在智慧家庭裝置紛紛進駐使用者家中之後,業者隨之推出各種加值訂閱服務,來擴大相關裝置所衍生的營收,Amazon在今年2月收購的家用網狀路由器eero品牌,就在本周發表兩項安全加值服務:eero Secure與eero Secure+,可用來過濾內容或是阻擋惡意程式。
標準版的eero Secure提供的是基本安全功能,每月訂閱費用為2.99美元,它能在使用者造訪含有惡意內容的網站時,跳出警告或執行封鎖,也能過濾不適當的內容,或是封鎖廣告,檢視使用該網路的所有裝置,還會提供每周的洞察報告。
至於進階的eero Secure+每月訂閱費用為9.99美元,除了上述功能之外,還額外提供1Password密碼管理功能,encrypt.me的VPN功能,以及支援Mac與Windows的MalwareByte防毒功能。
換句話說,eero把原本應該安裝在手機、平板或個人電腦上的安全功能,移植到eero服務上,只要是透過eero路由器連上網路的裝置,都會受到eero Secure以及eero Secure+服務的保護。
Google軟體工程師Rosie Buchanan本周透露,智慧門鈴Nest Hello產品的Nest Aware訂閱用戶,即日起已可利用機器學習技術來偵測包裏的到來。
Nest Hello為一具備人臉辨識功能的智慧門鈴,它可連結Wi-Fi網路,內建廣角鏡頭,也有夜視功能,並能拍下訪客照片以傳到使用者的手機程式,使用者也能透過程式即時與訪客對話,或是瀏覽Nest Hello即時拍攝的畫面與最近3個小時的錄影畫面。目前Nest Hello只在美國、加拿大及英國銷售,售價為229美元。
至於Nest Aware,則是各種配備Nest攝影機的Nest裝置用戶,都可付費訂閱的服務,每月訂閱費用為5美元,它會將Nest攝影機所拍攝的畫面傳送到雲端伺服器上,透過先進的演算法來調整攝影機在動作及聲音上的偵測能力,此外,Nest Aware還能提供更多元的通知。
以Nest Hello為例,它在偵測到動作、聲音或人的時候會傳送通知予使用者,倘若訂閱了Nest Aware付費服務,則會有更敏感的偵測服務,例如可得知是否有人跑過屋前或窗前,且降低了誤判的機率,也導入人臉辨識,以在偵測到熟人時發出通知,現在則新增了包裏通知功能。
只要郵差或送貨員把包裏置放在Nest Hello可偵測的範圍內,或是有人來收走了放在門前的包裏,Nest Aware用戶就會收到通知,條件是包裏至少要有8x10x1吋的大小。
Buchanan表示,這是Nest Hello用戶最想要的功能之一,讓使用者不必再引頸等待包裏的到來,只要交由智慧門鈴代為注意即可。不過此一新的通知功能目前僅於美國上線。
在ES6以後,Reflect與Proxy API是實作meta-programming的利器,但開發者多半的誤解是「Reflect為Proxy而生,Reflect API不過是Object的進階版」;實際上兩者同等重要,獨立思考存在的意義,試著結合兩者時,才有更大助益。
ESLint與Reflect
先前〈ES6與meta程式設計〉提過,符號(Symbol)、Proxy與Reflect,是ES6以後提供的meta-programming利器。多數開發者應該最熟悉「符號」,它主要用來定義獨一無二的行為象徵,不同符號對物件來說,代表著不同metadata,具體而言,就是透過符號實作物件間的協定掛勾,有些符號實作甚至能影響語言內建語法、運算子的行為,如Symbol.hasInstance可以影響instanceof的結果等。
相對來說,Reflect的角色看似尷尬,不少文件都會細談符號與Proxy,然而,對Reflect都是約略帶過,這不禁令人產生疑問:不搭配Proxy,Reflect就無用武之地了嗎?另外,Reflect上的API為何與Object有所重疊?
解答這兩個疑問的來源之一,是ESLint的〈prefer-reflect〉(https://bit.ly/2ZxcuCY),列出一些用Reflect API取代函式apply或Object API的建議。
開發者多半知道控制函式的this時,可以使用函式繼承而來的apply與call方法;然而,對於函式func.apply(self, args),實際是在隱含地假設函式實例本身沒有定義apply方法,若想避免這層假設,方式之一,是使用Function.prototype.apply.apply(o.test, [o, [o, o]]),就程式碼的閱讀上,這麼做顯然難以理解;Reflect.apply沒有這層顧慮,同樣的需求改用Reflect.apply(func, obj, args)就簡潔多了。
另一方面,若仔細觀察Reflect與Object重疊的API,我們可以發現,Reflect列出的API,能夠用來存取JavaScript引擎的內部方法(Internal method),而且,這些內部方法,實現了CMAScript中、、等演算規範(可參考https://bit.ly/2MDPjDj)。
為了便於辨識,這類與底層審視(Introspection)相關的API,未來基本上會以Reflect作為名稱空間,因此,ESLint才建議,使用Reflect上的getOwnPropertyDescriptor、getPrototypeOf等,來取代Object上既有的對應函式;將來與物件處理相關,然而不涉及引擎底層的API,才是新增到Object,例如,ES10新增的Object.fromEntries等。
Reflect、物件與運算子
除了提供審視引擎底層的API之外,Reflect上有些函式,可以對物件做進階控制。例如,物件可以定義設值函式(setter)與取值函式(getter),然而無法直接取得這類函式實例,這意謂著,此類函式實作中,若有this關鍵字,無法透過函式apply、call,或Reflect.apply來調整對象。然而,Reflect提供了set與get函式,它們都提供一個可選的receiver參數,可用來指定設值函式、取值函式的this對象。
Reflect也將原本只以運算子形式呈現的行為,以函式方式提供。例如,in運算子的對應是Reflect.has,這比較沒有問題,傳回值是布林值,若被測試的不是物件,也是拋回TypeError;new運算子的行為對應是Reflect.construct,對於建構式C來說,new C(1, 2, 3)這個動作,可以使用Reflect.construct(C, [1, 2, 3]),但是,不可以使用C.apply({}, [1, 2, 3]),因為這只是等同於C(1, 2, 3)呼叫罷了。
不少文件都會談到,Reflect.construct可以令new建構式這個動作接受陣列作為引數。實際上,這需求只要藉由Spread運算子也可達到,例如new C(...[1, 2, 3])。比較重要的功能其實是,ES6以後新增new.target,在使用new建構實例時,new.target代表了建構式或類別本身,否則就會是undefined,而Reflect.construct第三個可選參數,就可用來控制new.target的對象,也就是說,相對於使用new建構物件,Reflect.construct能控制的更多。
delete運算子的對應是Reflect.deleteProperty,不過,在行為上有些修正。在嚴格模式下,若用delete刪除不可組態的特性,會引發TypeError;然而,Reflect.deleteProperty刪除不可組態特性時只會傳回false,看似回歸到delete在非嚴格模式下的行為。
因此,對於ESLint建議使用Reflect.deleteProperty來取代delete,開發者持有各自不同的觀點(https://bit.ly/31mVKi9)。有的人從簡潔性、速錯觀點支持delete;有人從可讀性、Reflect API的一致性支持Reflect.deleteProperty。我個人是覺得,在嚴格模式下,刪除不可組態特性既然有兩個選擇,就看需求而定,不見得要按照ESLint的建議。
實現代理模式的Proxy
代理模式簡單來說,是提供一個代理物件給客戶端操作,代理物件具有與目標物件相同的介面,在客戶端對實作毫不知情下,不會意識到正在操作的是代理物件,而代理物件可以單純地將任務轉發給目標物件,或者是在這前後附加額外的邏輯。
在ES6以後,可以透過建構Proxy來實現代理模式,建構時指定目標物件以及處理器,處理器可以代理的行為,與Reflect一對一對應(因此才會有「Reflect為Proxy而生」的這種說法吧!)也就是說,可以代理的介面不單是物件特性,也包括了、、等底層行為,某些程度來說,就是讓開發者可以干涉JavaScript引擎的行為。
要活用Proxy,深入認識Reflect是必要的,因為Proxy提供干涉內部方法的時機,Reflect提供存取內部方法的管道,兩者結合就提供meta-programming的重量級支援,只是簡單地干涉get、set,就能實現日誌、驗證、效能量測等常見需求,透過has、construct、deleteProperty,開發者還能神不知鬼不覺地干涉、改變in、new、delete運算子的行為。
雖說如此,還是要有分寸,實現代理模式基本原則,是「在客戶端對實作毫不知情下,不會意識到正在操作的是代理物件」,引擎為此提供了一定程度的檢測,若明顯地被違反物件協定,試圖實作代理會拋出TypeError。
例如,target的foo特性configurable與writable,若都是false,特性值為10,底下程式碼會拋出錯誤:
const proxy = new Proxy(target, {get() { return 20; }});console.log(proxy.foo);如果從違反協定的角度來理解,原因就很簡單,由於configurable與writable都是false,這表示該特性是個不能刪的常數10。在上例中,代理物件的實作卻試圖傳回20,顯然違反協定;類似地,若target特性的configurable為false,代理物件的處理器deleteProperty方法傳回true,就會引發TypeError。
獨立地思考Reflect、Proxy
Reflect不是Object的進階版,而是與Proxy更是同等重要的存在,開發者應獨立地思考Reflect API存在之意義,有興趣的話,你可以進一步參考〈What does the Reflect object do in JavaScript?〉(https://bit.ly/2Yva8I8)的討論。
事實上,Proxy肩負的職責是實現代理模式,應該思考代理模式的意義,而不是同時思考Proxy與Reflect可以做到的部分,否則遇到無法代理的情況時,也許會覺得不明就理;若能思考這兩個API各自存在的意義,自然能理解何時兩者應該結合,也才能發揮meta-programming的最大可能性。
3家純網銀團隊中,一切從零開始的將來銀行,不像LINE Bank、樂天國際銀行有來自集團強大的生態圈,他們要如何走出自己的路?
將來銀行資訊長兼技術長周旺暾,在一場由中華民國電腦稽核協會舉辦的數位科技應用與資訊治理專業論壇上,更進一步揭露了自家未來作法。
周旺暾表示,即便將來銀行最大股東中華電信擁有超過1千萬的電信用戶,全臺中華電信門市加上神腦門市也共有1千多家,股東之一的全聯也有近1千多間實體據點。但,他坦言,中華電信、全聯的門市在臺市占率仍然沒有過半,對臺灣市場撼動力就非常有限。
但這樣,要如何匹敵LINE與樂天既有的生態系?周旺暾指出,「將來銀行決定不自帶生態系,而是必須加入任何生態系。」既然,將來銀行在第一時間不會有強大的會員系統,但是可以參與任何電商、實體通路、旅行業等各種業態,不浪費時間構築堅強的城堡,就能更快地走進消費場景中。
而唯一的作法,就是開放銀行。周旺暾表示,將來銀行IT在開放銀行的戰略,就是要盡可能開放所有的API,他們內部訂了一個標準,除非法規規定不行,否則將來銀行App上有的功能,都會有API的對應,目標是把功能百分百開放,唯有如此,才能不打造自有生態系,卻也能走入每個人的生活中。
在資安的布局,周旺暾坦言,銀行在資安上的問題是,不知道駭客真正在想什麼。他認為,要比駭客早一步封鎖漏洞,並透過AI自動偵測駭客活動,而將來銀行規畫的作法是,記錄網路正常樣態,透過機器學習方式,學習應用層在正常網路的樣態,當駭客在感染系統時,就可以比對是否有異常的網路通訊出現。
周旺暾解釋,駭客感染的方式可能是走過標準通訊協定進來,所以關掉防火牆是不夠的,不如去學習正常樣態,來偵測異常樣態。一旦偵查到系統有了警訊,就能讓SOC(資安監控中心)人員進一步了解系統出了什麼問題。
下一步,就是快速回復受損系統。但,將來銀行的計畫不是人工修理,而是先凍結系統。由於將來銀行是全部虛擬化設計,周旺暾提到,凍結後的系統成為影像檔,就會送鑑識小組鑑識駭客是否有進來,他的活動是什麼?在機器裡一定能找到軌跡。將來銀行也會在凍結系統後,重新部署新的系統,且內部訂下在5分鐘之內得完成新系統部署的目標。
此外,當資料一旦離開加密區,將來銀行會依照資料權級,若是有個資或重要資料的文件檔,就要同時加密與加簽,以確定資料流向。不選擇使用傳統浮水印的方式,將來銀行要採取的是數位簽章方式,在文件上打上標籤,何時、何人、做了什麼動作,都會放進數位簽章。周旺暾表示,這樣的作法,是要讓不對的人拿不到資料,即便試著解開,還是可以追蹤到源頭在哪。就算不幸資料流出,也要做最快的倒禦,找出問題到底發生在哪,怎麼去把漏洞補起來。
他也強調,將來銀行不做沒有意義的資安活動。目前,他們把資安分成六大重點工作,一是規範,將來銀行內部會有資安規範小組。二是拿到盡可能多的國際認證,透過第三方來確保流程安全。
三是仿照歐盟GDPR的要求,設立資料保護專責單位,也會設立資料保護長,周旺暾提到,將來銀行雖然不在GDPR規範的國家,但他們認為,GDPR有個很棒的觀念是,資料保護並不等於資安。他認為,資安是架構、流程、方法,但不代表資料被保護。所以,將來銀行設立資料保護專責單位、資料保護長的用意,是要追蹤每一個重要的資料,是否有被正確的保護住。
第四項是弱點分析。第五則是防禦,將來銀行會有24小時的資安監控中心,這部分除了來自中華電信的協助,周旺暾表示,還會有其他人進來,一起在應用層跟中華電信合作。最後一項則是開發安全,將來銀行希望開發的所有過程,能導入系統發展生命周期(System Development Life Cycle,SDLC),在每一過程檢討安全是否到位。
在AI的運用,周旺暾揭露,將來銀行在開行的第1年,會先鎖定四項重點應用,分別是行銷、財務、信用與資安。他提到,在行銷的AI應用,要用事件的發生,來決定顧客要什麼服務,在顧客需要服務時就能知道,並以顧客感到貼心的方式提供顧客必要的金融服務。
此外,由於純網銀是24小時營業,不能設立任何實體分行的限制下,使得業務全程都必須在網路上操作。所以,金管會對純網銀流動性風險的管理更為重視,特別是夜間與假日流動性風險的監控與因應。將來銀行則要透過AI,進行即時流動性風險的分析,比如何時會出現資金缺口,或是現金流動有無造成營業潛在問題等,來提早準備因應。
將來銀行也計畫用AI做信用評級,不只透過聯徵中心來取得顧客信用,更要透過與市場的合作,例如與中華電信合作,知道顧客過去繳費記錄,手機門號使用多久,結合更多數據來做信用評級,以消費信用的方式預先核准一個消費額度,當顧客臨時急需用錢時,像是一筆旅遊基金或是家人住院需要一筆錢,就可以知道自己有多少消費額度可借用,將來銀行也會以合理的利息給顧客。而在資安部分,將來銀行則是希望能用AI偵測到系統異常,進行預警。文⊙李靜宜
紐約時報於本周報導,Telegram已向3名投資人表示,將依照原訂計畫於今年10月底以前發行Gram加密貨幣。
Telegram是在去年初對外揭露自家的Telegram Open Network(TON)區塊鏈網路與代幣專案,原本打算透過首次代幣發行(Initial Coin Offering,ICO)來募資,但光是針對特定投資人的ICO預售活動,就募集了17億美元的資金,因而取消了該場ICO活動。
不過,Telegram在去年初出售的是「未來代幣的簡單合約」(Simple Agreement for Future Tokens,SAFT),承諾投資人可在TON網路於今年10月上線時,獲得等值的Gram加密貨幣,若未能履行則會退還當初投資的金額。
根據Telegram的規畫,該公司打算建立一個基於TON網路的經濟體系,提供各種能以Gram交易的服務,且屆時每個Telegram用戶都會擁有一個TON數位錢包。
儘管當初SAFT的銷售很快就額滿,而且還出現了高價轉售的風潮,但加密貨幣部落客David Gerard認為,Telegram對Gram的規畫與臉書所發表的Libra非常類似,此刻Libra正面臨許多監管機關的質疑,他懷疑Gram能否真正用來交易而不受各國法令的規範,而且倘若Gram沒能問世,Telegram也許還不出17億美元。
不論如何,3名Gram投資人向紐約時報透露,Telegram已說在這一兩周就會開始測試Gram網路,將按照原訂計畫於今年10月上線。
去年5月報稅時,應該有不少民眾注意到,報稅系統的介面已經有別於從前充斥著各種紛雜資訊,改成以簡潔的色塊來指引使用者選擇不同身分驗證來登入,大幅優化了使用者體驗(UX)。而促成這件事情的最大功臣,也就是致遠體驗設計的創辦人卓致遠,近期,他也在一場活動上,分享報稅系統的改版過程中,使用者體驗扮演的角色。
舊版綜合所得稅報稅系統。
要設計一個軟體的使用者介面,通常需要先釐清需求、確認規格與功能、擬定操作流程,接著製作出原型後,先經過易用測試再進行視覺設計,最後上線行銷,再根據反饋來維護修改。然而,現實來看,若設計師並無充分了解使用者在軟體各介面中的操作與需求,很可能在時間壓力下,確認規格後就直接仿照競爭對手的軟體功能,或遵照主管需求來設計,「但是,該關注的不是競爭者,而是使用者,一個不在乎人的軟體就不會被在乎。」卓致遠表示。
尤其,隨著智慧型手機普及,網站前端的開發也走向響應式網頁設計(Responsive web design,RWD),不合時宜的舊版網站,相形之下更顯得格格不入,於是,卓致遠2017年在公共政策網路參與平臺提案「報稅軟體難用到爆炸」,獲得行政院政務委員唐鳳的注意,才引起了行政院由上而下的推動改版。
卓致遠回憶,當時提案通過後,有五分鐘的報告時間,於是,他從使用者體驗不佳的角度,說明報稅系統介面不適用的原因。首先,因為行動裝置普及,響應式網頁主導了大多數網站的視覺設計,民眾已經不太花時間去讀大量文字,反而是更直覺的圖像能引起注意;第二,則是民眾對於「好用」的標準提高,就像從電腦卸載應用程式,需要進入控制臺的程式集來卸載,但手機刪除App更為簡單,只要長按圖標再點X即可,在對比之下,使用者要求自然會提高。
也因此,在執行改版的過程中,工作小組特別從創造更友善的使用者體驗來著手,有目的的優化介面。對此,卓致遠表示:「不只要看到系統,還要看到細節,要思考完整的使用者操作流程。」比如說,雖然報稅系統首頁是要民眾選擇報稅的身分驗證方式,但民眾上網報稅時做的第一件事,是透過Google搜尋「報稅」兩字,接著進入財政部的官網來尋找入口網站。因此,財政部網頁中「綜合所得稅電子結算申報繳稅」的選項是否顯眼,也要納入考量,才真正兼顧了完整的使用者體驗。
再來,報稅時需要選擇身分驗證的方式,比如採用健保卡登入者要先註冊帳號,與採用自然人憑證登入者相同,都需具備讀卡機等,這些資訊必須讓使用者一目了然,才不會準備不齊導致報稅時一再重試。「既然這個起始頁面是要讓他做好報稅之前的準備,那有沒有確實做到這件事?」
卓致遠也舉一個極端的案例來說明介面設計須符合使用者體驗的重要性。一位民眾要用健保卡驗證身分,登入時發現需要事先註冊;到了註冊頁面,卻發現要先下載flash才能顯示畫面,於是點擊下載;然而,本來下載完會自動跳出一個「下載完成」的視窗,但用戶裝設了AdBlock,必須先關閉AdBlock才能點選下載完成,卻沒想到網頁上沒有跳出關閉AdBlock的視窗,而是出現「請稍後」的畫面,這一等就是兩天過去,民眾根本連報稅系統都無法登入。
卓致遠說明,要確認使用者是否能順利完成指定任務,最直接的方法就是進行易用測試,比如報稅軟體剛設計完成、還未交由工程師開發時,卓致遠將介面圖印在紙本上,找來三位使用者進行測試,檢視頁面規劃的問題,並統計成表。如此一來,不僅能在開發程式前就修改設計,能在有限時間內,優先改進會造成操作困難的設計,而非過於聚焦在配色、圖樣、按鈕等細節,「易用性測試試讓大家把焦點放在使用者身上。」
報稅系統上線時,就在網路上掀起一陣討論,許多部落客、網路名人相繼分享報稅系統改版的樣式。然而,多數人分享的身分驗證頁面是專屬Mac、Linux、平板用戶使用,Windows用戶則必須回到財政部官方頁面去下載離線版,造成很多民眾點誤解新版介面Windows用戶不能用。為此,卓致遠與工程師討論,找出最簡單的修正方式,就是在該頁面中,加上Windows用戶的下載連結,不須更動太多程式,「找出一個可以讓工程師修改最少的解決方案。」
新版報稅網站,以簡單色塊區分身分驗證方式,且最上方藍字清楚指示Windows用戶應使用離線版。
時隔一年,今年報稅系統Web線上版除了提供MAC、LINUX、平板外,還新增了Windows線上版,讓使用Win7以後版本使用者可以離線、線上版操作,也更優化了使用者體驗。
在Play Store上發現無數次惡意或被注入惡意程式的Android app後,Google周四宣佈更新Google Play抓漏獎勵大賽規範,將把下載次數超過1億次的app也納入檢驗範圍。
Google Play 安全獎勵方案(Google Play Security Reward Program,GPSRP)是Google和抓蟲活動平台HeckerOne及幾家大型app開發商合辦,目的在找出Google Play上app的漏洞,從最嚴重的遠端程式碼執行(Remote Code Execution,RCE),到竊取用戶個資或憑證、中間人攻擊(MITM)或導向釣魚網站等中低風險漏洞。但這次實施的對象,還包括了Play Store上下載次數超過1億的app。
Google希望如果研究人員找到非獎勵類型的漏洞,仍然要直接通報app開發商,但如果開發商沒有回應,且該app是安裝下載數超過1億的知名app,則經由此方案通報漏洞。不過Google會先通報該廠商,等對方確認有漏洞且已修補後,才會通知研究人員上傳漏洞報告參加本方案。Google表示不保證廠商一定會回應,或漏洞研究一定會公布。如果廠商沒有回應或不修補漏洞,Google將循平常模式將其自PlayStore下架。
此外,如果該app廠商自己也有抓漏獎勵方案,在這個廠商首肯下,研究人員也可以雙軌參加,因此最好的情況是可以拿到二份獎金。加入Google這項抓漏方案的知名第三方app,還包括Facebook、Snapchat、Paypal、Spotify、Tesla、Airbnb等。
針對研究人員上傳的漏洞報告,經審查符合本方案列出的漏洞類型,Google將提供2萬~5百美元不等的獎勵。
Play Store上熱門app爆出漏洞情況屢見不鮮。近期才爆出下載次數超過1億的Android 版CamScanner,其廣告函式庫藏有惡意模組,遭Google緊急移除。
Google同時間針對Android app、OAuth專案和Chrome擴充程式宣布開發人員資料防護回饋方案(Developer Data Protection Reward Program)。Google指出,本方案旨在找出違反Play Store、Google API、Chrome Web Store程式政策的Android app,例如使用未獲允許的API或資料蒐集、處理不當,造成侵犯隱私、資料濫用或外洩等情形。針對符合審查的研究,Google提供100到1000美元的獎金。
路透社報導華為即將於9月宣佈第一款5G旗艦級手機Mate 30 Pro,但受限於美國禁令,新手機將不會有Google Maps、Gmail這些重要的app。
消息人士指出,華為將在9月18日在德國慕尼黑公布旗艦級手機Mate 30 Pro,不過正式開賣日期尚未確定。另一方面,報導同時引述Google發言人的說法,受到美國商務部禁令的限制,這隻手機將不會有授權的Google Mobile Services,即Google提供給手機ODM的Google app,包括Google Search、Google Maps、Gmail、Play Store等。
雖然商務部在8月底曾延長華為禁令的緩衝期,但是Google表示並不包含對華為新產品提供Android授權。
8月底商務部的延長許可範圍,僅涵蓋維護及支援既有網路與設備、對既有手機的支援、網路安全研究與漏洞的揭露以及5G標準的開發。這意謂華為即使能搭載Android,也只會是Android開源碼專案(Android Open Source Project,AOSP),但可用性大幅降低。
在禁令下,美國公司要銷售產品或服務給華為需獲得許可。路透社本周報導,美國商務部已收到130份來自美國企業的申請書,希望取得許可以將商品出售給華為,只是迄今尚無任何一項申請通過審核。對此Google不願透露是否有提出申請。
為了避免此類情況,華為8月間宣布自有作業系統鴻蒙(HarmonyOS),表示必要時也會用在手機上。此外路透社稍早也披露,華為三十多萬臺平板搭載俄羅斯製作業系統Aurora,作為取代Android的測試計畫。
內政部:明年10月換發數位身分證
.png)
圖片來源/內政部
內政部預告明年第四季開始免費換發數位身分證(New eID),預計2023年完成2,359萬人換證。數位身分證將結合國民身分證及自然人憑證,晶片內儲存的資料則和現有紙本身分證相同。新的數位身分證採晶片卡設計,符合ISO 29115數位身分驗證的最高等級4規範,並以數位簽章確保線上交易的安全及不可否認性。更多內容
HITCON社群場邁向第15屆,電路板解謎活動及適合IT人員的藍隊競賽最吸睛
圖片來源/HITCON
邁向第15屆,臺灣駭客年會(HITCON)社群場於8月23、24日登場,帶來多個議程與各式大會活動,吸引近千名對資安有興趣的研究人員和學生參與。
這次大會活動有資安研究人員Orange Tsai與Meh Chang,道出他們找出企業SSL VPN漏洞的寶貴經驗,其實在8月初的美國Black Hat大會上,他們已經發表演說,不過這次是他們首次以中文演講,讓國內與會者能夠更近距離接觸與理解。
而在多項議程之外,現場還有各式活動,例如電路板識別證挑戰(HITCON Badge Challenges),在一塊以臺灣為造型的電路板上,由24顆LED及3個傳輸燈號開關燈號組成,有6個操作按鍵,當中設計了TrustZone挑戰關卡讓大家來破解。更多內容
聯想電腦預裝管理軟體,暗藏可被駭客接管系統的漏洞
.jpg)
攝影/洪政偉
近期聯想一個存在於大部份筆電內的裝置管理軟體Lenovo Solution Centre(LSC),被安全廠商揭露含有漏洞,可使駭客取得管理員權限執行程式,甚至接管裝置。更多內容
微軟提供Windows 7免費展延支援的大量授權方案
.png)
圖片來源/微軟
微軟年初宣布,Windows 7將在2020年1月14日來到生命周期終點,即無法再獲得微軟最基本的安全更新。不過這是對大部份個人及企業用戶而言。根據微軟一份促銷文件,透過大量授權合約EA及EAS方案來訂閱Windows 10 Enterprise E5、Microsoft 365 E5或Microsoft 365 Security的企業用戶,在促銷方案下,將可獲得多一年Windows 7延伸安全更新。更多內容
車輛中心發表首部國產自駕小巴
.png)
圖片來源/經濟部
經濟部發表國產第一輛自駕小巴WinBus,由車輛研究測試中心(ARTC)聯手超過20家軟硬體設備商打造而成,已經達到美國汽車工程師協會(SAE)的Level 4高度自動駕駛(High Automation)階段,也就是在固定或封閉場域內,車輛無需人為介入,自駕車可以完成所有駕駛和環境監測功能。更多內容
駭客組織攻擊全球銀行掠財,臺灣成亞洲首要目標
圖片來源/Group-IB
Group-IB研究人員發現,一個名為Silence的俄羅斯駭客組織,開始將攻擊範圍觸及亞洲。以Silence去年底發出的17萬封偵察式電子郵件為例,亞洲占了8萬封,其中台灣以2.1萬封居榜首、其次是馬來西亞(1.6萬封)及南韓(8,800封)。更多內容
搶攻大規模K8s管理,VMware發布新產品Tanzu
在近期VMworld大會上,VMware終於揭露了新的K8s產品線Tanzu,第一個產品就是VMware Tanzu Mission Control(Tanzu任務控制器)預覽版,可以透過單一控制機制,來管理部署在各地的K8s叢集,包括了vSphere、公有雲,代管式K8s服務、甚至是企業自行建置的客製Kubernetes。不只可以直接瀏覽這些叢集,也可檢視叢集的容量,來進行備份和安全性配置等管理。更多內容
Angular CLI改版新增部署命令並改進差異化載入
圖片來源/Angular
Angular釋出新的CLI 8.3版本,加入一個部署指令,可以讓開發者執行與專案相關聯的部署CLI建置器。目前該部署指令支援Firebase、Azure、Zeit、Netlify和GitHub,當然開發者也可自行開發建置器,將專案部署到自己託管的伺服器,或是其他第三方建置器未支援的雲端平臺。更多內容
News Corp也在打造新聞聚合服務Knewz
圖片來源/Hugh Han on Unsplash
旗下擁有華爾街日報、澳洲新聞集團、英國新聞集團及道瓊公司等多個新聞資產的新聞集團(News Corp),正準備推出名為Knewz的新聞聚合服務,以與Google News等平臺一較高下。Knewz將會聚集數百種新聞來源,並將流量導回原始媒體,同時也將打造網站與行動程式,最快年底問世。更多內容
被HTTP/2漏洞拖累,Kubernetes釋出安全更新
Netflix、Google及CERT/CC在日前揭露了攸關HTTP/2實現的8個安全漏洞,本周容器管理專案Kubernetes指出,用來打造Kubernetes的Go語言,受到其中兩個漏洞的波及,也讓Kubernetes遭蒙池魚之殃,導致所有版本都受到相關漏洞的影響,可能造成服務阻斷。
目前Go已經釋出Go1.12.9與Go1.11.13來修補這兩個漏洞,而K8s則是基於Go的修補釋出K8s v1.15.3、K8s v1.14.6與K8s v1.13.10,Hausler建議K8s 用戶應儘快升級到最新版本。更多內容
戴爾與Google合作發表第一臺企業級Chromebook
戴爾與Google合作推出了第一款企業級筆電Chromebook Enterprise,為想要把工作負載移至雲端的企業,提供包括了全球支援、管理工具和維護計畫,而企業還可以使用VMware Workspace One統一管理Chromebook以及微軟Windows的裝置。Chromebook Enterprise現在於50個國家上市,支援10種不同的語言。更多內容
蘋果在本周發表了新的「獨立維修中心計畫」(Independent Repair Provider Program),將允許獨立的第三方維修中心存取iPhone的官方元件、工具、訓練、維修手冊或診斷,先行支援美國市場,亦計畫擴大至其它國家,可望造福眾多保固期限已過的iPhone用戶。
蘋果過去只供應相關資源予「蘋果授權維修中心」( Apple Authorized Service Providers,AASPs),但許多過保固的iPhone用戶,都會選擇到第三方的獨立維修中心修理他們的手機。
蘋果營運長Jeff Williams表示,當手機需要維修時,客戶應該有可以被修好的信心,蘋果相信最安全與最可靠的維修,是由訓練有素的技術人員負責處理,且採用經過精心設計及嚴格測試的官方元件。
因此,第三方的獨立維修中心將與蘋果維修中心享有同樣的資源,包括可以同樣的價格取得原廠零件、工具、訓練、維修手冊及診斷,只不過這些獨立維修中心必須先向蘋果提出申請,且技術人員必須取得蘋果認證,不過認證程序是免費的。
根據蘋果所列出的規定,只要有興趣針對已過保固的iPhone提供維修服務的公司都能申請,應備妥公司證明文件,且維修中心必須設立在商業區,而技術人員則可透過網路上的授權測試中心進行考試,通過之後即可取得蘋果認證。考試是免費的,認證必須每年更新。
在消費者爭取維修權的風潮下,這一年來蘋果已在北美、歐洲及亞洲與20個獨立維修中心展開了試驗,並於本周正式開放外界申請。目前該計畫只適用於iPhone,蘋果並未透露是否打算擴大至其它蘋果產品。
多家媒體在本周收到了蘋果的特別活動邀請函,指出蘋果即將在今年9月10日的早上10點(約是台灣11日凌晨1點)於蘋果總部的Steve Jobs Theater舉行發表會,一如既往,蘋果邀請函的主題僅簡單地寫著「僅限創新」(By innovation only),而無其它細節。
傳統上蘋果於秋天舉行的發表會就是一年一度的iPhone新機發表,今年則傳出蘋果將會發表3款新iPhone,其中兩款高階機種為iPhone 11 Pro與iPhone 11 Pro Max,另一款用來取代iPhone XR的則是iPhone 11,螢幕尺寸分別為5.8吋、6.5吋與6.1吋,它們都將配備更快的A13處理器,且有更強大的攝影功能。
也有人從蘋果邀請函的彩色蘋果商標,猜測此次的iPhone可能色彩繽紛。伴隨著新款iPhone出爐的,應該還有最新的iOS 13行動平台。
除了iPhone之外,外界也預期蘋果也許還會更新iPad或MacBook Pro,以及推出全新的Apple Arcade遊戲訂閱服務與Apple TV+蘋果原創內容頻道。
屆時全球的蘋果迷,都可透過蘋果官網或Apple TV觀賞該場發表會的直播內容。
Mozilla執行長Chris Beard周四宣佈加入公司15年後,他將於今年底離開Mozilla。
Beard是在2014年接任執行長一職,當時前任執行長Brendan Eich因捐贈推動禁止同性婚姻的活動一事被揭露而下台。Bread指出,過去幾年來Mozilla產品、技術和政策更成熟也獲得市場迴響。Mozilla董事長Mitchell Bake也推崇Beard任內推動Firefox強化安全及隱私的產品政策提升市場能見度,此外也推出Firefox安全隱私外掛產品,像是Facebook Container、反追蹤功能Enhanced Tracking Protection及 Firefox Monitor等。去年Mozilla也開始與ProtonVPN進行實驗性質的合作,為美國一小群Firefox用戶提供每月訂閱虛擬專用網絡(VPN)服務。
然Mozilla捍衛隱私,計畫支援DNS over HTTPS(DoH),使網路流量無法為第三方(如ISP)監控,也遭英國ISP點名為網路惡棍。
Mozilla董事會將開始尋覓下一任CEO人選,如果今年底前還未找到,必要時Baker將暫代CEO一職。
根據市調公司Net Application的數據,截至今年7月,Firefox的市佔率僅為9.4 %,略高於微軟IE的8.6%。Google Chrome為66.8%。
專門提供牙科診所線上備份服務的Digital Dental Record與其IT供應商PercSoft在8月27日宣布,他們所使用的雲端管理軟體在8月26日遭到勒索軟體的攻擊,駭客加密了診所客戶存放在該平台上的資料,導致客戶無法再存取病患的X光片等資料。
Digital Dental Record所推出的DDS Safe服務提供牙科處方簽、牙齒的表格/圖表或X光片等文件的備份服務,還大打廣告說採用DDS Safe能夠避免牙科診所淪為勒索軟體攻擊的受害者,沒想到自己就淪陷了。
其實遭到勒索軟體攻擊的是Digital Dental Record的IT服務供應商PerCSoft,但PerCSoft負責了DDS Safe的遠端管理雲端平台。
美國威斯康辛州的牙醫協會亦發表了聲明,指出約有400家牙科診所因此一攻擊事件,而無法存取它們存放在DDS Safe的電子文件。
Digital Dental Record與PercSoft正在努力回復客戶的資料,不過根據資安部落客Brian Krebs的報導,這兩家業者是藉由支付贖金來取回檔案,並諷刺提供備份服務的公司竟然自己沒備份。
不過,支付贖金也許是最快取回客戶檔案的方法之一。Digital Dental Records在8月26日遭到勒索軟體的攻擊,在27日就拿到了解密金鑰。
另一方面,此次感染DDS Safe的勒索軟體為近來頗受矚目的Sodinokibi,網路安全業者Cybereason是在今年4月察覺Sodinokibi的存在,進一步分析之後認為它的作者與GandCrab的作者是同一個,GandCrab曾是全球感染力最強的勒索軟體,在高峰時期擁有40%的佔有率,並在大賺20億美元之後於今年中宣布收山。
Sodinokibi主要的感染途徑為開採伺服器漏洞,也會藉由網釣或是攻擊套件展開攻擊,攻擊範圍則從亞洲地區蔓延到歐美,且只誕生4個多月便已成為全球第四大最常見的勒索軟體。
Mac上知名的虛擬化軟體業者Parallels推出了Parallels Desktop 15(簡稱PD15),在新的版本中支援蘋果下一代的macOS Catalina(10.15),並透過Apple Metal API支援DirectX 11,提升CAD/CAM及遊戲效能。
Parallels是在Mac上透過虛擬化技術執行Windows及其應用,以提供Mac使用者跨平臺的使用體驗。過去幾乎每年都會更新版本,支援新一代macOS系統,這次的PD15也不例外,由於Catalina尚未推出正式版,目前僅為測試版本,PD15目前可先以虛擬機器執行Catalina測試版,待正式版問世後,將可以Catalina作為主機OS。
作為跨平臺方案提供者,Parallels資深產品經理Kurt Schmucker表示,Parallels會支援微軟及蘋果最新的作業系統,微軟方面,包括Windows 10及以後的新系統,蘋果則支援即將在9或10月正式推出的Catalina,雖然目前僅以虛擬機支援,但PD15將會釋出更新,不論虛擬機或主機OS都能支援Catalina。
PD15將會支援Catalina的一些功能,例如可讓iPad成為Mac電腦第二個延伸螢幕的Sidecar,將Windows的虛擬環境移到iPad,並開啟Windows 10的平板模式,以Apple Pencil進行觸控操作,或是在iPad上以Apple Pencil於Windows繪圖應用程式上畫畫。
另外,Parallels用戶預計在今年秋天將可使用Apple登入,建立或登入Parallels帳號,簡化帳號管理。
支援Apple Metal、DirectX11
而蘋果旗下平臺停用OpenGL後,已逐漸轉至Metal,以強化iOS、macOS、tvOS等平臺的圖形處理能力,macOS也從OpenGL轉到Metal,但是在PD13、14還是支援OpenGL,僅支援DirectX 9及DirectX10,而在PD15上開始支援Metal,一舉支援DirectX9、DirectX10及DirectX11。
過去一些需要DirectX 11才能使用的CAD/CAM軟體工具,在PD15以前的版本,可能緩慢或無法開啟,現在在PD15上已能使用,例如Lumion 6.5、ArcGIS Pro 2.3、Autodesk 3ds Max 2020及MaterSeries。在PC遊戲上,先前在macOS Mojave上無法執行的,現在也能執行,例如世紀帝國Age of Empires:Definitive Edition、Anno2205等。
不過,Parallels也坦言,儘管PD15開始支援DirecX 11,但並不保證在所有軟體上都能順暢執行,特別是在相當吃CPU、GPU資源的遊戲上,還是要取決於玩家的Mac電腦硬體效能。
相較於PD14,PD15效能上再作提升,例如開啟微軟Office速度最高提升了80%,3D圖形處理則提升15%。
在macOS及Windows兩種作業環境間的檔案轉移也變得更簡單,例如PD15允許使用者將macOS的螢幕截圖、Safari或圖片,將檔案拖拉至Windows環境的應用程式中,快速建立文件,將過去需要幾個步驟的過程簡化為拖拉。
PD15相關功能改善:
Parallels Desktop也針對企業資訊安全的要求,在專業版及商業版中支援了vTPM虛擬信賴平臺模組,以開啟Windows的BitLocker,或使用虛擬智慧卡、Windows Hello PIN。專業版及商業版可以將內建及外接的磁碟,連至虛擬機器用於邏輯磁碟,安裝Windows或其他OS。
PD15一般版售價為臺幣2990元,教育版為臺幣2290元,用戶想從PD13或14升級至15需額外支付49.99美元;至於Parallels Desktop的專業版及商業版,每年費用為99.99美元。若想要從PD13或14升級至Parallels Desktop專業版,每年需支付49.99美元。
為了加速企業的軟體開發流程,導入DevOps是相當常見的做法,然而,近年來攻擊者針對開發流程下手的情況,可說是越來越嚴重,如何在維持同等的開發速度之下,保有資訊安全,便成為許多企業的難題。在今年的Modern Web大會上,白帽觀點創辦人YSc分享如何在上述的開發流程裡,做到資訊安全(DevSecOps)。
YSc強調,資安是每個人的工作,必須內化,而非開發完成之後才來驗證產品的安全性。然而,資安也不是無限上綱,絕非發現漏洞就是不計一切代價修補到好,商業價值衡量仍是最大的前提,因此,YSc說,企業必須先界定需要保護的標的為何,建立威脅模型,進而評估風險,最終要將資安工作標準化。
有了前述的準備工作之後,就要確定應該執行的測試範圍,由於開發團隊的工作繁重,同時必須兼顧產品品質與推陳出新的進度等要求,勢必要儘可能採取自動化的檢測措施,才能在影響最小的情況下做到這些資安測試。
由於自動化工具在採用的前期,往往會出現大量誤報的情況,因此YSc指出,在每次做完檢測之後,就要進行調整,並持續更迭,讓測試工具能更加符合企業的需求,而使得這些資安工作越做越順暢。
論及企業盤點所需執行的資安工作,YSc說,首先就是建立威脅模型,釐清需要保護和防範的標的。雖然業界常用的模型很多,像是STRIDE、PASTA(Process for Attack Simulation and Threat Analysis)等,但無論使用那一套模型,主要的精神還是在於,企業需要保護什麼資料(What)、攻擊者是誰(Who)、下手的標的(Where),以及如何攻擊企業(How)等。
企業想要落實DevOps的開發安全,一開始必須檢視需要保護的重要資產,以及面臨的攻擊為何。
例如,網站上的客戶資料必須嚴加保護,一旦遭竊就可能面臨求償、名譽掃地;若是要防範腳本小子(Script Kids)在網路上任意掃描,而成為遭受攻擊的對象,那麼就要檢查網站是否存在曝露的存取點。
透過在開發流程中的預防和自動化檢測措施,企業可減少許多遭受攻擊的情況,若要更進一步,就需要透過滲透測試和漏洞獎勵計畫,找出前述流程無法發現的弱點。
確定了上述的情況之後,接著就是要建立測試的方法,YSc指出,OWASP推出的Testing Guide v4,甚至是Application Security Verification Standard(ASVS),便是相當值得參考的準則。若要進行弱點評估,則可採用Common Vulnerability Scoring System(CVSS)3.0版。
對於企業開發流程裡,那些部分需要納入資安工作,在持續整合(CI)和持續交付(CD)的工作中,YSc表示,從程式設計到程式碼檢核,然後進行部署和交互測試的過程裡,幾乎都有可以提升資安的工作。
不過,YSc認為,若要在DevOps納入資安,企業應該優先從靜態應用程式安全測試(SAST)、動態應用程式安全測試(DAST),以及軟體組件分析(SCA)等3個部分,開始做起。
在靜態應用程式安全測試的部分而言,主要是針對程式碼完整性,進行檢查,而動態應用程式安全測試則是實際執行,以檢核是否出現弱點,因此所需的時間相對也較長。至於軟體組件分析,是鎖定產品中可能會導入的第三方函式庫,檢查是否存在漏洞的情況。
而無論是前述的靜態或是動態的應用程式安全測試工具,企業開始採用後,可能會面臨大量的誤報,因此執行檢測之後的漏洞管理工作,便相形更加重要,例如,確認某些問題是誤報,或是影響程度較低的弱點,也有些情況透過其他防護機制緩解等,藉此調整測試工具的參數,過濾掉相關問題,這樣才能在日後開發的檢測流程之中,集中焦點在比較需要處理的漏洞。
國際知名線上教育平臺Coursera共同創辦人、曾帶領Google Brain和百度首席科學家的AI大神吳恩達(Andrew Ng)日前首度來臺公開演講,分享最新AI趨勢,也提出對企業擁抱AI的建議。
趨勢一:需要建立AI方法論
吳恩達指出,AI將成為一門有系統的工程學科,但它還缺乏一套方法論,例如沒有一套標準的開發流程,「現在正處於建立紮根用的AI方法論的過渡期。」
像吳恩達的機器學習團隊就採用了改良版的敏捷式AI開發流程,將多數人慣用的2周衝刺期縮短為1天衝刺期。「利用白天寫程式,搭配晚上幾個小時來測試,隔天早上召開團隊會議,檢視前一晚實驗結果,再決定下一步方向,如此周而復始。」吳恩達說,比起傳統軟體開發,短期ML開發流程是他實行過最有效率的方法。
趨勢二:小數據將成為顯學
早期的AI應用多仰賴大數據,這是因為早期開發AI應用的多為大型網路公司,擁有數十億筆巨量資料。「但現今,開發AI的企業不再只是軟體業,」但這些企業的資料量少,以小數據來開發AI的趨勢越來越明顯。因此,吳恩達點出,這幾年也產生許多新技術,比如單樣本學習(One-shot Learning)、小樣本學習(Few-shot Learning)、自我監督式學習(Self-supervised Learning),甚至他在Landing AI的團隊,也執行不少關於小數據的研究。
趨勢三:RL商業價值將因新方法而大幅提高
「深度學習和監督式學習創造的經濟效益,占所有AI技術的99%,而增強式學習(RL)的占比非常小。」但吳恩達觀察,近兩年興起了一種後設增強式學習(Meta RL),將能改寫RL的商業價值。這是將用來訓練自我學習能力的後設學習(Meta Learning)理論,用於優化RL的獎勵機制,讓RL模型不只加快訓練速度,也能讓模型直接可用於非原本訓練資料範圍的新應用任務。
11年前,吳恩達在史丹福大學任教時,曾利用RL開發一套不須人為遙控、可自行飛行的小型直升機,利用RL技術,建立了一個虛擬的操控模擬器(Simulator),在虛擬場景中學習如何操控直升機,再用訓練完成的操控模擬器,來控制真正的直升機。不過,他說,當時沒人知道自己訓練的RL模擬器能否100%正確飛行。
但是,現在有了後設學習方法,可以從利用數百種不同的操控模擬器,在虛擬場景中,控制各種不同參數的虛擬飛機(比如大小、推力強弱),讓RL模型找出一套自己學會操控虛擬飛機的自學方法,「研究顯示,就算最後用於虛擬場景中沒見過的實體直升機,Meta RL建立的虛擬模擬器依然能快速適應,且表現比RL更好。」吳恩達指出,所以,「這幾年,連OpenAI、DeepMind等組織都爭相研究Meta RL。」目前,吳恩達已正在研發Meta RL農業應用,但他認為,也可用於製造業。
企業擁抱AI,先從小專案開始
對於想擁抱AI的企業,吳恩達給了不少建議,首先是從小型專案著手,先取得成就和內部信任。他以自己為例,一開始,Google同事和主管大多對深度學習抱持懷疑態度,有些高層甚至認為深度學習不可行。吳恩達先鎖定Google Speech的語音辨識,成功優化辨識率後,才轉向規模稍大的Google Maps,利用電腦視覺來提高地圖上的建築定位精準度。有了這些成績,吳恩達才有機會說服規模更大的Google Ads團隊,引進AI來改善廣告投放精準度。「先從小型專案開始累積成就,很重要。」他強調。
一旦要開始執行AI專案,吳恩達建議,「至少先想6個題目。」再從技術面和業務面影響來評估這些題目(如下圖)。技術面問題如AI系統是否達成所需效能、需要多少資料量、軟體開發時程,業務面則如降低成本、提高營收、創造新產品或新業務。他在選定AI專案前,通常會花上數周,和團隊共同分析技術面和業務面需求,最後再挑出最可行的2個題目來執行。
從試驗專案累積動能,進一步將AI推廣至整個企業
從小專案累積出經驗,企業若決定進一步全面擁抱AI時,吳恩達也從自身經驗歸納出5個原則。首先,透過試驗專案來累積動能,「不一定是最有商業價值的專案,而要找容易成功的專案,才能累積企業內部動能。」他指出,AI試驗專案期可維持6至12個月,外包或內部團隊自己執行都可以。
但是,當這些AI專案發展到一定程度後,吳恩達建議,企業就必須建置集中式的內部AI團隊。可比照業務單位的設計,以一個獨立AI單位<
來協助不同業務單位,可由執行長管轄,或由CIO、CTO或CDO管理(如下圖)。「Google和百度的AI團隊,就是如此運作。」
另一方面,AI專案推動過程,吳恩達建議,企業必須進行提醒全公司的內部AI教育訓練,可按職務分成三類來培訓。第一類包括決策者和資深業務主管,他們必須了解AI能為企業做什麼、如何制定AI策略、如何分配資源;第二類是參與AI專案的部門主管,要讓他們了解如何制定AI專案的方向(包括技術面和業務面考量)、資源分配,以及監管專案流程。最後一類則是AI工程師新手。他們不只要學會AI軟體開發,還要能蒐集資料、執行特定的AI專案等。不過,他提醒,企業不用從無到有設計新教材,而要懂得從YouTube、Coursera等平臺,選擇合適的教材。
在AI策略上,吳恩達指出,許多企業的執行長容易制定不切實際的AI策略,比如要求屬下盡可能收集各種資料、越多越好。但他認為,企業應該等到試驗專案成功、累積基礎後,再來訂定AI策略制定應。一是建立資料策略,包括如何取得資料、建置統一的資料倉儲,其次是從網路效益和平臺優勢來思考策略。
吳恩達建議的最後一項AI導入原則是,要發展內外部交流管道,如與投資者和政府之間的溝通管道,也要兼顧使用者、人才招募和內部的交流管道。
不只企業要發展AI,吳恩達認為,長遠看來,各國也該積極建立AI中心。他有感而發地坦言:「我們這類專家所犯最大的錯,就是在網際網路崛起的年代,替矽谷和北京賺了大筆財富。」他希望,這次在AI崛起的時代,要讓AI跨出矽谷和北京,在各個城市發展,而且AI發展權不應只握於軟體公司手中,而是要讓各產業都能做到。他建議,臺灣要發展AI,可自身成熟的產業強項如半導體、製造業切入。文◎王若樸
今日(31日)早上,傳出國內醫療院所遭受勒索軟體攻擊的事件,目前確認國內已有10多間醫院遇害。
根據國內媒體報導,疑有超過50多間醫院電腦主機被加密,並包含衛福部所屬的臺北醫院與彰化醫院。對此,臺北醫院的資訊室表示,他們確實遭受勒索病毒感染,後續我們詢問到衛生福利部資訊處處長龐一鳴,他表示,目前衛福部所屬臺北醫院與彰化醫院受影響之外,他們也清查了其他醫院,目前確認的有10多間醫院遇害。
從這些遇害時間來看,龐一鳴指出最早從8月29日週四凌晨開始傳出,對於所屬醫院在此事件的影響範圍,他表示僅應用系統重要檔案被加密而不能運作,因此重要醫療資料不受影響,而系統在一兩小時內也就能夠復原,因此醫院營運正常,不影響民眾就醫看病。對於遭受勒索病毒感染途徑,他透露是有關網路上密碼管理的問題,後續也進行阻斷、隔離與復原,而在他們與資安業者清查後,也已經對各家醫療院所發出資安警訊通知,提醒注意近日的勒索病毒威脅與擴散。
據瞭解,衛生福利部打造跨醫院資安情資分享與分析的H-ISAC,已經發布關於入侵事件的警訊並通知會員單位,要各院所注意EEC Gateway被植入勒索病毒Globeimposter 3.0的問題與狀況,提醒醫院主機管理員更新Hotfix與病毒碼,並警告勿開啟Apollon8865.EXE的檔案,以及回報是否遭受勒索病毒攻擊。
微軟釋出了Windows 10 Insider Preview Build 18970予Windows測試人員,這是Windows 10 20H1的測試版,新增了兩項重要功能,包括針對二合一筆電提供了平板經驗,以及支援自雲端重設Windows。
該針對二合一筆電的平板功能是自動啟用的,當使用者把筆電鍵盤摺起來或拆下鍵盤時,它就會自動切換成平板介面,像是工具列上的圖示間隔更大了,以方便觸控,且工具列上的搜尋視窗也會變成圖示樣貌,檔案總管演變成觸控優化介面,只要點選文字欄位就會自動跳出觸控鍵盤等。
這項功能尚屬Beta版,而且也只有部份測試人員會看到,微軟表示,該功能允許使用者在切換成平板電腦使用姿勢時(例如靠在沙發上),仍能維持熟悉的桌面體驗。至於Windows 10中既有的、需要使用者主動啟用的平板電腦模式(Tablet Mode)則依然存在,只是在設定上稍有更動。
此外,Build 18970除了既有的本地端重新安裝Windows 10之外,還新增了雲端重設功能。微軟在第一版的Windows 10(Windows 1507)便提供本地端重新安裝功能,它只要使用既有的Windows檔案就能建立新的安裝檔,無需再耗費硬碟空間來存放Windows備份,不過,有許多用戶覺得家裡頻寬很快,若能從雲端直接下載Windows應可加速流程,於是微軟在Build 18970同時提供了本地重新安裝與雲端重設能力。
不過,微軟提醒,雲端重設是個復原行為,它將會移除使用者安裝的所有程式,且若選擇了「移除所有內容」(Remove everything)亦將一併刪除所有的使用者檔案。該雲端重設將會重新安裝原本裝置所使用的同樣版本。
Windows 10 20H1正式版預計會在明年春天出爐。
美國聯邦大陪審團在本周正式起訴了入侵美國銀行Capital One的33歲駭客Paige Thompson,FBI的調查顯示,Thompson不僅入侵Capital One,還駭進其它三十幾家組織,除了竊取機密資料外,也利用這些受害者的伺服器來挖礦,藉以牟利。
Thompson曾在2015年及2016年間擔任AWS的系統暨軟體工程師。根據訴狀,Thompson打造了掃描軟體來辨識「某一雲端運算業者」的客戶防火牆是否配置錯誤,而得以接受外部命令,讓她能滲透並存取這些客戶的伺服器。
Thompson除了盜走這些伺服器上的資料之外,也利用這些伺服器資源來替她挖礦,賺取加密貨幣。
儘管美國司法部沒有公布雲端業者的名稱,但以Thompson曾任職Amazon的背景,再加上Capital One客戶已同時對Capital One與Amazon提出控訴,可推測受害者應全為AWS(Amazon Web Services)用戶。
Thompson被指控電信詐欺與電腦詐欺兩項罪名,若兩項罪名皆成立,最高可被判處25年徒刑。
Google Project Zero發現間諜軟體藉由多個被駭網站再駭入iPhone手機,時間長達兩年。Techcrunch報導,這波行動目的在監控維吾爾穆斯林,但一般人連上網站也會遭殃。
Google 威脅分析小組(Threat Analysis Group,TAG)今年初發現一群網站被駭後,被用來對iPhone用戶進行無差別水坑式(watering hole)攻擊。此類攻擊透過在合法網站植入惡意程式,在任何iPhone用戶登入網站下載到手機上,倘若成功即安裝監控用的程式。估計這些網站每周有數千造訪人次。Google TAG研究發現,5支個別獨立而完整的iPhone攻擊鏈(exploit chain),可導致權限升級攻擊,顯示有一群駭客針對特定iPhone用戶系統性進行長期的駭入,時間最少二年,涵括iOS到iOS 12.1。
Google 另一研究單位Project Zero根據前述研究分析發現,這波行動牽涉高達14個iOS漏洞,包括iOS版Safari漏洞7個、5個核心漏洞及2個沙箱逃逸漏洞。研究人員Ian Beer於上周公佈研究細節。在iOS中的5個攻擊鏈,至少有一個是零時差漏洞且未修補,可植入間諜程式以竊取iPhone用戶的iMessage、相片和GPS座標。經Google今年2月初通報後,蘋果已緊急修補了4項漏洞,包括重大風險的CVE-2019-7287、CVE-2019-7286。
Google作業系統研究員Jonathan Levin指出,這項研究發現的漏洞其實並不新,它新的地方是這些漏洞被用來進行如此大規模的攻擊,因為只要以iPhone存取網站就會被感染,無需用戶點擊或任何動作,可以有效監控許多人。
雖然Google Project Zero研究並未說明被駭的網站有哪些,不過Techcruch上周引述消息人士指出,這些網站入侵行為是國家支持的攻擊行動,可能是中國,而目標則是新疆維吾爾族穆斯林。但是由於這些網站可被Google檢索到,因此非維吾爾族iPhone用戶同樣會被攻擊。消息人士還透露,FBI要求Google將這些網站從其索引中移除。
不過Google、蘋果及FBI皆不願對此評論。
如果報導為真,這將是最新一次中國被揭發,以科技監控新疆地區維吾爾族人。除了部署綿密的監視攝影機外,人權觀察組織Human Rights Watch近日數次指控,中國大規模蒐集及監控新疆民眾的日常生活,利用大數據分析技術部署治安預測(Predictive Policing)專案,標註那些可能對官方造成威脅的個人。警方還會監控當地民眾手機是否安裝了51種被列入黑名單的程式,從 Viber、WhatsApp、Telegram到VPN等。