08/08~08/14精選Container新聞

#AMIS #Kubernetes
臺灣區塊鏈新創AMIS怎麼用K8s？架構師大方上網分享自建經驗

臺灣商用區塊鏈新創AMIS一位軟體架構師Alan Chen近日將自家公司部署K8s的經驗大方公開上網。AMIS為了建置區塊鏈平臺，積極導入各種新技術，Kubernetes也是其中之一。Alan Chen利用了HashiCorp的基礎架構部署工具Terraform來建置，之所以選擇這套工具的關鍵是，可以透過Terraform命令列工具提供的四個指令init、plan、apply和destroy，就能完成大部分的部署工作，再搭配宣告式的配置檔，內部開發人員只需要描述自己對基礎架構的需求，而不用知道如何取得這些基礎架構資源。AMIS還利用了Terraform上的一個開源模組ElastiKube，來建立K8s區塊。完整內容

#封包監控 #容器叢集效能
量測大廠也要進軍容器和K8s監控，Ixia推出套裝容器叢集網路可視化服務

美國量測大廠Keysight旗下子公司Ixia近日推出一款容器和Kubernetes叢集的套裝檢測服務Cloudlens可視化平臺。可以提供24小時的監控服務，追蹤容器化應用的網路封包派送情況，將企業部署在雲端環境中的容器或是Kubernetes叢集的運作情況可視化。目前可以支援主流Kubernetes代管平臺，包括了AWS EKS、微軟AKS和Google的GKE。這套系統也可以用來追蹤實體設備網路流量，還能將資訊整合到企業的應用程式效能管理或網路效能管理機制。

#大數據預處理 #Paxata
大數據預處理軟體也能用Kubernetes強化即時處理速度

美國一家自助式資料預先處理軟體商Paxata開始利用Kubernetes來強化自家產品的即時處理能力。Paxata的資料預處理引擎，主要部署於記憶體式大數據分析框架Spark上，現在Paxata在自家軟體增加了一個擴充runtime，可以將原本的批次預先處理作業，打包成Kubernetes的應用程式，發布到雲端Kubernetes服務來成為隨時執行的任務。這是Paxata一系列Kubernetes產品強化的第一項，Paxata也因此改採訂閱付費制，來取代過去的軟體授權銷售方式。

#VMware #Docker
最新調查：更多企業改用容器取代VM來節省授權費

一家裸機容器基礎架構商調查576位中大型企業的資訊主管，了解企業基礎架構部署動向。這群作答者所屬企業，有34％每年VMware軟體授權費超過了25萬美元（臺幣750萬元），費用超過10萬美元（臺幣300萬元）者也有55％。因此，44％的作答企業決定改用正式上線系統改部署到容器環境來降低授權費。根據這份調查，對企業來說，採用Docker技術的比例仍舊高於Kubernetes，有52％作答者採用Docker，Kubernetes採用者只有3成。已經採用容器技術者，71％是在虛擬機器中執行容器化應用，尤其是部署在雲端虛擬機器中居多。

#Docker桌面版 #Windows 10
Docker桌面版可以部署K8s了，在桌機部署K8s叢集更簡單了

Docker公司最近宣布Docker桌面版中的Kubernetes調度工具支援已經進入穩定版本了，Docker用戶，可以切換Kubernetes和Swarm以供容器調度引擎之用。這意味著，更容易在Windows 10或者是Mac OS上安裝Docker桌面版，來部署一套桌機上的Kubernetes叢集這套桌面上的Kubernetes也能整合到開發者的容器開發流程上，做為其中一項測試環境之用。目前Docker桌面版，可用來部署.NET、NodeJS和Java應用，只需要透過Compose檔案就能將這幾類應用部署到Kubernetes環境中。

#CNCF #Prometheus
Kubernetes後，Prometheus也從CNCF基金會畢業了

繼Kubernetes專案之後，近日，CNCF基金會宣布第二個畢業專案出爐，這次輪到受開發者喜愛的開源監控專案Prometheus，這也是容器開發者愛用的監控平臺。CNCF基金會營運長Chris Aniszczyk表示，從2012年起，Prometheus就已是頂尖的開源監控方案。第二個被納入CNCF基金會育成專案的Prometheus，在2012年開源釋出，並於2016年捐給該基金會後，已經發布了30個版本。現在該專案已經有近20個核心維護者，並且有超過1,000名開源貢獻者。而使用該監控專案的企業，包含Uber、DigitalOcean、ShowMax、ShuttleCloud等公司。

#Functions #Serverless
Google事件驅動無伺服器運算平臺Cloud Functions也正式上線了

相較於AWS和Azure，Google在無伺服器服務的腳步稍慢，儘管早在2017年就對外發布了Cloud Functions測試版服務，但直到近日，這項服務才正式上線，除了美洲，服務地區也增加了歐洲和亞洲地區。
Google將Cloud Functions作業系統升級到了Ubuntu 18.04 LTS，擴大了可用函式庫的範圍，除了Imagemagick一直都有外，還多了Ffmpeg和Libcairo2系統函式庫，連無頭Chrome也有，使用者不只可以在Cloud Functions中處理影片，甚至還能進行網頁截圖。另外，在Cloud Functions上也可以使用Python 3.7，用法與Node相同，透過HTTP請求由Cloud Functions為後端提供資料與上下文內容，且由於Python的HTTP功能基於Flask微框架，可以非常快速的啟動執行。

#Azure #Windows容器
微軟Azure應用程式裝載服務開始支援自家Windows Server容器

Azure App Service是雲端應用程式裝載服務，可供企業快速選擇和安裝想要的雲端應用，現在此服務還處於公開預覽版階段。近日，Azure App Service終於支援微軟自家的容器技術Windows Server Containers，可以讓企業將網頁應用打包成Windows容器格式，部署至Azure App Service的環境上部署運作。不過，此服務還處於公開預覽版階段。使用者可以整合Docker Hub、Azure容器映像檔儲存庫或第三方私人儲存庫，將容器化應用部署到Azure App Service環境，微軟也支援開發者進行漸進增量部署（Incrementally deploy）。

#GAE #Python
Google App Engine更新Runtime，可支援Python 3.7版

使用Python的雲端應用開發者，現在公有雲開發環境又有新選擇，近日Google宣布，雲端PaaS平臺App Engine推出第二代標準Runtime，開始支援Python 3.7版，現在該服務已經開放公開測試。Google表示，這一次釋出的第二代標準Runtime，結合了自家的gVisor容器沙箱技術，消除過往App Engine許多使用上限制，讓開發者可以開發攜帶性更高的網頁應用、微服務，也能結合該服務的隨需擴充、按用計價機制。

責任編輯／王宏仁

更多Container動態

• AWS雲端資料庫Aurora正式支援無伺服器MySQL應用
• Kubernetes社群Slack上臺灣用戶討論區#tw-user開張了

＠資料來源：iThome整理，2018年8月

0816-0822一定要看的資安新聞

 反序列化安全漏洞  PHP  WordPress 

研究人員再揭PHP反序列化安全漏洞，恐使WordPress曝露遠端程式攻擊風險

來自英國資安公司Secarma的研究總監Sam Thomas相繼於黑帽（Black Hat）及BSides兩大安全會議上，展示了PHP程式語言的反序化（Deserialization）安全漏洞，指出該漏洞影響所有接納使用者資料的PHP應用程式與函式庫，包括WordPress等內容管理系統（CMS）在內，成功的開採將允許遠端程式攻擊。

序列化（Serialization）與反序列化（Deserialization）是所有程式語言都具備的功能，序列化是將物件轉成字串，以將資料遷移至不同的伺服器、服務或應用上，再透過反序列化將字串還原成物件。

資安研究人員Stefan Essar在2009年時就曾揭露於PHP中反序列化駭客所控制資料的風險，而相關漏洞不僅存在於PHP，也存在於其它的程式語言，Thomas公布的是針對PHP的新攻擊技術，可在各種場景中使用，諸如搭配XML External Entity（XEE）漏洞或伺服器端偽造請求（SSFR）漏洞等。更多內容

 L1終端故障  L1TF  處理器 

繼Meltdown、Spectre後，主流處理器再爆新攻擊手法L1TF

自今年初爆出Meltdown與Spectre兩款針對處理器的推測執行旁路攻擊手法之後，來自魯汶大學、以色列理工學院、密西根大學、阿德雷得大學及CSIRO Data 61的研究人員於今年1月再度向英特爾（Intel）與各大業者揭露第三款處理器攻擊手法「L1終端故障」（L1 Terminal Fault，L1TF），英特爾與Google等業者則在8月14日公布L1TF的細節與修補途徑。更多內容

 L1TF  處理器漏洞 

L1TF漏洞攻擊手法讓雲端服務商動起來，DigitalOcean也提出因應之道

近日Intel發布了L1終端故障（L1TF）漏洞後，公有雲廠商陸續也啟動修補工作。Google公有雲運算服務，就採用主機隔離功能，確保各虛擬機不會共用作業系統核心，同時也開始監控主機是否存在特定類型的攻擊。提供公有雲運算的DigitalOcean，也開始進行防堵措施。

DigitalOcean資安長Josh Feinblum表示，對該公司而言，L1TF漏洞會影響多租戶架構的虛擬機環境，只要在同一處理器核心上運作的Guest應用，其資料都有曝露的風險。Feinblum表示，該公司已著手修補任務，預計未來幾周內就會完成工作。更多內容

 蘋果 

16歲青少年駭入蘋果伺服器偷走90GB的資料

根據澳洲媒體The Age的報導，一名16歲的澳洲青少年坦承曾多次入侵蘋果伺服器，竊取了多達90GB機密檔案，還取得用戶帳號金鑰，該名青少年已遭澳洲聯邦刑事警政署（AFP）逮捕。

這名青少年建立了電腦化的通道及避免被追蹤的網路系統來隱藏自己的身分，不過，警方在他的電腦上發現了命名為「hacky hack hack」的文件匣，存放了自蘋果伺服器所下載的資料，所查獲兩臺蘋果筆電的序號及手機位址也都符合存取蘋果內部系統的裝置紀錄。據說蘋果一直到一年多以後才發現內部伺服器遭到外人存取。更多內容

 臉書  帳號解密 

傳美國政府要求臉書解密Messenger協助辦案

路透社引述消息人士報導，美國司法部為偵查國內黑幫的活動，要求臉書（Facebook）協助解密Facebook Messenger，以便可以竊聽其中首腦的通話記錄。不過臉書迄今仍然拒絕配合。

臉書的立場是，本案只有兩個解法，一是臉書重新撰寫程式，允許用戶自行移除加密，或是臉書駭入政府指定要竊聽的人士帳號。但迄今臉書兩條路都不願選擇。法界人士分析，之後如果法院做出有利於政府的命令，要求臉書改寫Messenger加密機制，未來可能會讓這類要求擴及其他類似App，像是WhatsApp、Signal或Skype等。更多內容

 金融惡意程式  Marap 

鎖定金融領域的新惡意程式Marap現身

資安業者Proofpoint揭露了一款鎖定金融領域的新惡意程式Marap，Marap為一惡意程式下載器，在成功進駐系統之後，可再自C&C伺服器下載其它惡意模組，目前僅觀察到它下載了系統指紋模組，主要蒐集遭駭的系統資訊，研究人員相信這是為了日後的攻擊作準備。

Proofpoint發現最近駭客針對金融機構所寄出的數百萬垃圾訊息中夾雜了Marap，它主要寄生在Excel的網頁查詢檔案格式.iqy，並藉由電子郵件散布，不管是直接以.iqy檔案作為附加檔案，或是在ZIP壓縮檔案中暗藏.iqy檔案，也會藏匿在PDF文件中，或是含有巨集的Word文件。

以C語言撰寫的Marap是一個可下載及安裝各種模組的惡意程式下載器（Downloader），目前唯一出現的模組為系統指紋模組，能夠蒐集系統的使用者名稱、網域名稱、主機名稱、IP位址、語言、國家、Outlook的.ost檔案列表、Windows版本與所使用的防毒軟體，並將它們傳回至駭客所掌控的C&C伺服器。更多內容

 IoT伺服器  MQTT  智慧家庭 

Avast：3.2萬個IoT伺服器在網路上門戶洞開

捷克資安業者Avast在網路上找到了逾4.9萬臺因配置錯誤、而曝露在公開網路上的MQTT伺服器，其中有超過3.2萬臺甚至缺乏密碼保護，透露出主要應用在M2M（Machine-to-Machine）與IoT裝置之MQTT協定的安全部署受到嚴重的漠視。

MQTT的全名為Message Queuing Telemetry Transport（訊息序列遙測傳輸），可藉由智慧家庭連結中樞（Smart Home Hub）來連結與控制智慧家庭裝置，對消費者來說，MQTT伺服器通常是存在於個人電腦或基於Raspberry Pi的迷你電腦上。

Avast表示，MQTT協定本身其實是安全的，主要的風險來自於使用者在實現與配置上的錯誤，可能允許駭客藉由了解智慧家庭裝置的運作情況而得知主人在家與否，或者是操縱家中的娛樂系統及語音助理等智慧裝置。

這些缺乏密碼保護的MQTT伺服器將允許駭客攔截透過該協定所傳輸的所有訊息，例如得知智慧門窗或家中燈光的狀態，也能嵌入惡意指令以打開車庫門。更多內容

 GDPR 

GDPR上線後，歐洲新聞網站的第三方Cookie數量減少二成

英國牛津大學的路透新聞研究學院近日發表一研究報告，指出在今年4月與7月，在《歐盟通用資料保護規則》（GDPR）上線的前後，歐洲新聞網站上所出現的第三方Cookie數量減少了22%。

Cookie為使用者所造訪網站儲存用戶資訊以改善互動的元件，例如透過Cookie來記錄使用者的登入憑證、或是觀察使用者在網站上的行為或其它偏好等，這稱為第一方Cookie，但若使用者所造訪的網站上出現了第三方元件，諸如廣告或是臉書的「按讚」（Like）功能，這些元件也能在使用者電腦上建立Cookie，以追蹤使用者所造訪的網站，即是所謂的第三方Cookie，通常作為廣告或行銷目的。

研究人員分析，有鑑於GDPR要求網站追蹤用戶時必須取得用戶同意，因此這些新聞組織也許只是暫時阻擋某些第三方Cookie，直到使用者接受該站的新條款；或者GDPR也可能造成大掃除效應，讓這些新聞網站能夠重新評估各種功能的用途，包括會危害使用者隱私的第三方服務在內。更多內容

 Chrome 

Chrome漏洞可能外洩使用者隱私資料

資安業者Imperva揭露一個存在於Chrome瀏覽器Blink引擎中的「跨域資訊外洩」（Cross Origin Information Leak）漏洞，將允許駭客汲取Chrome用戶存放在臉書、Google或其它平臺上的個人資料，例如描繪出Chrome用戶的臉書個人檔案。

Imperva安全研究人員Ron Masas指出，當時他正在研究Chrome上每種HTML標籤的跨域資源共享（Cross-Origin Resource Sharing，CORS）機制，注意到其中的影片（Video）與聲音（Audio）標籤有些不同，它們能用來請求Chrome上其它網頁的資源，並透過這些網頁的回應來汲取Chrome用戶在這些網頁上所存放的個人資料。

Masas描述了針對Facebook的可能攻擊場景，駭客可先建立大量的臉書文章，並限制存取這些文章的資格，像是年紀、性別或地域等，接著再打造一個暗藏惡意影片或聲音標籤的網站，一旦Chrome用戶同時造訪了惡意網站與臉書，駭客就能傳遞一個測試用戶是否能造訪這些臉書文章的請求，以偷偷建立Chrome用戶的個人檔案。更多內容

 OpenEMR  電子健康紀錄系統 

開源電子健康紀錄系統OpenEMR爆數個嚴重漏洞，病患隱私與系統安全拉警報

支援全球2億人病歷的開源電子健康紀錄系統OpenEMR，遭Project Insecurity揭露存在多個嚴重等級高的安全性漏洞，從身分驗證旁路、SQL資料隱碼、遠端程式碼執行以及任意檔案操作等漏洞都有，OpenEMR社群已積極處理漏洞問題，使用者務必進行OpenEMR版本更新。

研究團隊從GitHub上下載了OpenEMR 5.0.1.3程式碼進行安全性測試，發現了許多嚴重的漏洞。報告一開始提到的漏洞是病患入口頁面的身分驗證旁路漏洞，受影響的共有15個Php頁面，沒有經過身分驗證的攻擊者，可以簡單的瀏覽登入頁面並修改請求網址後，繞過登入頁面存取想訪問的頁面，這個漏洞造成的影響，會讓網頁程式隨機展示真實病患資料。

OpenEMR也有嚴重的SQL資料隱碼漏洞，總共有8個Php程式受到影響，未經授權的用戶可以插入SQL查詢指令，查看特定資料庫資料，甚至執行特定資料庫功能。像是對Search_code.php在發送POST請求時，可以在容易受攻擊的文字參數中，使用有效負載進行SQL資料隱碼，文字參數在沒有任何消毒處理下，直接被用於SQL查詢中，駭客可以利用此漏洞對OpenEMR介面進行身份驗證。更多內容

 中國駭客  阿拉斯加州政府 

研究：中國駭客以後門程式滲透美阿拉斯加州政府及企業網路

就在美中貿易談判進行之際，研究人員發現，中國駭客近來多次以網路後門程式駭入美國阿拉斯加州政府及該州電信、能源公司網路進行弱點掃瞄，企圖刺探情資。

Record Future研究單位Insikt Group發現，一個名為ext4的Linux後門程式從3月底到6月底之間在該州政府、自然資源部、能源、電話和電信公司的網路上進行勘查行為，尋找可能的漏洞。經過分析是來自清華大學、IP166.111.8[.]246的CentOS網頁伺服器，研判是中國駭客利用清華大學伺服器對美國政府及企業網路進行滲透。據路透社引述，清華大學駁斥此指控毫無根據。

ext4是一個極高明的程式，它在進入受害單位的網路後，除了執行後門程式的子程序外，還設定180秒的時間，即3分鐘一到，程序就會休止以免被偵測到。更多內容

圖片來源：Ikea、OpenEMR

 更多資安動態 

Web Security事件發酵，Mozilla移除23個可疑Firefox外掛程式

臺灣ATM周六上午交易異常，財金公司表示非駭客攻擊造成

美國法官要求駭客以比特幣支付保釋金

資料來源：iThome整理，2018年8月

微軟周二直指俄羅斯企圖干擾美國期中選舉，藉設立冒充共和黨、參議員及智庫的網站誘使受害者上鈎。

微軟數位犯罪小組（Digital Crimes Unit）上周聲請法院查緝並移交了6個由駭客組織Fancy Bear（又稱Strontium或APT28）設立的釣魚網站網域，微軟法務長Brad Smith指出，兩年內微軟已經12度破獲84個和該組織有關的假網站。Fancy Bear被認為是多起美國駭客攻擊的元兇，包括2016年民主黨委員會的伺服器入侵事件。

這波被關閉的6個網域主要是設立冒充合法網站，以電子郵件或連結誘使目標受害者連上假網站。遭冒充的對象包括由共和黨參議員支持的國際共和黨協會（International Republican Institute）、美國非營利智庫哈德遜研究所（Hudson Institute）以及和4個與參議員有關的網站。目前沒有證據顯示這些網域已經用於成功的攻擊，而且這些網域預定想攻擊的最終目標為誰也不得而知。

微軟認為，從設立偽冒政治組織相關的釣魚網站，以及指向各種政治人物、組織、智庫和官員的行為模式來看，這次行動和2016年美國總統大選及2017年法國選舉十分類似。

對於被指控為幕後首腦，俄羅斯方面否認此事。 CNN引述俄羅斯總統普丁的發言人指出，俄羅斯對此毫無所知，也不知微軟所指駭客身份，對選舉又有何影響，他們也聽到美方證實選舉並沒有人搗亂。對於微軟的指控，俄國人直指根本是無的放矢、沒有根據。

路透社則引述俄羅斯官員對該國通訊社Interfax的談話，指出微軟是在玩政治遊戲。

這已不是微軟第一次指控俄羅斯干擾選舉。微軟另一名主管上個月也在一場活動公開指出，俄羅斯人冒充微軟網域，意在三位層級不低的期中選舉候選人。

蘋果周二公告，最新一代macOS Mojave將不再支援廣泛用於Mac電腦備份及螢幕共享的Back to My Mac功能。

Back to My Mac是iCloud功能之一，讓Mac電腦可透過網際網路連到其他Mac電腦，一來可將其他電腦上的檔案夾及檔案拖拉到本機Mac上，也可以和其他Mac電腦建立遠端桌面連線、執行螢幕共享。

或許因為Back to My Mac設定較為複雜，因而最新的macOS 10.14 Mojave將不再支援。事實上，從Mojave第一個測試版開始就已經不包含這項功能了。

蘋果建議未來使用者以iCloud Drive來備份檔案及文件。欲設定螢幕共享者，需要從「選單」->「系統偏好設定」下找到「共享」、勾選「螢幕共享」。而遠端桌面功能需要管理員電腦作業系統OS X 10.10.5以上的版本，Mac用戶端電腦則需有遠端管理軟體Remote Desktop 3.6版本以上的軟體。非Mac電腦則需具備相容於VNC（虛擬網路運算）的軟體。

不過這項變更可能要讓Mac用戶掏腰包了。首先免費的iCloud儲存空間只有5GB，超過上限者就得付費購買。而Remote Desktop更是要價80美元，而且蘋果自己從去年2月底以後就沒再更新了。不過使用者還是有TeamViewer或LogMeIn等第三方軟體可選。

臉書（Facebook）產品經理Tessa Lyon近日接受華盛頓郵報專訪時透露，該公司已開始替用戶建立評價，分數從0到1，以在用戶舉報不實消息時，作為可信度的參考。

臉書是在2015年開始讓用戶檢舉站上內容，還有各種選項可供選擇，諸如裸露、暴力、不實報導、仇恨言論或是垃圾訊息等，請用戶協助過濾站上內容。但Lyon表示，他們很快就發現許多的檢舉並非符合上述選項，而只是因為用戶不同意這些內容，或不喜歡某個出版商。

由於臉書是將這些被舉報的文章交給第三方的事實檢驗員，為了提高事實檢驗的效率，臉書打造了評估機制，以衡量用戶的可信度。假設一名用戶曾舉報的不實文章是正確的，那麼該名用戶的可信度就會比那些不分青紅皂白一次舉報大量文章或是曾舉報錯誤文章的用戶來得可靠。

不過，可信度只是臉書替用戶建立評價的其中一個指標，臉書也會觀察哪些用戶經常舉報那些被其他人也認為是有問題的文章，或是哪些出版商最受到用戶的信任。

Lyon並未公布該站用來建立用戶評價的其它標準，以避免遭到有心人士的規避，也未透露是否替所有用戶打了分數。

美國國土安全部旗下的工業控制系統網路緊急應變小組（ICS-CERT）周二警告，飛利浦IntelliSpace Cardiovascular心血管影像及資訊管理系統出現兩項漏洞，可能導致任意程式碼執行，進而讓外人竊取醫療影像及病患診斷資料。

根據ICS-CERT的安全公告，編號CVE-2018-14787的漏洞影響IntelliSpace Cardiovascular系統2.x及之前版本，及伺服器軟體Xcelera 4.1以前的版本。飛利浦安全公告指出，在上述版本的伺服器上包含20項Windows服務，其可執行檔位於駭客具有寫入權限的資料夾。這些Windows服務可以本機管理員帳號執行，一旦有人將之置換成惡意程式，則該惡意程式也能以本機管理員帳號或系統權限執行。更糟的是，一個技術普通的攻擊者就能開採本項漏洞。該漏洞CVSS v3 基準分7.3分，屬於高度風險漏洞。

第二項漏洞CVE-2018-14789則是不帶引號搜尋路徑或element漏洞（unquoted search path or element vulnerability）。受本漏洞影響的產品為IntelliSpace Cardiovascular系統3.1及之前版本，及伺服器軟體Xcelera 4.1以前的版本。在這些伺服器上，有16項Windows服務路徑名稱不帶括號。由於這些服務是以本機管理員權限執行，並以機碼開頭，因此路徑能讓攻擊者植入有本機管理員權限的可執行檔。本漏洞CVSS v3 基準分4.2分，屬於中度風險漏洞。

成功開採上述兩項漏洞都能讓攻擊者取得管理員權限，進而開啟包含可執行檔的資料夾，這時攻擊者即可執行後門、木馬等任意程式碼，包括竄改、取得或刪除病患診斷資料或醫學影像。不過飛利浦表示，攻擊者需為經驗證的使用者，並需能本機存取ISCV/Xcelera伺服器。但預設狀態下，只有管理員才有本機存取的權限。

飛利浦預計10月釋出IntelliSpace Cardiovascular 3.2.0更新版加以修補，屆時客戶會經平日的服務和經銷通路取得更新。

印度的NDTV及TechCrunch本周報導，全球最受歡迎的影片串流服務Netflix正在33個國家測試新的付費途徑，以避免新的Netflix用戶或是合約已經失效的用戶再透過iTunes訂閱，以期增加獲利。

以往Netflix用戶都有兩種訂閱管道，一是透過行動程式的程式內訂閱，其次則是透過Netflix官網訂閱，前者必須與平台業者分享30%的訂閱收入。

根據報導，從今年6月到9月底，Netflix正在包括台灣在內的33個國家進行實驗，讓這些市場的部份消費者無法透過iTunes訂閱Netflix服務，而是將消費者導至Netflix的行動版訂閱網頁，以避免還要與蘋果拆帳。

對於新創服務而言，iTunes是個重要的推廣平台，它擁有龐大的用戶基礎，也儲存了使用者的付款資訊，可讓用戶的訂閱程序更加流暢，但對於已享有盛名的Netflix來說，獲利才是最大的考量。事實上，Netflix自今年5月起就不再支援新用戶或重新加入該服務的用戶透過Google Play付款，只有原本即藉由Google Play訂閱的用戶才能繼續使用該付費機制。

Netflix並不是第一家想繞過iTunes拆帳機制的業者，全球串流音樂龍頭Spotify也曾因此在2016年槓上蘋果，當時Spotify打算移除iOS程式的程式內訂閱功能，同時鼓勵用戶透過其它管道訂閱服務，而蘋果則以Spotify違反規定而阻止Spotify程式的更新。

根據蘋果App Store針對內容訂閱服務所祭出的規定，所有透過該平台的訂閱服務都必須使用蘋果的付費系統，雖然允許內容出版商提供程式以外的訂閱途徑，卻不准出版商於程式中推廣外部訂閱連結，也不許外部訂閱價格低於程式內訂閱價格。

Netflix的舉動似乎也侵犯了蘋果政策，惟蘋果尚未對此事作出回應。

微軟於周一（8/20）公布淘汰Microsoft Store舊程式的時程表，宣布自今年的10月31日以後，Microsoft Store將不再受理新的Windows Phone 8.x或Windows 8/8.1程式，但開發人員可持續更新舊有程式。

除了不再受理新程式之外，從2019年的7月1日起，微軟則會終止Windows Phone 8.x裝置或更早Windows Phone裝置的程式更新，開發人員仍然可以持續更新所有程式（包含Windows Phone在內），但只有Windows 10裝置能夠接收到相關更新。

至於停止Windows 8/8.1裝置的程式更新則設在2023年的7月1日，同樣地，開發人員也能發表既有程式的更新，但也只有Windows 10裝置能收到更新。

微軟也鼓勵開發人員將既有程式移植到通用視窗平台（Universal Windows Platform ，UWP），該平台允許開發人員以單一的Windows 10程式套件來支援所有採用Windows 10的裝置，從PC、Xbox、平板、手機到IoT裝置。

臉書（Facebook）於周三（8/22）宣布，將移除目標廣告的逾5,000個選項，以避免該平台的用戶受到歧視廣告的危害。

上周美國住房及城市發展部（U.S. Department of Housing and Urban Development，HUD）才指責臉書的目標式廣告允許地主或房屋仲介過濾受眾的種族、性別、宗教或國籍，明顯違反了《公平住房法案》，當時臉書即說相關技術可能會遭到濫用，但一直努力防範中。

本周臉書即迅速作出更完整的回應，表示這一年來已要求房屋、就業或貸款廣告必須提出遵守該站非歧視政策的保證，未來幾周將規定所有美國廣告主都必須提出保證，才能在臉書上張貼廣告。

此外，臉書也將移除逾5,000個目標廣告的選項，以避免該過濾功能遭到濫用。臉書解釋，這些選項其實也被用來合法觸及對某些產品或服務有興趣的用戶，但更重要的是最小化遭到濫用的風險，包括限制廣告主排除某些與宗教或種族有關的受眾。

廣告的歧視行為通常不容易被發現，例如若有店家不希望猶太人上門，就會在目標式選項中排除對猶太教節日「逾越節」有興趣的對象，或者有些房東不想要租給印第安人，也會在目標式選項中排除對美國原住民文化有興趣的對象，這些用戶就不會在臉書上看到相關廣告。

去年美國通訊暨媒體公會（Communications Workers of America，CWA）也曾控告Amazon、T-Mobile與臉書等上百家企業歧視年長的就業人口，因為這些業者在臉書上所執行的目標式廣告只鎖定年輕人。

未來要在臉書上置放廣告的美國廣告主都必須先接受該站的非歧視政策，願意公平對待不同種族、年紀、宗教、性別、性向與婚姻狀態的使用者，才能使用該站的廣告服務。

Google宣布在其App Engine標準環境，開始提供PHP 7.2第二代Runtime，受惠於新Runtime的加持，PHP開發者可以更加靈活的建置以及可靠的部署應用程式。跟Python 3.7和Node.js 8的第二代Runtime使用情況類似，PHP 7.2也保有開放且一般慣用的特性，因此也支援熱門的Symfony、Laravel以及WordPress等框架。

App Engine開始在第二代Runtime使用gVisor技術後，在上面運作的應用程式，執行的速度提升不少，而且由於gVisor支援未經修改的語言Runtime，因此也加速了Google提供新語言支援的腳步。這個新的PHP 7.2 Runtime也使用第二代Runtime技術，可以在數分鐘內自動擴展執行個體，以應付突如其來增加的應用程式需求，而其高靈活度的可擴展性，甚至可以向下縮減規模，維持0個執行個體，適合任何規模的應用程式。

另外，應用程式部署速度也獲得不少提升，Google表示，大多數情況在1分鐘內就可以完成PHP應用程式部署，而且由於使用第二代Runtime，因此對應用程式程式碼將不會有任何限制，現有的PHP應用程式和開源函式庫都不需要額外修改就能使用。

PHP 7.2 Runtime和其他新的Runtime一樣，都使用前端控制器（Front Controller），對PHP來說，所有的流量都會流經單一PHP檔案，而且大多數現代PHP框架包括Laravel、Symfony和Drupal都使用前端控制器，因此在App Engine上，預設會將所有流量導至public/index.php或index.php中。新的PHP 7.2 Runtime也支援Google雲端客戶端函式庫，所以使用者可以將Google雲端服務整合到PHP應用程式中，並在App Engine、Compute Engine或任何其他的平臺上執行。

需要注意的是，Google正積極的發展原始App Engine API，包括在Google Cloud Next時發布的Cloud Scheduler和Cloud Tasks，讓這些API可以從任意平臺存取，也就是說，目前原始App Engine專用API不支援包括PHP 7.2在內的第二代Runtime。

在網路論壇Hacker News，Google的App Engine Runtimes團隊還出來補充說明，由於第二代Runtime使用gVisor而非NaCL沙盒技術，讓Google新的Runtime和一般Runtime差異縮小，該團隊成員提到，新的gVisor甚至允許使用未經修改的Runtime，而這項改進讓使用者更不容易被特別的設置綁住。

Google為幫助使用者在App Engine上使用新的PHP Runtime，建置了一系列入門指南和範例，讓使用者快速熟悉開發環境、API和服務，同時也有部署WordPress、Laravel、Symfony和Slim框架應用程式的教學。

McAfee Labs本周指出，知名的電腦周邊製造商Belkin所生產的智慧插頭Wemo Insight Smart Plug含有一緩衝區溢位漏洞，將允許駭客執行遠端程式攻擊。

Belkin除了製造電腦及手機的周邊商品之外，也有少許的智慧家庭裝置，如智慧開關或智慧插頭，McAfee所測試的則是Wemo Insight Smart Plug智慧插頭，它是一個插座轉接器，先插在傳統插座上，再連結其它的家電，並以Wemo程式來控制Smart Plug的供電與否。

Smart Plug可計算家電的電力使用，可控制供電能力的Wemo還有自動化功能，能定時開啟燈光或恆溫器，或可啟動「Away」模式，不定時地切換家裡的電燈供電，讓不在家的主人可以偽裝屋內有人。一組兩個的Wemo Insight Smart Plug售價為74.99美元。

不過，McAfee發現Wemo Insight Smart Plug的韌體含有編號為CVE-2018-6692的安全漏洞，這是一個存在於libUPnPHndlr.so函式庫的緩衝區溢位漏洞，允許駭客自遠端執行任意程式。

McAfee表示，如果該漏洞只會影響Wemo Insight Smart Plug，那駭客頂多只能一直切換電源，但若該Smart Plug連結了家中的Wi-Fi網路，駭客就能掌控家中的其它連網裝置。

在McAfee所描述的攻擊場景中，在成功入侵Wemo Insight Smart Plug之後，可利用內建的UPnP函式庫於路由器上建立一個後門通道，藉以控制家中的所有連網裝置，例如開啟或關閉智慧電視，安裝或移除電視上的應用程式，也能命令電視存取各種內容。

研究人員提醒，IoT裝置的安全性經常被忽視的原因之一是它們通常只被用來執行簡單的自動化功能，然而，他們所發現的漏洞卻可能成為駭客進入家庭或企業網路的入口，IoT裝置上所執行的作業系統應該也要具備與桌面作業系統同等級的安全保障。

McAfee已於今年5月將該漏洞提報給Belkin，但尚未被修補。

Amazon在2010年推出T1執行個體，2014年新增了T2，而在今日宣布於全球12個地區，推出T3執行個體，按需價格從t3.nano每小時0.0052美元起，比較起T2更具成本效益。

Amazon提到，當使用者的工作負載落在M4或是M5執行個體間，而且不需要持續穩定的計算能力，就可以考慮把工作搬遷到T3執行個體上，使用者就能夠以更低的成本託管工作負載，當有突發高流量出現時也不用擔心，T3具備超越基準效能的能力，提供持續高效能的運算能力。這個特性跟T1與T2執行個體相同，T3擁有基準處理能力保證，並在需要的時候垂直向上擴展運算能力至完整核心效能。

T3執行個體採用支援進階向量指令集（AVX-512）的Intel Xeon Skylake 2.5 GHz處理器，提供從t3.nano到t3.2xlarge共7種機型。除了vCPU數量多寡以及記憶體容量大小不同外，另一個差異就是基準效能（Baseline Performance），基準效能代表單個超執行緒處理能力的百分比，而這關係到T3這類高效能執行個體的計價模式。

T3執行個體在空閒時，會開始累積CPU積分，並在運作的時候消耗積分，積分最多可以累積7天，因此當T3實例平均CPU使用率，在24小時區間都低於基準效能，則每小時的執行個體價格將涵蓋尖峰使用。當執行個體長時間都以高於基準效能運作，則每個vCPU將額外收取每小時0.05美元的費用。也就是說，T3提供了足夠的記憶體以及vCPU運算資源，來應付突發的流量需求，而這樣的計價模式，搭配垂直擴展的能力，只要計算好CPU使用週期，對於一些新型類型的應用程式，就能以極低的成本託管應用程式。

T3執行個體採用Nitro系統，除了可以讓T3具備CPU隨時超越基準效能的能力外，同時也支援網路以及EBS效能超越，以應付突如其來的流量爆發。所有等級的執行個體網路流量都可以提升到最高5 Gbps，而EBS效能超越範圍則視執行個體等級不同，提供1.5 Gbps到2.05 Gbps的流量不等，同時配以相應的EBS IOPS。而如同其他新的執行個體，T3也僅為HVM（Hardware Virtual Machine）必須在使用包含ENA（Elastic Network Adapter）驅動程式AMI的虛擬私有雲中啟用。

目前T3同步於12個地區上線，北美、南美和歐洲各區都有提供，亞洲則於東京、新加坡和雪梨地區上線。

一般來說，為了減少電腦系統的弱點，成為有心人士滲透的管道，我們會每隔一段時間，就安裝軟體廠商提供的修補程式。然而，使用者有乖乖的定期更新軟體，難道就不會遭受攻擊嗎？最近，趨勢科技的資安團隊，他們與同公司裡，推動找尋零時差漏洞計畫的Zero Day Initiative（ZDI）合作，發現微軟7月的例行發布軟體更新的修補星期二（Patch Tuesday）中，微軟才在11日剛針對VBScript提供了修補軟體，隔日（12日），便出現能破解的惡意軟體，可對於已經完成更新的電腦下手攻擊，微軟則是在這個月的例行性修補中，加入防堵上述攻擊手法的更新軟體。

駭客以同樣手法再次滲透，研究團隊認為該弱點未來還會再被繼續利用

這個弱點被列為CVE-2018-8373，影響範圍涵蓋了所有版本的VBScript引擎。不過，該研究團隊指出，由於微軟在Windows 10秋季更新版（RS3）後，上述指令碼處理引擎預設為關閉，因此較新版本的作業系統，應不致直接遭到波及。

但趨勢的研究團隊發現，利用前述弱點的攻擊手法，與今年4月中出現的CVE-2018-8174，其中出現的惡意軟體，程式碼所採用的混淆手法一致，而且都是針對VBScript下手，因此認為這2起攻擊，應該是相同的駭客組織所為。甚至，他們認為，未來攻擊者還會再利用相同軟體的弱點，做為滲透的管道。

同時，為了指出駭客都是利用同樣的弱點，該團隊也表示，這裡面攻擊手法，是利用VBSCRIPT.DLL的新型態弱點，稱做濫用釋出的記憶體區塊（Use After Free，UAF）。

從趨勢科技7月初取得的惡意檔案樣本來看，發現針對VBScript弱點的CVE-2018-8373（左圖），手法與右圖5月微軟才剛完成修補的CVE-2018-8174，程式碼所採用的混淆內容，可說是極其相似。因此，該團隊認為，有可能是同樣的駭客所為。（圖片來源：趨勢科技資安部落格）

根據通用弱點資料庫（Common Weakness Enumeration，CWE）的定義，所謂上述濫用釋出的記憶體區塊，指的是藉著讓程式參照一塊剛釋放的記憶體區塊，導致上述的程式當掉、能加入執行過程中非預期的參數，或是執行特定的程式碼等。

但是，這種相似的變種攻擊，卻以多個CVE加以列管，而廠商只能不停的針對被發現的弱點，加以處理，並非提供用戶端一勞永逸的防治同類型攻擊措施。從CVE編號來看，上述提到的2個弱點，很難聯想有所關連，而對於企業的弱點管理上，資訊人員可能需要對於各項漏洞逐項評估後，才能安裝更新，相當耗時費力。

前述資安團隊也提到，微軟在較新版本的Windows中，直接採取了停用VBScript的做法，可見鎖定被發現的弱點修補，很可能就是只能治標而無法治本，若是使用者想要免於受到這樣的攻擊，或許便需以前述停用Windows相關功能的方式，輔以其他的資安防護機制，才能彌補不斷安裝軟體更新，卻趕不上駭客攻擊速度的現況。

零時差攻擊與漏洞修補的不對等攻防

趨勢科技提到了前述的2起攻擊事件，應為同樣的駭客所為。也針對這起事件調查的奇虎資安團隊，則是在他們的部落格發表研究成果，指出駭客正在不斷利用VBScript引擎弱點的情形，映證了趨勢科技的推論。該團隊指出，包含趨勢科技在7月發現的CVE-2018-8373，今年一共至少出現了3起鎖定VBScript引擎的弱點。

值得留意的是，從奇虎團隊提供多次攻擊出現的時間點來看，微軟發布相關的修補軟體日期，都是在次月的例行性安全性更新，換言之，零時差漏洞的修復，間隔長達20天到1個月之久，然而駭客組織卻能在微軟修補完成的隔日，對於已經剛完成修補的電腦發動攻擊，因此這樣的現象，也反映端點電腦的防護，不能只倚賴軟體廠商的漏洞修補。

針對趨勢發現的CVE-2018-8373弱點，奇虎資安研究團隊彙整了有關的攻擊事件，最早可追溯到今年的4月。不過，微軟都是在通報之後的隔月例行更新，才提供相關的修補軟體，時間間隔了20天到35天之久。（資料來源：360威脅情報中心）

而依據他們反組譯前述攻擊中出現的惡意檔案，都是Office文件型態的樣本，該研究團隊也在其中，找到了趨勢科技僅揭露了部分內容的惡意網址（http:// windows-updater [.] net/realmuto/wood.php?who=1?????），然後奇虎的團隊發現，上述網址所屬的網域，正是他們在今年5月公布，DarkHotel發動的持續性進階威脅攻擊中，該駭客組織使用的網域名稱之一。

08/18-08/24

 純網銀   金管會  
純網銀政策轉彎，非金融業者可持股達6成，但須是金融科技、電商、電信業者 
金管會在8月16日宣布，修改純網銀的發起人條件，金融業（包括金控、銀行、保險公司與證券商）應持股從原本實收資本額的50％以上，調降為40％，並且明定至少有一家銀行或是金控公司，持股需超過25％。而這樣的調整，也代表非金融業者持股可達60％，成為可主導純網銀的最大股東。不過，金管會對此也有限制，只有具備金融科技、電子商務、電信事業等專業的業者，才能認股超過10％。此外，金管會也允許外國金融機構為純網銀發起人。

金管會也提出，為了有利純網銀業務發展，未來拿到執照的2家純網銀，董事成員須有超過半數的人，具備銀行、金融科技、電商、電信等專業資格，且其中至少有一人具有金融科技、電商或電信事業等專業資格。

目前已有三組團隊浮上檯面爭取純網銀，今年7月底，Line在臺成立Line Financial籌備處，要積極申請純網銀執照，並表態合作的國內銀行不會超過5家。另外一組人馬則是6月宣布，要與日本純網銀樂天銀行合作共組純網銀的國票金控。而中華電信也與兆豐金控、第一金控合作出線，中華電信更在8月初設立專案小組，正式啟動純網銀執照申請籌備作業。

 金融科技創新園區   金管會  
臺灣首座金融科技創新園區FinTechSpace 9月中旬正式開幕
由金管會主導，指示台灣金融服務業聯合總會推動的金融科技創新園區FinTechSpace，將於今年9月中旬正式開幕，首波合作夥伴已超過30家，包含國內外產、官、學、研、創等單位，獲得金融產業、雲端技術、創新實證及國際資源交換的資源挹注。FinTechSpace鼓勵金融、科技大型機構設立金融科技企業實驗室，第一波已有中國信託金控、星展銀行、上海商業儲蓄銀行與悠遊卡公司，參與設立實驗室，在園區中與金融科技新創、校園創新人才交流。

金融科技創新園區也設有數位沙盒（Digital Sandbox），並以智能理財、物聯網創新金融兩大主題為主。其中，雲端平臺環境由亞馬遜AWS提供，包括數位沙盒雲端服務、資安防護等雲端資源。金融開放API合作夥伴包括臺灣證券交易所、臺灣期貨交易所、臺灣集中保管結算所、證券櫃檯買賣中心、財金公司、上海商業儲蓄銀行、中國信託金控、凱基銀行、時報資訊。科技類型開放API，也有臺灣微軟提供區塊鏈雲端及顧問服務。

 Line   BITBOX  
Line旗下交易所BITBOX宣布波場幣上線，Line子公司另成立代幣風險基金投資區塊鏈新創 
Line旗下的幣幣交易所BITBOX在7月成立，Line近日宣布區塊鏈平臺波場的加密貨幣波場幣TRON（TRX）正式上線BITBOX，成為第一個通過BITBOX公開上線委員會審核的貨幣專案。為了讓加密貨幣社群中的所有專案，都有同等機會能在BITBOX上線，BITBOX制定出一套標準程序，接受新的貨幣專案提出申請，而這些專案也將經過一定的評估程序才能通過上線。

此外，Line同時也啟動另一項計畫，由主要負責區塊鏈技術的子公司unblock corporation，成立企業代幣風險基金unblock ventures，以投資處於初期發展階段的區塊鏈新創公司，並將由另一家Line集團的公司LVC Corporation出資1,000萬美元。Line表示，藉由成立企業代幣基金，希望能促進加密貨幣、區塊鏈技術的發展及應用。

 區塊鏈票務系統   歐洲足球協會聯盟  
歐洲足球聯盟實施區塊鏈票務系統，成功售出歐洲超級盃門票 
歐洲足球協會聯盟（UEFA）宣布，已於今年8月在愛沙尼亞首都塔林舉辦的歐洲超級盃（UEFA Super Cup）成功部署了以區塊鏈技術為基礎的票務系統，此場是由常勝軍皇家馬德里與塔林馬德里競技隊之間的比賽。UEFA表示，此場比賽的所有門票都是使用基於區塊鏈的iOS與Android應用程序，出售給進場看球的民眾。UEFA希望透過此區塊鏈票務系統，讓比賽的門票銷售流程變得更為簡單且安全，還能防止門票偽造與重複驗票。

其實，區塊鏈票務系統早在5月於法國里昂舉行的歐洲聯賽決賽中已測試成功，只是當時只以50％的決賽門票，使用此系統售出，直到8月的歐洲超級盃比賽才全數使用。UEFA也提到，將會繼續開發區塊鏈票務分發系統，要更廣泛地應用到未來足球賽事。

 UPS   區塊鏈物流    
百年物流巨頭UPS申請專利，要用區塊鏈優化包裹遞送路線 
顯示卡供應商撼訊科技在8月9日宣布，攜手臺科大、日本QRC集團，共同研發區塊鏈技術，開發區塊鏈與物聯網底層技術與相關應用，也要培養區塊鏈人才，促進產學合作與國際交流。撼訊科技表示，區塊鏈技術不該只限於金融支付與虛擬貨幣挖礦等應用，與物聯網的結合應用會有更大潛力，此次他們選擇在臺科大進行產學合作，就是看上臺科大致力於培養科技工程技術與管理人才。

UPS解釋，各家物流服務業者若只以單一路線運輸貨物，其實相對簡單很多，但要協調多方物流業者在運輸網路中運送貨物，可能就有些難度。此外，如果某批貨物在出貨時有特殊處理要求，則可能難以保證每方物流業者都能達到要求。UPS要透過區塊鏈分散式帳本技術，讓系統能自動化提供多方物流業者包裹的運輸路線。舉例來說，當包裹被掃描到包裝設施中，系統將根據多個物流業者所提供的運輸服務中，自動選擇最佳路線，當包裹前往目的地時，有關貨物的資訊也將記錄在區塊鏈上，允許系統評估業者是否履行各自運輸貨物的義務。

 財金公司   ATM跨行交易  
ATM跨行交易異常，財金公司：已恢復正常，排除駭客攻擊 
8月18日約莫早上7點，國內ATM跨行交易出現異常，民眾無法在ATM上進行跨行提款、匯款，影響不少人的交易需求，所幸財金公司與IBM緊急處理下，9點左右已恢復正常，財金公司說明係IMS連線交易系統發生狀況，排除遭到駭客攻擊的可能性。財金公司也澄清，這次系統發生異常，斷斷續續仍有跨行交易完成，並非外傳全臺大當機。財金公司指出，這次事件未造成民眾財務損失，第一時間已由IBM召集國內外專家分析處理。其實，在稍早6月期間，財金公司也曾發現IMS系統出現徵兆，但當時未影響到民眾交易。目前得由IBM研究處理，這次IMS連線系統發生狀況，兩者間是否有關係仍有待釐清。

 加密貨幣   挖礦  
Nvidia財報出爐：加密貨幣採礦熱潮結束了! 
繪圖晶片龍頭Nvidia 8月16日公布了2018財年第二季財報，顯示該季營收為31.2億美元，比去年同期成長40％，不過，與加密貨幣相關的GPU在Q2只帶進1,800萬美元的營收。Nvidia的Q2營收有26.56億美元來自GPU業務，遊戲應用占了18.05億美元，資料中心占了7.6億美元，專業視覺占了2.81億美元，汽車則占1.61億美元，而包含加密貨幣挖礦在內的OEM與IP類別則占了1.16億美元。Nvidia財務長Colette Kress表示，他們曾預期加密貨幣相關產品在Q2可創下1億美元營收，實際上卻只有1,800萬美元，原本以為加密貨幣今年對Nvidia意義重大，但它未來應不會再有貢獻。今年第一季時，挖礦GPU替Nvidia創造了2.89億美元的營收，佔了Nvidia的9％。

 京東   區塊鏈平臺  
京東釋出自家開放區塊鏈平臺智臻鏈，推動區塊鏈即服務 
中國電商巨頭京東在8月17日正式宣布，釋出了自家區塊鏈技術平臺智臻鏈，要讓企業用戶能以該技術為基礎，開發自家的區塊鏈應用，提高營運的安全、透明度。京東表示，智臻鏈可同時部署於公有雲、私有雲運作，讓使用者建立、修改智慧合約，減低企業導入區塊鏈技術的門檻。而未來應用情境，除了用來追蹤貨運遞送進度外，也能用於資產評估、數位版權等領域。京東表示，中國太平洋保險已導入此解決方案，利用此區塊鏈平臺，部署訂單追蹤系統，可以加強掌控訂單管理，提高安全性。

責任編輯／李靜宜
金融科技近期新聞 
1. 中國銀行研發區塊鏈跨境支付系統，完成首筆國際匯款業務試點
2. 今年以來全球加密貨幣市值已蒸發75％
3. 虛擬通貨交易平臺BitAsset在香港、臺灣、韓國與北美上線
4. 中國銀行與中國銀聯簽署行動支付合作協議

現行多數知識庫的運作缺乏智慧功能，在使用者知識獲取上，仰賴明確的問題，才能獲取到相對應正確的答案。像是企業中面向客戶的銷售或客戶支援等團隊，需要快速的獲取訊息回應客戶，Talla指出，傳統的搜尋知識庫的方法可能不夠友善。另一種知識傳播的媒介聊天機器人或是FAQ機器人，其答案來源可能僅採用基本的條件過濾搜尋功能，透過關鍵字對知識庫進行搜索，當問題不夠精準時，便難以獲得良好的回應。

Talla推出智慧知識庫第二版，增加許多功能，想以更智慧的方式，讓知識問答更加的有效率。而要讓知識庫好用，首先必須從內容建構開始，Talla幫助使用者編寫以及組織更有效的內容，以便讓使用者透過網頁介面或是如Slack、Teams或TallaChat聊天平臺，取得這些內容。Talla讓使用者以知識塊的方式組織訊息，知識塊是回覆請求的訊息單位，而單個回覆訊息可以包含多個知識塊。作為內容訓練的一部分，Talla會評估訊息的可用性，並在創建內容時提出建議，引導知識創建人編輯能以聊天的方式輕鬆獲取的訊息。

另一個內容管理的難題，在於維持內容的一致性，而事實的單一來源，對提供資訊給使用者更是重要，為了確保知識庫總能維持訊息一致不重複，Talla內建了內容檢測機制，在編輯過程會自動檢測資料，當知識庫存在類似內容，便會即時通知知識創建人，避免執行重複的工作，也確保最後提供給使用者的資訊，沒有互相矛盾的可能性。Talla還會排程內容審核，以確保知識庫訊息總是保持最新的狀態。

而知識庫並非總能回答使用者的問題，因為請求的訊息可能不在知識庫中，或是由於檢索資訊設定不當，導致系統無法正確搜尋到相對應的知識。官方表示，這個問題並不容易被發現，而且可能不停的重複出現，而Talla系統會自動捕捉丟失的訊息，當知識庫更新相對應知識塊時，Talla會將新答案回覆給使用者。對於那些答案已經存在，只是沒有適當對應問題，當關係重新關聯時，Talla也會重新發送答案。

有不少使用情境應用程式需要請求動態資訊，像是特定客戶的活動狀態這類資料，當從靜態表格獲取這些資訊便容易出錯，因為狀態更新快速，可能抓取過時的資料，Talla提供Live Table功能，可以自動從資料源拉取最新資料，免除人工手動在多個資料源頭搜尋的手續。而這些資訊還能被靈活的應用在電子郵件、票務或是CRM系統系統中，只要在這些內容嵌入自動訊息功能，就可以即時抓取必要訊息加速工作流程。

微軟七月間表示將終止Windows 10每月的Delta更新，未來將簡化更新方式。周四微軟進一步宣佈正在發展改良版的新Windows 累積更新機制，預計今年內從下一代重大版本的Windows 10更新（即Redstone 5）及Windows Server更新開始，將提供單一種且更輕巧、更好部署、更省頻寬的更新方式。

原本Windows 10累積更新分成三種型式，包括完整（Full）、Delta和精簡（Express）更新。其中完整更新也被稱為最新累積更新（latest cumulative update，LCU） , 包含自上次更新後所有變更或沒變過的元件，從Windows 10推出至今，已經長到1到1.2GB。Delta則是下載現有OS變動過的元件，但前提是電腦必須已安裝前一版更新，每次大約300到500MB。精簡更新則是不看更新的版號，而下載現有OS所有遺漏及新增的檔案。

微軟七月間解釋，由於Delta更新是下載完整元件，而非如精簡更新下載個別檔案。使用精簡更新的裝置將會根據網路協定來決定最適差異，再下載必要的檔案，一般在150-200MB之間。但這三種方式過於複雜，七月間微軟宣佈從2019年2月12日起，將不再針對所有Windows 10版本釋出Delta更新，而只專注在完整及精簡更新。

在最新宣佈下，微軟又做了進一步調整。在Redstone 5（1509）及下一代Windows Server更新以前的版本中，微軟還是會持續提供完整（LCU）及精簡（Express）更新。但針對安裝最新版更新的裝置，未來微軟只有單一種更新方式，使Windows10更新比過去檔案更小、更好散佈，更容易管理。

微軟工程師Maliha Qureshi表示，新更新方式有三種好處。首先，從Windows Server Update Services (WSUS)或Microsoft Update Catalog下載完整更新企業將可因更新檔案大幅減縮而節省頻寬。其次，原本使用Delta更新的組織也不再需要監控裝置的更新狀態和歷史紀錄來決定是否可以更新了。最後，如果企業以WSUS、System Center Configuration Manager (SCCM)或第三方產品來下載精簡更新，也能大幅節省散佈節點或更新伺服器的頻寬和快取量。此外，微軟宣稱，由於不再需要以背景運算來計算最適差異，因此更新期間裝置的記憶體使用率也能提升改善40%。

本項變更適用所有更新頻率的每月Quality Update，包括B、C、D release或是頻外（out of band）更新。

新設計的更新將透過Windows Update及WSUS以cabinet (.cab)檔散佈，或以Update Standalone Installer (.msu)檔案在Microsoft Update Catalog供下載。以Microsoft Intune、第三方MDM （行動裝置管理）方案管理或是從WSUS及Microsoft Update Catalog自行更新的企業都可享受到新的更新方式。

美國范德堡大學（Vanderbilt University）的電腦科學教授Douglas Schmidt最近帶領一項名為《Google資料蒐集》（Google Data Collection）的研究，顯示Google透過Android手機進行用戶資料蒐集的頻率與數量都遠高於蘋果的iPhone資料蒐集行為，一支閒置Android手機與Google交流的頻率是iPhone與蘋果交流的10倍。

身為全球最大的數位廣告平台，Google的Chrome瀏覽器、Android平台與搜尋引擎的市佔率都是全球第一，而YouTube、Gmail及Google Maps每月都有超過10億用戶，也讓Google在蒐集用戶資料上，具有得天獨厚的優勢。

根據該研究，Google蒐集用戶資料分為主動與被動，主動指的是用戶有意識地與Google交流，例如登入YouTube、Gmail或搜尋等服務，被動則是程式於背景運作時所蒐集的用戶資訊，也許是在用戶不知情的狀態下。

研究發現，不論是Android或是Chrome都會在缺乏與使用者互動的狀態下傳送資訊給Google，例如一支開啟Chrome但閒置中的Android手機，每小時會傳送40.2次的資訊給Google，其中有35%為涉及隱私的位置資訊，反觀一支開啟Safari的閒置iPhone每小時只會傳送4.2次的資訊給蘋果，且位置資訊僅佔1%。

如果是在正常使用下，Android每小時傳資訊給Google的次數則增加到90.3次，其中有46%是為了廣告需求，另有20%為位置資訊，iPhone傳給蘋果則是17.9次，幾無廣告需求，且位置資訊只佔6%。有鑑於在Android與iOS平台上有許多同樣的網路服務與行動程式，因此從Android手機或iPhone傳送到Google廣告網域的次數差不多。

由於蘋果伺服器幾乎沒有要求iPhone傳送任何的廣告資訊，顯示出蘋果的商業模式並不像Google是仰賴廣告業務。

Schmidt認為，就算Google在被動模式所蒐集的是匿名資訊，但若搭配主動資訊，即能建立用戶與被動資訊的關聯性，而達到去匿名化的效果。

英國媒體Daily Mail曾在今年4月披露 Google所蒐集的用戶資料更勝臉書，該報記者一年來使用Google服務的紀錄就能列出57萬張的A4紙，美聯社（AP）也在上周指出，就算Google用戶關閉了「定位記錄」（Location History）功能，某些Google程式仍會持續存取用戶的位置資訊，Schmidt的研究進一步印證了也許Google才是全球最大的用戶資料蒐集者。

LinkedIn最近釋出一張AI人才的技能發展圖，揭露這些人才在不同階段所學習到的技能順序，指出他們在獲得機器學習技能前，通常會先習得R、Python語言和資料探勘技能。此外，LinkedIn也一併提供了機器學習專業人士的產業分布狀況，以及這些人在不同產業所擁有的「可轉移」技能。這些資料，可作為找尋AI人才雇主的參考，如果招募機器學習人才競爭太大，不妨先從擁有R、Python語言和資料探勘技能的人才找起；如果要從別的產業尋找機器學習人才，也可從「可轉移」技能下手。

為分析AI人才技能發展以及產業分布狀況，LinkedIn研究了自2017年4月至2018年3月整整一年的全球使用者檔案，以及檔案中所列出的技能。只要使用者列出至少一種機器學習技能，比如機器學習、自然語言處理或文字探勘等，就會被歸類為機器學習人才。至於人才需求的衡量，則是根據這些人才所收到的Recruiter InMail平均數量來計算。

AI人才技能發展歷程

（圖片來源：LinkedIn）

在這次研究中，LinkedIn以圖呈現AI人才的技能發展歷程，按照所習得的技能順序，依次可分為HTML、Java、C++、MatLab、SQL、統計、資料分析、R語言、Python語言、資料探勘、機器學習、電腦科學、資料視覺化、AI。

從這個順序可看出，要發展為AI人才的初始技能，涵蓋了HTML、Java和C ++等程式語言。而在習得機器學習技能前，常見的技能則有R、Python語言和資料探勘。

LinkedIn也對此提出獵才建議，表示與其加入機器學習人才爭奪戰，企業雇主不妨培養擁有上述技能的在職員工，讓他們學習機器學習技能，或是從外部尋找擁有R、Python語言和資料探勘技能的人才。

另外，LinkedIn報告統計也顯示了機器學習人才的產業分布狀況，目前擁有最多機器學習人才的領域，為高等教育和研究單位，占總數的33%，職業類別包括了研究人員、老師，以及學生。其次則是IT和電腦軟體業，占了19%，而占7%的網路業則是第三名，其餘包括金融業和諮詢顧問業。LinkedIn也研究了機器學習人才在不同產業間的流動，指出這些人才並不排斥跳槽到新產業或新公司。報告指出，去年有22％的機器學習人才換了工作，而這當中有72%的人換了產業。

（圖片來源：LinkedIn）

機器學習人才在四大產業的「可轉移」技能

LinkedIn在這次報告中，也介紹了機器學習人才分別在網路業、軟體業、金融業和諮詢顧問業，「可轉移」的技能組合。

（圖片來源：LinkedIn）

舉例來說，LinkedIn統計出進入金融業的機器學習人才，與其他產業相比，更可能擁有商務分析、SAS、Tableau和商業智慧等技能。而進入軟體業的機器學習專業人士，更可能具備程式語言相關技能，比如PHP、CSS、MySQL和JavaScript等。至於網路業，則是分散式系統、Git、演算法、Hadoop等，而諮詢顧問業則是商務決策、Tableau、專案管理和領導技能等。

LinkedIn因此表示，「機器學習」並不是專業人士的唯一技能。雇主可透過觀察機器學習人才的技能組合，來尋找適合人選。文⊙王若樸

泰國銀行（Bank of Thailand，BOT）周二（8/21）發表了Inthanon專案，將與R3及8家銀行攜手合作，以分類帳技術（Distributed Ledger Technology，DLT）來提高泰國金融市場架構的效率，藉由發行批發的央行數位貨幣（Wholesale Central Bank Digital Currency，Wholesale CBDC）來建立批發資金轉移的原型。

此一原型將建立在R3的分散式分類帳平臺Corda上，目的是改善泰國未來的金融市場架構，該專案類似其它地區的央行作法，包括加拿大銀行、香港金融管理局，以及新加坡金融管理局。

參與Inthanon專案的8家銀行包括盤谷銀行（Bangkok Bank）、泰京銀行（ Krung Thai Bank）、大城銀行（Bank of Ayudhya ）、開泰銀行（ Kasikornbank）、泰國匯商銀行（ Siam Commercial Bank）、Thanachart銀行、泰國渣打銀行，以及香港上海匯豐銀行（Hongkong and Shanghai Banking）。

除了Inthanon專案之外，BOT也將替無紙化的政府儲蓄債券銷售進行DLT概念性驗證，以改善營運效率。

Inthanon專案的第一階段將設計、發展及測試藉由Wholesale CBDC進行境內批發資金轉移的原型，預計於明年第一季完成，未來則會進一步開發更多功能，包括第三方的資金轉移及跨國界的資金轉移。

資安業者Bitdefender本周揭露一款新Android間諜程式—Triout的細節，指出Triout隱身在合法成人程式《SexGame》中，卻可盜錄Android裝置上的通話、簡訊、影像、拍照，或是收集GPS坐標，再將它們傳送至駭客所掌控的C&C伺服器上。

夾雜Triout的《SexGame》程式最早是在俄羅斯提交，但大多數的感染報告卻來自以色列，是在今年5月被舉報至VirusTotal，Bitdefender猜測該惡意程式是透過第三方市集或是由駭客掌控的網域進行散布。

根據Bitdefender的分析，惡意的《SexGame》與原始版的《SexGame》程式幾乎一模一樣，它們有同樣的圖示、同樣的功能，也有同樣的程式碼，只是惡意版被嵌入了Triout。

Triout可執行多種間諜功能，包括紀錄每一通電話、每則簡訊、裝置用戶所拍攝的照片或影片，以及裝置的GPS坐標，並將它們傳送到駭客伺服器。

Bitdefender表示，現代的行動裝置具備了麥克風、攝影機與位置追蹤硬體，成為絕佳的間諜工具，再加上基於Android平台的智慧型手機、平板電腦與智慧電視的普及，都替惡意程式開發人員開闢了新的可能性。