iThome

新聞

Google宣布加入美國國家衛生研究院（NIH）的科學技術研究STRIDES（Science and Technology Research Infrastructure for Discovery, Experimentation, and Sustainability）倡議組織的合作夥伴，為生物醫學研究提供雲端技術支援，並以嚴格隱私控制有條件對外提供NIH資料集。

Google提到，生物醫學研究隨著發展，面臨了資料爆炸的挑戰。基因組學（Genomic）、轉錄組學（Transcriptomic）、代謝物組學（Metabolomic）與顯型（Phenotype）等研究領域所產生的資料持續成長，根據美國國家生物技術資訊中心的統計數字，每7個月這些資料就會增加一倍。

雖然大量的資料對於分析研究來說是好事，但事實卻十分令人沮喪，這些資料通常難以共享。由於這些生物醫學相關的資料，帶有大大小小的隱私限制而難以彙總使用，不同單位所提供的病患同意條款，不僅非統一規格甚至不可機讀。然而，障礙還不只這些，這些資料使用通常需要以研究人員身分進行，資料集存放的環境可能還缺乏計算彈性。

現在Google與美國國家衛生研究院合作，要用雲端技術來解決這些問題，以可擴展兼具彈性的運算與儲存資源，結合上全球網路與方便的資料準備與分析工具，來推動生物醫學研究。Google作為NIH的STRIDES計畫的合作夥伴，不只提供雲端技術，在協議之中，NIH要求Google以適當的隱私控制，允許對用戶提供由NIH資助產生的數據集。為了簡化這些資料集的存取程序，Google整合其雲端平臺的憑證作為研究人員身分驗證與授權的機制。

現在Google正與全球基因組與健康聯盟（Global Alliance for Genomics & Health）與BioCompute聯盟合作，制定支援資料存取、探索與雲端計算的產業標準。另外，Google也持續發展Variant Transforms等開源工具，方便彙總各地的資料集，使用雲端資料倉儲BigQuery結構化與整合生物醫學資料集。

新聞

針對美國公民自由聯盟（American Civil Liberties Union，ACLU）對Amazon人臉辨識系統Rekognition所做的實驗，錯將28名美國國會議員辨識為罪犯的結果。Amazon回應，這結果與信度閾值設定有關，提高信度閾值便能減少錯誤配對，該公司舉例，人們不會因為烤箱溫度設定錯誤烤焦比薩而丟棄烤箱。

ACLU使用Amazon的Rekognition系統，以25,000張公開的罪犯照片建構了臉部資料庫，並使用當前國會議員的公開照片進行比對，在80％的信度下，發現535位議員被錯誤配對28次，也就是說有28位議員被系統認為是罪犯，正確率95％而錯誤率為5％。Amazon在自家部落格發文回應ACLU的實驗結果，由於無法取得更進一步系統設定的資料，Amazon僅能以目前ACLU公開的資料回應。

Amazon提到，雖然Rekognition系統預設信度閾值為80％，但這僅適用於一般社交媒體名人辨識之用，是無法用於公共安全的。Amazon對用於公共安全目的之應用，根據他們公開的文件建議，應該要將信度閾值設為99％。

Amazon重現了類似ACLU的實驗，他們將學術界常用的臉部資料集850,000張照片作為臉部資料庫，對所有國會成員的公開照片進行比對。Amazon提到，當他們把信度閾值設為99％的時候，盡管Amazon自己所做的實驗，比ACLU的規模大30倍，複雜度更高，但是錯誤辨識率卻是0％。而這個實驗說明了信度閾值設定的重要性。Amazon也提到，ACLU使用的臉部資料集也可能是造成結果偏差的原因之一。

而Amazon拿出了美國國家標準與技術研究所（NIST）的研究資料打臉ACLU，Amazon表示，一般人都以為人類在臉部比對的能力比機器優秀，但事實上並非如此，根據NIST的研究，即便使用比Rekognition落後的臉部系統，其辨識人類臉部的精準度仍然在人類之上。

在現實使用案例中，Amazon強調，Rekognition系統只用於幫助人類縮小可能範圍，並讓人類使用自有判斷能力審查系統的建議選項。這樣的功能對於尋找失蹤人口、打擊人口販賣或預防犯罪有很大的用處。

Amazon提到，當新技術發展時，必須很清楚什麼是真實的，什麼不是，機器學習應用在娛樂與執法上截然不同，他們不會建議執法單位使用小於99％的信度閾值。正確使用機器學習，能為執法單位帶來龐大的價值，但不應該因為沒有正確使用而丟棄工具，Amazon打了個比喻，就像是錯誤設定烤箱溫度而烤焦比薩，我們也不會把烤箱丟掉。

新聞

今年初發生在英特爾、AMD等晶片的Spectre漏洞令人餘悸猶存，現在有研究人員發現新的Spectre漏洞攻擊手法，讓駭客可從遠端發動攻擊，不需植入任何程式碼。

Spectre變種1（CVE-2017-5753）是發生於CPU中推測執行（speculative execution）的功能漏洞，有被駭客發動緩衝溢位攻擊，造成記憶體內容，包括密碼、加密金鑰外洩的風險。但條件是駭客必須在本機上執行程式碼。奧地利格拉茲大學（University of Graz）研究人員展示的新攻擊手法則可以從遠端發動，並不使用本機CPU快取通道。

在名為「NetSpectre」的新手法中，研究人員是以極慢速度將資料從目標機器中外洩出來。首先，他們透過Evict+Reload快取攻擊，以每小時15-bit速度汲取資料。另外，不像原本Spetre變種1攻擊使用的快取通道，他們再利用Intel AVX（Advanced Vector Extension，進階向量延伸）通道以每小時60-bit速度暗中取得資料，這也是第一個不使用快取通道的Spectre漏洞攻擊。他們並證實NetSpectre的攻擊手法可以運用在本地網路以及Google Cloud的VM之間。

研究團隊認為，NetSpectre手法展示了Spectre攻擊已經從本機端擴大為遠端攻擊，也讓為數更多的裝置暴露於風險中。攻擊者只要傳出特定變造過的呼叫，即可存取不同網路間相應應用程式的記憶體內容，甚至整個核心記憶體，通常是系統記憶體。而即使較小裝置上不會造成真正資料的外洩，也會破壞位址空間配置的隨機載入（address-space layout randomization）。

研究人員今年三月發現該漏洞後即通報英特爾，後者已經在第一波Spectre漏洞修補程式中解決。因此如果用戶已經安裝了更新，應該不必擔心。此外，由於此類攻擊會引發同一來源發送相同封包，一些能注意到極低速流量的網路防護產品也應該偵測得到。

英特爾7月更新的繞過邊界檢查漏洞的分析白皮書中，也加入本項新手法的說明。

新聞

上周可說是社交網站的黑暗周，相繼於上周發表第二季財報的臉書與Twitter，在營收及獲利上都交出了亮麗的成績單，不過，臉書因成長趨緩導致股價下滑20%，Twitter則因用戶數流失使得周五（7/27）股價重挫了19.11%。

Twitter今年第二季締造7.11億美元的營收，比去年同期成長24%，其中有6.01億美元為廣告營收，佔Twitter總營收的84.5%。在7.11億營收中，有3.67億美元來自美國市場，國際市場佔了3.44億美元。

該季Twitter達到1億美元的獲利，寫下了Twitter史上的新紀錄，去年同期Twitter虧損了1.16億美元。

在使用人數上，Twitter第二季的每月用戶數為3.35億，雖多於去年同期的3.26億，但比上一季的3.36億下滑了100萬。Twitter說明，這是因為他們該季在某些市場未與電信業者建立付費SMS的合作關係，改善了該平台的健全性，也受到GDPR的些許影響，這些因素讓該站流失了約300萬的每月用戶數。

除了上網張貼消息之外，Twitter也允許手機用戶透過簡訊（SMS）張貼文章，但使用者必須向電信業者支付簡訊費用。而平台健全性的改善則是與Twitter移除假帳號的大規模行動有關，目前Twitter平均每周會質疑900萬個帳號的真實性，以移除假帳號或專門用來散布垃圾訊息的帳號。

儘管Twitter營收與獲利都超越華爾街分析師的期待，但上周五Twitter的股價卻大幅下滑19.11%，為2014年以來的最高跌幅，以36.4美元作收。

根據DreamGrow的統計，Twitter名列全球熱門社交網站排行榜上的第六名，僅次於Facebook、YouTube、Instagram、Qzone與微博，雖然它在台灣市場並沒有受到特別的關注，然而根據調查，全球有125個國家的元首及139個高知名度的政治家都擁有Twitter帳號，且約有30位會自行發布推文，最知名的人物之一為美國總統川普（Donald Trump）。

新聞

由OpenStack基金會主管的容器專案Kata Containers，結合Intel的輕量級虛擬化技術Clear Containers，以及相容開放容器OCI標準的runV技術，想要兼顧VM的安全性，及容器技術的輕量性。在近日，Kata Containers登上了Canonical軟體市集Snap Store。

參與Kata Containers專案的Intel Linux軟體工程師Julio Montes表示，利用Snap格式打包Kata Containers，系統可以自動更新或快速回復至舊版。此外，可以讓更多開發者接觸到該專案，並且將該應用程式部署於雲端環境執行。目前Kata Containers可以支援的Linux作業系統版本，包含Ubuntu、Linux Mint、Manjaro、Fedora、Debian、ArchLinux、OpenSUSE、Solus。

Kata Containers在2017年問世，總共由6個重要元件組成，包含Container Runtime、Container Proxy、Container Shim、Container Agent等元件。在今年5月時，Kata Containers也正式推出釋出1.0版，可以支援公有雲、私有雲、容器即服務，或者邊緣運算等情境，而支援OCI、CRI-O格式，也讓Kata Containers可以使用Docker Swarm、Kubernetes等工具調度。

Kata Containers選擇的技術方向，是以硬體虛擬化技術為基礎，讓每個容器都能獨立隔離，解決容器共用作業系統核心帶來的安全疑慮。而Kata Containers所支援的硬體虛擬化平臺，有Intel VT-x、Arm Hyp mode，以及IBM Power系統。現在該專案的主要貢獻者除了Intel、Dell、紅帽、Arm、Canonical外，SUSE、Mirantis也都有支援該專案。

現在軟體開發市集也是各家IT廠商要搶攻的市場，像三大公有雲廠商都有提供軟體市集，讓企業用戶可以更簡單取得商軟解決方案。在Kata Containers、PowerShell加入之後，Snap Store也變得越來越熱鬧。

Kata Containers以硬體虛擬化技術為基礎，讓每個容器都能獨立隔離，解決容器共用作業系統核心帶來的安全疑慮。在Linux Kernel之上，每個容器都有獨立的作業系統核心，改善容器技術共用核心可能帶來的風險。圖片來源：OpenStack基金會

新聞

臉書繼年初證實有「-1」（downvote）功能後，上周媒體發現臉書在美國又在特定用戶帳號測試這項功能。

Ars Technica發現，某些被選定的用戶的手機版臉書app上的貼文旁邊，出現了向上及向下箭頭，並有指示數量的數字。臉書並列出「支持更好的評論」，說明這項功能是用於「支持體貼的發言，而抑制不文明或不相關的評論。」

今年2月首度在美測試時，臉書曾提及測試對象涵括約5%的Andriod手機用戶。但這次，雖然媒體發現已擴及iOS版臉書app，但未獲臉書評論。

雖然臉書半年前就證實有這項功能，但是顯然該公司對於它的定位相當謹慎。根據媒體抓到的擷圖來看，按讚及其他表情符號仍然位於貼文的下方，顯示這個「-1」功能並非用於「讚」（like）的相反動作，而更偏向發言秩序的管理機制。這項功能5月初在澳洲及紐西蘭測試時，臉書更清楚說明它是用作「具有不好意圖或態度不良的評論，」但不適用於表達不同意的禮貌性言論。

事實上，臉書勢必不想再讓平台上充滿暴戾之氣。這半年來假新聞、仇恨、暴力言論讓臉書陷入社會輿論的撻伐風暴，迫使臉書必須增加大量人力及技術投資來過濾及檢查平台上的內容，直接墊高成本，同時還面臨歐盟及美國政府單位的調查。

新聞

美國德拉瓦州地方法院的陪審團在上周認為團購網站Groupon故意侵犯了與網路有關的4項IBM專利，判賠8,300萬美元，讓日益沒落的Groupon雪上加霜。

當初IBM指控Groupon侵犯該公司4項專利，所要求的賠償金額為1.67億美元，儘管陪審團只判賠8,300萬美元，但因認為是故意侵犯，因此IBM得以向法官要求提高賠償金額，而Groupon則在考慮是否提出上訴。

Groupon認為IBM訴狀中所指涉其中兩項專利是在1980年代取得，距離Groupon創造團購風潮有30年之久，指責IBM的策略與敲詐沒有兩樣。

至於IBM也透露了不管是Amazon、Google、Facebook、Twttier或LinkedIn都是該公司的授權客戶，Groupon自然應該合法取得專利授權。IBM目前握有逾4.5萬個專利技術，其授權業務去年替IBM賺進了11.9億美元。

此一結果讓Groupon上周五（7/27）股價下跌了7.81%，以4.84美元作收。

2008年成立的Groupon提供了以城市為基礎的團購服務，產品類別涵蓋活動、旅遊、餐廳與服務等，一方面成為業者推廣與行銷的平台，另一方面替使用者蒐集優惠方案，亦於2010年買下台灣的地圖日記並成立Groupon台灣，曾掀起全球的團購網風潮。

不過，低門檻的團購網讓Groupon陷入了四面楚歌的窘境，在2015年3月的極盛時代，Groupon進駐了全球48個國家，但現在只剩15個，Groupon台灣則早在2015年9月終止營運。現階段Groupon的營運表現仍然偏弱，該公司今年第一季的營收為6.26億美元，比去年同期下滑7%，虧損了280萬美元，但優於去年同期的2,090萬美元虧損。

新聞

一名安全研究人員暨惡意程式分析師Ivan Kwiatkowski上周揭露駭客仿冒了眾多知名開源軟體的官網，誘導使用者下載並安裝相關軟體，卻在軟體中植入了廣告程式來牟利。

Kwiatkowski最早發現的是假冒為Keepass的Keepass.fr。Keepass為一開源的密碼管理程式，支援Windows、macOS與Linux等作業系統，它的官方網站為Keepass.info，但駭客卻建立了Keepass.fr，企圖魚目混珠。

Spotted: a French website impersonates @KeePass at https://t.co/MU82EGmKz8, bundles it with adware (https://t.co/YKCFGEBlch) and worst of all (apologies to non-French speaking readers): pic.twitter.com/XWiXgDuevH
— Ivan Kwiatkowski (@JusticeRage) 2018年7月24日

Kwiatkowski的發言引起了另一名安全研究人員Lewis的迴響，雙方你來我往地在Twitter上建立清單，顯示不只是Keepass，受到駭客青睞的知名軟體還有7-Zip、Clonezilla、Greenshot與Audacity等，有些同時提供了法國（.fr）與西班牙（.es）的仿冒網站，而且這些網站的申請人都是來自於同一個帳號。

例如除了假的Keepass.fr之外，駭客還建立了Keepass.com；而壓縮程式7-Zip的官網為7-zip.org，但駭客建立了7zip.fr；而由台灣國網中心所開發的Clonezilla硬碟克隆軟體官網應是clonezilla.org，駭客則為其打造了clonezilla.es及clonezilla.fr；開源螢幕截圖軟體Greenshot的官網是getgreenshot.org，網路上則有假冒的greenshot.fr；開源的錄音與音訊編輯軟體Audacity的官網為audacityteam.org，駭客亦建立了audacity.es與audacity.fr。

其它遭到駭客利用的熱門軟體至少還包括Celestia、Notepad2、Paintnet、Scribus、Azureus、Unetbootin、Inkscape、Handbrake、Gparted、Stellarium、Gimp與Thunderbird。

資安專家則建議使用者要下載自由或開源軟體前，得先確定官網位址，就算自以為是從官網下載，也最好經由防毒軟體進行掃描。

新聞

微軟Azure AD近期發布不少新功能，像是與公雲儲存整合，加強RBAC存取機制。同時加強Azure AD安全性，同時要求特權號必須採用多因素身分驗證，以強化相關帳號的保護。而近日該公司則是宣布公有雲監控服務Azure Monitor，開始整合Azure AD事件日誌（Activity Logs），目前此服務已經邁入公開預覽版。

這一次微軟釋出的整合服務，總共有三個特點。首先，使用者可以利用Azure Monitor，結合AD Logs數據與企業用戶的儲存帳號、Event Hub。再者，它可以整合企業內部的SIEM產品，管理員不需要維護、開發自有的腳本程式。目前與微軟合作，提供SIEM整合解決方案的廠商為Splunk。最後，此服務也能與企業用戶內部既有的分析工具、事件管理產品整合。

微軟表示，Azure AD事件日誌開始整合Azure監控功能後，使用者可以將稽核Log數據，封存至Azure儲存帳號，延長數據儲存的時間。再者，也可以串接稽核Log資料與Azure Event Hub，使用Splunk、QRadar等SIEM工具進行分析。

以Splunk的解決方案為例，使用者在儀表板內，可以利用不同角度，觀察使用者的登入行為。像是以月份為單位，統計使用者的登入量、登入錯誤次數，或者分析使用者多半在哪些地區登入。在使用選單中，管理員可以設定Log資料要封存至哪個儲存帳號，以及是否與Event Hub串接。此外，管理員也可以設定Log資料要留存的時間，以便未來稽核使用。

在整合頁面中，使用者可以設定Log資料要封存至哪個儲存帳號，以及是否與Event Hub串接。此外，管理員也可以設定Log資料要留存的時間，以便未來稽核使用。圖片來源：微軟

微軟也與外部廠商合作，企業用戶可以透過Event Hub，串接內部既有的SIEM工具及Azure AD Logs，進行後續分析。圖片來源：微軟

以Splunk的解決方案為例，使用者在儀表板內，可以利用不同角度，觀察使用者的登入行為。像是以月份為單位，統計使用者的登入量、登入錯誤次數，或者分析使用者多半在哪些地區登入。圖片來源：微軟

現在Azure AD與Azure Monitor加強整合後，使用者可以將資料封存至Azure儲存帳號，延長資料儲存時間。或者是與Evnet Hub結合，讓企業自有的SIEM工具、客製化應用等解決方案，可以分析Azure AD的數據。圖片來源：微軟

新聞

Google在其Cloud Next發表了多項雲端安全性服務，其中一項便是雲端託管硬體安全模組HSM（Hardware Security Module）服務，讓用戶可以託管加密金鑰以及執行加密操作，並且與金鑰管理服務（KMS）整合，讓用戶使用硬體所建立並保護的金鑰變得非常簡單。

Cloud HSM是在GCP上即將要推出的硬體安全模組服務，透過在雲端上託管，免除企業自行管理HSM叢集的麻煩，不再需要進行擴展或是安全性修補的成本支出，透過API就能操作並自動化使用Cloud HSM服務。Cloud HSM支援對稱與非對稱金鑰，用戶可以使用對稱的AES-256，以及RSA 2048、RSA 3072、RSA 4096、EC P256以及EC P384非對稱加密金鑰來加解密與進行簽章作業。

Google強調，Cloud HSM經過美國政府電腦安全標準FIPS 140-2等級3認證。該項用來認證加密模組的標準，總共有四個等級，而等級三的FIPS 140-2除了包含等級1最基本的加密模組，像採用受認證的演算法或是安全功能外，還加上等級2物理防竄改機制，在等級3階段還多了防止駭客存取關鍵安全參數（CSPs）的加密模組，其所提供的物理安全機制能檢測和回應物理存取、使用與修改。

Cloud HSM與原本的Cloud KMS服務緊密整合，用戶可以在Cloud HSM中建立並儲存客戶管理式的加密金鑰，而這也讓在硬體中建立和保護金鑰的過程變得簡易，並且可以與諸如BigQuery、Google Compute Engine、Google Cloud Storage以及DataProc等與客戶管理式加密金鑰（CMEK）整合的服務一併使用。而且使用Cloud HSM來建立以及使用的金鑰都無法從HSM叢集中刪除，而且金鑰創建過程，也會產出證明Token，用來驗證HSM生成的來源。

而該服務將在全球多個位置與區域中可用，允許用戶將服務放至在需要的位置，以降低延遲與提高可用性，一旦用戶在特定區域建立了金鑰，則該金鑰便會被綁定到該區域的硬體上加以保護。

新聞

瀏覽器業者Opera在上周五（7/27）以12美元的發行價掛牌上市，首日股價上漲9.25%，以13.11美元作收。

Opera堪稱為瀏覽器產業的元老，它在1995年就成立了，與微軟的IE同一年，只比Netscape Navigator晚了一年，但它從未超越Netscape Navigator或IE，也很快就被之後的Firefox（2002年）、Safari（2003年）、Chrome（2008年），甚至是2015年才出爐的Microsoft Edge趕上，然而它卻一直存活著。

根據NetApplications的統計，Opera+Opera Mini現於全球的市佔率只有2.11%，落後Chrome的62.0%、Safari的15.4%、Firefox與IE的6.0%，以及Edge的2.15%。

目前Opera約有3.2億用戶，其中1.8億為行動瀏覽器用戶，逾5,700萬為桌面瀏覽器用戶，亦有9,000萬的Opera News用戶，去年營收接近1.29億美元，成長20.1%，獲利610萬美元。而今年第一季也創下3,940萬美元的營收與660萬美元的獲利。

身為幾乎墊底的全球瀏覽器業者，Opera卻能保持獲利狀態。Opera財務長Frode Jacobsen在接受Business Insider專訪時表示，該公司的成長與獲利是並駕其驅的，主要利基在於開發中市場，3.2億的用戶中，約有1億位於非洲，其中一個關鍵因素是Opera Mini在資料傳輸上的作法是先將網頁導Opera伺服器進行壓縮，再傳至用戶手機上，除了能夠加快載入速度之外，也能節省手機所耗費的頻寬。

而去年初才發表的Opera News更是Opera獲利的關鍵之一，它在去年第三季開始銷售廣告，且今年第一季的用戶數已超過9,000萬。

Opera瀏覽器原為挪威品牌，也是挪威的上市公司，一直到兩年前被中資買下，並重新以OPRA為代號登上美國的那斯達克（Nasdaq）股市。

新聞

早在2016年，Google就與Accenture結為策略聯盟，為零售、醫療保健、能源與金融等特定產業推出解決方案，而在今年的Cloud Next18，Google更宣布與Accenture擴大合作，由雙方派出專家共同組成Accenture Google雲端事業群（Accenture Google Cloud Business Group，AGBG），最初目標為北美、歐洲與日本的客戶提供服務。

透過結合Accenture的產業專業以及使用Google的雲端產品，由兩家公司各自派出專家組成的AGBG，將會共同為客戶建構針對特定行業的雲端解決方案，最初目標專注在零售、包裝消費品（CPG）和醫療保健3個領域上，並且鎖定北美、歐洲和日本的客戶。

Google雲端與Accenture雙方明確的定下了AGBG所提供的5項業務範圍，首先、AGBG將為企業建構基於人工智慧與機器學習技術的下一代商業流程，為產業創造新價值。第二、透過將企業工作負載從本地端移至GCP上，幫助企業實現資訊架構現代化。第三、透過GCP上SAP的託管解決方案，為客戶提供全球規模的SAP服務。第四、將企業內部的資料與Google Marketing Platform上的資料結合，找出資料中的洞察並提高消費者參與度。最後，跨企業的擴展G Suite以重構原生雲端生產力。

早在2016年時雙方便策略聯盟，在多個特定垂直產業的解決方案上合作，而在今年Accenture更被評為2017年Google雲端平臺年度合作夥伴。Accenture表示，AGBG的合作擴展了雙方的長期聯盟，而Accenture原本的雲端卓越中心（Google Cloud Center of Excellence）也將在這次的合作中被併入AGBG中，鎖定高成長的產業以加速客戶採用Google雲端服務。

新聞

為了擴大市占，各大公有雲都開始與軟體供應商合作，將本地應用推上雲端環境。而甲骨文近日與SAP推出新合作案，自家雲端虛擬機服務開始要支援SAP NetWeaver應用程式。該公司表示，原先只有裸機實例可以執行SAP NetWeaver，而這一次的聯手計畫，擴大了SAP企業用戶可以選擇的解決方案。既有導入甲骨文雲端資料庫服務的公司，現在該環境也可以同時相容SAP應用程式。

甲骨文表示，這一次的產品發布，能將使用者在既有資料中心內的操作體驗，推上至雲端環境，「不需要重新訓練團隊。」而應用程式執行環境的選項，甲骨文也一次支援裸機環境、虛擬機環境。根據甲骨文釋出的白皮書，偏好裸機環境的企業用戶，可以選擇36核心、52核心的處理器，至於虛擬機環境，該公司則提供1、2、4、8及16核心處理器的選項。同時甲骨文也建議企業用戶，搭配NVMe儲存架構，讓SAP實例可以支援大規模部署。

SAP近年與雲端廠商的合作相當密切，在2017年Google Next雲端大會上宣布與Google結盟，讓SAP HANA登上GCP。而在2018年自家的用戶大會上，則是與阿里雲聯手，將多項產品搬上阿里雲，像是SAP HANA、SAP MaxDB、SAP ASE等服務。

新聞

新興的加密貨幣交易，亂象不光是交易所遭駭的事件經常發生，針對使用者下手的詐騙手法不斷出現，也是需要值得留意的現象，像是如同一般銀行的金錢往來，利用人頭戶冒領比特幣的詐騙手法，也在加密貨幣交易所中出現。幣託（BitoEX）交易所首席技術長林書維表示，21世紀是數位貨幣的時代，同時也是數位犯罪的時代，儘管交易所要從系統端保護用戶的戶頭，但繞過系統、針對使用者的詐騙手法，卻較少有人留意。因此，他在HITCON #14大會上特別呼籲，對於擁有加密貨幣帳號的用戶，切勿讓自己因與自身切身相關的身分證件、銀行帳號、手機門號交由他人使用，或是因公開自己的個人資料，而暴露在危險之中，成為數位貨幣詐騙事件的受害者。

林書維指出，在這種針對使用者的數位貨幣詐騙事件中，由於犯案的門檻非常低，而且贖金往往不需要面交，也難以追查犯罪所得的流向等因素，使得這種案件不斷發生。他表示，以幣託交易所而言，在此種事件中，由於交易所已經落實了KYC（Know Your Customer）實名機制，例如在註冊時，便藉由多種方式，識別認開立帳戶的人，就是真正使用者，因此在法律責任上，交易平臺通常是負責舉證責任的善意第三人，責任較輕。然而，對於持有人頭帳戶的用戶來說，可就不是如此了。

基於加密貨幣的詐欺案件中，上述人頭帳戶的所有人，往往會將自己的銀行帳戶、手機門號交由他人使用，因此在刑事上，法院通常認為是幫助詐欺，而在民事上，持有這種帳戶的使用者，角色則是共同侵權行為人，也就是一般所謂的共犯，必須負擔賠償龐大的詐騙金額。林書維表示，這種人頭帳戶的使用者，相當難以證明自己是受害者，加上檢察官會先行起訴，因此，依據他們的實務經驗，大約僅有一成的人能免於留下案底，以及背負大筆賠償的命運。

基本上，人頭帳戶的來源，包含了由報紙刊登廣告，高價購買銀行帳號或手機門號使用權，也可能假冒貸款代辦公司，或是設下求職騙局等手法，藉此冒用受害人的證件與銀行帳號。林書維說，對於這種能夠繞過加密貨幣交易所實名帳戶制度的犯案做法，他們更難以防範。

其中，有些人頭帳戶的案例聽起來相當離譜，像是詐騙集團會要求求職者，在複印的身分證件影本上，寫上僅供某某交易所註冊使用，這顯然不是一般公司行號備查求職者身分證件時，會出現的註記內容。然而在交易所的了解之下，受害者卻表示，他們為了得到工作，只好照著要求寫上，而不理會這些內容的合理與否。

不過，林書維指出，對於這種人頭戶的現象，幣託現階段主要是對於異常金流加以管制，其做法已經相當接近一般銀行的制度。例如，在靜態的控管措施上，幣託交易所不只採取了實名帳戶制度，也有提款上限等管制機制，而在動態偵測異常的方式而言，他們則是對於使用者操作的行為加以分析，由大數據找出疑似異常的行為，並進行監控，甚至予以凍結帳戶。不過，在幣託的經驗中，也遇到系統發現使用者大量購買比特幣，已經封鎖他的戶頭，但受害者仍執意購買的情況。

經幣託的了解，該名使用者是現役軍人，上網尋找援交而被勒索，對方要求購買比特幣做為封口費，而受害人為求保住工作，採取支付前述費用，之後才向警方報案。

此外，林書維也說，他也聽聞有些使用者因想要賺取匯差，與歹徒進行實體面交，導致遭到設局，把比特幣或是金錢交給歹徒後空手而回的情形。

總而言之，林書維認為，面臨數位經濟，對於陌生人應該還是要時時保持懷疑，拒絕出讓銀行帳號、提款卡，以及手機門號，以免變成人頭戶，也要避免暴露個資，成為有心人士下手勒索的對象，再者是不要面交數位資產，因為通常會有去無回。

新聞

不到一年前才為了Firefox Quantum而推出更簡約、明亮圖標的Mozilla，周一宣佈為新增的Firefox家族產品又要再增加新圖標設計，這次則對外公開徵求意見。

因應網際網路的快速變化，Firefox已經從單一個瀏覽器衍生行動版、VR/AR版本及網頁擷圖、加密檔案傳輸和語音搜尋等工具。為此，Mozilla認為，光是一隻擁有火焰尾巴的狐狸已不足以代表整個產品家族，而改變色彩或ASCII版的火狐也還是不夠，必須打造全新的圖標系統。

Mozilla團隊設計出兩套系統想徵求用戶的意見。第一組是狐狸頭，第二組是接近原始火狐蜷著尾巴的圖示（上圖），兩組都是以新設計的Firefox Quantum桌面版logo為中心主題，再為開發版Firefox（Developer、Nightly）、單一功能（行動版、VR）瀏覽器和附加應用及服務衍生出圖標。秉持著透明與參與的精神，Mozilla歡迎大家在官網部落格上留言表達意見。

不過這些設計並非教設計師免費貢獻出來，Mozilla也不是要眾籌集資，也不會有正式的投票表決機制。最後決定權仍在Mozilla手上。

Mozilla表示，該公司的決定將取決於新設計是否忠於Firefox精神，是否能代表Firefox代表的速度、安全、穩定、創新和機智、以及傳達Mozilla重視人本超過獲利的公司價值、系統中的設計是否彼此統一連貫，以及是否能延伸涵括未來產品等條件。

新聞

各國對加密貨幣產業的監管不一，以亞洲地區加密貨幣發展較快速的日本、南韓、中國來說，為了遏阻利用ICO（首次代幣發行）進行投機炒作的行為，也都紛紛祭出法令管制ICO，尤其中國更是全面禁止ICO。反觀臺灣，在加密貨幣相關產業的法規上相對寬鬆，在政策上仍還沒定調，也成為了一片沃土，吸引外來業者來此拓展市場。

去年底才上線的中國虛擬貨幣交易管理應用程式BitUniverse（幣優），在30日宣布將來臺設立分公司，不過對於具體設立時程和未來在臺業務內容，則還未定。BitUniverse先前也在新加坡發表，但臺灣是第一個宣布籌設分公司的海外據點。BitUniverse創辦人陳勇解釋，臺灣法規寬鬆，對加密貨幣的環境相對友善，是他們進軍臺灣的原因之一。

BitUniverse目前提供用戶全球200多家交易所，5000多種加密貨幣的即時行情，並支援將近30家加密貨幣交易所自動記帳的功能。據BitUniverse宣稱，已有40萬次下載量，在為數不多的同類跨交易所App中排名第三，名列第一、二名皆是美國的虛擬貨幣資產管理應用程式，分別是Blockfolio、Delta。

陳勇表示，BitUniverse最大的特點，就是能為用戶提供持有加密貨幣的盈虧狀況，而這也是長期以來交易所無法提供的。他解釋，統計數顯示，8成到9成買賣加密貨幣的用戶，都是虧損的，真正賺錢的是少部分群體。所以，交易所為了刺激用戶交易，會將交易過程中的資料顯示不完整，甚至是完全隱藏那些會降低用戶交易意願的數據，例如交易記錄、加密貨幣盈虧情況分析。而BitUniverse要做的，就是透過API連接各個交易所，自動記錄用戶在各交易所的每筆交易，並以演算系統算出用戶的盈虧情況，讓用戶在個人資產管理上，能更為清楚。

不過，與BitUniverse合作，對交易所有何好處？陳勇表示，未來交易所會演化，大型交易所會變成巨大的交易中心，比起服務散戶，他們將會更願意服務擁有龐大交易規模的機構用戶或是券商。而BitUniverse未來就是要成為券商的角色，透過此平臺接觸大量的一般用戶，買賣服務仍與各交易所對接，交易所也可透過BitUniverse作為一般用戶入口，兩者可形成互補的關係。

其實，不止BitUniverse，中國獵豹移動在臺事業夥伴雪豹科技，也在今年5月底發表Contentos區塊鏈技術暨數位內容產業協定，要用區塊鏈解決內容產業的痛點，包括廣告收益長期被平臺把持，創作人收益不成比例。並與中國獵豹科技旗下的LiveMe、Cheez及PhotoGrid合作，讓用戶習慣以代幣打賞的機制，之後Contentos也會開始引進到獵豹科技旗下的其它應用程式，包含遊戲、清理工具等等。

新聞

資安業者 Check Point本周公布了大規模惡意廣告的供應鏈，此一供應鏈由劫持1萬個WordPress網站廣告版位的Master134、知名廣告網路AdsTerra，以及惡意廣告主所組成，這些本質為駭客的廣告主藉由該供應鏈遞送了夾雜金融木馬、勒索程式或殭屍程式的惡意廣告，且平均每周有4萬次的點擊。

Check Point的調查顯示，約有1萬個WordPress的網站遭到Master134危害，將流量轉移到Master134伺服器，而這些遭駭網站都是採用含有遠端攻擊漏洞的WordPress v.4.7.1。

於是Master134在AdsTerra廣告網路上扮演出版商的角色，釋出廣告版位供廣告代理商或廣點主購買，有趣的是，直接向AdsTerra競標Master134廣告版位的廣告主，全都是駭客集團，顯示Master134在駭客圈已頗有名氣。

不管是AdsTerra或其它廣告代理商都是合法公司，或許這些供應商並沒有涉及Master134的操作，Check Point猜測是駭客直接付款給Master134，Master134再支付費用予AdsTerra或廣告代理商，以遮掩流量的來源或讓流量觸及所預設的銷售對象。

Check Point認為，這看起來像是多個惡意集團利用合法的第三方廣告網路成功地維繫了彼此之間的合作，其中最關鍵的就是AdsTerra。另也建議廣告代理商應該要知道他們的廣告客戶是否為壞人，但大多數的廣告代理商並不會審核客戶，對企業而言，最有效的方式應該是在網路上部署入侵防禦系統，同時在員工終端加裝沙箱以封鎖零時差攻擊。

新聞

路透社及印度媒體報導，印度政府正在草擬電子商務公司管理法案，將規定社交網路及電子商務業者必須將客戶資料儲存於印度境內，此舉將直接影響國際業者如臉書、Amazon等。

報導引述印度商務部提出的電子商務政策草案，物聯網設備在公共空間蒐集的社區資料，以及由電子商務平台、社交網站、搜尋引擎等來源產生的印度用戶資料，必須全數儲存於印度境內。另外，草案規定，在消費者同意下，消費者產生的資料可以在印度不同平台間轉移。

這份名為《國家政策》的草案文件是由商務部底下的智庫制訂，旨在要求所有印度民眾的重要個人資訊都必須在印度境內處理。

雖然本草案看似保護消費者隱私，但該政策提議，政府基於國家安全及公共政策目的有權存取印度境內儲存的資料。本草案並指出，在法案上路前，將給相關企業2年時間來因應。

這些提議引發該國網路倡議人士批評，已超越電子商務的範疇，而涉及所有網路公司業者，包括臉書、推特、Amazon、Google、微軟Bing等公司在印度的資料儲存，也可能在政府監控及資料存取未法制化時，導致人民隱私的侵犯。

本法還需經印度國會表決。如果通過，印度將成為中國以外另一個強制要求網路服務的資料儲存於當地資料中心的國家。在中國法規下，今年初蘋果將iCloud轉交中國ISP雲上貴州營運，本月在後者與中國電信的合作下，中國iPhone用戶資料將儲存在中國電信的資料中心裏。微軟則是和當地ISP共同經營，Amazon也是將其AWS資料中心賣給當地業者。

新聞

MotherBoard於本周披露，一名20歲的大學生Joel Ortiz在今年7月中旬於洛杉磯機場準備飛往歐洲時遭到美國警方逮捕，原因是他涉嫌劫持他人SIM卡以竊取加密貨幣，顯示美國警方已開始關注這類新興的駭客手法。

警方之所以展開調查是因收到一名區塊鏈投資人的報案，指稱他的手機號碼在今年初兩度被劫持，駭客繼之掌控了他的Gmail與加密貨幣帳號。警方隨後以搜索票要求AT&T提供該電話號碼的資訊，發現有兩支不屬於受害者的三星手機曾使用該號碼，也獲得這兩支手機的國際行動裝置識別碼（International Mobile Equipment Identity，IMEI）。

繼之警方再以搜索票要求Google提供與這兩個IMEI號碼有關的帳號資訊，結果便找到了Ortiz，發現他不但註冊了釣魚網站，也曾上傳駭客教學影片，涉嫌重大，再循線找到Ortiz的加密貨幣交易紀錄。

此外，這兩個IMEI號碼曾使用約40個電話號碼，意謂著可能有40個潛在受害者。

Ortiz在被警方逮捕之後坦承他與同夥已利用SIM卡劫持（SIM hijacking，或稱SIM swapping）手法盜走價值數百萬美元的加密貨幣。

所謂的SIM劫持是駭客利用所取得的電話號碼與其它資訊以假冒用戶本人向電信業者申請新的SIM卡，再藉以登入受害者的社交網站或其它帳號，而Ortiz鎖定的則是加密貨幣用戶，例如Ortiz就在今年5月舉行的Consensus 2018 區塊鏈技術高峰會上大展身手，有多名與會者的手機遭到劫持。

目前Ortiz面臨身分竊盜與電腦犯罪等逾20項指控，預計於8月上旬展開聽證會。

新聞

今年4月時，三大瀏覽器Google Chrome、Mozilla Firefox及Microsoft Edge，都承諾要支援FIDO2身分驗證功能。而近日，微軟正式宣佈，自家瀏覽器Edge要開始支援W3C的Web Authentication標準，讓使用者可以利用指紋資料、PIN碼、人臉辨識，或者支援FIDO2的裝置，登入網頁，減少使用密碼登入的機會，提升瀏覽安全。

當今瀏覽器扮演一般人生活的重要生活工具，包含經手線上刷卡消費、儲存個人地址等私密資料。而微軟認為，使用密碼作為資料保護防線，除了難記憶外，密碼也經常重複，而且容易被駭。也因此，微軟開始與FIDO聯盟合作，一同開發無需密碼認證的Web Authentication。自2016年，該公司即開始嘗試在Edge瀏覽器中實作Web Authentication API，到了今年5月，支援Web Authentication的Edge候選版本也釋出。

現在微軟能支援免密碼登入的方式，已經涵括人臉、指紋及PIN等機制。像是微軟自家的登入機制Windows Hello，只要該裝置安裝的作業系統為Windows 10，使用者就可以利用生物特徵辨識機制，直接進行認證。或者，使用者也可使用支援FIDO2標準的外接裝置，利用PIN碼或生物特徵進行登入。

微軟自家的登入機制Windows Hello，只要該裝置安裝的作業系統為Windows 10，使用者就可以利用生物特徵辨識機制，直接進行認證。微軟示範，在Edge瀏覽器中搭配該機制，使用者可以免輸入密碼，直接購物。圖片來源：微軟

【Google Cloud Next18】Google和美國國家衛生研究院聯手打造全球生物醫學資料生態系統

ACLU實驗臉部辨識發現錯誤率太高，Amazon：是信度閾值設錯了

新Spectre漏洞攻擊手法，可從遠端竊取機器資料

Twitter獲利創新高，但用戶數流失100萬人，股價重挫19%

Kata Containers登上Canonical軟體市集Snap Store

傳臉書的「-1」功能在美擴大測試

Groupon遭判侵犯IBM專利，得賠8,300萬美元

下載Keepass與7-Zip等知名軟體，小心誤闖山寨官網被植入廣告程式

微軟Azure AD事件日誌開始整合Azure監控功能

【Google Cloud Next18】Google即將推出雲端託管硬體安全模組HSM測試版

老牌瀏覽器業者Opera以12美元上市了，首日上漲9%

【Google Cloud Next18】Accenture與Google雲端擴大合作，合組事業群加速企業上雲

甲骨文公有雲開始支援SAP NetWeaver

數位貨幣交易所執行長揭露加密貨幣交易亂象，且難以透過交易系統進行防範

火狐瀏覽器家族壯大，Firefox為新Logo設計廣徵意見

看上臺灣虛擬貨幣法規寬鬆，中國虛擬貨幣交易管理App也要搶進臺灣市場

以合法掩飾非法，大規模惡意廣告供應鏈現形!

傳印度考慮要求社交網路、電商用戶資料儲存於當地資料中心

大學生因劫持他人SIM卡竊取加密貨幣被逮

微軟Edge開始支援Web Authentication，免密碼! 靠指紋、人臉就能登入網頁