September 1, 2019, 8:15 pm
數位轉型是各大IT廠商研討會必定會探討的議題,不過,8月底在HPE Discover More大會臺北場上,他們提出了一些新的觀點,相當值得企業省思。
在HPE亞太區解決方案業務暨技術創新中心總經理Kong Hoe Chan的演講當中,一開始就引用調查數據,顯示企業數位轉型正處於岌岌可危的狀態──不少美國公司的數位轉型並不成功,甚至有五分之一的高階主管認為,數位轉型是浪費時間。
為何會出現這樣的慘況?他認為企業數位轉型的過程中,可能不知不覺陷入4個陷阱:新奇事務症候群、對於數位經濟的誤解、忽略了新的生態系統崛起,以及只做表面工夫。
其中的最後一點,最引起我的注意。因為講者在這張簡報搭配的圖片,是一隻豬塗著口紅的照片,Kong Hoe Chan認為,數位轉型要一路做到核心,而非只是表面工夫,因為有了這樣的作法,對於既有的產品與服務而言,可以達到降低成本、提升客戶滿意度的成效,舉例來說,公司批准擔保抵押的時間,可從幾週縮短至幾天,也因此能夠放大對於人員、品牌與既有顧客的策略效益。
在Kong Hoe Chan演講的脈絡上,我想他之所以採用lipstick on a pig的比喻,主要為了呼籲企業,相關的改造和調整都必須更為深入、全面,不應盲目追求酷炫奪目的新技術,誤以為只要在IT技術的發展上,跟隨這樣的浪潮,就能帶領企業達到數位領先(Digital Leadership)的狀態,最後的下場當然有可能勞師動眾,白忙一場。
他認為,企業應該要妥善運用這樣的概念,積極在公司內部建立創新文化,釋放原本聚焦在維運既有業務的人力,形成開放、主動研究的風氣,才能夠讓企業真正落實轉型,形成正向的發展。
接下來,Kong Hoe Chan則以新加坡星展銀行的數位轉型歷程,印證他的觀點。首先,就是將數位化推動到企業核心,他們在這部份採取了很多種作法,像是:將IT委外比例大幅降低(2009年是85%,2017年底是15%),由自身來掌控數位資產,建立技術DNA,以及培養應用新型IT技術的技能,像是敏捷開發、雲端服務;接著是將執行在既有大型主機的應用程式,逐漸轉移到其他平臺,2016年底有120支這類程式,到了2019年底,將只剩39支;同時,他們也積極採用開放原始碼的作業系統、資料庫、大數據平臺與程式語言,總共部署了700種以上的軟體,並將54%的資料庫應用程式從Oracle環境移開,而他們搭配Oracle資料庫的程式當中,又有30種以上已改用MariaDB;除此之外,他們也搭建了DevOps平臺、企業資料集中處理平臺(Enterprise Data Hub),以及Banking API平臺。
對外,在金融業務的策略上,星展銀行著眼的目標是提供愉悅的銀行服務體驗,透過直覺、與顧客生活緊密相隨,以及徹底整合,而能長伴客戶消費的過程。對內,他們想要將自身發展成學習型組織,提供一定費用讓員工在不同領域學習,然後再將這些技能轉授給其他同事,同時,也鼓勵員工在公司內部進行創業,並邀集其他企業、新創公司、大學、政府單位、區域組織,一起進行創新。
而在上述這些策略的背後,Kong Hoe Chan也引述該公司資訊長David Gledhill的話,作為數位轉型議題的總結,他建議,企業對於自身的任務與所要解決的問題,必須能以簡單的方式說清楚。的確,讓大家認清目標與問題所在,才能提出最有效的方法來執行。
↧
September 1, 2019, 10:00 pm
研究人員發現,至少10個WordPress外掛程式近日被駭客組織開採漏洞,用以在Wordpress網站建立非法管理員帳號,安裝後門程式或竊取資訊。
安全廠商Wordfence今年7月發現一波惡意廣告攻擊,駭客利用多個公開漏洞在Wordpress外掛注入JavaScript,以植入重新導向及跳出視窗程式碼,以便誘使網站訪客前往惡意或詐欺網站。但8月底廠商發現駭客換新手法,企圖透過駭入外掛後,於網站進行更直接的攻擊行為。
研究人員發現一個代管在Rackspace伺服器的網站不斷對外發出攻擊,目標是網路上WordPress網站上特定一批公開漏洞,這波攻擊主要影響Bold Page Builder、Blog Designer、Live Chat with Facebook Messenger、WP Live Chat Support、Yuzo、Visual CSS Style Editor、Form Lightbox、Hybrid Composer及所有NickDark等WordPress外掛。
研究人員分析,有別於前一波攻擊,這次駭客意藉由注入JavaScript,以便最終在目標WordPress網站注入後門程式。基本上,惡意的JavaScript採取守株待兔的策略,它執行一個函數檢測每個登入網站的人,是否有建立新使用者帳號的權限,即是否為管理員。如果碰上管理員登入網站,這個程式碼即以wpservices為名建立非法管理員帳號,最後透過該帳號安裝後門程式,或在網站上竊取財務或資料等其他惡意行動。
Wordfence曾在8月初通知Rackspace處理該可疑網站,不過後者並未回應。針對用戶,安全公司建議Wordpress用戶如果使用到上述外掛,應前往廠商網站下載更新版,此外管理員也應檢查網站是否有非法帳號及後門程式。
↧
↧
September 1, 2019, 10:20 pm
微軟上周公布了旗下Microsoft Edge、IE 11以及基於Chromium的Microsoft Edge棄守Flash的時程,儘管這3款瀏覽器都會在2020年底完全移除對Flash的支援,但淘汰的腳步不太一致。
傳統版Microsoft Edge與IE 11將會依照現有對Flash的處置,例如在Edge上執行Flash必須請求許可,而IE 11則可正常執行Flash,微軟今年內不打算變更這兩款瀏覽器處理Flash的預設值,亦即不會讓它們預設即關閉Flash。
至於基於Chromium的新一代Microsoft Edge,則將依照Google所訂定的時程,在預設值便封鎖Flash,用戶必須根據所造訪的每個網站的需求重新啟用Flash,在2020年底完全移除對Flash的支援,但這之前,企業的IT管理人員即可透過群組原則(Group policies)變更對Flash的處理方式。
↧
September 1, 2019, 10:45 pm
知名的PDF工具軟體Foxit上周宣布遭到駭客入侵,駭客存取了用戶的帳號資料,包括電子郵件帳號、使用者名稱、密碼、電話號碼、公司名稱與IP位址等,Foxit已經緊急停用所有帳號密碼,並要求使用者重新設定密碼,不過,Foxit並未公布有多少用戶受到影響,亦未說明這些密碼是否有加密。
Foxit為一免費增值(freemium)的PDF工具軟體,提供基本功能供免費使用,並有付費的進階功能,此次遭到入侵的為該軟體的My Account會員服務,使用者必須註冊My Account才能下載與試用軟體,取得歷史紀錄,或是存取產品註冊資訊與支援資訊等。
Foxit表示,My Account系統除了存放了上述資訊之外,並未存有用戶的其它個人資訊或是支付卡資訊。
該公司緊急停用了可能受影響的所有帳號的密碼,並要求這些用戶重設密碼,以取回登入My Account的權限。
不過,除了未公布受駭規模之外,Foxit亦未說明曝光的密碼是否採用雜湊或加鹽等加密保護措施,僅建議那些在其它網站使用與My Account服務同樣憑證的用戶,儘速更換其它網站的密碼,也應小心駭客利用這些外洩的資料執行網釣攻擊,或是注意身分竊盜事件。
在意外發生之後,Foxit展開全面的鑑識調查,除了通知執法機構與資料保護單位之外,亦聘請了第三方的安全管理公司來強化Foxit的安全性。
↧
September 1, 2019, 11:55 pm
過去挖礦軟體XMRig主要以ARM-based伺服器為目標,但安全研究人員發現,它現在也開始感染Intel X86及I686-based伺服器,顯示企業也成為挖礦軟體的新目標。
Akamai安全研究人員Larry Cashdollar在7月蒐集到的650隻IoT惡意程式樣本中,其中一個看似.gzip壓縮檔,等待不知情的用戶開啟後感染系統。這個檔案包含二進位檔、腳本程式和函式庫,其中一個腳本程式可檢查受害系統是否之前有感染過XMrig,另一個腳本程式可將舊版軟體砍掉再安裝最新版的XMrig v2.14.1,並在crontab檔案中加入自己,以便未來受害者重開機後仍然能執行。
值得注意的是,第一個腳本程式執行時也建立三個不同目錄,分別包括x86 32bit或64bit格式的XMrig v2.14.1版本,有些二進位檔也會以普通的Unix公用程式命名如ps偽裝,以便混入正常的程序表(process list)中。等最新版XMrig安裝於英特爾系統後,便與其他挖礦程式一樣,和外部C&C伺服器透過port 22建立SSH連線以獲取指令。
而這也是繼ARM及MIPS架構伺服器之後,安全界發現駭客開始染指Intel CPU的伺服器。研究人員警告,網路歹徒仍會持續設法從未設防的系統上挖礦斂財,因此他提醒系統管理員儘早修補漏洞、關閉不安全的服務,並採用強密碼、雙因素驗證及適當的弱點補救方案,以減少淪為挖礦區的機會。
↧
↧
September 2, 2019, 12:20 am
資安業者卡巴斯基實驗室(Kaspersky Labs)在調查了Kaspersky Security Network用戶所使用的作業系統之後發現,有41%依然使用已終止支援或即將過期的Windows平台。
卡巴斯基把調查對象區分為一般使用者、超小企業(Very Small Businesses,VSB)與中小企業(Small, Medium-sized Businesses,SMB),發現在中小企業中,採用Windows 10與Windows 7的比例一樣高,都是47%,其它還有5%採用Windows 8.1,0.4%採用Windows 8。
而在超小型企業中,則有55%使用Windows 10,但有38%使用Windows 7,5%使用Windows 8.1,1%使用Windows 8,0.2%使用Windows Vista,1%使用Windows XP。
一般使用者的Windows 10採用率為53%,Windows 7是38%,Windows 8.1為7%,Windows 8是1%,Windows Vista佔了0.3%,而Windows XP則是2%。
微軟終止對XP的支援已超過10年,終止對Vista的支援已達7年,也自2016年1月就不再支援Windows 8,對Windows 8.1的主流支援,則是在2018年的1月截止,延伸支援則到2023年的1月。
而市佔率僅次於Windows 10的Windows 7,則預計在2020年的1月14日終止延伸支援,專業版與大型企業版的付費延伸支援期限,則是2023年的1月10日。
卡巴斯基的企業解決方案經理Alexey Pankratov表示,數據顯示有大量的使用者依然採用了老舊或即將終止支援的作業系統,距離微軟終止Windows 7支援的日期已不到6個月,業者持續仰賴Windows 7可能有許多原因,例如既有的軟體無法在新作業系統上運作,或者只是習慣了Windows 7平台,然而,留著未修補或缺乏支援的作業系統所造成的資安意外成本,很可能高過於升級,建議用戶應該要移轉到較新的平台以確保安全。
↧
September 2, 2019, 1:10 am
就在美國聯邦航空總署(FAA)與歐洲航空安全局(EASA)相繼祭出警告,要求航空公司留意旅客所帶上機的MacBook Pro是否含有過熱電池之後,航空公司紛紛祭出禁令,只是有些禁令比FAA或EASA所要求的範圍更大,例如維珍澳洲航空(Virgin Australia),便禁止所有型號的MacBook筆電採用托運形式登上飛機。
蘋果在今年6月召回了於2015年中到2017年初出廠的15吋MacBook Pro所使用的電池,原因是該批電池會過熱而產生安全問題。FAA隨之建議航空公司拒絕讓含有問題電池的MacBook Pro上飛機,不管是托運或隨身攜帶;而EASA亦建議航空公司必須留意旅客所攜帶的MacBook Pro,同樣不准它們上飛機,假設相關裝置不小心被攜上機,應要求旅客將它關機,亦不得充電。
不過,每家航空公司的執行方式不同,例如新加坡航空(Singapore Airlines)最遵守FAA與EASA的政策,只要是置換成正常電池的MacBook Pro就能上機,如果沒有,不管是托運或隨身攜帶都無法上機。
泰航(Thai Airways)的政策看起來與新加坡航空一致,表示將嚴格禁止舊款的15吋MacBook Pro 上飛機,托運或隨身攜帶都不行,泰航也特別說明了這些電池得被置換或修理過才安全,應是允許已換過電池的MacBook Pro上機。
然而,澳洲航空(Qantas)則在上周提供給媒體的聲明中表示,所有15吋的MacBook Pro都不得托運,只能隨身攜帶,且必須關機。
而維珍澳洲航空更進一步規定,所有的MacBook(不管幾吋,不管是不是MacBook Pro),都只能隨身攜帶,不得托運。
這兩家澳洲的航空公司也許是不想花費人力,逐一檢查旅客所攜帶的MacBook型號或查驗已置換電池的證明,或者是擔心漏網之魚,但這並不代表它們允許未置換電池的MacBook Pro上機。因為維珍澳洲航空也強調,含有危險電池元件的裝置不得上機,不管是托運或隨身攜帶。
簡而言之,只要是所使用的MacBook Pro序號被列在召回電池的名單中,在沒換新電池之前都不能上飛機,而就算換了電池,或是不受影響的MacBook產品,也受到此一事件的牽連,可能無法托運而得隨身攜帶,因此,最近MacBook用戶在搭乘飛機之前應先向航空公司確認相關政策以免產生齟齬。
↧
September 2, 2019, 1:30 am
Google釋出新版用來連結Cloud Storage的HDFS(Hadoop Distributed File System)連接程式(GCS Connector),這個新版連結程式提供了兩個主要的功能更新,第一是支援欄式檔案格式以提升資料處理效率,第二個則為協作鎖定功能,獨立Cloud Storage目錄修改,避免可能互相影響的修改受到干擾。
GCS連接程式可在諸如資料節點、Mapper、Reducer或是Spark Executor等Hadoop JVM上運作,讓開發者的工作負載能夠存取Cloud Storage,這些工作負載包括Hadoop和Spark的任務,以及Hadoop相容的檔案系統CLI,都能使用GCS連接程式,直接對Cloud Storage進行資料讀寫操作。
GCS連接程式預先為Cloud Dataproc以及GCP託管的Hadoop和Spark進行配置,可簡單地安裝,並用在其他的Hadoop發布版本中,像是MapR、Cloudera以及Hortonworks,能夠簡化企業將內部HDFS資料搬遷到雲端的工作。這個由GCP支援的GCS連接程式完全開源,Google在與推特工程團隊合作後,使其設計與實作更能應付PB級規模。
新版GCS連接程式的第一個重要更新,是改進了處理Parquet和ORC等欄式檔案格式的效能。Google提到,由於推特在2018年的時候將Hadoop工作負載搬遷到Google雲端上,並且大規模地對20 PB以欄式檔案格式儲存的資料,進行大資料SQL查詢測試,而推特為讓GCS連接程式符合自家高效能的需求,對該專案做出貢獻,讓連接程式能支援只讀取查詢引擎需要的資料欄,進而提升讀取效率。
而Google進一步優化這項改進,使其支援fadvise功能。過去Cloud Storage連接程式對MapReduce類型的工作負載進行了最佳化,其資料檔案的處理都是按順序處理,Google表示,由於欄式檔案格式如Parquet或ORC,其主要目標都是讓查詢引擎能聰明地僅查詢需要的檔案區塊。而在Google為GCS連接程式實作了類似Linux中的fadvise功能,讓應用程式可以為核心提供I/O存取模式的提示,以達成謂詞下推(Predicate Pushdown)的功能。
另一個新版GCS連接程式的功能便是協作鎖定(Cooperative Locking),該功能可以獨立Hadoop檔案系統殼層以及其他HCFS API介面的目錄修改操作。Google提到,雖然Cloud Storage上的物件層級非常一致,但本身卻沒有原生支援目錄語意,系統應該定義像是當兩個用戶對同一個目錄發出衝突的命令時,所需要進行的行為。
Google與推特Hadoop團隊合作,在GCS連接程式中實作了協同鎖定,這項功能可以避免Cloud Storage的目錄操作衝突所發生資料不一致,並有助於目錄操作失敗的恢復工作,同時也使得從HDFS的操作轉換成Cloud Storage更簡單。
↧
September 2, 2019, 1:30 am
Google在今年的Next大會中,所釋出的微軟Active Directory(AD)託管服務,現在進入公開測試階段,用戶已經可以用來管理雲端相依於AD的工作負載,該託管AD服務可以自動維護與進行安全配置,企業還能將內部AD網域連結到雲端中。
有越來越多相依於AD的應用程式移往雲端,企業除了可以自己在GCP上部署AD環境,現在還能選擇使用全託管的AD服務,用戶不需要進行任何的維護,除了高可用性以及自動更新的優點外,其預先配置的安全預設值以及網路防火牆規則,可以提供企業高安全性的防護。
用戶除了可以在特定雲端區域部署AD服務,以Virtual Private Cloud(VPC)供相同區域或是鄰近區域的應用程式與虛擬機器,低延遲地取用AD服務,隨著基礎設施需求成長,用戶也能將相同的託管AD網域,無縫地擴展到多個雲端服務區域。
Google的AD託管服務可以提供混合模式或是單一模式,用戶可以將內部的AD網域連接到Google雲端上,或是專為雲端工作負載部署獨立的網域。Google強調,他們的AD服務,採用真正的微軟AD網域控制器,因此用戶不需要擔心相容性,可以使用像是群組政策等標準AD功能,或是以熟悉的管理工具來管理網域。
↧
↧
September 2, 2019, 2:10 am
AWS正式發布Amazon CloudWatch中的Container Insights功能,讓用戶能夠監控Amazon ECS以及AWS Fargate新舊叢集中的容器,掌握包括容器利用率以及故障機率等詳細資訊。
容器化應用程式和微服務日漸普及,AWS提到,與像是EC2的執行個體相比,容器化應用程式和微服務存在的時間更短,需要不斷地進行部署,而這使得開發者難以可靠地收集監控資料,阻礙分析效能或是存在的潛在問題。
而Amazon CloudWatch的容器分析功能,可以幫助用戶監控叢集中,所有正在執行的容器,並收集容器堆疊每一層的效能以及運作資料,監控Kubernetes、支援Kubernetes的Amazon Elastic Container Service、Amazon ECS以及AWS Fargate中容器的使用率以及故障機率等資訊,以進行即時分析。
該功能也會持續地監控並更新執行環境的變化,簡化收集、監控、操作和分析容器指標和日誌需要的工具以及程序,為用戶提供完整端到端的可見資料。用戶可以設定指標的標準時間區間,以1小時、3小時,甚至是自定義的時間區間查看監控資料。
用戶在效能日誌功能中,查詢容器、任務、叢集等效能事件集,進行除錯或是深入事件發生的過程。AWS提到,這個容器監控功能讓使用者不需要自行建構儀表板,就能深入分析指標以及日誌,而且除了掌握容器效能表現以及故障排除之外,還能用於了解容器、Pod等資源的利用率,幫助規畫容量需求等。
↧
September 2, 2019, 5:49 am
上周六(8月31日),國內傳出10多家醫療院所遭受勒索軟體的事件,遇害時間是從8月29日凌晨開始,今日(9月2日)傍晚衛生福利部資訊室發出公告,說明初步清查結果,至9月1日止,受到本次勒索病毒影響的共有22家醫院。
根據衛生福利部資訊室的說明,目前這些受到此次勒索病毒影響的醫院,在復原工作電腦主機後,已經陸續解除勒索軟體的威脅,因此不影響國內醫療業務的運作,同時表示沒有個資外洩的狀況。
對於此次國內醫療系統遭受勒索軟體入侵的原因,衛生福利部資訊室指出,初步查證結果顯示,某些醫院主機被駭客當成跳板,進而經由VPN網路進行攻擊。因此,他們也已通報國家資通安全會報通報應變網站,並交由調查局協助進行犯罪行為查調。
目前看來,對於這次入侵的原因,雖然尚未有更詳細的狀況說明,但從入侵管道的角度來看,是否將有更多醫院容易受到同樣的攻擊,值得繼續關注。
同時,衛生福利部資訊室也指出,在這次受害院所當中,有7家已經加入資安資訊分享與分析中心(H-ISAC),而他們也都依照H-ISAC相關規定,完成通報程序。
另外,他們也提醒,近日有人在LINE群組傳言,接收健保署電子郵件可能中勒索軟體一事,經他們查核是2016年5月的舊聞,是透過電子郵件的勒索行為,並署名「衛生福利部中央健康保險署承保組承保資料科」,健保署當時也已經發出警訊並澄清,因此與這次事件並無關係。
↧
September 2, 2019, 7:10 pm
美國在9月1日開始,向自中國進口的約1,250億美元的商品徵收15%的關稅,牽涉到部份科技產品,如Apple Watch等智慧手錶或機上盒。
美國司法部已列出了9月1日開徵15%關稅的商品名單,囊括了鞋子、服飾及部份科技產品,但各家媒體估算的商品總價值不一,大約介於1,100億美元到1,250億美元之間。
另一波將課徵15%關稅的商品則約價值1,600億美元,預計於今年12月15日開跑,就會涵蓋手機、筆電、耳麥或聲控喇叭等更多的科技產品。
其實川普原本只計畫向上述產品徵收10%的額外關稅,但隨後將它提升到15%。
隨著從中國輸美產品的關稅往上攀升,紐約時報引述經濟學家Kirill Borusyak的研究指出,這將讓美國富人家庭一年的支出增加970美元,就算是貧窮家庭的購物支出也會增加340美元。
從美國向中國開打關稅戰迄今,美國已向中國進口的2,500億美元商品課徵25%的關稅,若再加上9月1日與12月15日二波開徵的新關稅,代表所有從中國進口到美國的商品,至少都得面臨15%的新關稅。
然而,關稅門檻不斷被墊高,例如中國為了報復美國,也宣布要針對美國進口的750億美元商品加徵5%與10%的關稅,川普亦予以還擊,表示要在10月1日針對已課徵25%關稅的商品,提高稅率到30%。
↧
September 2, 2019, 7:35 pm
DeepMind研究團隊發表了一個稱為OpenSpiel的遊戲面向增強學習框架,提供了增強學習需要的環境以及演算法,可用於一般增強學習、搜尋以及規畫的研究,並提供了分析增強學習動態的工具,以及常用的評估指標。
研究人員提到,OpenSpiel的目標是要促進在多種遊戲類型,發展多代理增強學習,跟一般的遊戲訓練環境相似,但是更強調學習的部分而非競爭的形式。研究人員希望OpenSpiel可以在通用增強學習上,達到Atari學習環境在單一代理人增強學習的地位,對通用增強學習的發展產生重大的影響。
OpenSpiel提供了一個可讓研究人員在各種基準遊戲中,評估遊戲以及演算法的框架,OpenSpiel內建了各式包括世界網格遊戲、拍賣遊戲,以及矩陣遊戲等20多種不同類型的遊戲,這些遊戲涵蓋單一或多個代理人的零和、合作、一般和對局(General-Sum)遊戲,還有一次性以及連續性遊戲研究。這些遊戲以C++撰寫,並以Python打包。
OpenSpiel的演算法則是以C++或是Python實作,官方提到,這2種語言的API幾乎相同,因此當開發者需要,能夠簡單地在這兩種語言間切換使用,而絕大部分學習演算法都是以Python使用Tensorflow撰寫,官方目前正發展PyTorch和JAX的支援。另外,OpenSpiel函式庫的一個子集被移植到了Swift上,因此開發者也能在MacOS裝置上進行研究。
DeepMind只在Linux上測試OpenSpiel,但研究人員提到,雖然他們沒有在MacOS和Windows上進行測試,但是在編譯以及執行上,預計不會有太大的問題發生。OpenSpiel主要設計理念為簡單以及最小化,使用了參照實作而非完全最佳化以及高效能的程式碼,而且盡可能維持最小相依性,降低相容性問題發生的可能性。
最近也有不少組織推出了增強學習的研究工具,像是Google大腦就開源了足球增強學習環境專案Google Research Football,臉書也釋出增強學習平臺Horizon,英特爾也在RL Coach中推出一系列增強學習的工具。
↧
↧
September 2, 2019, 7:50 pm
美國證券交易委員會(SEC)近日宣布,已與Juniper Networks就海外賄賂一案達成和解,Juniper Networks同意支付逾1,170萬美元的和解金額。
SEC是在2013年認為Juniper Networks違反《反海外賄賂法》(Foreign Corrupt Practices Act,FCPA)而針對該公司展開調查,指出其俄羅斯分公司JNN Development Corp員工私下與代理商達成協議,在2008年到2013年間提供更優惠的折扣價,但這些折扣並未達到客戶端,而是用來補助代理商的行銷費用,包括支付客戶或官員的旅遊費用,且不少旅遊行程根本與業務無關。
此外,Juniper Networks中國子公司的業務則是在2009年至2013年間,為了替客戶支付娛樂費用,偽造了差旅及會議議程,此舉已違反Juniper Networks的政策,但相關部門卻未經審查就核准。
SEC認為Juniper Networks並未確實紀錄相關支出,且缺乏內部會計控制。儘管Juniper Networks既未承認也未否認SEC的指控,但同意與SEC和解,當中包括400萬美元的賠償金、650萬美元的罰款,以及124萬美元的利息,總額超過1,170萬美元。
↧
September 2, 2019, 8:25 pm
上周Google研究人員揭露「少部份」網站遭駭客用來感染iPhone用戶,但富比世(Forbes)雜誌報導,其實連Windows和Android裝置也未能倖免。
Google Project Zero小組研究人員在報告中揭露,在長達兩年的期間內,iOS裝置遭到水坑式攻擊(watering hole),即在一部份網站遭植入惡意程式,等不幸的iPhone、iPad用戶登入網站後,再入侵iOS漏洞,進而植入間諜程式,蒐集包括相片、IMessage通訊內容及座標位置。共有14項iOS漏洞被組織成5個攻擊鏈,以便駭客發動權限升級攻擊以竊取資料。研究人員估計,這些網站每周訪客約上千人。
Techcrunch則進一步報導,看似不分對象的攻擊,實則有國家在背後支持,是中國政府監控新疆地區維吾爾穆斯林的手段。
就在蘋果不置可否之際,富比世雜誌引述匿名消息人士報導,表示同一批網站其實也會感染Android手機、平板和Windows裝置,而且駭客集團還會隨著時間演進不斷更新攻擊工具,以便涵括不同版本的Android和Windows。
由於Google並未回應上述說法,因此它究竟是不知道,還是刻意未揭露Android也在鎖定之列,目前不得而知。不過富比世雜誌口中的消息人士表示,Google只查到對iOS裝置的攻擊。
微軟則回應,Google並未提供微軟消息,但Google Project Zero早先僅指明攻擊是利用iPhone特定漏洞發動,微軟表示已經著手研究,一旦有發現任何問題,也會採取必要手段確保用戶安全。
如果連Android和Windows也成為這波攻擊的染指對象,則受害範圍無法估計。根據市調公司GlobalStats的數據,截至8月為止,Android市占超過76%,iOS僅22%。若單就裝置作業系統來看,Android(40.39%)、Windows(34.01%)和iOS(14.13%)合計超過89%。
↧
September 2, 2019, 8:50 pm
微軟上周五(8月30日)釋出Windows 10 1903更新KB4512941,但有用戶反映安裝後出現CPU使用率飆高,主要是被Cortana吃掉了。
KB4512941修復了Windows Sandbox沙箱啟動問題、遠端桌面出現當機黑螢幕、Edge/IE以及VB、VBA、VBScript無回應等問題。本周末有用戶在論壇網站Reddit及其他討論區反映安裝了KB4512941後,其工作管理員中的Windows 搜尋功能就無法使用,而Cortana行程則占用了90%的CPU資源。另一名用戶的狀況沒那麼嚴重,但顯示Cortana仍吃了40%的CPU資源。用戶抱怨已有多人發生同樣的問題,想知道微軟是否會釋出新版本。
有用戶發現,問題出在Cortana行程下的SearchUI.exe,因此關閉這個行程即可。最簡單的方式是移除整個KB4512941,只是若開啟自動更新,上述問題又會重新出現。
Windows Latest報導,早在這個版本釋出前一個星期,已有多名Insider方案的試用人員通報本問題,但是並未獲得處理而逕自發佈。或許人數沒有多到引起注意,直到今天(9月3日)上午,微軟官網仍顯示目前沒有接到問題通報。
↧
September 2, 2019, 9:40 pm
臉書旗下一個app的簽章金鑰本周被誤傳上網站,可能使駭客用來散布冒牌或惡意程式。
Android Police網站所有人Artem Russakovskii指出,過去幾個星期有多個Android版APK被上傳到其姐妹網站APK Mirror上。這些第三方業者開發的app使用的除錯簽章金鑰,竟然和臉書Free Basics Android版 app使用的簽章一樣。因此若非臉書將除錯用的簽章金鑰開放第三方廠商使用,就是不慎從臉書內部外洩了。Russakovskii指出,兩者都很蠢,即使是前者,將測試用的簽章用在正式版app,也非良好的開發作法。
Free Basics是臉書提供給新興國家及美國偏遠地區民眾免費上網的服務,在當地電信業者配合下,提供用戶基本網路內容及Facebook Lite、Messenger Lite。
app加密簽章的設計是利用憑證簽章證實app的真實性及完整性,可防止惡意程式假冒,或是app程式碼遭到他人竄改。一旦加密簽章金鑰外流,即可能讓惡意程式冒充合法app或是對它動過手腳,進而對不知情下載的用戶造成安全威脅。
Russakovskii通報後,臉書就將原版的Free Basics從Play Store撤下,並換上使用新簽章的新版app。但臉書對此隱而不談,也未通知用戶下載新版。Android Police批評,這將可能陷舊版Free Basics用戶於安全風險中。APK Mirror也會拒絕任何再使用舊金鑰的上傳程式。
Android Police報導,舊版Free Basics by Facebook app拿掉前,在Play Store的下載次數超過500萬。
↧
↧
September 3, 2019, 1:10 am
在正逢開學與張羅教科書的季節,卡巴斯基實驗室(Kaspersky Labs)便提出了警告:不要以為惡意程式只藏匿在免費下載的電視節目或遊戲等娛樂檔案中,駭客連學生使用的教科書及論文都沒放過。
該實驗室統計了過去一學年以來,他們所捕獲的受感染檔案中,採用與學校或學生相關檔名的數量,發現駭客在教育領域總計執行了35.6萬次的攻擊,當中有23.3萬篇的論文夾帶惡意程式,並有12.2萬本的教科書含有惡意程式。
暗藏惡意程式的教科書前三名為英文、數學與文學,而就算是冷門的學科也難逃魔掌,例如自然科學或是其它語言的教科書也都被追查出內含惡意程式。
最常被應用在上述學習材料的惡意程式有4款,依序是Worm.Win32 Stalk.蠕蟲、Win32.Agent.ifdx下載程式、WinLNK.Agent.gen下載程式與MediaGet torrent下載程式,當中最無害的是MediaGet,通常冒充為下載按鍵,但使用者按了之後只會下載torrent客戶端。
至於最熱門的Stalk則是個老舊卻危險的蠕蟲,它會滲透到所有與被感染電腦連結的裝置,例如它會感染本地網路的其它裝置,或是藉由USB隨身碟感染其它裝置,假設使用者以含有惡意文件的隨身碟到學校使用,Stalk即可藉機入侵學校網路,且Stalk還能下載其它的惡意程式。
研究人員指出,Stalk在教育領域依然興盛的原因,可能是教育機構通常使用老舊的作業系統或軟體,特別是印表機系統,替Stalk創造了完美的環境。
排名第二的Win32.Agent.ifdx通常藏匿在偽裝成DOC、DOCX或PDF格式的學習文件,點擊它依舊會開啟文字檔案,但同時也啟動了惡意程式,隨後可用來下載諸如挖礦程式等其它惡意程式。
卡巴斯基建議,學生應多加利用實體或線上圖書館來取得學習資源;細心觀察所要下載文件的網站,若充斥著下載按鍵即有可能是惡意的;不要使用老舊的作業系統或軟體;小心電子郵件的附加檔案;以及注意所下載的文件格式。
↧
September 3, 2019, 1:35 am
紐約時報本周引用美國經濟期刊《American Economic Review: Insights》所刊登的一篇研究報告,指出成功的新創公司創辦人通常是中年創業,顛覆了外界的想像。
這是因為有不少知名科技公司的創辦人,都是在年紀很輕的時候就決定開創事業,例如Bill Gates與Paul Allen在1975年創辦微軟時,Gates與Allen分別只有19歲及21歲;Steve Jobs與Steve Wozniak在1976年創辦蘋果時,Jobs也只有21歲;而Mark Zuckerberg在2004年創辦臉書時,Zuckerberg也只有19歲。
紐約時報則說,上述企業的起源形塑了神話,讓外界以為美國整體的創新是由神童推動的,但其實他們只是特例,並非規則。
多名經濟學家以美國政府立案的270萬名企業創辦人進行研究,發現這些創辦人在創業時的平均年齡為42歲,而在當中最快速成長的0.1%企業中,創業時的平均年齡則是45歲;若以被大公司併購或上市作為成功的定義,那麼他們創業時絕大多數也已屆中年(牛津字典的中年指的是45~65歲)。
年輕創業家的確具備某些優勢,像是不怕冒險或是解決新問題的能力,而中年創業家之所以能夠成功,則有不少是仰賴隨著年齡而漸增的智慧。
↧
September 3, 2019, 2:00 am
為了消除用戶的社交焦慮,繼Instagram(IG)測試隱藏貼文按讚數後,臉書也被發現正在測試隱藏按讚次數。
香港科技部落客Manchun Wong透過逆向工程發現,臉書近日開始在Android版app測試,將貼文按讚或其他回應計數的顯示隱藏起來。隱藏後只有原貼文用戶可以看到被讚或給其他表情次數,不過其他用戶仍然可以在按讚處點選觀看誰做了回應,只是就沒有總數顯示了。
這位科技部落客於5月間,也率先揭露Instagram在加拿大測試隱藏顯示按讚數,隨後這項測試還擴大到日本、愛爾蘭、義大利、巴西、澳洲及紐西蘭等地。
臉書也向Techcrunch證實了正在考慮移除顯示按讚數。但臉書不願回應背後原因、IG測試結果或任何測試時程。
臉書的按讚功能推出以來大受歡迎,因而後來還陸續加入愛心、笑臉、氣憤、哭臉等表情。然而按「讚」功能也被人批評已引發用戶社交焦慮,擔心自己的貼文沒有人按讚,也有人因為擔心按讚數太少而不願貼文,或是將文章刪除。
↧