應付AI的運算需求，「因此，必須要結合GPU加速系統以及軟體工具，才能加快應用程式部署。」

而思科所做出的產品整合策略，在軟體面是結合Kubernetes，用來調度執行AI運算應用的容器，硬體面整合了Nvidia GPU，加快基礎架構的運算能力。思科進一步解釋，現在容器是AI應用部署的熱門選擇，Kubernetes也被廣泛用於調度用途。

而容器應用布局，已經在上一版HyperFlex 3.0釋出時開始，當時該公司先開發了HyperFlix FlexVolume驅動程式，讓Kubernetes代管的容器，也能支援持久儲存功能。而這次推出的HyperFlex 3.5版，已經通過Nvida的Kubernetes on Nvida GPU認證，除讓Kubernetes可以調度異質GPU叢集的資源，加強資源使用率，在公有雲、私有雲環境中的不同叢集，使用者也可一併進行水平擴充、部署及管理。

而現在思科的合作夥伴ePlus，已經開始結合思科HyperFlex，以及人工智慧新創Skymind AI平臺SKIL（Skymind Intelligence Layer ），推出了機器學習新手包產品。而這個產品套包名稱為HX AIM。在該解決方案中，使用了3個HyperFlex全快閃儲存陣列節點為基礎架構，並且整併合了多項大數據工具，除了開源Spark、Hadoop外，也有商用解決方案Cloudera、Hortonworks。此外，該方案也一次整合了Nvidia V100 GPU，以及Nvidia P4加速器，除了縮短訓練時間，也讓AI應用規模更容易擴充。

而現在思科的合作夥伴ePlus，使用了3個HyperFlex全快閃儲存陣列節點為基礎架構，並且整併合了多項大數據工具，除了開源Spark、Hadoop外，也有商用解決方案Cloudera、Hortonworks。此外，該解決方案也一次整合了Nvidia V100 GPU，以及Nvidia P4加速器，除了縮短訓練時間，也讓AI應用規模更容易擴充。圖片來源：思科

新聞

InfoSec資安研究人員Kevin Beaumont揭露Root Bridge漏洞，不少裝置供應商錯誤使用Android Debug Bridge（ADB），導致數萬Android裝置存在一個5555連接埠，任何人都可以連上這些裝置，無須密碼的使用管理員權限，進行遠端存取控制，安靜無聲的安裝惡意程式也沒問題。

包括美國的油輪以及韓國智慧型手機都受影響，研究人員掃描這些裝置，統計每天有1萬不重複IP，一個月有10萬不重複IP上線，由於浮動IP與轉址的影響，無法確定數量但肯定非常多。

ADB是Android開發人員常會碰到的名詞，這是一個Android SDK中的工具，提供伺服器與客戶端的架構，開發者藉由ADB可以直接控制Android模擬器或是真實的Android裝置，進行上傳、下載或是安裝apk等工作。由於這工具提供了Unix殼層存取權限，因此可以在裝置上執行各種不同的命令。

但有問題的並非ADB功能本身，而是該功能被供應商以錯誤的方式部署，Kevin Beaumont表示，理論上Root在非開發者版本應該被停用，但在不少裝置上明顯存在旁路。供應商仍在製造販售啟用ADB功能的商品，ADB監聽5555連接埠，可以與任何人建立連線，不需要認證就能以管理者權限執行任何命令，當然，那些破解自己裝置取得Root權限的使用者，同樣也受這個安全性漏洞影響。

Kevin Beaumont在網路上掃描有問題的裝置，發現美國的郵輪、香港的數位視訊錄影機以及韓國的智慧型手機都存在Root Bridge漏洞，甚至特定型號的智慧電視也受波及。分析原始收集來的資料，在24小時內有接近1萬個不重複IP，而在30天中則有10萬不重複IP的裝置上線，但由於轉址以及動態IP的影響，很難精確地知道究竟有多少裝置存在漏洞，但是可以肯定數量非常多。而這些裝置許多都已成為奴工，正偷偷的替駭客開採加密貨幣。

相關問題最早由奇虎360在2月時發出警告，主要發生的地區是亞洲，Kevin Beaumont以臺灣IP部署蜜罐（Honeypot），很快的裝置就被感染了經過修改的Mirai惡意蠕蟲，並且與挖礦程式捆綁在一起。這個挖礦架構沒有C2伺服器裝置控制，純粹使用對等網路（Peer-to-peer，P2P）以5555連接埠相互感染，Kevin Beaumont提到，由於這個蠕蟲的程式碼存在一些臭蟲，導致沒能散布的很好，只能在幾種裝置上運作。（圖片出處Piotr Bazydło）

研究人員進一步使用物聯網搜尋引擎Shodan，掃描連網裝置的5555連接埠，但由於許多應用程式都可以監聽5555連接埠，因此他們使用Netflow的資料交叉分析，以及Rapid7 Metasploit模組adb_server_exec的檢查指令，確定中國境內存在極大數量的有問題活躍裝置。

Kevin Beaumont進一步表示，把Root Bridge漏洞單純看做是駭客用來挖礦會簡單許多，但事實上可能沒這麼簡單，因為這個漏洞任何有心人士都能利用，不少裝置存在於企業內部，因而可能演變成非常嚴重的問題。他表示，製造商不應該在連網裝置啟用ADB的網路連線功能，應該盡速向用戶提供軟體更新，企業也應該對內部的裝置進行徹底健檢，確認曝露於漏洞風險的裝置數量。

新聞

公有雲廠商與虛擬化廠商聯手推解決方案，是近年跨雲架構流行的風潮，IT廠商經常新推的產品組合布局。在2016年起，AWS與VMware就開啟了策略聯盟，把vSphere虛擬化環境推上AWS公有雲執行，2017年時，VMware Clound on AWS已經在AWS美國西部資料中心啟用，逐步擴充至美國東部和英國倫敦。在近日，該混合雲解決方案，已經正式登陸AWS位於德國法蘭克福的資料中心。VMware表示，現在歐洲國家的企業用戶，已經可以在該混合雲解決方案中，部署整套SDDC基礎架構了。

而除了擴張VMware Cloud on AWS的服務區域，該公司這一次推出新服務模式，並且把多項VMware產品搬上AWS。首先，VMware推出了單主機、以時間計價的使用模式，藉此吸引剛開始接觸VMware Cloud on AWS的使用者。該公司表示，這個單主機SDDC方案，可以提供達30天的運轉時間。

此外，該服務也有提供搬遷功能，讓企業使用VMware的即時搬遷工具vMotion，就可將IT環境從本地遷移至雲端。搭配全快閃陣列vSAN儲存，可以加速企業儲存基礎架構的運作效能。

除了更加深入歐洲市場外，這一次的發布，也讓不少VMware自家產品搬上雲端。首先是桌面虛擬化產品VMware Horizon 7，現在已經整合至VMware Cloud on AWS。現在企業使用者，可以更簡單延伸桌面服務，同時保障工作負載的安全。

再者是靠延伸叢集（Stretched Cluster）加強應用程式的可用性。在今年3月時，該服務已經推出預覽版，而現在已經正式發布。該功能結合vSphere內建的高可用功能，在AWS環境不同服務區內，系統會可以同步備援核心應用程式。同時，因應災難復原的需求，VMware也有針對VMware Cloud on AWS，改良VMware Site Recovery，讓此軟體更適用於雲端環境，除了企業內部原先的本地機房，還可以把AWS環境，也列入備援機房的行列。

目前，還有兩個混合雲管理工具正處於預覽版本狀態，未來會與VMware Cloud on AWS加強整合。首先是vCenter Cloud Gateway，讓使用者可以從本地環境，同步管理AWS公有雲及本地VMware環境，也能串接這兩個混合環境的vCenter。再者是SDDC Save and Resotre，VMware表示，此功能的特色，就是讓開發者可以儲存VMware Cloud on AWS的組態設定，如果未來有重新部署需求，可以直接使用該儲存好的組態設定檔案，加快新雲端環境的部署工作。

利用延伸叢集（Stretched Cluster）加強應用程式的可用性。VMware表示，功能結合vSphere內建的高可用功能，在AWS環境不同服務區內，系統可以同步備援核心應用程式。圖片來源：VMware

新聞

臺灣保險產業應用新興科技的案例，陸續浮出檯面，繼5月底安聯人壽應用AI推出智能客服之後，第一金人壽在今天對外公開，開始採用微服務架構，來打造團體保險核心系統，也導入IBM Cloud Private私有雲軟體來部署這套微服務架構平臺，同步也引進DevOps和敏捷式開發，要讓內部IT人員在保險開發應用更加快速。第一金人壽資訊長余常德指出，保險業也要能快速改版，翻新服務，因此先從新專案開始擁抱微服務化，另一個好處是，未來，保險產業終究要上雲端，將會像電商一樣上雲端，微服務化才容易將IT架構搬上去。

余常德提到，近2、3年間產業數位化的進展快速，各家企業CIO面臨的挑戰也很大，包括要在有限的時間與資源內，讓系統開發更快速、品質更好並降低開發成本，對CIO來說都是一股壓力。

他也提到，IT人員在系統開發上所面臨的痛點，像是當同業推出數位服務時，其它家就要趕快跟進，在時間的壓力下，負責推出服務的單位與IT部門，在溝通使用者需求的時候，通常不夠完整，而當IT部門要開發應用時，使用者需求可能會因前期溝通不足，而不斷有新的修正提出，導致上線在即的系統，在推出後品質不佳。

此外，系統關聯性與維護工作也越來越複雜，連帶系統部署風險增加，余常德說，因為不同的系統部署時間不一，上線之後更需要定期維運，而在維運過程中可能會有許多設定需要進行修改，但只要一個環節出問題，都可能會讓整個核心系統掛掉，而後續要復原更是一大困難。

為了解決棘手問題，第一金人壽也決定導入微服務架構，來開發新的專案，也就是新的團體保險系統，除了能加速系統開發時間，因應使用者需求不斷的變化，以及讓系統部署更加容易，並適用於異質的軟、硬體工作平臺與開發工具之外。近幾年Docker、Container技術的資安控管進步，也是推進第一金人壽採用微服務的原因，加上微服務導入容易，且能夠重複使用、未來擴展性也強，更讓第一金人壽決定導入。

不過，余常德認為，在採用微服務後，最大的好處是系統維護工作將不會因為時間的遞延而加劇。他提到，保險產業的系統開發，通常在3個月內就能完成，但是，後續維運是10年、20年的事情，若一開始的維護沒做好，之後系統的包袱會越來越重。而採用微服務，就能在一開始，把功能切得很細，當系統上線後，單一功能的錯誤，也不會影響到其它系統，並能各別出來快速修正。

余常德表示，目前第一金人壽採取雙頭IT策略，個人保險核心系統仍舊是既有的IT架構，而團體保險核心系統才導入微服務架構，為了採用微服務架構，第一今人壽還成立了一個新的敏捷開發團隊，引進DevOps開發流程，由7位來自IT與不同部門的人員所組成。這項團體保險新專案為期一年，分為三階段執行。他透露，第一階段，先完成團保基本核心功能，讓業務可以開始銷售團體保險產品，目前已在今年5月初完成第一階段系統。第二階段，則是增加團體保險核心系統的周邊功能。第三階段則完善相關報表查詢等進階功能。

最後，余常德強調，第一金人壽未來將以小核心、大周邊的策略，把較為新穎且周邊的應用，陸續整合到微服務架構，但是，系統全面整合到微服務架構，還要再進行內部評估。

新聞

和Gogoro較勁，機車大廠光陽今天(6/12)正式發表了Ionex電動機車，New Many 110EV與Nice 100EV，若扣掉政府補助後，售價最低從29800元起跳，此外，搭配電動機車上市，光陽將建置1500個快速充電站、明年底2000個能源交換站。

今年3月光陽機車在東京的摩托車大展發表了Ionex車能網，以充、換電並行的模式推動電動機車，挑戰以換電為主，後續提供充電方案的Gogoro。

今天發表了兩款Ionex電動機車，New Many 110EV主要強調方便性及實用性，該機車座墊下置物空間擁有24.7L，可放置3顆額外電池，加上機車內使用的2顆電池，5顆電池最長續航力可達200公里，還提供了電動倒車功能。

New Many 110EV將在8月上市，馬達功率3200W，最快時速為59公里，光陽將會推出兩個版本，Noodoe導航版與都會版。Noodoe導航版扣除政府淘汰二行程的新購補助，車價最低為47800元，而都會版扣除補助，車價最低為42800元。

New Many 110EV：

另外，光陽將在10月推出針對女性設計的Nice 100EV，馬達功率1500W，時速最高45公里，扣掉政府補助車價29800元起。為吸引消費者，光陽提供Ionex電動機車核心電源5年保固，動力馬達10年保固，全國1600家Ionex電動機車售後服務據點。

消費者購買Ionex電動機車外，每月需以299元租用2顆自用電池，行駛里程需在1000公里以內，超過依每公里1元收費。

現場展示的New Many 110EV，在腳踏板內可置放2顆自用電池，支援NFC開啟電池匣，每顆電池重是為5公斤，電池上方設計有提把，以方便騎土抽出或置入電池。

光陽將在Ionex電動機車上市後，提供1500個快速充電站，1顆電池充電1小時即能充滿電力，明年底計畫建置2000個Ionex換電站，後年完成3萬個共享插座據點。

騎士可透過手機藍牙連接電動機車，將app上的導航地圖串流至機車上，在電池將沒電時可導航前往快速充電站、電池交換站或共享插座站，也能導航至其他景點：

此外，光陽也將免費在社區大樓的公共停車場設置充電站或能源交換站，以方便Ionex電動機車騎土快速充電或租用電池。

電動機車若需要快速充電，可前往快速充電站，每次充電需支付10元，1小時可為電池充滿電力(若使用隨車充電器，需充4小時)。即使2顆自用電池在充電中，機車仍能靠內建的核心動力騎乘，待1小時後回到原先的快速充電站取回電池。

電池在快速充電站充完電，消費者需通過手機app掃描電池上的QRCode，系統核對車主身份後會彈出電池，消費者才能自充電站取出電池。下圖為快速充電站：

至於電池交換站，每次租用電池收費40元，不需綁月租費。

如下圖所示，光陽也提供充電座，讓車主只要將電池自機車電池匣取出，放在充電座上在家自行充電。

除了今天搶先亮相的兩款Ionex電動機車，光陽預告在未來3年將推出10款Ionex電動機車，包括輕型、普通重型及大型重型電動機車。該公司更喊出2019年電動機車市佔率第一的目標。

新聞

資安業者ESET發現一個專業的間諜惡意程式InvisiMole，由於高針對性因此受感染的電腦數量很少，但是精密的設計令研究人員驚訝，除了能夠監視被害者的電腦行為之外，還能偷偷啟用攝影機以及麥克風窺探使用者，其模組化的設計會視情況啟用需要的功能，檔案與傳輸都以加密保護，最早版本在2013年就已經存在。

InvisiMole惡意程式針對性很高，只有幾十臺的電腦受影響，防毒軟體ESET也只在俄羅斯以及烏克蘭發現他的行蹤。InvisiMole可以接收駭客遠端操控，執行的動作端看接收到的指令，其具備常見的後門程式行為，像是檔案系統操作、檔案執行、註冊表冊操作或遠端殼層啟動是基本的功能，還能檢查系統資訊，或是掃描使用者電腦的Wi-Fi廣播訊息，紀錄SSID以及MAC位置，並會與公共資料庫比對後，了解受害者的出入場所以及地理位置。

InvisiMole對於使用者的喜好極感興趣，會記錄電腦安裝的應用程式，或是哪些程式會在電腦啟動時自動載入，用戶習慣使用的軟體等資訊，並監視使用者最近開啟的文件檔案，監控特定目錄以隨時回傳需要的文件。最令人不安的是，InvisiMole可以對使用者的電腦進行螢幕截圖，該功能細緻到可以對每個視窗分開截圖，而且在必要的時候，還會開啟攝影機與麥克風窺探受害者。

這個惡意軟體主要有兩個模組組成，分別是RC2FM與RC2CL，這兩個模組不會同時啟動，後者只會在前者偵查過後，確認該受害者為感興趣對象，才會被啟動執行進一步動作。ESET無法確定惡意軟體被編譯的時間，因為該資訊被刻意抹除，只知道檔案最早PE時間戳記是2013年10月。

RC2FM是一個封裝的DLL檔案，由Free Pascal Compiler編譯而成，這個檔案被放置在Windows文件夾中，偽裝成正常的函式庫檔案，透過劫持DLL，在Windows啟動時會被載入到資源管理器程序當中。ESET發現這個DLL檔案有32與64位元版本，以確保在任何受害者環境都能正確執行。RC2FM具有連線功能以及錄製聲音製作成MP3檔案的功能，並在必要時接受駭客的遠端操控，RC2FM共支援15種命令。

而RC2CL是比較龐大的模組，提供84種遠端指令，主要的間諜功能都由他負責，ESET提到，RC2CL在特殊情況會停止後門功能，並同時關閉Windows的防火牆，把自己轉為中繼站幫助C&C伺服器與其他客戶端連線。InvisiMole的作者非常小心，所有的網路傳輸資訊以及被害者電腦收集到的暫存檔案，也都會進行加密處理，避開系統的掃描。

ESET認為，InvisiMole是功能齊全的間諜軟體，其豐富功能與其他專業的間諜軟體不相上下，針對感興趣的用戶至少已經監控長達5年的時間。

新聞

GCP最近的功能又開始變得更多元，從5月初開始，先是推出160核心vCPU配3.75TB的大規格虛擬機、翻新監控功能Stackdriver，還有推出單租戶節點服務，加強企業公有雲IT環境的隔離度。而這一次，則是今年初推出的先占式GPUs（Preemptible GPUs ）Beta功能，現在已經成為正式功能。當時推出該服務時，相比一般隨需供應的GPU運算服務，價格就便宜了一半。現在，該功能不但已正式上線，價格又比原先GPU運算服務便宜了7成，想要進行高吞吐量的機器學習、批次運算任務的企業，此服務不失為一個低成本選擇。

Google表示，先占式GPU服務，適合企業用來執行生命週期短、可容錯的工作負載。例如，企業可用先占式GPU、虛擬機作為基礎架構，並且搭配Kubernetes和運算引擎代管實例群組，建立可動態水平擴充的叢集，藉以訓練機器模型。

該公司表示，先占式與隨需服務有兩個關鍵差異。首先，該服務的運作時間達24小時，在時數用完後，Google運算引擎會發送使用者30秒警告，並且停止該服務。再者，只要開發者使用先占式VM服務，任何與該VM串接的GPU，都會採用先占式GPU較便宜的計價方式。

而這一次Google又再減價的策略，也是此服務的一大亮點。GCP旗下的GPU服務，總共提供三種規格，分別是Nvidia V100、P100及K80。在一般隨需計價模式下，根據硬體規格運算效能，每小時分別要價2.48、1.46以及0.45美元。而現在先占式GPU服務正式登場後，價格比隨需模式便宜了7成，同樣使用一小時，V100收費0.74美元、P100為0.43美元，而K80則收費0.135美元。

GCP旗下的GPU服務，在一般隨需計價模式下，根據硬體規格運算效能的差異，每小時分別要價2.48、1.46以及0.45美元。而現在先占式GPU服務正式登場後，價格比隨需模式便宜了7成，同樣使用一小時，Nvidia V100收費0.74美元、P100為0.43美元，而K80則收費0.135美元。圖片來源：Google

新聞

開源智慧合約平臺RSK Labs共同創辦人，同時也是獨立資安研究員Sergio Demian Lerner公開了比特幣默克爾樹（Merkle Tree）的設計缺陷，有心人士可以使用這個弱點，為任意金額的假支付，創建有效的SPV憑證給使用SPV錢包的受害者，讓受害者以為該筆支付為有效交易。不過，要利用這個弱點並不容易，駭客至少須要對69位元進行暴力破解，且每次操作都為雙安全雜湊演算法2（Secure Hash Algorithm 2，SHA-2），而且還有SPV錢包可以簡單實做的機率保護。

比特幣默克爾樹的設計不區分內部節點與葉節點，內部節點沒有特定格式，只要長度為64位元組就可以，整棵樹的深度由交易次數決定。駭客可以向區塊鏈提交64位元組長度的交易，並且強迫受害者的系統將該筆交易重譯為一個默克爾樹的內部節點，駭客因此有辦法提供SPV憑證，也就是說，只要在這個默克爾樹的分支添加額外擴充雙交易而來的葉節點，就能給產生任何交易支付憑證。

但在這之前，駭客必須要完成兩個階段的暴力破解工作，而需要破解的位元長度與駭客一開始投資的金額有關，平均落在69與73位元之間。假設駭客在單個UTXO A持有687個比特幣，那在第一階段總共需要暴力破解的位元數為72位元，而在第二階段則需要暴力破解40位元。Sergio Demian Lerner提到，當第二階段暴力破解重新完成，第一階段計算的結果可以被多次的重複使用，而這樣的攻擊可以在不同區塊不同時間進行，因此平均每次需要暴力破解的位元數為65位元。

暴力破解所需要的客製化特殊應用積體電路（Application-specific integrated circuit，ASIC）與一般的比特幣礦工使用的非常相似。Sergio Demian Lerner表示，最厲害的挖礦機速度為14 TH/s，成本約為1,300美元，假設駭客可以購買一千個單位花費130萬美元，只要花4天的時間就能破解72位元。

駭客需要在幾個私人區塊挖礦以確保假交易進行，防止其他礦工重組區塊鏈偷取交易費用或是交易輸出。當駭客可以與51％的礦工合作，便能省下數百萬美元租用雜湊運算機器的成本，而無論是詐騙一個或是多個用戶達130萬美元以上，那就會成為有利可圖的生意。由於大部分的人在進行大筆交易時，都會使用完整節點接收進行仔細的檢查，因次只有仰賴SPV憑證的獨立系統，像是Elements區塊鏈或是RSK Bridge才會受到這樣的攻擊。

這個設計漏洞有很多種的解決方法，最簡單的解法就是讓SPV錢包檢查每一個內部SPV節點的64位元組節點是否為有效交易。Sergio Demian Lerner提到，沒有64位元組比特交易會通過標準檢查，因此這類的交易將會引發警示，即使這類的交易是一般情況，一個隨機的64位元成為語法有效的交易機率也為2的負6次方，因此SPV客戶端可以直接把這種雙交易節點標記為攻擊行為，拒絕接受SPV憑證。

趨勢科技：近6成Android裝置還有BlueBorne與KRACK漏洞

找新工作但怕通勤時間太久？LinkedIn自動幫你預估通勤時間

美國亞特蘭大市遭勒索軟體攻擊災情超乎預期，追加950萬美元預算恢復關鍵系統

蘋果更新App Store審查原則，禁止以iPhone、Mac挖礦的app

飛天車新創Kitty Hawk發表個人電動飛機Flyer

Puppet併購資料視覺化新創Reflect

美國網路中立政策正式被廢除

特斯拉承諾8月軟體更新將加入全自駕功能

臉書內部使用的跨平台行動程式除錯工具Sonar開源了!

上市在即，小米第一季仍虧損70億元人民幣

7月起，微軟官方將不再於論壇中回答舊版Windows與Office的問題

商業電子郵件詐騙橫行，美國逮捕74名嫌犯

瞄準人工智慧、機器學習應用，思科超融合架構整合Kubernetes及Nvidia GPU

大量Android裝置存在Root Bridge漏洞，亞洲成重災區，臺灣第3嚴重

VMware擴大VMware Cloud on AWS服務區域，多項產品也推上AWS混合雲

看準未來保險電商化的上雲需求，第一金人壽決定擁抱微服務架構，先從團保新專案做起

光陽正式發表Ionex電動機車，扣除政府補助後3萬元起跳

小心間諜軟體InvisiMole來襲，攝影機偷拍、麥克風監聽樣樣來!

GCP先占式GPU服務正式上線，收費比隨需供應服務還便宜7成

比特幣默克爾樹設計存在弱點，可讓駭客假造有效支付憑證