晶片製造商Xilinx發表專為人工智慧推理設計的處理器Versal，採用台積電7奈米FinFET工藝技術，Xilinx宣稱，其Versal AI Core系列，人工智慧推理效能約是Nvidia的GPU Tesla V100的8倍。

Xilinx發表了第一款使用適應性運算加速平臺（Adaptive Compute Acceleration Platform，ACAP）的處理器Versal，Versal ACAP結合了純量處理引擎、可適應硬體引擎，以及具先進記憶體和介面技術加持的智慧引擎，可以為任何應用程式提供強大的異構加速。而且Versal ACAP最大的特性是，其硬體和軟體皆可程式化和最佳化，開發人員或是資料科學家可以使用符合標準設計流程的工具、軟體、函式庫、IP、中介軟體和框架來實作。

官方提到，Versal系列產品使用台積電7奈米FinFET工藝技術，是第一個結合軟體可程式性以及專有領域硬體加速的平臺。該產品組合包含六個系列，提供雲端、無線通訊、邊緣運算以及端點等不同市場，各式應用可擴展的人工智慧推理功能。

Xilinx宣稱，其專有的7奈米ACAP晶片，具備遠遠超過現場可程式化邏輯閘陣列（Field-Programmable Gate Array，FPGA）晶片的人工智慧處理能力，而FPGA晶片是現在大規模應用在資料中心的處理器，可以針對不同的計算任務，進行即時的重新程式化。

Versal晶片具有多功能和通用特性，Xilinx稱其為全新的處理單元分類。Versal晶片結合Xilinx自家FPGA技術、兩個高性能的Arm處理器核心、兩個低功耗Arm處理器和一個專用的人工智慧運算引擎。宣稱其人工智慧推理效能是Tesla V100的8倍，和英特爾Xeon CPU相比則是其43到72倍。

Versal產品系列包括，特別針對高效能需求應用設計的Versal Prime、Premium和HBM系列，另外還有AI Core、AI Edge和AI RF系列，這三個系列則採用了先進的人工智慧引擎。Xilinx表示，人工智慧引擎是新型的硬體模組，目的是要滿足低延遲的人工智慧推理需求，支援無線和雷達等高級DSP實作。其與Versal可適應硬體引擎緊密結合，能實現應用程式加速，透過調校硬體和軟體能獲得更好的效能。

Xilinx目前只與幾個早期合作夥伴合作，Versal Prime系列和Versal AI Core系列將於2019年下半年正式推出，此外，其Versal產品的軟體開發環境，包括驅動程式、中介軟體、函式庫以及軟體框架，也將於2019年提供。

09/29-10/05

 Line Token Economy   Link Chain 
Line新發表5個DApp，並宣布10月將正式啟動加密貨幣Link的DApp生態圈  
Line總部在今年8月底發表的Link Chain區塊鏈網路與加密貨幣Link，在9月28日有了最新發布，Line不僅發表了5個自行開發的DApp，也宣布針對日本市場發行的Link Point，除了可使用在Link生態圈的DApp服務，自今年10月起也可兌換為Line Points，於日本Line Pay串接的據點用來扣抵消費，或在Line平臺提供的服務中使用。針對日本以外的海外市場，10月16日將正式開放Link在Line加密貨幣交易所Bitbox上交易，要正式啟動Link的DApp生態系，意即未來開發者與Line用戶，在區塊鏈網路中獲得的獎勵Link，可以在交易所Bitbox上，與其他加密貨幣進行交易。

Line率先發表的這5個DApp，包括知識共享平臺Wizball、未來預測平臺4CAST，都已在9月推出測試版；產品評論平臺Pasha、美食評論平臺TAPAS、地點評論平臺STEP，都將於今年第4季推出。Line也宣布，將於2019年發布開發套件給其他開發者，讓更多人共同加入Link區塊鏈網路，加速Link生態系的成長。

 iCHEF   凱基銀行   餐廳貸 
iCHEF攜手凱基銀行推出餐廳貸服務，透過大數據分析模型作為核貸評分參考 
智慧餐飲科技公司iCHEF，早在去年就與凱基銀行KGI inside合作，利用iCHEF服務的4000家餐廳，收集客戶用餐的大數據，如翻桌率、點餐菜單、來客停留時間，打造出大數據分析模型。經過一年的數據收集與分析，iCHEF與凱基銀行在10月3日推出為餐廳業者打造的「餐廳貸」服務，要讓使用iCHEF POS系統的餐廳業者，一旦有資金需求，不用再親自跑一趟銀行，只要在iCHEF POS系統平臺上，即可進行線上借貸申請。

凱基銀行資深副總經理周郭傑表示，過往餐廳業者有申貸週轉金的需求，常被要求必須提供完整的購買營運設備契約書，或是有展店需求時，則被要求提供完整的展店計劃，才能申貸成功。而此次推出的餐廳貸，核貸評分標準則是以兩者合作的大數據模型作為評分參考，因為消費者從進到餐廳等位、點餐、出菜，到最後結帳的足跡都留在iCHEF資料庫裡，凱基就能以此判斷餐廳實際經營狀況，並作為核貸參考之一。而且，即便過去此餐廳業者沒有和凱基有銀行業務來往，也能申辦貸款。

 EEA   Hyperledger   區塊鏈 
企業以太坊聯盟和Hyperledger聯手，要加速大規模區塊鏈應用 
企業以太坊聯盟（Enterprise Ethereum Alliance，EEA）與Linux基金會旗下的超級帳本（Hyperledger），在10月1日正式宣布合作，成為彼此的組織會員，以開放標準、程式碼以及跨平臺協作，加速大規模區塊鏈技術應用。而這兩大聯盟背後的數百企業，正代表著來自全球的各種行業，EEA提供了企業區塊鏈網路的規範與標準的制定，而Hyperledger則是促進建立、管理和連結企業區塊鏈網路的開源軟體開發。

兩者的合作，將使Hyperledger開發人員能編寫符合EEA規範的代碼，並可在2019下半年即將推出的EEA認證測試計畫中，獲得認證。雙方成員可以橫跨數十個特殊興趣團隊或是工作團隊交流，共同工作、參與會議或是舉辦國際研討會，原本在EEA進行規範以及標準的工作成員，也可以轉到Hyperledger社群幫助軟體標準實作。雙方也希望鼓勵以太坊開發人員考慮將他們的企業專案交給Hyperledger，而Hyperledger專案的維護者也會適當地採用以太坊標準化介面。

 萬事達卡   微軟Azure  
萬事達卡採用微軟Azure打造全球交易支付平臺，要簡化企業間商業支付過程 
萬事達卡宣布採用微軟Azure雲端服務平臺，打造萬事達卡Track平臺，此一全球交易支付平臺將簡化商業支付過程，進而提高全球企業交易效率。萬事達卡指出，即便部份B2B交易已數位化，全球商業交易仍然每年創造估計5千億美元的行政成本，此外，全球商業也有將近一半的交易依然採用紙本作業，使得企業後勤部門的對帳效率低落。萬事達卡表示，Track平臺將簡化且自動化採購至付款流程，讓企業能夠以更有效率的方式管理公司認證、法令遵循制度及付款流程。

萬事達卡提到，透過此Track平臺，買家能以帳戶、信用卡為基礎或是銀行轉帳，連結各種類型的付款，同時結合採購訂單與發票資訊，而這將會簡化對帳流程，更提高企業後勤部門對帳效率。供應商則將對現金流有更高掌握度，可有效得知收款時間以及款項金額。在法遵制度上，萬事達卡則表示，已與9家B2B供應商合作，2019年初開始，這9家供應商的客戶，將可透過Track平台貿易名錄（Track Trade Directory），維護、檢索、交換關於自身和貿易夥伴的重要資訊。而這份名錄是全球超過1.5億間公司註冊的安全資料庫，將與超過4,500份法遵名單的資料統整合一，讓企業能更有效率的篩選且使用供應商資料。

 FinTech Taipei 2018   未來金融城  
政府主辦首場台北金融科技展12月即將登場，將聚焦大數據、AI、區塊鏈、行動支付、資安等應用體驗 
由台灣金融服務業聯合總會與台灣金融研訓院主辦的「FinTech Taipei 2018台北金融科技展」，將於今年12月7日至8日舉辦，將找來美國、英國、澳洲、波蘭等逾7個國家，超過35家國際團隊一同參展，參與產業別跨及金融機構、資訊科技業、科技新創公司、國內各大專院校研究中心，共計150家產官學研機構。此活動已列入行政院「金融發展行動方案」重點項目之一，要讓台北金融科技展成為年年舉辦的國際性金融科技大展，展現國內金融科技發展實力，爭取國際商機。

活動也包括了四大主軸：國際趨勢研討會、金融科技博覽展、主題亮點館，及產學創媒合活動。在金融科技博覽部分，將展出保險科技、創新支付、區塊鏈、AI、大數據等FinTech應用。主題亮點館則是由金管會與經濟部中小企業處打造，以未來金融城為概念，展出人臉辨識金融服務應用、金融科技知識VR遊戲競賽、手機資安健診，與無人、無現金商店，要讓民眾透過遊戲體驗，了解政府推動身分識別、區塊鏈應用、資安分享中心及行動支付等金融科技政策成果。

 Line Hack 2018   Line Pay  
Line臺灣舉辦首屆駭客松，冠軍隊伍將前進日本與多國開發團隊較勁 
Line臺灣首次舉辦駭客松LINE HACK 2018，冠軍隊伍IQ智能戰隊將Line變成生活提醒小幫手，讓用戶透過Line平臺就能記錄生活上容易遺忘的資訊。在Demo的Line官方帳號「金魚腦」中，使用者可將單據，包括車票、水電費、停車費、話費、信用卡等繳費通知單的資訊，以圖像辨識、文字萃取技術，在Line對話筐中自動以文字的方式記錄，並同步到使用者的行事曆中，時間到了就會提醒使用者搭乘交通工具與繳費。使用者也可在此官方帳號中，建立多人群組，進行舉辦活動的記錄、提醒與追蹤，重點是加入活動的Line用戶，無需互相加入對方為好友，只要都擁有Line Pay，即可在群組中進行分帳。

此冠軍隊伍直接獲得今年11月Line總部在日本舉辦的Line Boot Awards 2018開發大賽的入場券，將與來自日本、韓國、泰國、印尼等國家的開發隊伍一較高下。Line臺灣總經理陳立人表示，會先在日本Line Boot Awards 2018開發大賽前，在臺舉辦駭客松，是想引起更多臺灣開發者的注目，也想與臺灣開發者社群接觸得更緊密。

圖片來源：Line、iCHEF、Hyperledger、Mastercard、FinTech Taipei 2018

責任編輯／李靜宜
金融科技近期新聞 
1. 華爾街日報調查追蹤2,500多個可疑加密貨幣錢包的資金流向，發現全球46家加密貨幣交易所涉嫌洗錢8,800萬美元
2.去年遠東商銀遭盜轉18億元，新報告指證北韓網軍專搶銀行的APT 38
3.立委許毓仁提案虛擬通貨納入洗錢防制法修正草案，通過立法院司法及法制委員會審查

路透社於本周報導，有鑑於阿根廷正在面臨經濟危機且幣值下滑的困境，當地民眾已轉而選擇更為保值的加密貨幣來避險，至少有兩家加密貨幣ATM製造商將在今年進駐阿根廷，預計於年底前部署接近200台的加密貨幣ATM，一年內的部署數量將超過1,600台。

這兩家加密貨幣ATM製造商皆源自美國，一為Athena Bitcoin，另一為Odyssey Group。其中，Athena Bitcoin上個月已在阿根廷安裝當地第一台比特幣提款機，Odyssey則打算於年底前於阿根廷安裝150台加密貨幣ATM，並於一年內擴張到1,600台。

今年以來，阿根廷披索（Peso）兌美元的匯率已經下滑了50%，法定貨幣的大幅貶值推升了比特幣的交易量，也替加密貨幣ATM製造商帶來市場機會。

根據Athena Bitcoin的官網說明(下方介紹影片)，該公司所出產的加密貨幣ATM可用來買賣比特幣，使用者可先在ATM上輸入電話號碼，再輸入手機上所接收到的簡訊代碼，再選擇幣別（比特幣），就能透過QR碼的掃描或輸入錢包位址指定所要存入的帳號，再置入現金即可。

若是要出售比特幣同樣要先驗證手機號碼，再選擇所要提領的現金數量與幣別，以及掃描比特幣錢包的QR碼，就能取得收據及贖回碼，接著必須靜待比特幣區塊鏈的交易確認，交易確認後會以簡訊通知使用者，使用者再到ATM以贖回碼提領現金。

目前Athena Bitcoin的加密貨幣ATM只支援比特爾，預計未來也會支援以太幣、萊特幣或Bitcoin Cash。至於Odyssey的ATM產品除了可支援加密貨幣之外，也能提供傳統的銀行交易功能，包括現金的提領、存入與匯款等。

其實今年以來比特幣兌美元的價格也從最高點的1.7萬美元一路下滑到今天（10/5）的6,497美元，下滑幅度更勝阿根廷披索，但似乎業者與民眾對比特幣的信心更勝披索。

根據Coin ATM Radar今年8月的估計，目前全球約有3,558台的加密貨幣ATM，其中有超過2,000台位於美國。

美國司法部周四（10/4）宣布起訴7名俄羅斯駭客，他們全都任職於俄羅斯情報局（Russian General Main Staff Intelligence Directorate，GRU），且所執行的網路攻擊行動是為了報復世界反禁藥組織（World Anti-Doping Agency，WADA）在2016年發現俄羅斯政府指導當地運動員使用禁藥的事件，當時WADA還要求國際奧委會（ICO）對俄羅斯選手作出全面禁賽的處分。

這7名從27歲到46歲不等的GRU官員遭到起訴的罪名包括駭進電腦、電信詐欺、身分竊盜及洗錢，其非法行動從2014年12月起持續至今年5月，他們基於俄羅斯政府的利益入侵了美國個人、企業、國際組織，以及這些組織位於全球各地之員工的個人電腦。

在WADA發布了俄羅斯政府涉嫌主導該國運動員服用禁藥的報告之後，造成111名俄羅斯運動選手被禁止參加2016年於巴西舉行的奧運。

根據FBI的調查，俄羅斯駭客在該報告出爐的幾天後就開始攻擊WADA、美國反禁藥組織（United States Anti-Doping Agency，USADA）及國際體育仲裁法院（International Court of Arbitration for Sport ，CAS）的網站，並針對這些組織的員工發動網釣攻擊。

由於未能成功地取得必要的登入憑證，駭客不但持續企圖入侵某個反禁藥組織官員的Wi-Fi網路，還跟隨這些組織的官員飛到巴西及瑞士等地，滲透這些官員所下榻飯店的Wi-Fi網路以竊取憑證。

這群駭客經常利用偽造的身分與代理伺服器來研究受害者，繼之傳送網釣郵件，植入惡意程式，並設置命令暨控制伺服器。隨後駭客公開了所竊取的官員及運動選手的個資，還捏造其它運動員使用禁藥的消息。

FBI局長Christopher Wray表示，這7名駭客都是俄羅斯政府的官員，他們傷害了美國經濟、世界組織與無辜的個人，這些駭客的行動是無國界的，然而FBI的調查也是。FBI與國際夥伴合作確認了駭客們的身分，並破壞他們的行動，也讓他們知道FBI將會不遺餘力地阻止他們並將他們繩之以法。

Motherboard與MacRumors於本周取得了蘋果內部的維修文件，顯示採用T2晶片的iMac Pro及2018 MacBook Pro機種得在維修之後執行蘋果的診斷軟體，才能完成維修程序，但該軟體只供應給蘋果門市及蘋果所授權的服務供應商，意謂著第三方業者可能無法修復這些裝置。

Apple T2晶片率先被部署在2017年的 iMac Pro上，它強調安全功能，以飛地（Enclave）來儲存加密金鑰，也允許使用者能鎖住電腦的開機程序，控制攝影機或音訊功能，或是處理固態硬碟的加密與解密，而另一個採用T2的蘋果產品則是今年問世的MacBook Pro。

根據報導，在維修之後的iMac Pro與MacBook Pro裝置若未執行此一名為Apple Service Toolkit 2的診斷軟體，就會造成不完整的修復，或是系統無法使用的狀況。

不過，這兩項裝置在維修之後必須進行診斷的項目有所不同，在MacBook Pro上若是修理了螢幕、主機板、Touch ID、鍵盤、電池、觸控板或喇叭，都必須執行診斷軟體，在iMac Pro上的項目比較少，只有在維修主機板與固態硬碟之後才需執行該軟體。

美國國防部（DoD）在周四（10/4）公布了第六個抓漏專案的成果，這次的抓漏專案鎖定的是美國海軍陸戰隊（Marine Corps），在8月12日到8月31日的競賽期間，白帽駭客們總計找到了超過150個有效的安全漏洞，領走15萬美元的獎金。

美國國防部是在2016年開始發起抓漏獎勵專案，只有通過背景調查的資安專家才能參與，先前的五個專案分別針對國防部公開網站、陸軍、國防部差旅系統及兩項空軍系統。包括此次的海軍陸戰隊專案在內，美國DoD已透過相關專案找到上千個安全漏洞。

這次的海軍陸戰隊抓漏專案則是透過HackerOne平台舉行，邀請了逾100名白帽駭客參與，目標為海軍陸戰隊的公開網站及服務。

美國海軍陸戰隊司令部指揮官Matthew Glavy表示，集合海軍陸戰隊與白帽駭客社群的資安專案可完成許多任務，他們從此一專案中學到如何改善作戰平台，海軍陸戰隊的網路團隊展現了極高的效率與紀律，駭客社群則帶來批判性與多樣化的觀點，也讓他們能夠盡量減少未來可能出現的漏洞。

臉書在10月3日發表開源深度學習框架PyTorch 1.0預覽版，不只是各大硬體晶片廠支援，連三大雲端服務供應商Google、微軟以及AWS也都在自家服務上全力支援。

PyTorch 1.0為一個開源且強大的深度學習框架，可加速人工智慧研究到開發的流程，目前支援完全混合的Python和C/C++前端，以及原生分散式執行。在臉書建立PyTorch框架生態發展的號召下，除了獲得IBM、Intel、Arm、Nvidia及Qualcomm的支持，雲端業者也不落人後。

Google提到，他們一直以來的目標，都是朝向支援所有的機器學習使用者，GCP已經整合了數個熱門的開源框架到服務中，包括PyTorch、TensorFlow、Scikit-learn和XGBoost。

Google這次對PyTorch整合的內容，包含有深度學習虛擬機器映像檔、開源平臺Kubeflow、視覺化工具TensorBoard以及Cloud TPU。GCP提供了一組虛擬機器映像檔，其中包含使用各種深度學習框架需要的所有資源，之前Google就已經提供一個社群版的PyTorch映象檔，而在PyTorch 1.0預覽版釋出後，則另外增加新版映象檔，Google提到，這是使用PyTorch的簡單方法，其中含包含了Nvidia驅動程式，還預裝了Jupyter Lab，以及PyTorch教學示範。

Kubeflow則是一個開源平臺，目的是部署和管理端到端的機器學習工作管線，Kubeflow現在支源PyTorch，其社群已經開發了PyTorch套件包，使用者只需要下兩個指令就能部署到Kubeflow中。而目前機器學習視覺化工具套件TensorBoard也正與PyTorch開發人員合作，進行更深入的整合，讓使用者可以使用TensorBoard監控PyTorch訓練。Google TPU團隊也正積極與PyTorch核心開發人員合作，串接PyTorch與Cloud TPU，讓PyTorch也能獲得Cloud TPU的高效執行能力。目前團隊用開源線性代數編譯器XLA將PyTorch連接到Cloud TPU，已經成功在Cloud TPU上訓練ResNet-50的PyTorch實作。

微軟也在整合PyTorch上下了功夫，分別在Azure機器學習服務、資料科學虛擬機器、Azure筆記本以及Visual Studio Code的工具都支援PyTorch。Azure機器學習服務是一個雲端服務，幫助資料科學家執行端到端機器學習工作流程。透過服務提供的Python SDK，使用者可以進行訓練、超參數調校以及部署PyTorch模型，而且透過Azure機器學習服務的訓練功能，還能讓使用者無縫將本地端的PyTorch模型轉移到Azure上。

Azure專門為資料科學設計的虛擬機器，預安裝了一套熱門的資料科學和深度學習工具，其中便包含了PyTorch，微軟提到，資料科學虛擬機器是使用PyTorch建構模型最方便的方法，其使用GPU的虛擬機器，已經安裝了GPU驅動程式和PyTorch的GPU版本，雖然目前PyTorch還是使用0.4.1穩定版，但是使用者也能輕鬆的升級到1.0預覽版。

在程式開發工具上，微軟版的雲端Jupyter筆記本Azure筆記本，預先安裝了PyTorch（下圖，來源：微軟），使用者不需要額外安裝框架，就能在瀏覽器上進行互動式程式開發，而且Azure筆記本還提供最新的PyTorch教學課程，使用者可以直接在上面學習使用PyTorch的方法。

另外，輕量級原始碼編輯器Visual Studio Code其人工智慧跨平臺擴充套件，提供資料科學家深度學習和人工智慧實驗功能，該工具也和Azure機器學習服務緊密整合，使用者可以使用Visual Studio Code提交PyTorch工作給Azure運算、追蹤實驗進行，並且部署模型。

而Amazon SageMaker和AWS深度學習AMI也提供了使用者簡易的方法，讓使用PyTorch 1.0開發的應用，無縫的從研究階段投入生產。 Amazon SageMaker是一個端到端平臺，建構、訓練和部署任何規模的機器學習模型，Amazon SageMaker提供了預先配置的環境，其中包含PyTorch 1.0預覽版，使用者能夠利用PyTorch 1.0所有SageMaker功能，包括自動模型調整。而AWS深度學習AMI則預先內建了PyTorch 1.0、Anaconda和Python套件，能使用CUDA和MKL函式庫來加速運算執行個體。

麻省理工學院（MIT）電腦科學暨人工智慧實驗室（Computer Science and Artificial Intelligence Lab，CSAIL）與卡塔爾計算研究所（Qatar Computing Research Institute，QCRI）正在打造一基於機器學習AI系統，能夠根據新聞的來源來辨識假新聞，目前在偵測事實可靠性上有65%的準確度，對於政治傾向的判斷則有70%的準確度，將可搭配事實查核網站使用，以減少假新聞流竄的時間。

科學家表示，近來的事實查核世界已產生了危機，諸如Politifact或Snopes等網站都是針對某一主題進行查核，只不過，當他們查明或揭穿事實時，這些假新聞或謠言可能已經繞了地球一圈。

於是CSAIL及QCRI認為最好的作法是不只專注於個別新聞的查證，還必須注重新聞來源，使得他們決定打造一個機器學習系統，可用來快速判斷新聞來源是否可靠或者帶有政治上的偏見。

該研究的主要作者Ramy Baly表示，如果一個網站曾出版過假新聞，那它很有可能會再犯，該系統可自動抓取這些網站的數據，並在第一時間察覺，而且只需要150篇文章來判斷新聞來源的可靠度，之後即可在假新聞被廣泛散布前就逮住它。

這群科學家先取用了來自Media Bias/Fact Check （MBFC）的數據，這是一個集結人類事實查核員的網站，已分析超過2,000個新聞網站的可靠度，從知名的MSNBC到內容農場，並把這些數據匯入機器學習演算法，以建立同樣的分類模式。

該系統還會檢查新聞出處的維基百科頁面來評估新聞來源的可靠程度，例如若維基百科的內容愈豐富，那麼該站就相對可靠，假設出現了「極端」或「陰謀論」等文字，代表它可能有所偏頗。

當把一個新聞出處輸入該系統時，在辨識該出處的新聞真實性（高、中、低）時已有65%的準確度，判斷它是左派、右派或中立立場的準確度則有70%。該研究的共同作者Preslav Nakov表示，目前此一系統還不夠完善，在準確度上仍需加強，最好的方式是與傳統的事實查核機制一起運作。

科學家們也已建立一個內含1,000個新聞來源的開源資料集，並加註了這些新聞來源的真實性及偏見分數，下一步將嘗試把以英文訓練的系統轉為其它語言，也會新增諸如宗教等政治以外的偏見指數。

美國四大電信商AT&T、Sprint、T-Mobile和Verizon結盟，聯手提出了驗證計畫（Project Verify）， 提供行動身份驗證方法，讓用戶可以直接使用手機登入應用程式和網站，不再需要輸入另外的密碼，另外，也可作為簡訊或是實體安全金鑰等多因素驗證方法的替代方案。不過，電子前線基金會（Electronic Frontier Foundation，EFF）卻抨擊，此舉不安全且影響使用者隱私。

為了方便，不少服務都使用單一登入（SSO）服務，使用臉書或是Google等帳號登入，作為個別服務使用各自密碼的替代方案。而行動身份驗證也屬於單一登入方法，使用者要申請網站或是應用程式帳號時，可以不需要註冊額外的帳號密碼，登入程序也會方便許多。

EFF表示，行動身份驗證存在安全和隱私問題，行動裝置友善的安全性以及身份驗證研究顯示，登入方法最好是開放且獨立於供應商或是平臺，必須讓用戶可以完全控制自己的身份。EFF抨擊，驗證計畫的推手是主動想要廢除網路中立法案，並使用Supercookies或是幫助NSA監控使用者的電信業者。

行動驗證計畫會使用五種資料來辨識用戶，電話號碼、帳戶使用權、帳戶類型、SIM卡詳細訊息和IP地址，其中最值得關注的資料便是電話號碼和IP地址。EFF認為關聯帳號和電話號碼為使用者帶來許多問題，除了包含簡訊驗證方法帶來的釣魚攻擊之外，常看到的攻擊手法，還有駭客可以聯絡電信業者，以丟失或是破損等各種理由要求電信商重發SIM卡，在原使用者手上的SIM卡被停用後，駭客就能入侵使用者基於行動驗證的各種服務。

另外，現在有許多防止行動裝置追蹤的方法，包括EFF自家的Privacy Badger、Android上的匿名網路應用Tor，到iOS上的Safari反追蹤功能，都是用來幫助使用者保護隱私，但使用行動身份驗證便可能讓這些防護失效。

即便以匿名網路Tor或是VPN等保護措施，使用者的IP地址仍然會提供電信業者或是網站營運商相當多的資訊。使用行動身份驗證登入的第三方應用程式或是網站必須要和電信業者連線，電信業者則可以完全追蹤，並且銷售使用者的資料。

基於安全以及隱私原因，EFF並不支持使用者使用行動身份驗證，而他們一直以來推薦的方法，便是使用密碼管理器來創建和管理強密碼。

經過8年發展後，Pure Storage在快閃儲存陣列領域，已足以與Dell EMC、NetApp等一線大廠分庭抗禮，旗下的主力產品FlashArray，也是當前最具代表性的全快閃儲存陣列產品之一。

FlashArray//X是FlashArray快閃儲存陣列家族的第6代產品，也是市面上NVMe儲存陣列的第一波產品，藉由引進專屬NVMe儲存模組，可提供250μs等級的極低存取延遲，並新增支援32Gb FC、25/50GbE與40GbE等新一代I/O傳輸介面規格，是FlashArray家族邁向新一代快閃儲存架構的關鍵產品。

2009年10月成立於美國加州的Pure Storage，是在2012年才正式推出產品的新興全快閃儲存廠商，不過他們的主力產品FlashArray，其實已經歷8年以上的淬鍊。

FlashArray//X是第一波NVMe儲存陣列產品，可支援專屬NVMe儲存模組或傳統SAS介面SSD，提供20～878TB容量，存取延遲僅250μs的高速儲存服務。

FlashArray儲存家族世代交替

在實際向市場推出產品之前，Pure Storage便先行在2010與2011年，推出alpha版與beta版FlashArray機型——FA-100與FA-200，然後才於2012年發表第一代正式上市的FA-300。

從FA-300起算，FlashArray//X已經是FlashArray的第6代產品，沿用了上一代FlashArray//M的機箱設計，規格上最大的變革，是以NVMe取代SAS作為後端儲存I/O介面，可搭配Pure Storage專屬的DirectFlash NVMe儲存模組（DFM），也能兼用傳統的SAS SSD，擴充儲存櫃亦有NVMe與SAS等兩種介面的款式可選，可選擇透過50GbE RoCEv2乙太網路介面的NVMe直連架構，來連接內含DFM模組的擴充櫃，也可選用傳統的12Gb SAS介面，來連接內含SAS SSD的擴充櫃。

Pure Storage的DFM儲存模組架構上也有特別之處，不同於一般NVMe SSD，而是ㄧ種省略了FTL層的「裸」儲存裝置，原本由FTL層負責的空間映射、錯誤校正、寫入均衡與Garbage Collection等背景管理功能，則挪到FlashArray//X的作業系統執行，藉此能幫助降低存取延遲，提高空間使用效率。

除了後端I/O介面更新為NVMe外，FlashArray//X也更新了前端I/O介面。前幾代FlashArray的前端I/O介面，都只支援16Gb FC與10GbE iSCSI兩種，而FlashArray//X在提供16Gb FC與10GbE iSCSI之餘，還新增支援32Gb FC，以及10GbE、40GbE與25/50GbE等新一代乙太網路，作為前端I/O介面。

FlashArray//X本身也分為兩個世代，第一代於2017年4月推出，當時僅有//X70這一款機型，支援的前端I/O介面類型也較少。第2代是2018年5月推出的//X R2，整個系列大幅擴展，包括從入門級到高階的//X10、//X20、//X50、//X70與//X90，共有5種款式，並能支援更多類型的前端I/O介面。

Purity管理控制臺

Purity//FA作業系統軟體作業系統提供了網頁式控制臺，兼具了便於掌握系統狀況的儀表板介面，以及詳盡的效能與使用狀況分析介面，設定程序則力求簡化，不提供太多進階選項。

NVMe儲存陣列的先驅

透過引進新的NVMe後端I/O介面，以及專屬的DFM NVMe儲存模組，讓FlashArray//X成為市面上首波NVMe儲存陣列產品之一。憑藉NVMe介面的低延遲特性，FlashArray//X擁有250μs等級的存取延遲，相較下，上一代FlashArray//M的存取延遲基準則是1ms，也就是1,000μs，也就是說，FlashArray//X透過NVMe介面，將存取延遲大幅降低了3/4。

而且，FlashArray//X還未完全發揮NVMe的低延遲潛力。目前FlashArray//X只在後端I/O介面應用NVMe，前端I/O介面仍是傳統的FC或iSCSI，所以只能算是「半套」的NVMe儲存陣列。

不過，Pure Storage已備妥（ready）支援NVMe over Fabrics（NVMe-oF）架構，讓前端I/O介面也透過NVMe-oF架構升級為NVMe。依原廠的說法，FlashArray//X將會同時支援兩種NVMe-oF型式，一為嫁接到50Gb RoCE上的NVMe-over-50GbE，另一為嫁接到32Gb FC的NVMe-over-32Gb FC。待正式發表支援這兩種NVMe-oF架構後，屆時FlashArray//X便能升級為從前端到後端、每一環節都支援NVMe的端到端（End-to-End）NVMe架構，更完整地發揮NVMe這種新傳輸介面的優勢。

FlashArray//X儲存組態

單純從產品外觀來看，FlashArray//X沿用了上一代FlashArray//M的機箱設計，基本的Base機箱都是含有2組控制器、20組儲存模組插槽與4組NVRAM模組插槽的3U規格，FlashArray//X的主要改變是在內在部份，引進了NVMe作為後端I/O介面。

其實，上一代的FlashArray//M就已部份導入了NVMe介面，其內含的NVRAM模組，便是透過基於PCIe的NVMe介面，來連接控制器。而新ㄧ代的FlashArray//X則全面擴大NVMe介面的應用範圍，包括儲存模組、背板與控制器的外接擴充介面，都採用了NVMe，藉此獲得低存取延遲效能，另外還保留支援傳統SAS SSD與SSD擴充櫃的能力，以提供兼顧效能與成本的儲存模組選擇。

NVRAM模組

負責承接寫入I/O，為寫入I/O提供一個高效能、且能預防斷電的儲存區。NVRAM模組內含了DDR4 DRAM記憶體、備份用Flash儲存模組與供電用的超級電容，並透過基於PCIe的NVMe介面來與控制器連接。每臺Base機箱最多可以安裝4組NVRAM模組，以互為備援的方式，兩兩配置給2組控制器使用。

同時支援SAS SSD與專屬NVMe儲存模組

FlashArray//X的Base機箱，可支援採用NVMe介面的DFM儲存模組，也能同時安裝傳統的SAS介面SSD，其中的SAS SSD，就是一般市售的標準2.5吋SAS SSD；DFM模組則是Pure Storage的專屬設計，本體是一張NVMe儲存模組卡，外型包裝為標準的2.5吋儲存模組型式。DFM模組與一般SSD最大不同之處，是省略了快閃記憶體翻譯層（Flash Translation Layer，FTL），單純只提供「裸」的儲存空間，藉此也避免了FTL造成的效能瓶頸。至於原本由FTL執行的作業，則移給作業系統底層負責。

無論哪一種儲存模組，選夠時皆以10個模組的10 module pack為單位，SAS SSD的pack有4.8TB、9.6TB、19.2TB、38TB與76TB等5種原生容量選擇；DFM的pack則有22TB、45TB、91TB與183TB等4種原生容量選擇。

混合管理SAS與NVMe SSD

Base機箱可以同時混搭SAS SSD與DFM儲存模組，限制是每個RAID群組只能含有同一種儲存裝置。

儲存擴充櫃

FlashArray//X系列中，目前只有//X90提供外接擴充櫃選項。而擴充櫃是新的3U機箱設計，不同於上一代FlashArray//M系列的2U規格擴充櫃。

目前FlashArray//X的擴充櫃有兩種版本，一為透過12Gb SAS埠串接的SAS擴充櫃，其內只支援SAS SSD；另一為透過基於50GbE RoCEv2的NVMe介面串接的DFM擴充櫃，僅能安裝 NVMe介面的DFM儲存模組。

FlashArray//X硬體徹底解剖

除了後端I/O介面引進NVMe，取代使用多年的SAS 3.0外，FlashArray//X硬體組態與上一代的FlashArray//M大致相同，包括3U機箱、二路Xeon處理器的控制器核心，以及所有關鍵元件均為雙重冗餘配置的高可用性組態等。

與其他廠商的全快閃儲存陣列相比，FlashArray系列最大的爭議，是歷經6個世代的產品發展後，直到最新一代的FlashArray//X仍只支援Active-Standby的雙控制器架構，因此硬體資源的利用率，不如當前流行的Active-Active架構儲存陣列。

Pure Storage把他們的雙控制器架構稱作「Stateless」的Active-Active，兩組控制器同時接受前端主機的I/O指令，但實際的I/O作業則是由其中一組控制器完成，硬體資源利用率雖然只有一半，但好處是其中一組控制器故障或失效時，能以秒為單位，切換由另一組控制器接替服務，而，且切換後仍能提供100%的系統效能，對前端主機的影響可降到最小。

相對而言，一般的Active-Active雙控制器架構雖然資源利用率較高，但由於兩組控制器平時各自有負載，其中一組控制器失效時，剩餘一組控制器只能提供較原先為低的系統效能。

電源供應器

Base機箱內含2組1000W電源供應器，擁有具熱備援與熱抽換能力的供電。

熱抽換控制器模組

每組Base機箱含有2組支援熱抽換、熱備援的控制器模組，Pure Storage宣稱FlashArray//X系列擁有6個9（99.9999%）的可用性，也就是相當於每年只有31.5秒的停機時間。

連接埠配置

每組控制器均內含2組GbE管理埠1、4組外接擴充櫃用的12Gb SAS埠或50GbE NVMe直連埠2，2組10/25GbE iSCSI埠3，以及2組10/25GbE遠端複製埠4，另有4組空的PCIe擴充槽，其中3組PCIe擴充槽，可視需要安裝10/40GbE或16Gb FC等主機端介面卡，如照片中安裝了1張16Gb FC卡5，剩餘1個PCIe槽是保留用。

控制器解剖

Pure Storage並未公開FlashArray//X系列的控制器詳細硬體規格，推測可能是和早先推出的新款//M系列一樣，採用了二路的Xeon Broadwell處理器架構，取代上一代FlashArray的Xeon Haswell處理器。

FlashArray//X系統軟體與管理功能

包括最新一代FlashArray//X在內，整個FlashArray家族都採用Pure Storage專屬的Purity//FA作業系統。不過為了配合新引進的DFM NMVe儲存模組，FlashArray//X的Purity//FA作業系統在作底層多了一個DirectFlash軟體層，可以為後端介接的所有DFM儲存模組，提供I/O控制、I/O排序、壽命監控等服務。

Purity//FA作業平臺的進化

目前Purity//FA已發展到5.1.2版，先前在2017年中發表的5.0版，是Purity//FA的一大重要更新，新增了ActiveCluster遠端高可用性、政策QoS、Purity//RUN檔案服務、VMWare VVols與AWS雲端整合等新功能，其中比較特別的是ActiveCluster與Purity//RUN這兩個功能。ActiveCluster是一種自動化的遠端同步複製功能，可利用FlashArray內建的遠端複製埠，在兩臺FlashArray之間建立同步模式的複製作業，並藉由Pure Storage的Pure1雲端管理平臺，以Cloud Mediator機制來協調兩站點間的切換。

而Purity//RUN則可在Purity//FA上，透過Container或VM的型式，使用部份控制器處理器與記憶體資源來執行用戶需要的應用功能，例如NFS檔案儲存，讓FlashArray系列儲存陣列跨出原本單純的SAN儲存服務領域，兼用於NAS或其他應用伺服器角色。

接著在2018年5月發布的Purity//FA 5.1版，主要改進是壓縮功能的增強，原廠宣稱可改善20%的整體空間縮減效果。

Pur1雲端管理平臺的功能擴展

除了快閃儲存技術外，Pure Storage的另一大特色是提供了稱作Pure1的雲端管理平臺，使用者只要啟用了Phone-Home雲端監控服務後，便能啟用Pure1雲端管理介面。

Pure1最初的功能是提供雲端監控，系統會以每30秒一次的頻率，向原廠的雲端監控中心，發送容量耗用、效能狀況與系統檢測資訊，讓原廠能即時監控系統狀態，並適時提供協助。而使用者無論身處何處，也都能透過瀏覽器登入Pure1，然後透過Pure1控制臺從雲端監控自身的儲存設備。

後來Pure Storage又陸續為Pure1增加一系列輔助管理功能，包括負載的分析，與用戶存取架構配置的最佳化建議，還有跨多臺FlashArray與FlashBlade的統一管理等，讓Pure1成為一個智慧化的雲端輔助管理環境。

提供完整資料服務功能

在當前全快閃儲存陣列作業平臺中，Purity//FA算得上是資料服務功能最豐富的等級，擁有壓縮、重複資料刪除等資料縮減技術，也提供了快照、遠端複製等資料保護機制，還有搭配vSphere平臺與微軟VSS服務的整合功能。

透過Pure1雲端平臺分析與規劃工作負載

利用Pure1雲端平臺新增的負載規劃（Workload Planner）功能，管理者可以理解效能運用情況、預測能否符合新的工作負載需求，並幫助規劃最佳化的配置組態。

透過Pure1平臺深入掌握VM儲存

Pure Storage剛宣布為Pure1雲端平臺新增了VM分析功能，可分析從儲存陣列、Datastore儲存區到個別VM虛擬磁碟之間的連結，以及效能運作情況，讓Pure1的儲存管理能深入到VM層級。

產品資訊

Pure Storage FlashArray//X

●原廠：Pure Storage (02)8729-2179

●代理：敦新(02)8797-2636

●建議售價：廠商未提供

●機箱型式：控制器Base機箱3U,擴充櫃2U

●儲存容量：20～512TB原生容量

●主機端介面：16/32Gb FC, 1/10/25/40/50GbE

●SSD介面：NVMe或12Gb SAS

●擴充櫃介面：50GbE/NVMe或12Gb SAS

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】

在2017年2月28日，Google、微軟、Firefox、蘋果這四個主流瀏覽器供應商，共同宣布了WebAssembly最小可行版本（Minimum Viable Product，MVP），而從MVP可看到幾個可存取資料的地方，其中包含了memory這令人驚悚的儲存空間，然後各種想像就隨之而出了！

從堆疊開始

WebAssembly的指令執行於一個概念上的機器，這個機器有個堆疊空間，裡頭可以放入的整數為i32、i64，可以放入的浮點數為f32、f64，型態名稱上的數字，表示數值使用的位元組長度，在進行任何運算前，必須先將數值放到堆疊之中，然後執行指令，指令會取出對應數量的數值（後進先出）進行運算，有的指令會將結果放入堆疊，有的不會，例如，想要進行i32整數的1+2，使用WebAssembly文字格式，須依照下列方式撰寫：

i32.const 1
i32.const 2
i32.add

i32.const指令會將數值置入堆疊，如果想寫得比較像個高階語言，可以寫成(i32.add (i32.const 1) (i32.const 2))，像i32.add這樣的指令，不用指定來源暫存器、目的暫存器，因而編譯出來的.wasm可以比較小，載入.wasm也就可以快一些，而且這給予瀏覽器實際翻譯為機器碼時，自行分配暫存器的自由。

經常會有開發者問到的是，整數是有號還是無號？堆疊中保留的是位元形式，從堆疊中取出的也是一組位元，對於這組位元要以什麼觀點來看？其實，就是資料型態的概念。有了資料型態的概念，就可以用具體的概念來操作一組位元，而不是直接處理0101的運算。

堆疊操作指令會使用某個資料型態的觀點，將一組位元置入堆疊，或者從堆疊中取出一組位元，因此問題不在於整數是有號或無號，而是要看使用什麼指令，比方說相除就區分為有號的i32.div_s，以及無號的i32.div_u。

索引空間

只有堆疊的話，可進行的任務有限，因而還會需要其他儲存空間，接著該認識變數？確實，可以使用local $a i32來定義變數，可以使用set_local $a、get_local $a來存取變數，不過，$a名稱只是撰寫、閱讀時方便，變數會按照定義的順序給予從0開始的索引，指令操作實際上會使用索引，也就是set_local 0、get_local 0的形式。

索引其實是種定址的方式，就目前來說，WebAssembly的模組定義的索引空間（index space）有全域、函式、表格、線性記憶體等，存取這些空間中的元素，必須透過各自不同的指令，以及各自被賦予的索引來定址，例如呼叫模組中首個被定義的函式，在堆疊中置入函式需要的引數後，必須使用call 0來呼叫，0是寫死的索引，不能使用call (get_local $f)。

區域變數基本上也是位於某個索引空間，不過目前規格中，只提到會是位於函式的某個索引空間中，細節將在未來的規格中制訂。然而，索引雖然用來搭配對應的指令進行定址，實際上索引不是真正的記憶體位址，變數、函式等使用的記憶體彼此都是隔離的，這確保了位元組碼被直接存取、溢位等記憶體安全問題。

函式也有索引空間，實際上函式也有對應的型態，那函式是個值嗎？可以儲存嗎？可以！但是不能存放到堆疊，只能存放到表格，對於存入表格的函式，會依照順序給予用於表格的索引，然而就WebAssembly來說，不能直接使用索引從表格中取得函式，只能使用call_indirect指令，它會從堆疊中取得一個數值作為索引，查找表格以間接呼叫對應的函式。

這就使得表格上的索引，有了類似函式指標的概念（然而索引並不是記憶體位址），例如，高階語言中傳遞函式給另一個函式，就可以透過在表格上存放函式，然後透過傳遞索引的方式來實作，像是底下的$f，就相當於接受函式指標的角色：

(func $interest (param $m f32) (param $f i32) (result f32)
(f32.mul
(call_indirect (type $rate) (get_local $f))
(get_local $m)))

線性記憶體

在目前的MVP中，每個模組可以使用memory定義一個線性儲存空間，就直接稱它是記憶體吧！建立時，以page為單位，每個page為64KiB（也就是65536位元組），可以使用像是i32.load、i32.store等來存取記憶體，執行時會從堆疊中取出一個數值，作為位元組偏移量，表示要從記憶體中哪個位元組開始讀出或存入位元組資料。

memory乍看名稱頗為嚇人，直接存取記憶體？這安全嗎？建立的記憶體彼此之間是隔離的，與變數、函式等使用的空間也是隔離的，指定的偏移量只是位元組偏移量，不是真正的記憶體位址。

線性記憶體存在的目的，是因為WebAssembly的堆疊中，目前只能有i32、i64、f32、f64四種型態，其他高階語言中的資料結構，像是陣列、字串等，就得在記憶體中實作了，開發者必須在記憶體中規畫適當的結構，將位元組讀出、置入堆疊中操作後，從堆疊中取出再存入記憶體，以這種模式來實現高階資料結構的操作。

例如，我在〈Wasm Array〉（https://goo.gl/h1dWnk）中，就使用WebAssembly文字格式，實作了類似C陣列的建立、指定索引存取的概念。

WebAssembly只是個低階語言，要如何實現陣列、字串甚至物件等結構，端視想實作的語言功能而定，或者視想要互通的語言是哪個而定，WebAssembly的記憶體若匯出至JavaScript環境，實際上就是ArrayBuffer，若它代表著某個陣列結構，想轉為JavaScript的Array，就要使用JavaScript（透過TypedArray）存取ArrayBuffer，取得每個元素設定給JavaScript陣列。

至於高階語言中的資料結構，也要有個居中轉換的函式，將陣列之類的東西轉為ArrayBuffer，再匯入WebAssembly；不少高階語言，現在都可轉換為WebAssembly，基本上應該會提供某種包裹程式庫，讓編譯出來的WebAssembly與JavaScript間，在高階資料結構方面可以便於轉換。

WebAssembly的記憶體，在JavaScript中是個ArrayBuffer，這意味著JavaScript環境的垃圾收集可以處理它，當然，若沒有寫好，還是會造成記憶體洩漏，只不過等級上，就像沒寫好JavaScript，造成DOM記憶體洩漏之類的問題。

實際操作的可行性越來越高

在MVP之前，不少人對WebAssembly有著不少想像，也充滿好奇，在MVP推出的一年多之後，相關工具也逐漸齊全，語言支援也有了不少，其實可以試著使用WebAssembly文字格式操作看看，可以澄清不少的傳言與誤解。

就目前來說，若只是打算試著將某個語言編譯為WebAssembly，搭配JavaScript來進行操作，認識WebAssembly文字格式也有很大的幫助，而且，在Firefox、Chrome的開發者工具上，已經能夠將.wasm轉為文字格式以進行除錯，Chrome上甚至可以看到各個儲存空間的內容，不再只是憑藉想像。

「我沒想到竟然這麼難！」Mozilla產品長Mark Mayo坦言。幾年前，為了開發Firefox的行動版瀏覽器，竟讓早在1998年前就開始研發瀏覽器技術的Mozilla開發團隊，吃盡了苦頭，也讓他痛下決心，要重頭設計Firefox瀏覽器的核心，也就是去年登場的新一代Firefox瀏覽器量子計畫。

Mark Mayo原本是量子計畫開發團隊的負責人，因為開發新一代Firefox有功，而成了負責Mozilla所有產品策略和發展的產品長（Chief Product Officer）。Mark Mayo很有挖掘技術潛力的眼光，早在進入Mozilla任職之前，在2010年當他擔任雲端供應商Joyent技術長時，他相當看好當時才問世幾個月的伺服器端JavaScript框架Node.js，而決定大力贊助來扶植，Node.js後來果然發展成了伺服器後端應用的熱門開發框架，後續衍生出來的相關套件更是成千上萬個。

在Mark Mayo離開Joyent後，進入Mozilla率領雲端團隊，2015年開始接手Firefox瀏覽器的產品開發，其中一項任務就是要開發出一款手機上的行動瀏覽器，也就是後來代號Fenix計畫的初期。

Fenix計畫一開始的目的很簡單，他解釋：「每一家瀏覽器廠商都想打破桌機瀏覽器的框架，打造出更適合觸控、口袋運算的瀏覽器。」 可是，Mozilla累積了一、二十年，架構複雜、龐大的瀏覽器原始程式碼，「讓開發團隊非常痛苦。」他坦言：「如果沒有回頭重改，很難改變桌面瀏覽器的運作方式，來符合裝置的需求。」

儘管量子計畫版Firefox主打比前一代提高兩倍速度、也大幅減少記憶體，但真正的關鍵變革是，「重新設計了瀏覽器架構，讓Firefox核心更加模組化，甚至比任何瀏覽器都更模組化。」Mark Mayo透露。

例如，產生網頁內容的內容渲染引擎（Rendering）、網路元件、身分驗證層、資料儲存機制等都各自是不同的獨立模組，甚至還有特定用途的內容渲染引擎等，各種機制組合成了一套「瀏覽器作業系統。」Mark Mayo形容。

量子計畫要讓開發者像玩樂高積木那樣自組瀏覽器

雖然現在開發應用程式，已經可以像組合積木一樣，就算瀏覽器開源釋出程式碼，因為瀏覽是是發展多年的軟體，開發者想要打造出Web瀏覽器，還是一件非常困難的任務。也因此，Mark Mayo表示：「Firefox量子計畫就是要讓開發者，像玩樂高那樣地拼出自己的Web瀏覽器，讓開發者可以重新用不同的方式組合或再利用。」

例如要打造一個串流影片播放的專用瀏覽器，只需要部分的內容渲染元件，再加上部分網路元件，可能還需搭配基本的驗證層功能，再加上不用太大的Session儲存空間，就可以在小螢幕裝置靠這個特製瀏覽器來播放影片。只需要瀏覽器作業系統的部份元件就夠了，而不需要全套程式。或像在手機只想瀏覽特定內容，最好直接就能瀏覽，而不需先點選圖示來開啟，再輸入網址後才能看到內容。

「仍舊使用同樣的瀏覽器技術、瀏覽器引擎和類似的瀏覽模式，但可依據你和裝置互動的方式，來改變瀏覽器的形式。」這就是他和Firefox團對想要實現的新一代瀏覽器使用方式。而現在揭露的「Fenix計畫只是一項測試計畫和展示品，要讓大家知道，可以如何重組Firefox。」

他提及，日前Mozilla在印尼推出的輕量級行動瀏覽器Firefox Rocket，也是另一個量子計畫的成果，APK安裝檔案不到3MB，就能提供常用瀏覽器功能，甚至還有Firefox擅長的反追蹤能力，而且是這款Rocket瀏覽器更是臺灣Mozilla團隊的開發成果。

Mozilla基金會也在量子計畫完成後，將功能模組化後的新版Firefox開源釋出，竟然有許多iOS開發者，直接複製了這些程式碼專案，用來打造他們特殊的瀏覽器版本。「這就是開放網頁技術的威力，開放，能吸引讓更多人參與，就會帶來更多功能。」

「將網頁科技開放，可以驅動更多人打造他們自己的瀏覽器，甚至是和現在瀏覽器截然不同的模樣。」他舉例，有一款特製瀏覽器，只能用手機鏡頭拍攝網址，就能呈現網頁的瀏覽器，常見功能如首頁按鈕、網址列都省略了，還有開發者製作了一個自動列出庫存網頁截圖的手機專用瀏覽器。

「我相信，再過不久，Google也會對Chrome做同樣的事（意指：像Firefox重新設計模組化架構），可以促使更多人擁有他們自己的瀏覽器。」他笑著說。

只要能上網，網頁科技就能到達，可以想像更多種可能性

為何讓人們具備打造瀏覽器的能力如此重要？因為Mozilla想要實現的下一代網頁科技願景是，讓各種裝置都能夠執行瀏覽器，將網頁帶到各種裝置上。甚至是IoT、小螢幕裝置，各種裝置，Mark Mayo表示：「只要能夠連上網路，Web科技就能到達。只要想像出更多種可能性，就會帶來網頁科技的革命。」而能夠自由組合來客製出符合不同裝置特性的瀏覽器量子計畫，就是想要實現這個願景的關鍵一步。

相較於其他程式執行模式，Mark Mayo觀察:「瀏覽器是有能力下載『不信任的程式碼，但又能安全地執行的工具。』其他如Windows、iOS、Android平臺上的軟體都無法如此執行。」未來下一代的網頁科技應該要做到「只下載你所需（All you load is all you need.）」的內容，如此一來，「就能產生非常強大的網頁散播能力，甚至可以改變應用程式傳遞的方式。」

甚至，他強調，網頁科技是唯一可以讓你身在家中，卻能探索全世界的科技，關鍵就是要能信任瀏覽器，來存取各種內容，「你不可能了解上千個網站本身是否安全，但瀏覽器可以讓你放心地瀏覽他們。」

更何況全世界有幾百萬個網站，我的裝置如何和這些網站互動？如何信賴他們？就需要一種代理模式，「儘管網頁科技可能還不夠完美，但透過瀏覽器作為代理的模式，才是正確的作法，你信任代理機制，由它幫你和這個世界互動。瀏覽器就為此而打造的，成為你和世界互動的代理人。」

甚至，Mozilla也正在發展VR瀏覽器。若將瀏覽器視為一個用來接觸全世界的代理人，混合實境是目前瀏覽器還不易進入的世界，但瀏覽器可以用來強化MR應用，Mark Mayo指出：「你只要看看四周就可以看到各種資訊，這樣的瀏覽模式即將要發生，瀏覽器也很有潛力運用在這樣的應用情境。」目前MR世界另一個常見的使用情境是內容市場模式，透過受信任的機構或廠商來提供，這就又是一種App Store模式。

手機世界習慣的App Store模式，還是得透過把關者過濾，如蘋果、Google Play等官方，再提供給使用者下載裝到家裡，但這種模式終究有各種繞過的可能性。在App Store模式下，一般人還是會擔心要在裝置上執行「未被信任」的程式碼。「Web Model才是MR世界更適合的使用模式。」

不過，如何安全地執行程式碼或瀏覽內容的最大挑戰不是技術，Mark Mayo認為，大多數使用者需要的安全技術或機制，現今的瀏覽器上大多都具備了，如沙箱技術，JavaScript，只要善用沙箱，就足以隔離許多威脅。「真正的問題是，要把技術對應到使用者所需內容的信任模式。」

例如他認為，應該思考，像TLS這個網頁科技大量仰賴的安全傳輸模式，是不是夠好？是否足以建立符合使用者需求的信任模式。「這也是Mozilla還正在努力解決的問題，」他解釋，TLS的確可以適用於超大規模的網際網路上，但TLS還有一塊迷團待解，就是無法告訴使用者，原始來源是否持續可信任，對方的意圖是否改變了。

攝影／洪政偉

技術能不能驅動使用者新的行為，這是更長遠、根本的問題，才是技術觀點應解決的終極問題。──Mozilla產品長Mark Mayo

Firefox將全力進軍企業市場

不只開發者想自製，Mark Mayo表示，越來越多企業也想要擁有自己專屬的瀏覽器版本。從Firefox瀏覽器的使用者分布更可見一斑。

過去，Firefox的企業用戶只占了5％，但最近Mozilla發現，這個比例提高到了20％，Mark Mayo表示，管理階層大吃一驚，也讓Mozilla決定，開始全力發展Firefox企業市場，甚至會考慮提供付費支援。

「企業主越來越不放心主流的Chrome瀏覽器，擔心會太多企業資料外流。」Mark Mayo表示，尤其企業若與Google有競爭關係時，更是不敢用，而且Google業務越廣，也促使越多企業另尋瀏覽器。他認為，這是主打反追蹤功能的Firefox，越來越受企業青睞的關鍵。

也因此，Firefox開始推出企業版功能，例如可支援企業IT管理上最常用的群組政策，也讓企業IT人員透過腳本或配置檔，就能大量部署企業內部的Firefox瀏覽器，甚至可以使用Firefox量子計畫企業版，來自行客製所需的瀏覽器，例如取消Firefox瀏覽器Logo，放上自家公司Logo都行，也可限定各種功能的啟用與否。

也就是說，「企業不用自行打造瀏覽器，而是可以客製出自己需要的瀏覽器。」他建議。

而且，Mark Mayo也承諾，Firefox未來會堅持各種反監控技術的研發，像是更先進的瀏覽匿蹤或廣告阻擋能力等，這些瀏覽器龍頭難以做到，來對抗廣告產業的功能，市占小的Firefox沒有包袱，可以先實現來產生帶頭示範作用。

瀏覽器應該整合區塊鏈技術嗎？

不少人認為，區塊鏈可以解決原始來源信任度的問題，也因此，很多人提議，Firefox可以結合區塊鏈，但Mark Mayo的看法不同。

他認為，把區塊鏈結起來的作法（Block-Chain），來建立一個具有公眾透明度的帳本，讓所有人來參與這個市場，的確可以透過單一帳本來記錄來源的真確性。

尤其，對比於今日的金融系統，他認為，多半是透過網路架構、分散式地建立單方面交易記錄，（意指只由其中一方來記錄，如銀行負責記錄交易，用戶的記錄則不算數），而無法一次就建立全面性的交易記錄。

不過，傳統金融系統的作法速度可以非常快，在經濟用途上已經足夠好用，所以，目前到處都這樣用。而「區塊鏈讓可以靠單一帳本讓人人都看到唯一的真實，這是一個非常吸引人的特色，」但他也認為，小規模系統還可行，但擴充性將會是未來的另一個議題。

另一個思考點是，Mark Mayo認為，以我個人經驗來看，透過區塊鏈來確保交易，不容易察覺有何效果，這會是另一個個麻煩。「如果區塊鏈沒辦法讓使用者察覺到有何不同，進而改變行為，那麼是否使用或不用這樣的科技，其實沒什麼差別。」

「技術可以驅動技術，但這些突破放入產品後，得回來檢視，使用者最後能得到什麼。」Mark Mayo指出:「技術能不能驅動使用者新的行為，這是更長遠、根本的問題，才是技術觀點應解決的終極問題。」

CTO小檔案

Mark Mayo

Mozilla產品長

學經歷：加拿大貴湖大學電腦科學系畢業。2017年進入雲端供應商Joyent擔任技術長，2010年因大力扶植伺服器端JavaScript框架Node.js而揚名。2011年開始領導Mozilla基金會雲端服務團隊，後來更成為Firefox資深副總裁，負責瀏覽器產品研發。打造出新一代Firefox量子計畫後，成為Mozilla產品長。

公司檔案

臺灣g0v  （零時政府）社群揚名全球，與歐洲Open Knowledge、美國Code for America並列全球三大開源公民科技社群之一，更是亞洲最大的公民科技社群運動，如今g0v的影響力更在全球開枝散葉，今年高達23國開源公民科技社群成員與重要推手，來臺參加今日（10/6）舉辦的2018零時政府高峰會（g0v Summit 2018），為的是要學習與借鏡臺灣公民科技社群發展最新經驗，今年活動更搶搭火紅的假新聞與科技選舉議題，找來包括全球之聲創辦人 Ethan Zuckerman等國際多位重量級講者來臺開講，吸引超過800人到場聆聽。

兩年一次的g0v Summit 2018零時政府年會，今年是第三屆，從昨天開始，一連3天在中央研究院人文館舉行，10月6日，也就是第2天一早開場，是由美國麻省理工學院 Center for Civic Media 主持人、也是全球之聲創辦人 Ethan Zuckerman擔任大會首場Keynote講者，他以政府如何重拾公民信任為出發，探討現今酸民起義對政府與媒體不信任的種種成因。

 Ethan Zuckerman解釋，公民對政府的不信任，來自於社群媒體的興起和假新聞的泛濫，促使公民意識的抬頭。而他認為，公民科技（Civic Tech）的出現，正是作為人民與政府的橋樑，是一個讓人民聲音可以被大規模聽見的管道，他指出，透過這種方式，可以逐步降低人民與政府間的不信任感。

美國麻省理工學院 Center for Civic Media 主持人、也是全球之聲創辦人Ethan Zuckerman解釋，公民對政府的不信任，來自於社群媒體的興起和假新聞的泛濫，促使公民意識的抬頭。而他認為公民科技的出現，有助於改善這個問題。

不同以往，今年g0v主題更以「開放了？然後咧」為號召，重在開源精神與開放參與的實際落地，總共為期3天、共4軌、17主題，多達60個場次，主題討論涵蓋了政府與選舉、群眾參與、社群治理、行動與戰力、公民科學、災害與科技、環境議題、開源農業、文化應用、教育，以及藝術等，議題種類不僅多樣且深具多元性。

今年國外講者更是歷來最多，超過23國開源公民科技社群成員與重要推手，來臺分享他們在地開放實作經驗與專業，相比兩年前，還多增加8國，而且不只歐美、亞洲，就連遠在非洲奈及利亞的公民科技社群，都專程遠道而來分享他們運用公民科技的特別經驗，用來追蹤政府不正常金流動向，以達到監督政府，減少貪腐現象，都相當值得一聽。

另外也有來自紐約參與式預算背後的重要推手Devin Balkind 來臺分享如何借鏡臺灣vTaiwan（虛擬世界法規調適交流平臺）的經驗 ，來幫助他們打造在地參與式民主的開源工具。同時，更有來自印度最大開放安全社群聯合主席，也是西藏開源社群一員Tenzin Chokden 現場傳授他怎麼運用Fedora等開源工具來保障數位安全、幫助海內外藏人免於受到威脅與隱私侵犯。

而在開放資料方面，今年也有像是Web Foundation全球資訊網基金會「開放雅加達實驗室」（Open Data Lab Jakarta）的數位公民資深研究經理Michael Canares，親自揭露目前包括菲律賓、印尼等東南亞開放資料的現況，以及面對的各種處境與挑戰。更有來自緬甸講者分享他們如何運用公民科技，敲開軍事政權體制的政府大門，讓執政者當局願意讓步釋出資料。

搶搭上年底「九合一」臺灣選舉議題，今年也有一場座談會特別是以「政府與選舉」討論為主，同樣身為g0v發起人之一的高嘉良親自主持，找來德國開放知識基金會專案經理Adriana Groh，與專門追蹤義大利政府貪污的民間團體Riparte il futuro創辦人FedericoAngheléRiparteil futuro，以及澳門政治與社運人士周庭希對談

而長期參與 g0v 社群的數位政委唐鳳，這次也與法國UTC大學開放政府研究學者Clément Mabi 、臺灣g0v社群成員與民間團體共同對談，還與加拿大政府數位團隊專家Derek Alton遠距對談，如何借助公民科技與開放參與力量，來推動國家數位轉型。

g0v 共同發起人，也是今年負責擔任大會總召的瞿筱葳回顧，g0v 成立6年來，從原本9成都是程式開發者，到今年只占約4成，過半數參加者都是來不同領域背景，例如有很多像是政府人員、社工、媒體、研究者、NGO團體與個人等都有，這也代表臺灣公民科技社群參與多元性。她說：「今年許多議題特別聚焦在不同面向在地開源精神的落地與實作，不只有與政府更深度合作的經驗分享，也有與NGO民間的相互協力，而在開放資料更有許多與民間合作的最新成果展示。

瞿筱葳有感而發地說，g0v社群發展一路至今，歷經許多挫折與學習成長，從早期單純以為寫程式就能改造社會，到後來發現擁抱開放、開源行動才是真正能改造社會、發揮實質影響力的根本關鍵，她期盼未來有一天，公民科技精神可以成為臺灣人人都能學習的概念，而不是只是酷炫、少數人才知道的陌生名詞。

今天活動的最後重頭戲，則是g0v 公民科技創新獎助金的頒獎，這項獎助從去年開始籌辦，得獎團隊能獲得總獎助金額300萬元，今年更以「不只寫程式改造社會」為題，希望鼓勵更多人投入公民科技領域，以建立一個成熟的公民科技發展生態系。今年從38隊選出6隊得獎團隊，分別是台電睦鄰金流大解析、班表小幫手、台灣路更平、無家者小幫手、智慧辨識花卉圖鑑、ChhoeTaigi 找台語等。

今年舉辦形式也有別以往，從原本的2天擴大為3天，不只有豐富多元的議程，今年更強調開放參與實作精神，除了有推出像是即興同好會 (BoF)、開放工作坊(Unconf)、5分鐘閃電秀等開放參與的橋段，甚至提前一天，舉辦多場工作坊體驗活動，結合不同公民科技議題，透過現場實作模擬，加深參與者的交流。

今年活動不只議程豐富，更強調開放參與實作精神，推出有即興同好會 (BoF)、開放工作坊(Unconf)、閃電秀等開放參與的橋段，讓參加者不只來這學習經驗，也能夠透過社群交流，讓自己的聲音和創意點子能被更多人聽見。

今年舉辦形式也有別以往，從原本的2天擴大為3天，首日以多場工作坊體驗活動拉開大會序幕，用來加深社群參與者的交流。像是沃草就以模擬代議民主方式，讓現場參加者互相扮演執政黨與在野黨陣營，學習如何討論公共政策。

一直以來，駭客透過零時差漏洞發動攻擊，軟體廠商接獲通報之後，再推出修補程式，企業才部署到電腦上，能夠防範前述的威脅。這樣的現象，周而復始，軟體廠商與企業不得不跟隨駭客的腳步，疲於奔命接招，於是，補了又破、破了再補，雖然這樣的情勢讓人無可奈何，但還是必須持續進行，畢竟，實際修補軟體的漏洞，是公認最為務實的方法。

然而，今年下半年出現的許多現象，突顯了上述的漏洞發現與修復流程，面臨到更加嚴峻的挑戰。例如，趨勢科技與奇虎的資安團隊，先後指出駭客組織利用相同的弱點，多次在微軟推出例行性更新的隔天，隨即發動攻擊；也有離開現職的資安研究員兜售漏洞不成，便隨意將其在社群網站上公開的案例，甚至提供了能驗證攻擊的範例檔案，讓許多執行Windows作業系統的電腦，面臨相關風險的機會大增。

這些事件的背後，代表了多數人普遍倚賴的漏洞修補與軟體更新，陷入困境，雖然號稱是「藥到病除」，卻難以因應現今詭譎多變的局勢。在Symantec今年的網路安全威脅報告（ISTR）的內容中，也印證了上述的態勢──去年總共發現了8,718個漏洞，其中接近一半的數量，也就是有4,262個是零時差攻擊。換言之，光是零時差的弱點，平均每天就會出現12個之多。

對於一般辦公用的電腦來說，照著管理者的排程，定期安裝更新軟體，或許還能勉強應付安全性漏洞修補的問題。但在企業裡重要的伺服器、資料庫，或是廠房裡的機臺，並無法如此「即時」，若是安裝修補程式失敗，或者是造成其他應用程式無法正常執行，便會導致企業嚴重的損失，因此，一般來說，若是要安裝修補軟體，通常都要進行相當程度的評估，甚至是在局部環境先行測試，才能套用到上述的設備中。但根據前述資安廠商的報告內容指出，如果平均每天出現的零時差漏洞數量多達12個，企業根本無法在有限的時間內完成評估與部署的作業。

其實，企業在持續安裝更新軟體的同時，也面臨需要管理的設備種類越來越多元的情況──從工作站電腦、筆記型電腦、伺服器，如今更要納入行動裝置與物聯網裝置的控管。

既然漏洞濫用攻擊越來越緊迫盯人，企業所需要關照的端點數量與類型又日益龐雜，我們還有其他方法可以提升防護能力嗎？事實上，在早先的網路入侵防禦設備（IPS），以及近年來網站應用程式防火牆（WAF）當中，所提供的虛擬修補（Virtual Patching），應該會是其中一種選項。

過去，虛擬修補原先認為僅是一種爭取漏洞修補緩衝的機制，由於具有快速套用且影響極低的特性而興起，然而IPS與WAF因為建置成本高，長期以來，在企業網路環境部署的比例，遠遠不如防火牆。因此，有許多人並不清楚這樣的作法，而現在為了減少受到漏洞濫用攻擊的機會，虛擬修補重新躍上檯面。

同時，資安業者也開始針對辦公環境、機房、工業控制系統等應用，再度鼓吹虛擬修補的重要性，或是在防護機制中，加入這種功能，藉此增加產品的安全性。

圖片來源：Aberdeen，2016年10月

利用虛擬修補縮短漏洞空窗風險

企業修補漏洞的做法，大致可區分為安裝廠商提供的修補程式，以及虛擬修補2種。採用前者，在等待廠商推出更新軟體期間，已揭露的漏洞為企業帶來高度風險，危險程度也隨時間持續增加，直到部署完成後，危機才解除；而虛擬修補則能在漏洞出現後不久，就能取得新的防禦政策並套用，因此，企業便持續處於低風險的態勢。

漏洞管理面臨四大危機

關於安全性漏洞的揭露與處理，已經行之有年，現在也有不少的漏洞通報平臺與獎勵計畫，使得一般市井小民也有管道能夠提供他們的發現。然而，在實務作法上，目前仍面臨許多新的挑戰。

一、相同漏洞接連遭到利用，卻被視為多個弱點列管

就在今年8月，趨勢科技的研究團隊發表了他們的發現，經由與推動找尋零時差漏洞計畫的Zero Day Initiative（ZDI）合作，比對4月出現的CVE-2018-8174，指出同一個駭客組織在7月時，接續針對相同的VBScript弱點，進行攻擊。

該研究團隊表示，由於上述的2起攻擊事件中，所出現的惡意軟體，駭客在程式碼內容使用的混淆手法，可說是幾乎一致，因此，趨勢科技認為是相同駭客所為。至於這裡面採用的攻擊手法，主要是利用VBSCRIPT.DLL弱點，稱為濫用釋出的記憶體區塊（Use After Free，UAF），是滲透瀏覽器漏洞常見的方法之一。

而且，值得注意的是，這種相似的變種攻擊，竟是在微軟發布完例行性的安全性更新隔日發動。以7月發現的惡意軟體而言，微軟在11日修補完VBScript，12日便出現能夠破解的惡意軟體，可對於已經完成更新的電腦下手，然而，針對12日的攻擊，微軟在8月份的例行性修補裡，終於提供能防堵相關弱點的更新軟體。也就是說，駭客想要滲透弱點，幾乎是見招拆招，可說是極為輕而易舉，但弱點發現之後，用戶卻需要面臨至少一個月左右的空窗期，才能得到防護，形成了攻防不對等的情形。

趨勢科技指出，雖然上述弱點的影響範圍，都涵蓋所有版本的VBScript引擎，但他們也強調，由於在Windows 10秋季更新版（RS3）之後，微軟預設關閉了前述指令碼處理引擎，這些較新版本的Windows作業系統，應比較不會受到波及。可見鎖定被發現的弱點進行處理，很可能只能治標而無法治本。

由於以上的相似變種攻擊，分別由多個CVE列管，軟體廠商只能不停對於收到通報的弱點，儘快推出更新程式，對於企業的弱點管理而言，前述出現在4月與7月的2項漏洞，從CVE編號來看，很難聯想有所關連，而且，管理者往往必須分別評估之後，才能安裝更新，極為耗時費力。

而這樣的情況，恐怕遠比趨勢科技公布的還要嚴重。根據奇虎團隊揭露的資料，不只印證趨勢科技的推論，這些事件是同一個駭客組織所為，他們還發現該組織發動的另一起攻擊，可見這樣的漏洞重覆濫用情形，恐怕遠比資安研究團隊公開的資訊，還要嚴重許多。

論及去年最為知名的漏洞，莫過於永恆之藍（EternalBlue）的濫用，其中，包含了在短短一個周末，就讓全球超過150個國家、數十萬臺電腦受到攻擊的勒索軟體WannaCry，以及後續出現的NotPetya、Bad Rabbit等，都是利用永恆之藍的勒索軟體病毒變種。儘管，資安專家已經將利用相同漏洞的變種攻擊，加以歸納，然而，實際上企業在弱點的管理，仰賴的卻是CVE編號，導致執行修補的過程，仍是當作個別事件處理。

二、零時差漏洞直接在社群網站上公開

雖然，基於保護使用者為前提，一般而言，資安研究團隊在發現弱點之後，都會讓相關廠商進行處理，並提供更新程式，研究團隊才會公開他們發現的細節。不過，有名前漏洞研究員，以推特帳號SandboxEscaper，將她的研究結果直接公開，並且在GitHub提供了概念性驗證性程式。

這個被公開的Windows漏洞，主要是讓有心人士濫用工作排程器，使得本地端處理程序通訊介面（Advanced Local Procedure Call，ALPC）發生錯誤，進而提升存取權限。

雖然，這名前資安研究員表現得自暴自棄，博得了不少人的聲援與同情，甚至許多人幫她加油、打氣，鼓勵勇於參與廠商的抓漏獎勵計畫，或是在她的部落格留言，邀請到公司面試等等。但前述這種隨意公開漏洞的事件，也突顯若是有人想要揭露未知的弱點，像是透過社群網站公開，其實相當難以防範。

這樣突如其來暴露未知的弱點，2天之後，真的就有駭客以此漏洞，趕在微軟9月11日推出更新程式之前，開發了名為PowerPool的惡意軟體，藉此發動攻擊。而且，根據發現上述軟體的ESET資安團隊指出，這個駭客組織，並沒有參考SandboxEscaper範本檔案的程式碼，而是利用了相同的作業系統弱點，重新開發完全不同的惡意軟體。

基本上，SandboxEscaper的範本只是提供概念性驗證，證明前述的ALPC弱點確實能被利用，例如，能透過印表機驅動程式（SPOOLSV.EXE），控制系統內建的記事本軟體（NOTEPAD.EXE）。但PowerPool濫用Google軟體更新程式（GOOGLEUPDATE.EXE），實作了上述漏洞攻擊，ESET研究團隊更從該惡意軟體中，找出2種後門程式，該惡意軟體藉此向C&C中繼站通訊，並且會截取受害電腦的畫面。PowerPool的出現，印證了資安專家在漏洞洩露當時的預期，確實成為有心人士濫用的標的。

在企業對於已知漏洞的列管，可能就處於疲於奔命的情況下，這些不斷重覆濫用相同弱點的攻擊手法，以及隨時像未引爆的炸彈，突然公開的未知漏洞，都使得企業對於弱點的防範上，面臨更加嚴峻的考驗。

三、廠商與企業端都存在許多執行要點

一般來說，軟體廠商提供更新程式時，往往面臨需要在指定時間之內完成，導致可能尚未經過完整的測試下，就發布這些修補檔案。因此，企業也會擔心，安裝這些更新檔案，是否會出現影響生產力的情況。

例如，微軟去年11月推出的例行性更新，導致許多採用Epson印表機的使用者，在安裝相關修補檔案之後，便無法執行列印。而該公司當時出面證實，是更新軟體造成的問題，但在原因釐清之前，也只能請使用者移除疑似產生問題的修補檔案。事後，微軟再度發布新版的修補程式，才排除了這樣的情況。試想，即使如微軟這樣資源雄厚的公司，他們推出的更新軟體都可能出現這種錯誤，成為眾所之矢，其他的軟體廠商，恐怕也難以保證自家產品與企業環境的相容性。

代理Ivanti弱點管理平臺的中華數位科技認為，一般企業最為普遍的弱點修補措施，就是利用微軟的更新機制，包含了Windows Update，以及能向大量電腦派送更新的WSUS與SCCM系統等。然而，採取這些機制，不只有時可能接收到像是上述出錯的修補軟體，最根本的問題，恐怕是在大量電腦同時執行修補的時候，企業的網路都運用在下載更新檔案，造成網路塞車，再者，則是管理者難以得知每臺電腦的修補情形。

除了微軟的軟體修補，中華數位也特別指出，駭客為了能讓自己編寫的惡意程式存活更久，通常還會尋找其他使用者會安裝的應用程式，進行攻擊。由於這些軟體，企業普遍缺乏管理相關弱點的工具，也是不少駭客的下手目標。

這樣的情況，趨勢科技在今年上半年度的報告中，佐證了這樣的說法，甚至更進一步指出，駭客還會依據使用者採用應用軟體的轉變，調整攻擊標的，像是許多人改以Foxit Reader閱讀PDF文件，不再安裝Acrobat Reader。因此，在趨勢科技統計的結果中，針對Foxit軟體發動的弱點攻擊數量，今年上半年急起直追，僅次於Adobe的產品。

四、弱點日益廣泛，遍及硬體、行動裝置，以及物聯網設備

上述的現象，還只是論及辦公用的PC作業系統與應用程式軟體，雖然，軟體的修補多半有賴廠商提供，但至少，許多常見的應用程式，內建了自動更新機制，能幫助使用者執行最新版本。

但值得注意的是，不只是應用程式和作業系統，硬體的設計瑕疪，近年來也層出不窮，像是Google Project Zero在今年年初，發現的處理器推測執行（Speculative Execution）漏洞，也就是Meltdown與Spectre攻擊手法，就是這樣的例子。

在這個存在超過10年以上的弱點中，不僅影響的範圍甚廣，遍及採用Intel、AMD，以及ARM處理器的電腦與行動裝置，而且，其風險程度極高，美國電腦網路危機處理中心（CERT）甚至建議用戶，受影響的處理器最好全部換掉，以免暴露在危險中。

後來，針對推測執行的問題，不光是上述的處理器廠商，包含作業系統、應用程式，以及公有雲的業者，都相繼推出修補程式，避免自家的軟體暴露在上述弱點濫用危機之中。

另外，隨著行動裝置與物聯網裝置的應用，越來越普遍，這些平臺的弱點因應措施，也變得日益重要。然而，上述型態的裝置與作業系統平臺，不像PC平臺已擁有較為完善的更新機制，甚至出現軟體業者有心卻無力處置的情況。

像是最近有資安團隊發現，Android行動裝置平臺會透過無線網路廣播，暴露裝置的系統資訊，然而，他們通報給Google之後，該公司基於修補會破壞系統API，只針對推出只有1個月、僅有不到0.1%裝置使用的最新版本，也就是Android Pie（9.0）修補，換言之，幾乎所有的Android裝置，都存在這樣的風險，而且大致上可說是沒得修復。

圖片來源：Edgescan，2018年5月

應用程式層的高風險弱點比例占1/5

網路應用程式的弱點，也有相當高的比例是屬於極為危險，在Edgescan公司今年上半的統計中，每5個漏洞，就有1個是列為高風險的等級，這也代表應用程式的弱點，非常容易成為有心人士下手的目標。

實體修補面臨瞬息萬變情勢考驗，企業應再度重視虛擬修補價值

企業想要落實弱點的修補，其實不像一般消費者，採取軟體業者提供的自動更新機制，就能因應。在企業的環境中，勢必還要將安裝更新軟體之後，對於整體生產力可能會帶來的衝擊，進行評估。而在現實中，企業的重要主要伺服器主機、資料庫，以及廠房機臺上的工控設備，都難以面臨安裝上述修補軟體時，可能需要停機，或是重新開機所帶來的影響。

先前，台積電的廠房機臺中毒，據傳可能就是WannaCry蠕蟲攻擊，我們或許很難想像，去年5月大爆發的病毒，微軟還特別為已經終止支援的作業系統，像是Windows XP與Windows Server 2003，一併提供修補軟體，然而，為何身為半導體業者的龍頭，竟然事隔一年之後，還沒有安裝微軟提供的更新程式？

在企業中，若是利用了前述更新程式所封鎖的SMB服務，以及所需採用的445連接埠，進行檔案分享，就可能面臨安裝修補軟體後，可能直接帶來企業運作上的衝擊。因此，企業勢必要透過像是虛擬修補的方式，以實際修復漏洞以外的方式，防堵這些攻擊。

其實，虛擬修補就像是我們受傷包紮時，所使用的透氣膠帶，能夠直接蓋住傷口，雖然傷口仍然存在，卻不致受到感染，導致病情惡化。依照常理來說，我們會認為，對症下藥才是根本之道，但在面臨各式的變種攻擊，實際軟體修補越來越難以因應的情況下，虛擬修補機制，反而成為企業防範漏洞攻擊的重要方法。

圖片來源：Sophos，2017年11月

濫用陳年漏洞的攻擊超過6成

我們可能會以為，軟體廠商提供了修補程式之後，弱點便不會再被駭客利用，但根據Sophos的2018年預測報告中，雖然濫用比例最高的Office漏洞，是2017年的CVE-2017-0199，占36％，但是其餘都是2016年以前的弱點。

 相關報導 快速因應弱點濫用攻擊，虛擬修補再度興起

隨著攻擊與守備的差距變得極為懸殊，駭客濫用漏洞的現象，越來越難以防範。企業若是完全採用周延的修補措施，在籌備部署更新的期間，便處於漏洞大開的空窗期，駭客便能利用已經公開的弱點，進行滲透。因此，在防堵漏洞的策略上，使用如虛擬修補（Virtual Patching）的方式，雖是屬於治標的手法，但卻能夠應急，且能夠避免更新軟體帶來的衝擊。

虛擬修補的做法，其實在網路入侵防禦系統（IPS）中，已經行之有年，而且，不光是專屬的防護設備，具備IPS功能的UTM和次世代防火牆，同樣擁有虛擬修補的能力。不過，一般來說，在UTM與次世代防火牆設備中，很多人可能無法將IPS與虛擬修補連結在一起。

顧名思義，虛擬修補並非實際修正軟體漏洞，而是透過對於指定的異常行為特徵，攔截攻擊行為，藉此達到保護弱點不受濫用的目的。這樣的概念，有點像是在傷口貼上膠布，雖然膠布本身沒有治療的功能，但能阻止外部的細菌，隨意從傷口長驅直入。基本上，由於虛擬修補沒有更動出現漏洞的軟體，軟體與系統之間的相容性，通常也不會受到影響，而上述特性，正是一般軟體更新的過程中，企業往往需要花費長達數個月的主要原因。基於可能會對於生產力造成的衝擊，部署軟體修正檔之前，企業必須加以謹慎評估，並且進行測試，然而，即使是嚴謹的前置程序，還是很難確保安裝之後，不會出現問題。

虛擬修補的機制，最早出現在入侵防禦系統，而後來在網站應用程式防火牆（WAF）中，也提供了這樣的功能。隨著開發流程與維運之間的緊密整合，在網站應用程式中，虛擬修補的機制則是更進一步，從開發時就加入相關的防護措施，稱做應用程式執行期間的自我防護（Runtime Application Self-Protection，RASP），企業無須額外修改程式碼，就能以此避免採用的函式庫太舊，造成網站暴露在安全風險之中。

從防護來自外部威脅的角度，採用網路入侵防禦系統，效果顯而易見，然而，其守備的範圍，便是必須經過這套系統的流量，才能得到保護，對於在內部網路橫向感染的病毒，就可能無法發揮作用。因此，有些廠商提供執行在端點電腦的防護產品，也就是主機入侵防禦系統（HIPS），從電腦端提供保護。

圖片來源／Imperva

網站應用程式防火牆納入虛擬修補機制

對於需要全時間上線運作的網路應用程式，企業透過網頁應用程式防火牆（WAF）過濾惡意流量，其中的檢測條件，主要包含了防火牆的政策，以及虛擬修補措施，後者從弱點防禦的角度出發，因此強調找出漏洞，以及動態監控威脅等能力。

虛擬修補機制最早出現在IPS，後續也廣泛應用在次世代防火牆

論及虛擬修補的機制，首先便要提到網路入侵防禦系統，也是最能廣泛以虛擬修補防護多數裝置的設備。最早是彌補網路防火牆與防毒軟體之間的不足──前者保護層面涵蓋了網路第1至第4層，後者則是防範第5層到第7層的部分，而入侵防禦系統的出發點，就是針對網路第4層和第5層之間，提供保護。

但在約2005年以前，考量到網路頻寬沒有那麼充足，於是這種型態的防護設備，又再區分為只有提供偵測功能，不具備攔截能力的入侵偵測系統（IDS）。直到2005年之後，市場上才以入侵防禦系統為主。

以往企業採用意願不高的原因，包含了設備本身的價格高昂，再者，則是在於誤報（False Positives）的比例偏高，使得不少企業擔心部署了以後，會影響內部網路的整體運作。

後來大約是2011年開始，出現的次世代入侵防禦系統（NGIPS），強調對於攻擊流量的情境感知能力、應用程式的可視性，以及內容識別等，換言之，更著重檢測到應用程式層的能力，以及彙整出事件的樣貌。

隨著時代的演進，從整合多功能威脅防禦的UTM，發展而來的次世代防火牆，由於最近的2到3年以來，效能也能因應設備全功能啟動需求，成為許多企業優先採用的網路防護設備。而次世代防火牆所整合的防護機制中，也納入了前述的入侵防禦系統的模組，因此，在這類系統中所提供的虛擬修補機制，次世代防火牆也一樣具備。

雖然，次世代防火牆標榜具備入侵防禦系統的功能，但專屬設備產品仍有其適用之處，若是企業想要分散風險，由多臺網路設備執行個別的防護，便會購買專用的入侵防禦系統，因此，雖然次世代防火牆是目前市場上的當紅炸子雞，但專屬的NGIPS設備，始終不乏廠商提供相關產品。

藉由分析網路可疑行為特徵，虛擬修補強調可防範變種攻擊

依據偵測方式的不同，在網路入侵防禦系統所提供的虛擬修補，大致可區分為2種，分別是類似防毒軟體使用的特徵碼，以及利用情境規則判別的做法。由於特徵碼識別惡意內容的方式，很容易出現所謂的誤判與誤報，也難以因應變種攻擊，現在專屬的入侵防禦系統中，採用後者已是普遍的趨勢。

那麼，這種防護的作法，究竟如何運作呢？簡單來說，虛擬修補是透過一連串的行為特徵，來辨別是否為已知的攻擊。例如，以早期知名的變種攻擊疾風病毒而言，入侵防禦系統會依據下列特徵，封鎖這種型態攻擊的網路流量──包含了建立在135埠上的TCP連線、綑綁了特定的RPC介面，以及發現的伺服器名稱非常長等情況。

當然，這樣的行為特徵識別，也需要環境的配合。在以往剛採用這種方式分析流量的虛擬修補機制，便可能會面臨網路負載偏高的情形。而現在，隨著網路流量頻寬較為充足，這種做法已普遍是入侵防禦系統攔阻弱點攻擊的常態。

但要能夠透過網路流量的行為分析，得知是攻擊行為，入侵防禦系統廠商要對弱點擁有相當程度的了解，也就是說，他們必須徹底解析漏洞的完整樣貌為何，製作出來的虛擬修補特徵檔案，才能防範使用相同漏洞的變種攻擊。

這樣的概念，我們可以把漏洞的樣貌，以一塊有凹凸形狀的拼圖舉例，第一種攻擊採用上述弱點的其中部分，在實體修補的過程，軟體業者可能只對前述攻擊顯露的樣貌，進行處理。一旦第2種攻擊中，駭客開採這片拼圖的另一角落，軟體業者便需再次製作對應的修補軟體。而虛擬修補透過行為特徵所描繪出的漏洞，由於相對完整、全面，便能採用相同的特徵，防範上述2種攻擊手法。因此，即使是從未出現的漏洞，在IPS廠商提供了解析的政策之後，通常就能攔截後續的變種攻擊。

一般對於虛擬修補的認知，便是能夠防範已經列管的漏洞，未知弱點不在其防禦的範圍。不過，我們詢問了趨勢科技、McAfee、FireEye等廠商，他們不約而同強調，在專屬入侵防禦設備上，防範已知的CVE漏洞，是虛擬修補的基本功能，但是，這些業者也統整自家的威脅情資，甚至是結合挖掘零時差弱點的能力。像是McAfee和FireEye，他們的入侵防禦產品，便分別與自有的威脅情資結合，也就是McAfee Threat Intelligence Exchange（TIE），以及FireEye iSIGHT Threat Intelligence。

而趨勢科技的TippingPoint，則與零時差漏洞獎勵計畫（Zero Day Initiative，ZDI）合作，經由這個獎勵計畫組織，收集更多尚未公開的漏洞，製作虛擬修補的特徵碼，讓採用該廠牌IPS設備的用戶，能夠防範更多未知弱點的攻擊，該公司宣稱，透過上述組織收集的漏洞，他們的設備，能較同類型產品早於57天前，提供防護。

這些進階的結合措施，都顯示能夠提供IPS產品的廠商，他們對於漏洞的了解程度，必須極為徹底，甚至還要發現更多未知的漏洞，才能讓IPS設備防護的範圍更為全面。

網站應用程式普及，WAF與RASP從執行時無縫納入虛擬修補

雖然，網路入侵防禦系統能提供的虛擬修補範圍最廣，而且能適用於多種型態的網路設備與端點裝置，不過，架設公司的網站，或者提供網頁應用程式，也是企業常見的重要設施，而且這些系統可能牽涉公司整體的營運，若是想要執行實體弱點修補，便相形更加困難，因為，企業難以容許上述網站伺服器服務中斷的情況。

因此，在網站應用程式防火牆設備中，後來也像IPS一樣，開始納入了虛擬修補的做法，藉此協助企業保護網站，免於未知威脅，或是暫時不能修補弱點，所造成的危機。而與IPS相同的是，網站伺服器雖然已由WAF攔截惡意流量，但是，駭客一旦繞過了網站應用程式防火牆，便能為所欲為，利用尚未修補的弱點進行滲透，因此，現在有廠商開始提出，從程式碼執行時，就提供虛擬修補的防護機制，名為應用程式執行期間的自我防護措施。

這樣的保護方法，採用的是在程式碼轉譯成機器語言時，在其中以即時編譯（Just-In-Time Compilation）的方式，加入虛擬修補程式碼，同時自動清理某些有缺陷的程式碼。因此，提供這種新興型態防護措施的廠商，像是Waratek，便訴求這種做法，更能保護採用舊版Java虛擬機器、.NET Framework等函式庫的網站，而且，網站開發者也不需為了部署，大幅修改現有的程式碼。

不過，無論企業開發網站的節奏快慢，在研究機構SANS去年10月推出的報告中指出，企業想要控管網站應用程式的安全性，上述的虛擬修補或是RSAP，都算是進階保護措施，需要開發者、維護人員，以及防護工具供應廠商之間，密切合作。

圖片來源／CA

從應用程式執行時期提供防護

在應用程式的本身，開發者也可採取類似虛擬修補的防護措施，稱為應用程式執行期間的自我防護（RASP），這樣的機制會與應用程式一同執行，若是出現攻擊者的探測弱點的行為，便會加以攔截，以免後端的資料庫受到攻擊。

各型態端點是未來延伸保護的目標

端點電腦的防護，雖然企業在建置網路IPS或次世代防火牆之後，就能防範來自外部的漏洞弱點攻擊，但相對而言，難以阻絕內部的漏洞滲透行為。像我們前面提到的台積電，他們雖然對外部入侵擁有極為完善的保護措施，然而，在合作廠商更換機臺時，因為沒有遵照標準作業程序上線，導致勒索軟體在多個網路串連的工廠裡，快速的蔓延。

針對上述的情況，企業除了要進行網路的分割，減少攻擊爆發時擴散的速度，面臨這種在內部發作的漏洞攻擊，資安業者也推出了在端點電腦上部署的IPS產品，藉由從端點上的代理程式，提供更進一步的防護措施。

雖然，推出獨立HIPS產品的廠商並不多，但不代表這樣的功能不再重要，事實上，許多廠商的端點防護平臺（EPP），已經將HIPS納入其中。

除了端點電腦和伺服器，Check Point也指出，工業控制系統（SCADA），關鍵基礎設施的系統（ICS）中，普遍存在難以落實實體修補的現象，因此，勢必相當需要倚賴虛擬修補的方式，強化整體系統的安全性。而應用日益普及的物聯網裝置，也同樣存在類似的現象，相關暴露或濫用弱點的事件不斷發生，所幸，我們看到有物聯網裝置廠商開始重視這種防護措施，與資安廠商結盟，像是晶睿通訊（Vivotek），就與趨勢科技合作，採用其IoT虛擬修補的防護措施，防護旗下的監控設備。

專屬IPS提供弱點的進階管理功能

入侵防禦系統的功能，已經是UTM或次世代防火牆的標準配備，因此，這些網路設備也同樣具備虛擬修補的能力。不過，在專屬IPS設備中，對於弱點的防護，提供了詳盡的列管功能，並能自訂對於特定漏洞的執行策略，這些進階功能，一般防火牆設備IPS模組沒有提供。

基本上，次世代防火牆訴求功能涵蓋的層面較廣，能一機多用，因此，相較於專屬IPS設備，IPS模組在次世代防火牆的定位，是一項可以開關的防護功能，除此之外，大多專屬設備的進階功能，幾乎都沒有提供。其中，最顯著的不同，就是缺乏對於已知弱點的控管政策，因此，若是要對於漏洞進一步管理，除了購置偏重控管實體修補的弱點管理工具，從專屬IPS設備的管理功能與報表，企業便能得知現從的虛擬修補特徵檔案，是否已經能夠攔截攻擊，或是需要等待設備廠商的更新，才能因應新的漏洞。

圖片來源／趨勢科技

結合威脅情勢分析

對於現在市面上的網路入侵防禦系統（IPS）而言，在漏洞的虛擬修補的功能之外，也分析了企業面臨的攻擊，以圖中趨勢科技TippingPoint設備SMS儀表板來說，便整合了攻擊的主要來源、地理位置，以及好發時段等圖表，由於該廠牌設備具備多臺堆疊使用，以此增加能夠乘載的網路吞吐量，因此，這個儀表板也訴求能同時提供多臺IPS設備的執行情況，讓管理者可以直接了解整體環境的態勢。

圖片來源／FireEye

過濾攔截事件的類型與數量

針對虛擬修補的執行，網路入侵防禦系統具備詳細的執行記錄，以供管理者後續調查運用。以圖中的FireEye NX系統的儀表板而言，包含了攻擊的來源與目的地IP位址，以及相符的CVE編號與影響程度等資訊，再者，這裡也能得知，利用相同漏洞攻擊，且重覆發生在特定來源與目的IP位址事件次數的資訊，藉著上述各種面向的資訊，管理者可進一步評估事件需要處理的優先順序。

圖片來源／McAfee

列管漏洞的處理方式

對於漏洞的因應政策，企業能依據不同的弱點，在網路入侵防禦系統配置指定的防堵政策，以圖中McAfee的管理平臺而言，管理者可調整單一漏洞的虛擬修補機制開關，或是設定發現攻擊時，通知管理者進一步處置。從左側IPS的設定選單中，不只入侵防禦機制的政策，還包含了其他進階檢測項目，像是惡意軟體偵測、流量的檢測規則與限制，以及防火牆和服務品質（QoS）等。

 相關報導  快速因應弱點濫用攻擊，虛擬修補再度興起

面臨系統弱點，安裝修補程式算是治本的做法，然而，為了避免影響生產力，須多方評估與測試，難以及時因應。經由入侵防禦系統（IPS）提供的虛擬修補，雖是治標的緩兵之計，防堵漏洞卻較為迅速，躍居舉足輕重的角色

長期支援版本Java 11釋出，更新TLS 1.3並加入高效能垃圾回收器

早在3月釋出Java 10時，Java便預告，Java 11將會在9月到來，並且為長期支援版本，而今甲骨文依照預告釋出Java 11，成為從去年宣布每六個月發布新版本計畫下的第一個長期支援版本。這個版本重點放在增強開發人員生產力及對先進加密和網際網路標準的支援，包括TLS 1.3和HTTP/2。

全球Java開發人員和甲骨文的工程師，透過OpenJDK社群以及JCP的努力下，釋出了Java SE 11（JDK 11），從Java SE 8以來，社群增加了超過100個新功能強化，共同發布了JDK 9、10和這次的第11版。

最近傳輸層安全性協定TLS 1.3標準通過，Java作為企業最愛用開發語言，也正式開始支援TLS 1.3，但新舊版本升級有特別需要注意的地方，官方提到，TLS 1.3使用半關閉政策，而TLS 1.2和先前版本則使用雙工關閉政策，因此對於原本依賴雙工關閉政策的應用程式，升級到TLS 1.3的時候可能存在相容性問題。TLS 1.3不支援DSA簽章演算法，當伺服器配置僅只使用DSA憑證，則無法升級到TLS 1.3。更多內容

企業版惡意程式分析服務VirusTotal Enterprise上線，搜尋速度快100倍

圖片來源_Chronicle

近期Alphabet子公司Chronicle發表了鎖定大型企業的VirusTotal Enterprise惡意程式分析服務，除了VirusTotal既有的功能之外，添加了Private Graph與企業管理功能，也讓惡意程式的搜尋速度提升100倍。

源自於西班牙的VirusTotal在2012年被Google買下，繼之於今年1月被納入Alphabet新成立的資安公司Chronicle，它能掃描檔案與網址，提供惡意程式的分析及偵測服務，已發表網頁版、桌面版、瀏覽器擴充程式、行動程式、公開的API與付費服務，VirusTotal Enterprise則是它的最新版本。

VirusTotal Enterprise允許使用者搜尋惡意程式樣本、尋找未來的惡意程式樣本、分析惡意程式的關係圖，還能透過API自動化所有的任務。更多內容

Windows 10安裝數終於突破7億

圖片來源_微軟

根據Neowin及On MSFT等媒體報導，在推出三年之後，微軟高層於近期的Ignite 2018大會上宣布，Windows 10全球安裝數已經超過7億，而且這次是真的。

Windows 10在2015年正式釋出時，微軟計畫希望在三年內安裝數能來到10億臺裝置，此後微軟正式發表過二次官方統計。第一次是在去年5月Build 大會上宣布安裝數突破5億臺，第二次則是同年11月，Windows 10安裝數超過6億。隨後Windows 10就數次在7億大關前徘徊。更多內容

Windows Server 2019正式版將於10月出爐

圖片來源_微軟

微軟在Microsoft Ignite全球開發者大會上宣布， Windows Server 2019正式版預計在10月出爐，而以瀏覽器為基礎的伺服器管理套件Windows Admin Center 1809，則已支援Windows Server 2019與Azure的混合場景，至於過去經常與Windows Server在同一時間更新的System Center 2019，則計畫於明年上半年問世。

Windows Server 2019的四大特色為混合雲、安全、應用程式平臺及超融合基礎架構，在混合雲上，微軟打造了Windows Admin Center（原為Honolulu專案），這是個基於瀏覽器的圖像使用介面與工具組，以簡化Windows 10與Windows Server的管理，它針對Windows Server 2019進行了最佳化，能輕易將既有的Windows Server部署連結至雲端的Azure服務。更多內容

可查詢自己的帳號是否外洩的Firefox Monitor上線了

日前Mozilla正式推出Firefox Monitor，此一免費服務可用來查詢使用者的電子郵件位址，是否曾出現在外洩的資料中。

Mozilla是與提供同樣服務的Have I Been Pwned合作，當使用者於Firefox Monitor站上輸入自己的電子郵件位址時，系統就會比對由Have I Been Pwned所蒐集的外洩資料庫，倘若查到符合的資料，還會顯示該電子郵件曾出現在哪些資料外洩事件中，這時使用者就應該變更相關服務的密碼，以及使用同樣密碼的其它服務。

此外，使用者還能以自己的電子郵件位址登入Firefox Monitor，之後若有涉及該電子郵件位址的資料外洩事件，就能即時收到通知。更多內容

防盜軟體遭改造為UEFI Rootkit惡意程式，入侵主機板韌體且難以移除

圖片來源_ESET

資安廠商ESET發現Sednit APT駭客集團使用稱為LoJax的UEFI Rootkit惡意程式，對巴爾幹半島、中歐和東歐的部分政府組織發動攻擊。ESET表示，這是第一次發現野生的UEFI Rootkit，而且除非靠刷新主機板SPI快閃記憶體，否則沒有任何簡單的方法可以排除。

這個稱為LoJax的UEFI Rootkit惡意程式，前身為LoJack的防盜軟體，更早期的軟體名稱為Computrace。一旦Computrace服務被啟用，便會回呼其C&C伺服器，當安裝Computrace的電腦遭竊，擁有者便能獲取通知，知道電腦的所在位置。由於Computrace為了要避免系統被盜後，以重新安裝或是更換硬碟的方法被移除，因此實作了UEFI模組，使其能夠在這些情況下留存下來。這個軟體被預先安裝在各種由OEM廠商製造的筆記型電腦的韌體中，等待使用者啟用，不過，也因為Computrace不尋常的耐久性方法，引起了安全社群的注意。更多內容

臉書驚爆史上最大漏洞攻擊，全球高達5,000萬用戶個資恐遭駭客竊取

臉書 （ Facebook）在臺灣時間9月28日晚上爆出史上最大漏洞攻擊，因為更新影片上傳功能程式碼出現開採漏洞，導致全球至少5,000萬名臉書帳戶資訊恐遭駭客竊取。然而，去年7月臉書就存在這個重大安全漏洞，但直到25日周二下午（美國當地時間）臉書才發現，並隔了3天，才在周五晚上發布公告揭露有這個開採漏洞，動作顯然是慢半拍。儘管臉書創辦人暨執行長祖克柏（Mark Zuckerberg）親上火線釋疑，說明整起攻擊事件的始末。不過，目前仍無法確定受駭的臉書帳戶個資，是否已遭到駭客惡意濫用，以及有無其他未爆漏洞仍未發現。

臺灣時間9月28日周五深夜，正當準備迎接周末之際，卻有許多臉書用戶怨聲載道，抱怨自己帳戶無預警被強制登出，甚至也有不少臺灣用戶紛紛上網留言反應沒辦法上臉書，直到隔了一段時間，才又可以重新登入，但是必須要重新輸入密碼，無法自動登入。一旦重新登入後，個人動態訊息上方會跳出一段訊息，告知強制登出原因，是因為遭遇安全問題，因而傳出臉書可能遭受駭客網路攻擊。

臉書隨後也罕見透過官方部落格發布安全更新公告，證實遭到駭客開採漏洞攻擊，導致5千萬名臉書帳戶受影響，臉書執行長祖克柏更在臺灣時間29日凌晨1點在個人臉書發文，說明整起攻擊事件的始末。

臉書說明，這個開採漏洞，是來自於去年7月更新影片上傳功能的程式碼時出現的安全漏洞，讓駭客得以經由此漏洞，間接利用臉書頁面特定用戶檢視角度（View As）功能，取得臉書用戶登入存取令牌（access tokens），token 可以讓用戶每次登入時能自動登入，不需要重新輸入帳密才能登入，駭客取得token後，等於是，就能繞過登入驗證機制，進而掌控用戶管理權限，竊取個人資訊。

但是，直到美國當地時間9月25日周二下午，臉書工程團隊才發現有這個安全漏洞問題，臉書安全部門接獲通報隨即展開調查，並同時通報執法機關，也緊急展開漏洞修補作業。但是，直到3天後，也就是周五晚上，臉書才將該漏洞修補完成。

臉書也同時統計受到此漏洞影響的用戶數，目前已知至少有5,000萬個臉書帳戶受影響，若以單日臉書活躍用戶10億人估算，這也意味著，平均每100人就有5人擁有的個人臉書帳戶，可能已遭到駭客挾持。更多內容

臉書針對檢視角度功能重大漏洞提出初步說明，表示由多個應用系統設計瑕疪導致

針對發現自家系統漏洞後所採取的因應措施，而造成9月28日大量用戶帳戶遭強制登出的事件。臉書提出進一步的說明，表示這個能用來發動攻擊的漏洞，是由3項功能的弱點結合而成，包含了可確認隱私設定的檢視角度、新版的影片上傳工具，以及能夠讓用戶日後不需重新輸入帳號密碼的Token派發機制。更多內容

臺灣純網銀開辦在即，中、日、韓知名純網銀來臺分享成功開辦關鍵

金管會將在今年11月開放純網銀執照申請，臺灣第一家純網銀最快明年底就會誕生。不過，綜觀亞洲地區，日本早在2000年就開放純網銀；中國、韓國也先後於2014年、2017年開放，相較鄰近國假臺灣在純網銀的腳步，似乎已經慢了許多。

為了借鏡國外，台灣金融研訓院也找來日本純網銀始祖Japan Net Bank和韓國首家純網銀K Bank，以及全球最大純網銀中國微眾銀行，來臺參加「國際純網路銀行實務研討會」分享純網銀經驗。

這三家純網銀來頭都不小，微眾銀行最大股東為騰訊；Japan Net Bank的母公司為Yahoo！Japan，而主要股東則有三井住友銀行和Family Mart。K Bank則是由韓國第二大銀行Woori Bank、連鎖便利商店GS Retail、電信業者Korea Telecom、中國螞蟻金服等20家股東發起設立。而這三家純網銀，大多由通訊軟體、電子商務、電信業或零售業等非金融業者為主要股東。更多內容

Kubernetes 1.12出爐，大幅簡化憑證設定工作

圖片來源_ Kubernetes

最近Kubernetes釋出今年第3個版本1.12，這個版本繼續專注內部功能改進，並讓測試功能進入穩定階段。Kubernetes 1.12重點更新了安全性以及Azure相關功能，現在Kubelet TLS Bootstrap進入穩定版，並支援Azure虛擬機器規模集（Azure Virtual Machine Scale Sets，VMSS）。

Kubernetes 1.12其中的一大更新重點便是Kubelet TLS Bootstrap達正式版本，官方提到，在Kubernetes 1.4中引入了一個向叢集等級憑證頒發機構請求憑證的API，此API原本的目的是要為Kubelet提供TLS客戶端憑證，允許Kubelet自動啟動加入TLS保護的叢集中。更多內容

Android Studio 3.2來了! 可用App Bundle最多縮減APK下載檔案64%大小

圖片來源_Google

谷歌在5月時釋出的Android Studio 3.2功能預覽，在9月底宣布釋出正式版。Google提到，所有開發者都應轉換使用Android Studio 3.2進行開發工作，除了支援最新的Android 9 Pie版本外，其使用一種名為Android App Bundle應用程式發布格式，能有效減少APK容量。

從今年Google I/O大會以來，Android團隊對Android Studio新增了超過20項的更新，範疇從開發、建置、測試到最佳化都有。Google表示，每個開發人員都應該使用Android Studio 3.2，以過渡到新的應用程式發布格式Android App Bundle，這將能幫助開發者提供較小的APK，透過縮減檔案大小加速使用者下載過程。Google Play中的新應用程式服務模型動態交付（Dynamic Delivery），會處理開發者的App Bundle，為每一個使用者的裝置配置產生最佳化的APK，因此使用者僅需要下載裝置真正需要的程式碼和資源就好。更多內容

宏碁聯手裕隆公開首輛國產商用自駕車雛型

攝影_余至浩

科技大廠宏碁 （Acer）與國內電動車廠裕隆合作，首度發表以Luxgen S3電動車改造的首輛國產自駕電動車雛型，儘管還無法達到像Waymo商用無人車的等級4自駕應用階段，但也已經開始從傳統先進駕駛輔助（ADAS）跨出第一步，開始朝向無人自駕車來發展。這也是臺灣科技業進軍自駕車產業開出第一槍。這輛自駕車近期也在2018臺灣汽車科技創新發展高峰會上首度公開展示。

大型科技公司押寶自駕車市場，在國外已不是新鮮事，如Alphabet旗下自駕車公司Waymo、或中國最大搜尋引擎百度等，很早就開始自行發展商用無人車，來提供載人或送貨服務，如今這股自駕車風潮，也從國外吹向臺灣，不只電動車廠、工研院、車輛中心等研究機構投入研發，現在更有國內科技大廠宏碁瞄準無人車市場，找來電動車廠裕隆合作，共同發展國產全自動駕駛電動汽車。更多內容

AI輔助癌症治療成效如何？萬芳醫院揭露導入一年成果

2017年7月，臺北醫學大學體系的3家醫院和癌症中心，就領先大中華區導入IBM Watson for Oncology臨床決策輔助系統，來幫助醫生診療癌症。一年過去了，隸屬北醫體系的萬芳醫院醫療資訊長兼放射腫瘤科主治醫生陳俊佑，最近揭露Watson for Oncology使用狀況，除了用來輔助醫生診療，還用來引導住院醫生和實習醫生問診，提出關鍵問題。更多內容

雙北家防中心用AI打造家暴風險預警模型

自2016年以來，每年全國少年兒童保護受理案件數就超過4萬件，當中有30％就屬於兒少家暴再犯案，也就是所謂的回頭客案件。這個因素，再加上兒少保護志工人力吃緊、一人平均處理60個案件，讓臺北市與新北市的家防中心決定聯手，結合外部資源與人力，利用AI技術和大數據分析建立風險預警模型，希望能協助兒少保護社工在服務品質受限的狀況下，解決兒少家暴回頭客案件的問題。更多內容

為了促使更多國家政府能更加透明，讓記者能針對黑幕調查後，能在身分受到保護的前提下，將事件真相公諸於世，Free Press Unlimited推動印尼解密（IndonesiaLeaks）平臺的資深程式開發經理Marcel Oomens，在今年的g0v零時政府高峰會中，透過他們陸續在多個國家中成立吹哨者（Whistleblower）通報平臺的經驗，認為對於政府機關的遊說、公眾的倡議都相當重要。

世界上較為知名的真相解密專案，包含了全球監控揭露（Global Surveillance Disclosures）、巴拿馬文件，以及天堂文件等，但有別於上述跨國專案，Free Press Unlimited在各國推動的吹哨者平臺，主要是針對特定區域或是國家為主。

Marcel說，從最初建置荷蘭的Publeaks NL，他的同事想要打造一個資料庫，並且擁有匿名媒體，能讓吹哨者能揭露真相，又不致陷入危險之中。由於成立Publeaks NL的時候，與史諾登事件發生的時間點差不多，因此，揭秘者身分保護的問題，便受到大家的關注。截至目前為止，約有2個新聞透過這個平臺揭露，並由荷蘭當地的媒體報導。

而在2015年時，Free Press Unlimited尋求與墨西哥當地媒體合作，耗時9個月進行媒合，成立了墨西哥解密（MexicoLeaks）。在媒合的過程中，他們與合作夥伴之間討論其合作的架構。接者，2017年8月，該組織在成立奈及利亞的Leaks.NG時，延伸了合作的範圍，他們對於政府裡僵化的法治機構，也進行遊說。

對於去年底成立的印尼解密，Free Press Unlimited已經與10家調查新聞室合作，但不光是資訊的公開，同時希望能對揭秘者提供更多的保護，再者，Marcel表示，他們這次的目標，則是想要讓公民團體能夠充分參與。從上述這一連串的推動過程，Marcel認為，不同性質的組織之間合作其實相當困難，而且也要找到合適的夥件，然而，若是能讓更多人參與，成效會更好，而對於印尼當地而言，向公眾的推廣可說是尤其重要。因此，他們接下來還規畫會提供Publeaks Mobile行動應用程式，這款App主要具備2大應用，分別是讓吹哨者快速截取與共享，以及具備更容易對話的介面等。

在可能會導致生命受到威脅的情況，藏人社群面臨像是疑似擁有中國當局背景的GhostNet組織，他們的暗中監控與社交攻擊，必須設法自保。來自印度最大開放資安社群Null的達蘭薩拉分部共同主持人，也是藏人開源社群一員Tenzin Chokden，他在今年的g0v零時政府高峰會中，以藏人社群遭遇的威脅為題，認為應從資安的基礎層面下手，也就是使用者的資安教育，輔以儘可能改用Fedora等開源軟體等措施，並設下長遠執行的防護目標。

GhostNet是一個以中國為基地的間諜網路系統，建構這個系統的組織專門盜取銀行、各國大使館、外交部，以及政府機關的資訊，而對藏人的社群組織而言，GhostNet鎖定他們，發動大量攻擊，使得2008年時，許多外交官取消了與達賴喇嘛之間原有的協議。

針對藏人社群發動的攻擊不斷出現

藏人社群長期遭到GhostNet監控的情況，雖然中國政府否認涉入該組織，但真是如此嗎？Tenzin引述了美國戰略與國際研究中心（CSIS）資深副總裁，同時也是前外交官與電腦專家James A. Lewis的說法，基於GhostNet鎖定藏人，是代表中國政府涉入其中的有力指標，因為，一般的中國駭客，會傾向尋找與商業財務有關的資料下手，而非政治組織。

而GhostNet發動攻擊的手法，主要是透過社交工程進行，包含了盜用高層的官方電子郵件帳號名義，發送帶有惡意軟體或是連結的信件，再誘使使用者開啟內容，從對電腦進行滲透。上述攻擊的情形從未停止，從公民實驗室今年8月推出的報告指出，在今年1月到3月之間，藏人的非政府組織（NGO）發現收到含有攻擊能力的PowerPoint檔案與RTF文件檔案，分別是利用列管為CVE-2017-0199和CVE-2017-11882的弱點，而且，這樣的攻擊手法，也在臺灣的政府和企業中出現。

另一個針對在印度藏人社群發動的攻擊，是從2017年中開始出現的RedAlpha，而在今年8月時，該駭客組織不光進一步更換新的網域與C&C中繼站，更將攻擊的泛圍，延伸到藏人以外的面向，包含了維吾爾族、臺灣獨立運動的成員、中國民主推動組織，以及法輪功等。

基本資安意識極為重要，採用原始碼透明的開源軟體增加安全性

由於目前GhostNet等從中國出現的進階持續性攻擊（APT）手法，都是透過社交工程，因此首當其衝的防線，還是使用者的資安意識。Tenzin指出，基於缺乏相關的資源與訓練，許多社群組織便容易出現駭客可下手的弱點，因此他也建議會眾同時要了解數位足跡，進而防範前述的攻擊，例如，敏感性或是私人的資料，可能會成為受到威脅的把柄，但可能社群組織內很多人認為，自己的資料都是能夠公開，不需要避免在網路上曝光，就可能產生容易受到攻擊的風險。

再者，則是基於Fedora和Linux等開源工具的開放性，可自行修改、共同協作、程式碼透明，以及能透過社群的力量等特點，因此，Tenzin認為，透過開源工具，能夠改善在一般商用軟體安全性的透明度問題，像是他建議透過Fedora結合LibreOffice建置沙箱，分析疑似有問題的文件，避免使用者直接在Windows開啟；而對於可能會被鎖定攻擊的特定人士，最好使用開源的同類型工具替代常見商用軟體，尤其是電腦的作業系統，應該要使用Fedora或其他的Linux發行版本。

上周微軟傳出Windows 10十月更新甫釋出一天，即傳出用戶安裝後刪除PC檔案的災情。微軟已於周末緊急公告撤回該更新。微軟並未說明延到何時重新釋出。

上周至少一名用戶向微軟反映，他的電腦在安裝Windows 10十月更新（Windows 10 October 2018 Update）後，C:/User/用戶名/Documents/的高達220GB檔案遭到全數刪除。這名用戶也曾與微軟客服人員數度訊息來回，使用者在微軟人員的建議下回覆到舊版本，但最後表示無法救回檔案

微軟周末緊急發出的公告指出，在調查檔案遺失的個別通報同時，微軟已經暫停針對所有用戶的Windows 10十月更新（1809版）的部署。而因暫緩部署的關係，原定美國時間本周二啟動的全球部署也將一同延後。至於延到何時微軟並未說明。

微軟呼籲手動安裝1809更新、並相信更新後檔案遺失的用戶直接聯繫微軟。另外，已經手動下載更新版的用戶，微軟也要求在新版本釋出之前不要安裝。

所有Windows 10版本都受到此次暫緩釋出的波及，包括個人版Windows 10及Windows Server、Windows 10 IoT Core三個平台的1809版、Windows 10 Enterprise LTSC (Long Term Servcing Channel) 2019、Windows 10 IoT Enterprise LTSC 2019及Windows Server 2019。

Windows 10十月更新引發的問題中，刪掉檔案只是其一。1809版還和英特爾CPU音效驅動程式Intel Display Audio Driver 10.25.0.3 到10.25.0.8版本不相容，這個問題微軟及時發現並封鎖有此驅動程式的PC下載1809版，而英特爾也已釋出新版驅動程式。其他零星問題包括有用戶反映在安裝1809版本後，Microsoft Edge及其他Microsoft Store app如Mail、Calendar、News等無法上網，微軟研判是關閉了IPv6的裝置受到影響。另有記者出現更新後「開始」選單中的搜尋不能用了。