南華早報於周三(8/22)報導,中國政府本周已關閉了微信上多個與區塊鏈或加密貨幣相關的多個微信公眾號,還禁止北京的飯店或會議中心舉辦與加密貨幣相關的活動。
根據其它中國媒體的報導,被關閉的微信公眾號包括火幣資訊、火幣研究院、金色財經網、幣世界快訊、深鏈財金、TokenClub、每日幣讀、吳解區塊鏈及大炮評級等。
至於微信母公司騰訊則說,部份公眾號涉嫌發布與ICO相關的資訊並炒作加密貨幣交易,違反了《即時通訊工具公眾信息服務發展管理暫行規定》,已被責令屏蔽所有內容,帳號亦被停止使用。
此外,北京的朝陽區也在上周發布通知,禁止該區的飯店、辦公大樓或購物中心舉辦任何推廣加密貨幣的活動。
中國在去年9月明文禁止境內進行ICO活動或加密貨幣的交易,目的是為了避免投資人遭到詐騙。人民幣曾是全球比特幣交易的前三大貨幣之一,但在中國政府的打壓下,現階段人民幣只佔比特幣總交易量的0.03%。
不過,中國並非棄守加密貨幣或區塊鏈技術,除了傳出中國人民銀行打算發行自己的加密貨幣之外,去年全球有關區塊鏈的406個專利申請中,有225個來自中國,且截至今年3月,中國以區塊鏈為主要業務的企業數量已達456家 。
英特爾(Intel)CPU接二連三爆出Spectre、Foreshadow等重大安全漏洞,令企業修補不及,微軟周四對Windows 10 1803、Windows Server 1803版本釋出包含修補多項漏洞的Intel CPU微程式碼的安全更新。
編號KB4346084的Windows更新包含英特爾最近宣佈已完成驗證、並針對新近CPU平台發佈新的微程式碼。這批微程式碼旨在修補Spectre變種3a(CVE-2018-3640)、4(CVE-2018-3639)以及上周揭露的Forshadow或L1TF(L1 Terminal Fault)漏洞,這裏修補的漏洞包括3個L1TF漏洞中的2個:CVE-2018-3615、CVE-2018-3646。
此外,除了年初微軟的KB4100347外,這次更新也包含Spectre變種2(CVE-2017-5715)的Intel CPU更新微程式碼。
獲得更新的Intel CPU平台包括Skylake U、U23e、Y、H、S及Kaby Lake U、U23e、Y、Coffee Lake H (6+2)、S (6+2)、S (6+2) Xeon E、S (4+2) Xeon E、S (6+2)x/KBP及S (4+2)。
這批微程式碼是針對Windows 1803 (Windows 10 April 2018 Update)及Windows Server 1803版(Server Core)的單獨更新。至於其他Intel CPU平台以及其他漏洞的更新微程式碼,也將陸續經由微軟或其他通路向客戶發佈。
Foreshadow包含三個漏洞。CVE-2018-3615影響支援英特爾「軟體保護擴充」(Software Guard Extensions,SGX)的處理器產品、CVE-2018-3620影響作業系統和 System Management Mode (SMM)記憶體,而 CVE-2018-3646 則影響虛擬化層。微軟指出,要緩解Foreshadow需同時安裝微程式碼與作業系統更新。
微軟已在8月20日釋出所有Windows版本的作業系統更新。
一名綽號為NinjaStyle的安全研究人員本周指出,透過外洩API就能找到2018年黑帽駭客大會(Black Hat)與會人員的所有個資,包括電子郵件、地址、電話與公司名稱等,由於參與黑帽大會的多為資安高手,有些與會者之間還存在對立關係,更使得NinjaStyle的發現受到矚目。
舉凡參加黑帽大會的人都會拿到一個名牌,名牌上有一個NFC標籤,業者只要掃描該標籤就能取得與會者的資料,NinjaStyle也參加了本月在美國拉斯維加斯舉行的黑帽大會,因好奇心作祟,他下載了標籤閱讀器,看看自己的標籤存放哪些訊息,結果只看見自己的真實姓名及一個可用來下載BCard名片閱讀器程式的網址,其它都是亂碼。
他覺得有些奇怪,因為在黑帽大會結束之後,與會者就會收到業者傳來的大量行銷郵件,但標籤上並未存放電子郵件位址,這讓他決定一探究竟。
NinjaStyle下載了BCard並將它反編譯,發現BCard建立了一個由badgeID與eventID數值所組成的URL,於瀏覽器中輸入後就取得了自己的完整與會資料,從姓名、地址、公司名稱、部門、電子郵件、職稱到電話號碼等。
NinjaStyle說,此一應用程式介面(API)完全沒有任何安全措施,也不需經過身分驗證,若採用暴力破解法,大概只要花上6小時就能取得1.8萬名黑帽大會與會者的詳細個人資料。
黑帽大會在收到NinjaStyle的通知後,已於上周關閉了該介面。
Google 資料中心
Google讓AI來控制資料中心的冷卻系統
.JPG)
Google近日在官方部落格宣布,其資料中心的冷卻工作,已交給AI負責了。其實在2016年時,Google就已在資料中心的冷卻系統中運用AI,向系統控制器推薦在保持最佳溫度的同時,如何提高能效。現在,Google開始讓AI來掌管資料中心的溫控,AI系統每5分鐘拍攝一次冷卻系統的照片,並將訊息輸入DeepMind神經網路。然後,AI系統會評估要採取哪些措施,在維持溫度的同時也能盡量減少耗能。而管理人員,只在旁負責監管,不介入操作。
不過為了考量安全性及穩定性,在設計該AI推薦系統時,Google團隊也刻意設下門檻,限定能源使用改善的界線,在風險與節能間,尋找平衡。目前系統上線幾個月,就已帶來相當成效,根據Google揭露的數字,套用新AI推薦系統後,能源節省率又再提高了30%。(詳全文)
BBC 4.1 AI
AI也能製作電視節目,BBC 4.1將於下月開播
電視界也吹起AI風!BBC旗下頻道BBC 4自去年開始,就與自家研發部門合作,研究如何透過AI和機器學習技術,從龐大的節目資料庫中尋找合適該頻道的影片。該資料庫收錄了BBC電視臺從1953年至今、超過25萬部的電視節目,而AI的作用,則根據該頻道以往的節目時間表、屬性,來搜尋觀眾可能會喜歡的影片,再加以排名。 除了挑選影片,BBC 4還透過AI技術的3種應用(包括場景識別、文字識別和關聯性識別),來剪接經典片段、編輯成一段影片。這個過程,將於AI電視頻道BBC 4.1播出,節目名稱為Made By Machine: When AI Met The Archive。而另一個節目則是The Joy of AI,邀請量子物理學教授Jim Al Khalili開講。兩個節目播出時間則為9月4日與5日晚間。(詳全文)
Intel Vertex.ai
Intel收購AI新創Vertex.ai,併入旗下AI產品集團
.JPG)
Intel日前收購一家AI新創Vertex.ai,併入麾下AI產品集團Movidius中。Vertex.ai專門開發深度學習編譯工具和相關技術,其產品PlaidML是一款深度學習平臺,旨在讓各種裝置都能執行深度學習運算。Vertex.ai官網表示,Intel將持續發展PlaidML,並在Apache 2.0 授權專案下,使用Intel編譯器nGraph做為後臺,支援該公司各種硬體。這是Intel第4起AI新創收購案,先後收購了Altera、Nervana Systems和Movidius,而在公司內部方面,Intel也建立了AI小組和專司進階研究與開發的AI實驗室。(詳全文)
LinkedIn 機器學習
找不到機器學習人才?LinkedIn告訴你
.jpg)
LinkedIn最近分享一些資料,說明機器學習人才的典型職業發展道路,來幫助企業尋找相關人才。為進行分析,LinkedIn首先研究全球各地的使用者檔案,而他們的檔案中,至少要有一項機器學習技能。LinkedIn分析了自2017年4月到2018年3月的使用者資料。 分析結果顯示,機器學習專業人士,在添加機器學習這個技能之前,最常見到的技能是資料探勘、Python和R。而在專業人員的職涯中,早期學到的技能還包括Java和C ++。LinkedIn的分析報告,也指出企業可在哪些行業找到機器學習人才:擁有最多機器學習人才的是高等教育和研究單位,其次為IT和軟體業,而其餘的則分布在其他行業。(詳全文)
WEF AI
世界經濟論壇:AI可能破壞金融平衡
世界經濟論壇(WEF)近日發表一份報告,指出AI將在未來10年重塑金融界,比如讓投資自動化,但這也會產生系統性弱點和風險。該報告舉例,大型金融機構將透過雲端提供機器學習服務,讓其他機構也能使用該服務,「但在一個更加網路化的世界,其網路安全就更容易受到影響,並產生產生集中風險」,這份報告的主要作者Jesse McWaters表示。隨著金融業大力嘗試後臺自動化,高頻交易的自動化已帶來系統性風險,正如近幾年失控的交易事件或「閃電崩盤」。也就是說,一個提供機器學習服務、能讓許多機構透過雲端使用的金融系統,容易成為駭客目標,也會導致單點故障。(詳全文)
GitHub 教育
在課堂中使用GitHub,能大幅提升學生進入業界的自信
.JPG)
GitHub已開始在課堂中使用,特別是電腦科學和軟體工程領域。GitHub教育團隊調查8,000位學生與老師,比較有在課堂使用GitHub與沒有使用GitHub的學生相比,發現GitHub帶來5大好處:第一、學生覺得對未來職場有更佳的準備,第二、學習到更多業界使用的工具和協作方式,還能產生作品集和學習專案管理,第三、與開發社群有更多的連結,第四、從學校與軟體產業中獲得歸屬感,第五、在GitHub上收到老師給的回饋,能獲得更多的好處。(詳全文)
TensorFlow API
TensorFlow 2.0將捨棄部分API,預計下半年登場
官方預告在2018下半年釋出的TensorFlow 2.0,將改善易用性,而最有看頭的將圍繞著Eager Execution正式發布,這個命令式程式開發環境,能立即執行程式碼評估操作,也就是開發者能即時除錯,這個功能將在TensorFlow 2.0正式提供。不過,並非所有更新都可以自動完成。官方表示,他們準備棄用一些API,部分API並沒有對應的替代API,為解決這個問題,官方承諾會提供相容模組Tensorflow.compat.v1,其中仍含有完整的TensorFlow 1.x API,並在TensorFlow 2.x的生命週期中繼續維護。(詳全文)
甲骨文 GraphPipe
甲骨文開源部署機器學習模型工具GraphPipe
GraphPipe是甲骨文用來部署機器學習模型的工具,現在對外開源。GraphPipe解決了部署模型的3個問題,包括框架傳輸標準不一、複雜的模型部署工作以及解決方案效能低落。目前GraphPipe高效能伺服器支援TensorFlow、PyTorch、mxnet、CNTK和caffe2內建的模型。GraphPipe的資料都可以在GitHub中找到,伺服器目前提供了Python和Go版本,而客戶端也有Python和Go版本,之後會再支援Java。(詳全文)
SAP Slack
SAP聊天機器人Concur Travel登上Slack,出差找航班、訂機票變得更方便了!
SAP近日宣布,在Slack推出行程規畫Concur Travel的聊天機器人,目前已邁入Beta階段,開放給Slack、Concur Travel的用戶測試。現在,企業用戶可以在Slack上搜尋班機,利用航班、機艙等級、航空公司作為過濾條件,不需離開Slack就能完成。此外,如用戶有多人畫位需求,使用SAP Concur Travel聊天機器人,可直接在公開、私人頻道與同事一同訂票,加快差旅規劃速度。完成訂票後,該聊天機器人會串接SAP Concur用戶資料與訂位需求,並且記下付款資訊、哩程回饋等。接著,系統會將行程匯入Concur Expense,完成訂閱手續。(詳全文)
圖片來源/Google、BBC、LinkedIn、GraphPipe、GitHub、SAP
AI趨勢近期新聞
1. Salesforce開源支援每日30億次推測的ML函式庫,訓練一個模型只要數小時
2. 微軟Azure虛擬網路服務端點正式支援MySQL及PostgreSQL
3. 臉書AI團隊攜手紐約大學,要讓MRI快10倍
4. 工研院正式啟用人工智慧AIdea共創平臺
資料來源:iThome整理,2018年8月
面對層出不窮的系統產品漏洞問題,漏洞通報平臺成為解決零時差漏洞的一種手段。在趨勢科技今日(8月23日)舉辦的CloudSec大會,上午大會主題議程中,零時差計畫(Zero Day Initiative,ZDI)資安計畫經理Shannon Sabens,也在現場分享了全球資安漏洞的最新趨勢。她指出,ZDI已是全球最大漏洞懸賞計畫,同時也舉辦了Pwn2Own與Mobile Pwn2Own的獎勵競賽,對於近年漏洞趨勢的演變,他們提醒,在行動及聯網時代應重視漏洞防禦機制,至於漏洞目標,在企業軟體之外,也要關注的重點包括工控系統、虛擬化軟體與瀏覽器。
為了鼓勵發掘未知零時差漏洞及更早修補,ZDI在全球已累積不小的能量,Shannon Sabens表示,目前他們與3,500個獨立研究人員合作,其中表現活躍的研究人員有100到200位,提供廠商漏洞情報以即時更新修護,同時也包括他們本身的專案研究團隊DVLab。
他們主要是希望藉由實質的獎勵,提供賞金購買漏洞,讓資安研究人員可以循正當管道,將零時差漏洞通報相關廠商。也許還是有人沒聽過ZDI,其實該計畫始於2005年,趨勢科技在2015年併購HP TippingPoint,也包含了該公司發起的這個零時差計畫(ZDI)。當然,這個漏洞懸賞計畫不僅發揮了全球研究人員的力量,蒐集各式漏洞情報,並找出最新漏洞攻擊方法與產業趨勢,同時,趨勢科技也藉由這樣的專業情報與技能,強化自家Smart Protection Network 的全球雲端威脅情報網。
Shannon Sabens指出,據Frost & Sullivan統計報告,在2017年經由ZDI發現並確認的漏洞數量,佔了全球總數66.3%,居所有漏洞懸賞計畫之冠。
其實回顧往年的數據,ZDI持續在漏洞通報上名列前茅,並有明顯增長的趨勢,比起2016年的54%,2015年的49.1%更高。
顯然,ZDI在找出漏洞問題變得越來越有份量。而且,ZDI其實也具備發布CVE漏洞編號的資格,目前僅有兩個漏洞獎勵計畫,是CVE Numbering Authority(CNA)的成員。
對於近期的資安漏洞趨勢,ZDI也從近年的漏洞研究報告,觀察到4個重點。Shannon Sabens指出,首先,企業軟體的漏洞數量持續上升;第二點,隨著IoT應用發展,工業控制環境SCADA系統漏洞被關注的比例也增加;第三點,瀏覽器上的即時編譯器(JIT)弱點所帶來的漏洞成為焦點;最後則是虛擬化軟體漏洞慢慢浮現。
另一方面,為了鼓勵找出零時差漏洞,Shannon Sabens提到,ZDI本身也舉辦了Pwn2Own與Mobile Pwn2Own兩項年度白帽駭客競賽,鼓勵研究人員挖掘常用軟體漏洞,為供應商與用戶提供零時差的情報防護。
在Pwn2Own競賽方面,今年ZDI主要的5大競賽類別,包括虛擬機器逃脫、瀏覽器、企業應用程式與伺服器,以及Windows Insider Preview挑戰;在Mobile Pwn2Own方面,鎖定的目標除了Apple iPhone 7、Samsung Galaxy S8、Google Pixel,他們最新還增加了華為Mate9 Pro。Shannon Sabens並指出, ZDI觀察到有越來越多參與者是以小組方式加入競賽。
而從這些競賽的類別,其實也可以看出他們所關注的漏洞問題與面向。
特別的是,在最近8月,他們也針對特定目標發布弱點揭露獎勵計畫,主要針對Joomla、Drupal、WordPress、NGINX、Apache HTTP Server、Microsoft IIS,分別提供2萬5千美元到20萬美元的獎勵。
在今日的公開議程之外,我們也經由昨日的媒體團訪活動,向Shannon Sabens提出ZDI的相關問題。例如,ZDI將漏洞通報給供應商時,是否有聯繫不到的情況,她表示,的確有這樣的狀況,但他們會極盡所能,透過各種方式與對方聯繫,但如果對方沒有在期限內做出相應的修補,或是不認為那是漏洞,他們還是將漏洞揭露公開發布。但她也說明,漏洞獎勵計畫的主要目的,還是希望促進供應商更新修補。也意味著供應商應要有更積極的態度,才能同心協力降低零時差漏洞的問題。至於通報供應商家數,她表示在50到100家左右。
另外,對於那些已通報ZDI,但還未到公開期限的漏洞,ZDI是如何做到防護。Shannon Sabens也直說,像是她的筆電在外出時,就不能連回公司取得相關資料,而他們的同仁也都會在隔離的環境處理這些通報漏洞。
一家由微軟負責研發視訊及電腦視覺的員工合組的新創公司PerceptiveIO今年傳出可能已經被Google買下。
PerceptiveIO是2016年由微軟Surface Hub部門主管Jeff Han創立,並找來微軟全息傳送(holoportation)及電腦視覺、機器學習的一組研發人員。但是該公司一直相當低調,當時公司網站只透露該公司計畫打造讓人「可即時感受並和世界互動」的系統,透過電腦視覺、應用機器學習、全新顯示器、感測技術與人機互動介面,全然改變人和電腦互動的方式。Han在更早之前創立的多點觸控顯示器廠商Perceptive Pixel 於2012年被微軟買下,最終被應用於開發大型視訊會議產品Surface Hub。
代號為WalkingCat的知名獨立記者周四推文指出,PerceptiveIO已經加入Google擴增知覺(Augmented Perception)部門。他還貼出Google擴增知覺的研討會教材。該研討會主題涵括VR/AR、3D影像捕捉及物體與空間感測、追蹤及定位等技術,主講者皆為PerceptiveIO員工。
同時間,PerceptiveIO網站也顯示已過期,媒體ZDNet發現該網域現為Google所有。
這也顯示,Google可能也即將或正在發展類似微軟HoloLens的全息傳送(Holoportation),即透過3D投影成像技術,讓分隔二地的使用者相互通話。但PerceptiveIO並未回應媒體的詢問。
臉書(Facebook)於本周宣布,將不再向開發Android平台即時遊戲(Instant Games)的開發人員徵收30%的營收分享。
即時遊戲是臉書在2016年11月發表的服務,它支援行動平台上的Meseenger,以及網站版臉書的動態消息,標榜數秒內就能下載遊戲並與友人對戰。它一直到去年5月才部署至全球市場,今年3月才邁入正式版,開放所有開發人員提交遊戲,目前已有超過200款遊戲。
原本臉書要求分享30%的即時遊戲營收,但在Android平台上,開發人員必須先與Google分享30%的營收,剩下的再與臉書分享30%的營收,意味著開發人員最終只能獲得49%的遊戲營收。
臉書的即時遊戲團隊在本周宣布,自8月1日起,開發人員與Google拆帳後,將能保留所有的營收,而不必再與臉書拆帳,不過,若是在網站版臉書出現的即時遊戲,還是必須支付30%的遊戲營收予臉書。
Google公開了其Android安全更新計畫。在2017年中,共有約10億臺Android裝置獲取更新,比前一年多了30%,而Google提到,他們要繼續為Android引入新的流程與計畫,讓Android更新工作更為容易。
這個策略的最重要部分,就是要提高介面的模組性以及清晰度,讓作業系統的子系統更新時,不會對其他子系統產生影響。Treble專案則是簡化更新工程的第一個策略,把Android作業系統模組化,從硬體拆分出來,大幅簡化了更新裝置所需要的工作量,而新釋出的作業系統Android P就使用了這項新技術,使其系統更新更加有效率,是目前所有Android中最容易更新的版本,而模組化策略也同樣適用於安全更新,因為框架安全性更新可以獨立於裝置特定組件。
第二個策略是將作業系統的服務抽出,放到使用者模式的應用程式中,如此,這些應用程式便能獨立更新,Google提到,這個形式的更新不一定效率較差,有時候甚至更加快速,像是包括安全網路組件的Google Play服務以及Chrome瀏覽器,都可以像其他Google Play應用程式一樣單獨更新。
第三個策略則是合作夥伴計劃,透過與合作夥伴的合作,強化Android可更新性,Google提到,他們的GMS Express計畫就是與系統單晶片供應商合作,為系統單晶片參照設計提供每月的預整合和預測試Android安全更新,不只能降低成本,也能加速晶片上市的時程。
Google提到,在所有複雜的軟體系統中,臭蟲的發生都是無可避免的,但是不讓臭蟲有機會被用於惡意攻擊是有可能的。除了工程上的把關外,確實進行更新工作更是重要的一環,縱深防禦戰略是確保裝置安全的關鍵作法,Google每個月都會提供Android原始碼補丁給智慧手機供應商,讓他們能夠把這些補丁放入韌體更新中,提供給裝置使用者。
Google表示,每月更新是做好的作法,但即便Android供應商沒辦法應付每月更新頻率,至少需要在重大漏洞揭露之前提供用戶更新,常見漏洞揭露的時間為90天,因此每三個月更新一次韌體是最低的安全要求。
IEEE Spectrum早前發布了學術界的程式語言偏好調查,而開源雲端平臺Cloud Foundry基金會也公布了企業愛用的程式語言排名,Java和JavaScript仍然穩居第一、第二名寶座,甚至有與第四名之後拉開距離的趨勢,而學術界愛用的Python在企業界反而沒有這麼熱門,使用比例甚至從2017年11月的30%,降到今年3月的25%。
Cloud Foundry對全球企業IT決策者(ITDM)所做的調查,在過去9個月中,無論是2017年11月或是2018年3月的研究,Java和JavaScript都是企業開發者最主要使用的兩種語言,在今年3月有58%的IT決策者表示使用Java,前端與後端使用JavaScript的比例為57%。而另一家研究公司RedMonk在今年3月也公布了語言排名,Java和JavaScript也是位在排名最前面。兩個調查都一再證明Java在企業界仍然非常強勢,沒有衰退的情況,Cloud Foundry提到,Java還活得很好。
企業應用開發語言排名:
第三名與第四名為C++和C#,第五名與第六名為Python和PHP。C++在過去9個月的表現也有微幅的成長從45%上升到46%,PHP表現持平維持在22%,C#和Python都往後衰退,C#從28%下降到了26%,而Python更從30%下降到了25%。企業對於新興語言使用仍然較為保守,較新的語言像是Ruby或是Go都只有個位數的使用率。Cloud Foundry認為,除了Python之外,其他語言的使用率差異可以視為邊際誤差,而前三名語言上升,所有語言下降的現象,可能代表著較少受訪者選擇多重選項。
由於現在許多開發環境都支援多程式語言,因此企業可以更彈性靈活的選擇想要使用的語言,用適合的語言解決適合的問題,尤其是實踐原生雲端應用的大型企業,更能自由選擇使用的語言,Cloud Foundry提到,這個現象之於企業的意義,代表大型企業不再受限只能聘僱特定語言的開發人員,雖然企業內團隊會有慣用語言,但該團隊也可能是由多語言開發能力的人員所組成,這樣的生態擴展了企業可用人才的範圍。
越來越多企業會以多語言或是多平臺的策略,解決企業的需求,而雲端開發的靈活性,讓原本單一的開發方法,更走向靈活、可移植以及具有互通性的運算生態,Cloud Foundry表示,使用多開發語言是現在企業的新現象,無論是在開發、生產或是資本考量,多語言開發提高企業發展速度。
雖然整個開發產業流行的語言存在一致性,但是其中仍然有些差異,特定語言會受地區或是公司規模而影響受歡迎程度。調查發現,企業規模越大,使用的開發語言就會越多,因此在大型企業中,一般來說都會使用到Python和C#這兩種語言。
在北美,有三分之二的IT決策者使用JavaScript,Java則為58%,在亞洲Java為58%,接著是C++為52%,而歐洲排名則與全球的表現相當一致。私有雲用戶也與全球用戶趨勢相同,但Java和JavaScript的使用率相較其他開發語言有更大的差距,多雲企業也大多數使用Java和JavaScript,Cloud Foundry認為,只要原生雲端趨勢繼續發展,那Java和JavaScript在企業開發領域就會繼續強勢。
Valve釋出了Linux作業系統Steam Play測試版,透過Wine的修改發布版Proton,增加Windows遊戲的相容性,使其可以在Linux作業系統中執行,因此原本不支援Linux的Windows遊戲現在可以安裝,並以Linux Steam客戶端程式運作。
Steam Play是Valve推出的跨平臺遊戲販售服務,玩家只要購買一次遊戲,就可以在其他平臺遊玩。Wine並非模擬器,而是提供一個相容層,讓為Windows開發的程式,可以在Linux系統中運作,而Proton內含了Valve客製化的Wine,以及其他額外的函式庫,是Steam Play用來提供Windows相容性的工具。
而Proton對多執行緒的支援,讓遊戲執行效率比起使用一般版的Wine更好,Proton以Vulkan作為基礎,來支援DirectX 11和12的實作,不只增加了相容性,也減少效能上的影響。在遊戲體驗上,Proton改善了對全螢幕的支援,現在遊戲可以在不干擾原生螢幕解析度,不需要使用虛擬桌面的情況下,完美的執行全螢幕遊戲。在遊戲控制器支援方面,遊戲現在會自動辨識Steam支援的遊戲控制器,玩家在使用開箱即用的控制器,會明顯感覺遊戲體驗上升,Valve強調,甚至可能比原本遊戲支援的更好。
Steam的客戶端程式支援玩家自己建置的Proton版本,由於Proton是一個開源專案,玩家可以從GitHub下載原始碼,使用自己建置的版本替換內建的版本。Valve也表示,由於繪圖API轉換的關係,部分遊戲執行效能可能會受到影響,但是在使用Vulkan開發的遊戲,效能不會有任何減損。另外,當遊戲使用複雜的DRM或是反作弊系統,有很大的機率會讓遊戲無法使用Proton在Linux上運作,Valve暫時無法解決這個問題。
近幾年,網路安全的天平已經向攻擊方傾斜,面對現在的網路威脅趨勢,幾乎各大資安業者都提出無法完全免於網路攻擊的風險,而許多資安事件也應證了,企業並無法完全阻絕這些風險。
對於如何建立正確網路防禦思維,做出務實的網路防禦策略,在今日舉辦的趨勢科技CloudSec大會上,趨勢科技資安事件應變小組資深經理邱豊翔指出,雖然近年企業已經開始重視資安,但還是有一些盲點存在,企業必須重新設定網路防駭的思考方向。他提醒,企業要體認到3件事:首先是必須要接受沒有100%安全的概念,第二是因為沒有絕對的安全,該用何種方式來降低損害與風險就很重要,因此要重新聚焦在高風險的網路威脅防禦,最後則是,不管企業看到或沒看到的威脅,其實都是需要資安事故處理應變的能力,因為這將能夠為企業減少損失。
為了讓現在的企業更容易理解,如何聚焦高風險的網路威脅防禦,邱豊翔也借用「黑天鵝效應」與「灰犀牛效應」,這兩種常用於解釋金融市場現象的比喻,來說明入侵影響程度高的不同網路威脅危害。
簡單來說,黑天鵝效應的大家應該都不陌生,典故來自歐洲人認為天鵝都是白色的,在首次接觸到黑天鵝後引發衝擊,在金融市場解釋,就是極為罕見,通常發生在預期之外。邱豊翔表示,黑天鵝式的網路威脅,也就是認為幾乎不可能發生,甚至說沒有前例可循,很難預測。也因為難以預測,大部分企業也不會投入資源去防護,但一旦遭受入侵,就會造成極大的影響。
另一個灰犀牛效應則是近一年來熱門的話題,邱豊翔說,看似無害的灰犀牛,每年在非洲草原殺的人卻比獅子還多,有趣的是,儘管很多人都知道這樣的危險,但還是選擇去忽略。因此,灰犀牛式的網路威脅,就像近年金融業遭遇的SWIFT網路攻擊事件,在孟加拉銀行事件之後,持續有不同國家銀行仍到同樣的攻擊。
現場,邱豊翔並以他們的資安事件調查經驗,來說明這兩類威脅。舉例來說,以現實環境的黑天鵝式網路威脅而言,像是有一家企業做了不少的資安防護,例如將網段依風險性區隔,將內部網路與協力廠商維護的伺服器區隔離開來,但由於難以預測駭客的入侵管道、攻擊手段,更無法預測防禦零時差弱點,最後駭客經過種種手段,最後再透過令人意外的交換器零時差漏洞,進而從隔離環境攻進該公司伺服器。
而灰犀牛式的網路威脅則不同,像是有企業IT人員在實體隔離的環境,為了貪圖方便則取巧讓兩邊資料能對傳或開防火牆,明明知道危險但仍選擇忽略,最後他們不可連外上網的環境,遭到勒索軟體入侵,將該公司所有研發資料加密。
面對這兩類影響極大的網路威脅,企業該如何應對?邱豊翔也說明了因應的方式。先從黑天鵝式的網路威脅來看,儘管防不甚防,但不代表什麼都不做。他認為,企業先從做到善盡保護責任開始,再來談黑天鵝效應。另外,企業要找出先要處理的問題,才能讓錢花在刀口上,因此可以回歸到基本的風險評估公式,就是威脅、機率與影響。
對於灰犀牛式網路威脅的防範,邱豊翔也指出幾個要點,對於威脅情資的蒐集與利用,以及瞭解各種駭客攻擊法與入侵案例,企業的重點應放在是檢視自身環境有沒有同樣的問題,並趕緊處理,但有些企業對於威脅情資,則當成故事書來看,顯然放錯重點。而這類受害者的問題,其實大多是一些老生常談的問題,例如缺少考量安全性的網路架構,存取控制寬鬆,及帳號權限開放過大,或是管理制度雖通過內外稽核,但卻未能真正落實。
畢竟,資安觀念除了建立,更需要的是能被實踐。另外,他也提到資安事故應變是必備能力,原因前面其實也都有提到,沒有100%的安全,而應變也不只是技術面的問題,需要不同面向的配合,像是營運、公關等。
最後,邱豊翔也建議,相較黑天鵝式的網路威脅,企業更應將焦點放在灰犀牛式的網路攻擊,以務實角度規畫網路安全防禦。而且,比起黑天鵝式網路威脅,灰犀牛式網路威脅有前例可循,預測難度低,要預先防禦也容易。
而面對各種任何型態的網路威脅,防禦最好方式還是回歸到基本,做好資訊基礎架構安全,多層次網路縱深防禦,並要能真正落實管理制度。另外,資安事故應變能力不可免,才能降低網路威脅的衝擊。
自駕車 Comma.ai
以5百萬英里數據製作自駕地圖,美國自駕車軟體新創Comma.ai將開源釋出HD高精密地圖
以開源自駕車軟體而聞名的美國自駕AI新創Comma.ai最近正在利用過去2年來蒐集的自駕車行駛數據,以製作自駕車專用的HD高精密地圖,並且計畫開源提供給公眾使用。Comma.ai將這個高精密地圖稱作Comma Maps,它是利用這些已安裝自駕軟體OpenPilot的後裝汽車,來蒐集全美州際高速公路數據,至今里程數已累積超過500萬英里,並且每周以新增75,000英里道路數據持續更新。Comma.ai表示,未來透過這個地圖檢示器,能以視覺化方式在地圖上清楚標示先前記錄的所有道路路徑、車道線標記以及周圍環境特徵,並且具備更高的精準度。Comma.ai同時還打算開源他們用來建立地圖圖磚(tile)的基礎架構工具,讓更多開發者一起加入地圖製作行列。(詳全文)
智慧汽車 亞馬遜
加速推進車聯網市場,Amazon開源Alexa車用SDK
.png)
Amazon最近釋出Alexa Auto SDK,同時還將它開源,以讓所有汽車製造商都能加以利用。Alexa Auto SDK具備Alexa的各種核心功能,包括語音辨識及語音合成,也能用來串流多媒體、控制智慧家庭裝置、傳送通知、報告天氣或使用各種Alexa Skill;另外它還配有汽車專屬功能,例如喚醒引擎、本地端媒體播放器、本地端電話或是本地端的導航系統。該SDK包含原始碼與以C++及Java所撰寫的功能函式庫,讓汽車能夠執行語音的輸入與觸發,建立汽車與Alexa的連結,並處理與Alexa的所有互動,還可支援ARM與x86處理器架構的Andorid及ONX作業系統。(詳全文)
三星 智慧喇叭
力抗Google與亞馬遜,三星首款智慧喇叭Galaxy Home亮相
.jpg)
韓國手機大廠三星近日在Galaxy Note 9旗艦機發表會上,還同時發布首個家用智慧喇叭裝置Galaxy Home,來與Google、亞馬遜及蘋果互別苗頭。不像其他智慧喇叭,Galaxy Home底部有3個腳架支撐它站立,且搭載6個喇叭與重低音,可以用來播放高品質音樂,還內建自家語音助理Bixby,只要對著它說出:「Hey Bixby」,就可以回答你包含天氣、行程安排等各種生活資訊,還能播放個人喜愛的音樂。該裝置還內建了SmartThings hub控制器,可以用它來監控智慧家電等居家IoT設備。不過,Galaxy Home上市和售價仍未公布。(詳全文)
谷歌 Google Home
對抗亞馬遜Echo Show?傳谷歌年底前將推出搭載觸控螢幕的Google Home
智慧喇叭市占位居老二的Google,為了要追上領先的亞馬遜,傳出它正準備發布一款配備觸控螢幕的Google Home,以用來補足現有Home Mini和Home Max產品線的不足。據了解,這款智慧喇叭很可能與亞馬遜Echo Show類似,且支援Google語音助理,最快將在年底前推出。Google至今並未有任何回應,不過年初,它曾與Sony、Lenovo等業者合作開發配備有觸控螢幕的智慧喇叭。而目前全球智慧喇叭銷量,Amazon與Google 仍分占前兩名,至於Apple的HomePod則位居第三。 (詳全文)
智慧語音助理 Cortana
亞馬遜Amazon Echo現在能呼喚微軟Cortana幫你做事了
.jpg)
近日,微軟與Amazon共同宣布,現在已能夠在Amazon Echo上呼叫Cortana,或者在Windows 10 PC設備上傳喚Alexa,來支援用戶生活中的例行事務。去年,亞馬遜與微軟決定讓兩家語音助理能互相對話,並在今年微軟Build大會展示雙方合作成果,現在則是終於釋出公開預覽版,讓使用者可以搶先體驗,例如,現在使用Office 365的用戶,可以要求Cortana喚醒Alexa,採購民生用品或控制智慧家電。或是能以Amazon Echo呼叫Cortana,協助安排行事曆、或查看電子郵件等例行性作業。不過,目前還無法叫對方助理播放串流音樂、設定鬧鐘等,而且僅開放美國用戶才能用。(詳全文)
無人機 哥倫比亞
哥倫比亞政府試用無人機追緝毒品源頭,從空中找出種植古柯植物大本營
無人機正夯,不只在娛樂或商業已有諸多應用,現在還被政府拿來當作杜絕非法、緝毒行動的新利器。哥倫比亞當局最近為了緝毒祭出鐵腕而找來無人機業者合作,透過以無人機在空中鳥瞰偵查農田的方式,來找出有種植古柯植物等毒品原料的農地,並加以銷毀。他們還在無人機身上配備了除草劑,可以直接將藥劑從空中投放到地面指定的農作位置,以殺死這些古柯植物。也因為是以無人機作業,即便被當地武裝農民發現而擊毀,也不會造成任何人員傷亡。據了解,他們測試至今已利用無人機成功破壞了數百英畝的古柯作物。(詳全文)
無人車送貨 連鎖超市 &T
美國食品及藥品連鎖超市Fry's也開始試用無人車送貨
.jpg)
美國老牌食品及藥品連鎖超市Fry's Food and Drug最近也開始與自駕車新創Nuro合作試用無人車送貨。Nuro前陣子才與另一家連鎖超市Kroger合作,這次則是進一步在Fry's Food and Drug位於亞利桑那州斯科茨代爾市的商店,開始提供無人車送貨服務,不過初期將以改裝Priuses自駕車載貨,今秋才會加入迷你送貨無人車R1,且每次將收取5.95美元的運費,顧客可藉由該店網站或App來訂購,Nuro自駕車隊收到商品訂單後,就會自動將物品送到顧客家門前,省下民眾開車外出採買的時間。(詳全文)
5G晶片 三星
提前卡位5G通訊市場,三星首款5G數據機晶片亮相
.jpg)
不讓高通、英特爾及華為等業者專美於前,三星最近也跟進發表了該公司首款5G數據機晶片Exynos Modem 5100,提早卡位5G晶片市場。三星宣稱該5G晶片是業界首款完全符合國際3GPP最新版5G-NR R15規格的5G數據機晶片,採用10奈米製程,而且它同時支援從2G到5G的標準,除了包含5G-NR R15規格中的sub-6GHz與毫米波(mmWave)頻段之外,也支援2G的GSM/CDMA,與3G的WCDMA、TD-SCDMA、HSPA,以及4G LTE。三星表示,當以該晶片連接sub-6GHz基地臺時,下載速度最快可達2Gbps,甚至在連接毫米波基地臺時,速度更高達6Gbps,至於4G基地臺也能獲得1.6Gbps的下載速率。(詳全文)責任編輯⊙余至浩
圖片來源/亞馬遜、三星、微軟、Comma.ai、Nuro
更多IoT動態
1.英國電信BT與基礎設施服務商Stobart聯手,將運用物聯網技術提前預警以降低洪水災情
2.為降低民眾對自駕安全疑慮,福特汽車發布自駕車安全策略
3.IoT調查:全球工業物聯網市場看漲,未來5年將突破1,760億美元
4.搶攻智慧家庭商機,三星發表新一代SmartThings Mesh智慧無線連網系統
資料來源:iThome整理,2018年8月
國內行動支付即將出現新的付款方式,萬事達卡(Mastercard)預告符合EMV標準的QR Code交易可望在第四季登場,屆時民眾將可用手機掃描帳單上的QR Code,即時完成線上付款。
這幾年國內行動支付服務快速發展下,除了Apple Pay、Google Pay等NFC感應支付,還有Line Pay、街口、台灣Pay等支援的QR Code掃碼支付,有別於NFC感應支付需要手機具備NFC通訊功能,QR Code掃碼支付只要具備相機功能就能使用,可跨Android、iOS平台使用,對推動行動支付的普及提供不小的助益。
不過各家業者提供的QR Code掃碼支付,採用各自的QR Code規格,並沒有統一規格,因此A業者用戶無法掃描B業者的QR Code,反之亦然。為推動QR Code的全球性標準,萬事達卡、Visa、美國運通、JCB、銀聯、Discover六家業者共同發起EMV標準的QR Code交易。
萬事達卡宣佈將全面支援聯合信用卡處理中心、財金公司兩大平台,第四季初推出EMV標準的QR Code交易,民眾可以使用各家銀行app,選擇想要付款的萬事達卡Debit金融卡或信用卡,以手機掃描商家提供的EMV標準QR Code,確認支付金額無誤完成付款。
萬事達卡台灣區總經理陳懿文表示,除了將支援財金、聯合信用卡處理中心兩大平台,去年底和台灣Pay合作QR Code共通支付整合,今年將會推出萬事達卡金融卡(Debit 金融卡),消費者可用以支付信用卡帳單、各項稅費。
萬事達卡看好未來QR Code的五大支付應用領域,例如在繳費繳稅上,消費者以手機上的Debit 金融卡,掃碼支付各種稅款及信用卡或手機帳單,以及過去只收現金的微型商家、外送服務的貨到付款,還有自動販賣機、行動POS的掃碼支付。
相較於信用卡刷卡或感應支付,萬事達卡指出第四季初將推出的EMV標準QR Code因為是由消費者主動掃描業者的QR Code,對商家而言不需要另外準備具有感應支付功能的刷卡機,加上主掃支付不需提供信用卡卡號給商家,在交易安全上也相對較有保障。
從7月底到8月底,有三場IT廠商的大型活動陸續在臺登場,分別是F5 Anticipate、NetApp Innovation,以及趨勢CLOUDSEC,都是廠商巡迴全球舉辦的研討會,而這些活動的共通話題都是雲端服務、AI/深度學習,顯示這些公司積極發展相關應用的決心,並且向臺灣市場展示他們努力的成果,而除了派出自家的國內外高階技術主管與顧問來講解,他們也號召了合作夥伴與代表性用戶,共同呈現了服務生態系與實際使用經驗。
以雲端服務而言,過去幾年,我們所關注的重點,無非是大型公有雲服務的最新發展,例如,微軟針對雲端服務的部份,已連續好幾年舉辦Azure Day、雲的萬物論研討會,Google Cloud Platform去年首度舉行Cloud OnBoard大會,IBM Cloud & Data全球高峰會與AWS年度高峰會,也都在今年6月相繼登場,這也意味著,四大雲端服務廠商都看好臺灣市場的前景。
然而,其他的IT廠商在這一波波技術浪潮的衝擊之下,又是如何?系統平臺業者積極轉型,微軟和VMware這幾年所陸續推出的應用系統和雲端服務,都著重在這部份的應用,前者與自家雲端服務Azure、Office 365密切整合,後者則與IBM、AWS、微軟Azure都有合作。
至於其他領域,例如儲存、網路、資安,所有大大小小的相關廠商也無法置身事外,如果不設法重新找到利基點,恐怕會被邊緣化,甚至遭到取代。
因為在純粹由雲端服務業者提供的環境當中,用戶都可以更快、更直接地取得這些功能,完全不需外求,不像過去,你必須花時間、心力去評估所需要的系統軟體、硬體設備,之後,還要等待廠商的建置和設定組態,在這些環境上線之後,更是必須耗費人手去進行管理和維護。
當然,雲端服務業者並非十項全能,仍須仰賴其他IT廠商的幫忙,例如,對於公有雲服務有疑慮,或是面臨法規遵循限制的企業,就沒輒,因為這些大型業者具有上述優勢的前提在於,用戶的系統和資料可能必須從原本的內部環境,大幅轉移到公有雲服務當中,並且以雲端原生(Cloud Native)的方式來看待整體架構,而這樣的改變相當大,因此,讓許多企業裹足不前。
也由於有這樣的考量,如何有效推動混合雲(Hybrid Cloud)的應用,成為近期公有雲服務業者、企業、IT廠商的最大共識。
然而,要建構一套足以橫跨公有雲、內部環境的系統架構,談何容易?廠商自身的發展,以及用戶心態的改變,都是這種作法最終能否受到認同的關鍵。所幸,經過這幾年的努力,我們漸漸看到有些廠商逐漸脫穎而出,早先他們積極配合這些雲端服務業者,而推出的多種租用服務,先前讓人擔憂是否不敷成本、乏人問津,但如今看來非常合理,提供的選擇也真是夠豐富。反觀,許多固守既有優勢、對雲端服務採取觀望態度的IT廠商,即使不斷對外暢談混合雲服務架構,旗下產品上架到公有雲應用服務市集的比例,卻是屈指可數。
此外,雖然各家廠商至少都已提供虛擬應用設備的版本,但就混合雲的整體使用方式而言,仍偏重以企業內部環境為主的原有作法,並未充分支援雲端原生環境,以及多種雲端服務並用(Multi Cloud)的應用場景,這麼一來,不免讓人懷疑,用戶的系統與服務如果運作在混合雲解決方案時,真的能在多雲環境之間,來去自如嗎?
面對這樣的質疑,我認為F5、NetApp與趨勢這幾年的發展,已經逐漸克服了這些問題,當其他廠商在固守既有優勢,卻空談混合雲、AI之際,這三家廠商在今年所推出的解決方案,對於最新技術趨勢的因應,以及雲端服務的配合上,都在各自的領域交出不錯的成績單,發展動能並不輸新創廠商,卻仍保有更穩定而可靠的企業級服務,並且具備成熟的市場機能。
接連爆發重大漏洞Spectre、LT1F後,英特爾釋出更新微機碼來修補。不過由於修補程式可能影響PC效能,開發人員指控,英特爾不准他們將系統效能標竿測試的情況公佈出來。英特爾則在稍晚出面滅火,公佈新的授權條款,刪除這些限制。
開源陣營大師Bruce Perens指出,英特爾近日發佈了CPU微程式碼來修補Foreshadow/L1TF等多項旁路與時序攻擊漏洞,但是它近日軟體授權條款卻禁止使用者公佈安裝這些軟體後的PC效能測試。
根據使用者在Ubuntu(下圖)及Reddit貼出的英特爾授權中的授權限制條款,除了不能使用、複製、散佈銷售、以及修改、反組譯等一般規定外,英特爾還限制使用者公佈或提供任何軟體標竿測試或比較的結果。由於每個指令都需要這些微程式碼,因此這項限制似乎會影響整個處理器。也就是說,如果開發人員要公佈PC的結果,千萬不要跑任何標竿測試。
事實上,Debian開發人員上周在論壇上公告,Debian的套件前二周即已準備好,但礙於英特爾授權條款而只好暫緩上傳。
使用者是否要安裝修補程式,需要知道效能影響及必要性。Spectre變種2到近期Spectre 4及L1TF,修補這些漏洞的程式可能導致PC效能下降。例如Spectre變種2,最早會讓Intel Core處理器的Windows 10 PC被拖慢10%,Spectre變種4的CPU微程式碼更新則影響PC效能2-8%。此外,由於許多電腦不允許未授權使用者在CPU上執行程式,因此較不會發生旁路和時序攻擊,因此也沒有必要冒著效能降低的風險安裝修補程式。
Perens批評,英特爾的授權限制等於不讓任何人知道這些缺點和風險,但處理安全的正確方法應是公開損害風險、公佈緩解方法,讓客戶自行判斷,堵住想公佈標竿測試資訊的人的嘴來傷害言論自由,令人無法接受。
在引發批評論後,英特爾終於從善如流。該公司周四公佈新的授權條款,只剩下關於軟體散佈的限制,包括文件中需貼上英特爾的版權公告及免責條款,不得未經許可下,使用英特爾及其供應商的名字來推銷軟體,以及禁止反向工程、反組譯及拆解軟體等。
華爾街日報引述消息人士報導,在蘋果指稱臉書旗下VPN app一項功能違反其資料蒐集政策,並暗示移除後,臉書已將它的Onavo Protect VPN app從App Store下架。
Onavo是臉書於2013年收購的VPN技術供應商。今年初iOS 版Facebook app多了Protect 功能,一經點入會連到Onavo Protect iOS版的下載頁面。Onavo Protect會在用戶連結有害網站時提供警告,並會確保用戶登入網站或輸入個人資訊時確保資料隱私。但是為了提供防護,這款app會以VPN將用戶流量全部導向臉書伺服器,藉此蒐集行動資料流量,以利分析用戶連結的網站、app及資料的使用行為,藉此改善的服務。而作為臉書的一部份,Onavo也會用這些資料了解用戶喜愛的產品,以「改善臉書的產品和服務」。華爾街日報指出,Onavo Protect其實是作為臉書蒐集用戶上網及app使用行為,以及追蹤競爭產品。
本月稍早,蘋果通知臉書Onavo Protect違反了該公司六月實施的用戶隱私保護政策中,禁止開發者以用戶資訊建立資料庫,並銷售給第三方業者的規定。此外,用戶資訊除了用於Onavo Protect app,也被臉書蒐集以進行資料分析,這點也違反了蘋果不得在核心功能之外使用用戶資訊的規定。
消息人士指出,雙方於上周就此商議,蘋果雖然沒有強制刪除Onavo Protect,但似乎已暗示臉書自行移除,也獲得了臉書的同意。這家社交平台龍頭今天已從App Store移除Onavo Protect。現有用戶還是可以繼續使用其VPN服務,但臉書未來就不會再更新iOS版本。
Google周四宣佈和科學教育內容業者Labster合作,將30多個VR實驗室搬到Daydream VR頭戴裝置,讓理工科學生在家也能做實驗。
對生物、化學等理工科學生來說,動手實驗和在課堂上課一樣重要,但許多學生距離大學實驗室太遠,交通不便,有人則是受限於課業太忙或是學校管理而用得不夠。為此Google和Labster合作,將超過30多種實驗室情境搬到Daydream平台上,讓學生利用Google的Daydream View或聯想Mirage Solo兩款裝置,即可在家做實驗,省去往返學校的時間,也不受管理時間限制。此外,這套VR實驗室也適合提供線上科學學位課程的學校。
VR實驗室情境涵括電子傳遞鏈、遺傳細胞學、RNA萃取、基因療法等,提供學生模擬以顯微鏡進行基因定序、甚至從事一些現實生活中做不到的事,例如從分子層操作DNA或探索太陽系外行星上可能的住民或生物。
從八月開始,亞利桑納州立大學就會將這套方案引進其生物科學網路學士學程。另外,德州大學聖安東尼奧分校、加拿大的麥克馬斯特大學(McMaster University)及其他北美、歐洲的學術單位也將陸續上線使用。
身為全球最大電信設備製造商的華為(Huawei)周三(8/22)透過Twitter宣布,他們已收到澳洲政府的通知,不准華為與中興(ZTE)在澳洲提供5G技術。而澳洲政府的考量與美國一樣,都是擔心國家安全問題。
華為在澳洲提供無線網路技術已接近15年,為澳洲主要電信業者的合作夥伴,也有超過一半的澳洲人使用華為的產品,亦是全球5G技術的領先者之一,華為表示,這對消費者而言是個令人非常失望的結果。
巧的是,澳洲政府針對當地電信業者所提供的5G安全指南也在隔天(8/23)出爐,指出政府機關已對5G網路的國家安全風險進行了廣泛的審查,相較於前幾代的行動網路,5G網路必須改變網路運作的方式,這些改變將會增加電信網路的潛在威脅,且威脅也會隨著服務的上線而升溫。
因此,澳洲政府認為,參與澳洲5G網路建置的第三方業者若可能接受與當地法令相抵觸的外國政府指示,也許會讓電信營運商無法充份保護澳洲的5G網路不被擅自存取或干擾,且此一規定適用於境內所有的電信營運商。
儘管澳洲政府並未指名道姓,但從華為的聲明可以看出,來自中國的華為與中興就是被澳洲政府排除的業者。
美國聯邦通訊委員會( FCC)也曾提出類似的禁令,禁止當地電信業者向可能危及美國國家安全的業者購買設備或服務,而華爾街日報則直接點名華為與中興。
Slack軟體工程師Felix Rieseberg利用開源軟體框架Electron把微軟的Windows 95作業系統變成可在任何平台上執行的應用程式,並在周四(8/23)藉由GitHub釋出。
Windows 95是微軟在1995年推出的作業系統,它是首款正式整合MS-DOS及Windows的作業系統,也是第一個提供工具列與「開始」鍵的Windows版本。至於Electron則是一個可用來打造桌面GUI應用程式的軟體框架,允許開發人員以原本替網路應用程式設計Chromium與Node.js作為應用程式的前、後元件,包括GitHub的Atom和微軟的Visual Studio Code都是利用Electron所打造。
Rieseberg即是把Windows 95包進Electron中,讓使用者可直接在Windows、macOS或Linux平台上像執行程式一樣地執行一個作業系統。根據Rieseberg的說法,程式版的Windows 95執行得頗為順暢。
現在的確還有人緬懷這個20年前的作業系統,專門協助設計網路與行動應用的Imaginary Cloud認為,Windows 95創造了一個簡單卻又功能強大的介面,特別是「開始」鍵,而且使用者花很少的步驟就能找到想要的功能,當時Windows 95的大小只有19MB,且絕大多數都是有用的功能。
不過,Rieseberg所打造的Windows 95程式則有100MB左右的大小。Rieseberg強調,此一專案只供教育目的使用,既與微軟無關,也未取得微軟的同意。
Apache軟體基金會(Apache Software Foundation)於本周三(8/22)修補了Apache Struts 2中一個可能會引發遠端程式攻擊的安全漏洞,有鑑於Apache Struts 2過去出現類似的重大漏洞時,相關攻擊程式在24小時之內就現身,因而呼籲用戶儘速更新。
此一編號為CVE-2018-11776的安全漏洞被歸類為重大(Critical)漏洞,它會在兩種情況下被觸發,一是當XML配置中未設定命名空間(Namespace),同時上層動作配置沒有或使用通配符號命名空間時,其次是所使用的URL標籤沒有設定行動與值,同時上層動作配置沒有或使用通配符號命名空間時,就可能允許駭客執行遠端程式攻擊。
發現該漏洞的安全研究人員Man Yue Mo表示,若執行特定配置的Struts伺服器造訪了駭客特別打造的網頁時,就能觸發該漏洞。
Apache Struts為一開源的網路應用程式框架,主要用來開發基於Java EE的網路應用,根據去年的統計,Fortune 100大企業中,至少有65%仰賴Apache Struts框架。
去年爆出1.4億名用戶資料遭竊的美國第三大消費者信用報告業者Equifax就是因為沒有修補編號為CVE-2017-5638的Struts 2漏洞,才讓駭客有機可趁,盜走了1/3的美國人口資料。Apache Struts團隊是在去年3月修補了CVE-2017-5638漏洞,而Equifax則是在5月遭到攻擊。
Mo是在今年4月向Apache Struts安全團隊提報了該漏洞,後者則在本周釋出更新程式,該漏洞影響Struts 2.3~Struts 2.3.34,以及Struts 2.5 ~Struts 2.5.16,也可能影響已經終止支援的舊版本,Apache Struts團隊鼓勵用戶應儘快升級到2.3.35或2.5.17。
Mo並未公開針對該漏洞的攻擊程式,也呼籲其它開發人員應暫緩揭露攻擊程式,以讓用戶有時間修補。