由Elon Musk創辦的SpaceX在周一(11/11)再度發射60顆Starlink通訊衛星到軌道上,這是SpaceX繼今年5月之後所發射的第二批衛星,它們都將被部署在離海平面550公里的衛星軌道上。
迄今美國聯邦通訊委員會(FCC)已核准SpaceX總計11,943顆的通訊衛星部署,而現在SpaceX僅發射120顆衛星。根據SpaceX的Starlink任務規畫,該公司將打造全球最先進的衛星寬頻網路系統,他們希望在6次的發射之後,就能在美國與加拿大的部分區域提供服務,並在24次的發射之後,擴展到全球範圍,而相關的時間表分別是2020年與2021年。
SpaceX強調,Starlink是個低延遲的寬頻網路系統,可滿足全球消費者的需求,藉由低軌衛星的部署,它將能提供快速且可靠的網路予缺乏網路服務的區域,例如農村或是目前要價過高或不可靠的區域。
此外,Starlink任務亦標榜可減輕衛星除役後可能衍生的軌道垃圾問題,當衛星的壽命終止,會透過衛星上的推進系統離軌,倘若系統故障了,它也會在5年內於地球大氣層中燒毀,比原本需要數百年或數千年的時間短了許多。
Adobe在去年以16.8億美元買下的電子商務平台Magento,本周呼籲用戶應該要儘速部署安全更新,以避免駭客開採該平台上的一個遠端程式攻擊漏洞。
此一安全漏洞編號為CVE-2019-8144,它允許未經授權的使用者透過Page Builder於商家的網站上植入並執行惡意程式。
Magento為一以PHP撰寫的開源電子商務平台,也是網路上最受歡迎的開源電商平台之一。根據CloudWays的統計,Magento現為全球第二大電子商務平台,市占率為12%,僅次於WooCommerce的18%,排名第三的Shopify則占了8%,估計全球約有25萬個線上商店奠基在Magento上。
其實Magento早在今年10月就釋出Magento 2.3.3、2.3.2-p1與2.2.10修補眾多臭蟲,當中即包含了CVE-2019-8144,且囊括商業版、合作夥伴版與開源版。然而本周Magento再度督促用戶升級,主要原因是絕大多數的攻擊程式都是鎖定那些未部署安全更新的用戶,才再度提醒並強烈建議用戶更新。
除了呼籲尚未部署更新的用戶升級之外,Magento也警告已更新的用戶要全面檢查網站的安全性,以確保它們沒有在更新前受到危害,因為修補程式只能預防未來的攻擊,並不能解決先前已被開採的問題。
彭博社與The Information本周不約而同地揭露了蘋果的AR/VR裝置計畫,指稱蘋果會在2022年推出AR頭戴裝置,而AR眼鏡則會在2023年問世。
早在2016年彭博社就曾報導蘋果有意開發擴增實境(AR),隨後並指出蘋果已有1,000名工程師投入AR或VR技術的研發。
根據彭博社最新的報導,蘋果正在開發新的3D感應器系統,將率先應用在明年上半年出爐的iPad Pro上,繼之部署於預計於明年秋天發表的新一代iPhone,而2021與2022年的目標則是推出結合AR與VR的頭戴式裝置,再於2023年發表AR眼鏡。
至於The Information則指出,蘋果已於內部會議上宣布,將在2022年發表首款AR裝置,2023年推出AR眼鏡。
擴增實境或虛擬實境(VR)是最近這幾年興起的技術,但離成為市場主流還有一段距離。蘋果在2017年便推出了ARKit軟體套件,這是一個可用來打造AR程式的框架,不過根據Apptopia的統計,在現有的、位居各類別前1,500名的iOS程式中,大概只有5,000款程式採用ARKit,其中有28%屬於遊戲,15.5%為娛樂類別,其它的應用還包括教育(8.8%)、公用程式(7.3%)、照片/影片(6.5%)、生活風格(6.1%)與購物(4.7%)。
眼尖的CNET記者在Amazon的求才版面上,看到該公司正在招募新食品商店的員工,之後Amazon也對CNET證實此事,表示將設立新品牌的食品商店,且首家商店明年就會在洛杉磯的Woodland Hills地區開幕。
Amazon在2017年時便以137億美元,買下美國的有機連鎖超市Whole Foods Market,一舉取得Whole Foods Market在北美與英國的460家門市,不過現在看來,Whole Foods Market並不能滿足Amazon的野心。
Amazon在站上招募該食品雜貨店的主管、助理與夜班人員,還說這是Amazon在Woodland Hills的首家食品雜貨店。而CNET則報導,Amazon將採用全新的品牌,既非Whole Foods Market,也不是無人商店Amazon Go。
Amazon亦向CNET透露,消費者喜歡選擇,此一新的商店將提供有別於Whole Foods Market的食品選項,就算有了新商店,未來也將繼續投資Whole Foods Market。
看起來Amazon正在擴張其實體門市布局,除了所併購的Whole Foods Market之外,Amazon還設立了專門銷售四顆星以上書籍的Amazon Books及四顆星以上商品的Amazon 4-star商店,目前全美已有20家Amazon Books與6家Amazon 4-star,而標榜全自動化服務的Amazon Go也有6個門市。
蘋果的程式語言Swift標準函式庫團隊成員Steve Canon,宣布了一項名為Swift Numerics的開源專案,內含實數與複數運算模組,提供Swift開發者建置數值運算的基礎,相關的數值運算模組都會捆綁在一起,以單一Swift套件發布。
目前Swift Numerics程式碼儲存庫中,已經有兩個一直以來被開發者強烈要求的模組,其一是提案SE-0246的功能實作實數(Real Number)模組,以及提供複數運算的複數(Complex Number)模組。SE-0246提案在Swift加入基礎數學函式API,提供像是三角函數與對數等通用運算,這項提案已經被接受,但由於編譯器的限制,該API還不能被加到標準函式庫中,因此實數模組將以獨立的模組提供API,開發者現在就已經能在專案中使用這些功能。
而複數模組則是建立在基礎實數類型之上,複數在數值運算上常會用到,尤其是在進行傅立葉轉換的時候,處理音訊或是電路模擬時都會用到複數,Steve Canon提到,在開發者日常使用時,函式庫通常會自動隱藏這些複數訊息,但是當要開發相關函式庫時,複數模組會是很重要的工具。
之所以不在標準函式庫中提供Swift Numerics功能,而要利用套件的形式發布,Steve Canon表示,這之中存在許多考量,但是最主要的原因是,他認為,並非所有內容都應該放進標準函式庫中,隨著時間變遷,Swift Numerics中的部分功能可能會被放進標準函式庫中,但是在預設情況,有一些模組不應該預設加入每一個專案裡,應該要有一個自己專屬的地方,而Swift Numerics就是這類數值運算模組的集合,就像是SwiftNIO套件是專門提供網路相關功能一樣。
另外,以套件打包的好處,還包括Swift Numerics的更新將不受Swift版本發布的時間限制,可以在進入穩定版之前,先釋出測試模組進行試驗。
Steve Canon提到,接下來他們還會為Swift Numerics加入重要的ShapedArray協定以及支援的類型,讓開發者能方便地表達多維度的同質資料,此外,也會新增支援Float16。
微軟在Ignite大會上發布了農業雲端服務Azure FarmBeats預覽版,這是一個為特定行業與特定目的建置的解決方案加速器,Azure FarmBeats跨供應商聚合農業資料,並利用人工智慧技術產生可執行的分析結果。
Azure FarmBeats預覽版目前提供幾項主要的功能,可利用衛星圖像偵測植被指數和水分指數,來評估農場的健康狀況,還可以提供感測器設置的建議,包括農場要使用的感測器數量以及適合擺放感測器的位置。Azure FarmBeats視覺化來自各供應商的地面感測器資料,以追蹤農場狀況,同時,系統也會使用融合資料,來建置機器學習模型,建議作物種植者應該採取的行動。
Azure FarmBeats主要有兩個元件Datahub以及加速器(Accelerator)。Datahub被設計成一個API平臺,使用者可跨供應商,對農業資料集進行聚合與正規化等操作。微軟與不同的感測器、衛星、飛行器、天氣和農具等供應商合作,並將這些資料整合進FarmBeats,讓使用者能夠利用這些資料開發自己的解決方案。
而加速器則是使用Datahub資料所建立的範例解決方案,加速器是一個網頁應用程式,利用API視覺化由感測器收集而來的資料,並以地圖的形式展示。用戶可以使用這個加速器,快速創建一個農場,並取得該農場的植被指數或是感測器放置圖。
Linux版Steam客戶端Beta版本,現在支援實驗性的命名空間(Namespaces)功能,也就是說,玩家可以使用容器,來執行所有Steam遊戲庫中的遊戲。玩家想要啟用這項功能,需要打開遊戲的屬性對話框,在一般頁籤中的強制使用特定Steam相容性工具選項,選擇Steam Linux Runtime。
官方提到,Steam客戶端以Linux容器來執行遊戲,將能更好地與主機系統隔離,改善許多潛在的問題,並可以啟用隔離等新功能。同時這項功能也提升Valve在新的Linux發布版中,支援舊遊戲的能力,對於開發人員來說,在容器環境中,可以確保其所開發的遊戲在多個Linux發布版中,可擁有同樣的相容性,減輕QA的工作負擔。另外,Steam也能夠透過容器,支援內建新編譯器和函式庫的Runtime。
目前容器Runtime並不支援Steam的相容性工具Proton,也與Steam客戶端的非官方Flatpak發布版本不相容,官方提到,Flatpak解決方案是將整個Steam客戶端打包起來,而Valve的方法則是獨立打包個別的遊戲,兩種方法都仰賴相同的技術,不過,官方現正在尋求相容的方法。
Bumblebee和Primus_VK等一些比較少見的圖形卡驅動程式,可能還無法在容器中正常運作,官方提到,容器的設定使用主機系統中的圖形卡驅動程式,這個Steam測試版本會覆蓋更多測試範圍,收集各種需要改善的案例。
除了一些已知無法在容器中執行的遊戲之外,這項實驗性功能或許可為只支援32位元Linux的遊戲,帶來一勞永逸的相容性解決方案。Canonical在今年6月宣布,未來新版Ubuntu不再提供32位元函式庫,而這項消息讓Valve跳腳,因爲其Steam遊戲平臺上仍有許多只能在32位元Linux上執行的遊戲,雖然Canonical隨後改變了決定,不過,有鑒於越來越多的Linux發布版本只提供x86_64套件,因此尋求相容性解決方案勢在必行,而讓Linux版Steam客戶端支援Linux容器,則是解決Linux發行版與Steam相容問題的方法之一。
有GDPR輕量版之稱的《加州消費者隱私法案》(California Consumer Privacy Act,CCPA)將在明年1月1日正式實施,正當其它科技業者或行銷業者,因為此法而坐立不安之際,微軟則在本周宣布,不只會在加州遵守CCPA,也會在全美沿用該法令。
CCPA被視為美國史上最嚴苛的資料隱私法案,它規定加州消費者有權知道業者所蒐集的任何個人資料,也能夠得知自己的個人資料是否遭到分享/銷售,以及被分享/銷售的對象,亦有權存取自己的個人資料,不管有無行使上述的隱私權限,業者都不應對此有差別待遇。
外界預期該法令將會嚴重衝擊那些經常蒐集用戶資訊或賴以為生的科技業者、零售業者、廣告公司或是行銷業者。
加州的CCPA之所以引起躁動主要是因為加州人口數占了全美的12%,且光加州就可排上全球第五大經濟體,這也意謂著幾乎所有企業,都會蒐集到加州民眾的個資,而得受到CCPA的規範。
微軟隱私長Julie Brill則說,既然美國國會尚未能通過全面的隱私法案來保護人們的資料,於是他們選擇採用州等級的隱私法案,來保障全美民眾的個資。
事實上,這並不是微軟第一次擴大特定地區的法令,就在歐盟《通用資料保護規則》(General Data Protection Regulation,GDPR)於去年5月上線的前夕,微軟即宣布會在全球採用與GDPR一致的隱私標準。
Brill認為,隨著數位科技在人們日常生活中扮演愈來愈重要的角色,美國國會沒能通過全面性的隱私法令變成一個嚴重的問題,因為人們會擔心自己的資料如何被蒐集、使用與分享。
不過,Brill也坦承,目前微軟仍在研究該如何達到CCPA所要求的目標,將持續關注相關的改變並進行調整,同時也會協助企業客戶遵守CCPA法案。
許多科技業者仍在遊說國會議員打造聯邦等級的隱私法案來取代CCPA,但迄今美國國會仍然意見分歧,許多民主黨議員主張要以CCPA為基礎,而共和黨議員則希望制定一個相對寬容的隱私法案,目前唯一能確定的是,已經來不及在CCPA上線之前祭出新法,也使得業者必須開始研擬如何應對即將來臨的CCPA。
網站管理員要小心了,如果你的網站下載的速度很慢,可能將被Google Chrome貼上有點難堪的標籤。Google周二表示未來Chrome將以標示系統,明顯告知用戶下載較慢及較快的網站。
Google指出,大家都有造訪過原本以為跑得很快,實際上卻沒那麼快的網站的經驗,該公司希望用更有效的方法,來幫助使用者得知哪些網站跑得很慢,同時獎勵載入得很快的網站。未來Chrome將以清楚的標示來顯示平均速度跑得較快與較慢的網站。這可能會以多種形式呈現,Google目前正在實驗不同選項,以決定哪種效果最好。
Google表示,標示系統用於顯示網站撰寫方法導致整體下載速度較慢、長期呈現載入時間較久。未來也可能擴大到基於用戶裝置和網路導致網頁下載較慢的情形。初期Google是依據Chrome介面元素來呈現網站下載速度,包括登入過程頁面(splash screen)、載入進度顯示(loading progress bar)及連結的上下文選單(context menu),後者可以在用戶造訪前告知整體的下載速度。例如針對較慢的網站,Chrome登入過程頁面會顯示「通常下載較慢」,針對較快的網站則顯示綠色的進度指示。
Chrome小組正和Google其他部門密切合作開發這套標示系統,確保只要管理員有用心最佳化網站速度,就不會同一網站不同頁面出現不同標示。Google也計畫根據嚴格考量逐步擴大實施標示系統。長期目標是定義出高品質瀏覽經驗的標準化標示系統,考慮的也可能不只是速度。
研究人員發現,臉書iOS版app會在用戶讀取動態消息時,偷偷啟動iPhone的相機,即使用戶並沒有拍照或啟動視訊的行為。
這個問題由安全研究人員Joshua Maddux在推特上發現。根據他貼出的影片,當iPhone用戶單純以臉書app滾動讀取動態消息時,手機相機即會開啟拍攝前方事物,顯然他當時並未拍攝他人、自拍或和他人視訊通話。另一名用戶則是在臉書app開啟檔案照片,手指下滑回前頁時,啟動了iPhone的後向式相機。
不過這個問題似乎只出現在iOS 13.2.2上,Maddux在其他5隻跑13.2.2版的iPhone驗證同樣問題。但是iOS 12版則未顯示相機畫面。此外,TNW網站證實,Android(10)版臉書app也不會開啟手機相機。
另一個必要條件是,用戶必須曾經允許過臉書app存取相機。iOS是預設封鎖任何app存取iPhone相機,除非用戶自己提供許可。
由於臉書過去的紀錄不佳,因此被懷疑這是否為臉書另一個不為人所知的隱私侵害手法。臉書副總裁Guy Rosen在Maddux推文留言表示這看起來是一隻臭蟲,公司將啟動調查。不過臉書官方尚未對此評論。
2017年也曾有研究人員Felix Krause展示一個概念驗證惡意app,能在啟動後偷偷拍攝或錄製使用者影像,還能蒐集相片拍攝地點及執行臉部辨識、判斷影中人情緒等。
面對層出不窮的資安事件,負責維護國家安全與偵查重大犯罪的法務部調查局,旗下設有資通安全處,身負防制電腦犯罪與相關鑑識的重責,是最能掌握國內組織遇害現況的單位之一。
近日,這個單位的資通安全處科長劉嘉明,揭露了國內企業的遇駭現況,期望讓更多組織能瞭解常見受駭類型,並重視相關問題。
基本上,調查局資安團隊主要任務有5大內容,包括電腦犯罪案件預防、網安情資蒐集、電腦犯罪案件偵辦、中繼站查處,以及相關資安鑑識。在運作架構上,資通安全處在六大直轄市也都成立資通安全科,提升業務偵辦能量。
對於電腦犯罪案件偵辦方面,劉嘉明特別說明了對於境外敵對勢力滲透的調查。在這類APT攻擊中,駭客有攻擊型與竊取資料型,兩者是以分工方式合作,而且是由不同的駭客單位發起,原因在於,攻擊型是大量發動容易發現,而竊取資料型則是以不被發現為主,但兩者又有一定程度的犯意聯繫。例如,攻擊型的駭客透過中繼站,寄送惡意郵件到組織內部,組織受害後又會主動連線到另一個中繼站,而另一組駭客,則是連線到上述的第二個中繼站去竊取檔案。
在此當中,他特別強調,調查局會透過追查中繼站,來了解國內的受害狀況,也就是從中繼站發現攻擊的跡象,進而通知企業或組織遇害。因此,不少企業可能在收到通知時,會以為調查局在監控他們,否則如何知道自己出問題,其實,這主要是案件追蹤上的發現。他也舉例,今年6月底銓敘部公布的個資外洩事件,經事後追查發現是101年6月30日前的資料遭竊,而調查局早在同年3月,就通知他們被入侵。
在電腦犯罪案件偵辦上,調查局會透過中繼站來了解國內的受害狀況,進而追蹤到有企業遭受入侵的現象。
對於近年企業防護上的狀況,從調查局近年的偵查經驗中,劉嘉明歸納出三大重點,是企業必須關注的面向。
首先,是缺乏多層次防護。他解釋,一般已建構資安完善資安防護的企業,通常駭客從入侵到竊取資料,是需要一段時間。但如果企業被入侵後,對方即可任意竊取資料,受害公司等於完全沒有因應的時間。因此,他希望企業都該具備多層次防護的架構。
第二,是委外管理的問題,雖然公務機關這些年的安全程度,確實逐步提高,但以最近的趨勢而言,他們看到,透過委外廠商入侵公務機關的情形,越來越多,而且私人機關也要注意風潮,因為許多公司也很依賴委外廠商。
因此,像是委外業者的程式撰寫方式,以及系統維護觀念是否安全等,都是企業應該要去關注的面向。
最後,則是企業往往不知道內部網路流量異常的現況,缺乏相關監控措施,這也讓駭客可能長期潛伏,一直躲在公司內部,暗中持續竊取資料。
對於企業攻擊因應與證物保存,法務部調查局資通安全處科長劉嘉明指出,在調查局的偵辦經驗中,發現企業存在許多資安問題,建議企業需建立多層次防護,他並以近年電腦犯罪、資安事件的5大常見問題,提醒企業要對這些面向能有攻擊因應。
國內企業面對那些資安攻擊?過去我們只能從廠商報告中看見一些統計數字,劉嘉明從近期調查局辦理的事件中,整理出五大常見問題類型,包括勒索軟體、社交工程、駭客提升權限、Web Shell,以及離職員工。
以勒索軟體攻擊而言,他指出,日前國內金融業才發生大規模PC遭遇勒索軟體的事件,引發金融圈與社會關注,而他所指的就是10月下旬國泰投信的遭遇。接著,他還提及近期一家旅行社的委外業者,其應用系統遭遇勒索軟體的事件。由於發生在委外業者身上,雖然理論上應由該業者負起責任,但因為已經衝擊到旅行社營運,因此最後旅行社決定自己先付贖金來因應。
然而,國內企業遭遇勒索軟體付贖金的案例多嗎?畢竟多數企業遭遇了勒索軟體,通常不願公開,多半是態勢嚴重而被民眾揭露才曝光,是否付贖金並無具體事例,也沒有企業勇於承認。劉嘉明指出,其實這些業者在遇害後,付贖金的比例其實相當高,這主要也是因為駭客勒索的贖金,多是企業可負擔的金額,這也讓企業支付的意願增加。
因此,他也呼籲,企業或委外廠商都應做好備份工作。在伺服器的安全管理之外,員工電腦是企業容易疏忽的部分,同時,也提醒即便是備份資料,也有被加密的可能性。
調查局上述的舉例,也呼應到其他重大事件。例如,最近,我們針對今年8月醫療院所遭勒索軟體攻擊的追蹤報導中,就從醫院得知曾發生多個備份均遭加密的情形,並聽聞有醫院支付贖金的狀況。顯然這些問題,已突顯出國內在勒索軟體攻擊下的現況,企業必須重視與做好因應。
另外,對於不幸遭遇勒索軟體的企業與用戶,劉嘉明也指出可善用No More Ransom的網站,這裡集結了國際刑警組織與資安業者等提供的解密的資源,受害者可以不用付贖金就能就會被加密的檔案,為復原資料提供了另一些機會。
對於近年電腦犯罪常見的攻擊手法上,劉嘉明指出社交工程、釣魚郵件的問題,雖然這類問題可能不易解決,因為企業內部總是會有人中招,但依然是企業必須關注的面向。
特別的是,也要注意郵件帳號遭盜用,可能帶來的風險。像是駭客利用竊取的信件內容,散布惡意程式給公司其他同仁,還有商業電子郵件詐騙的威脅,因此,企業在因應上一定要有雙重驗證,例如打電話再確認是否變更匯款帳號。
.jpg)
對於社交工程與釣魚郵件的問題,劉嘉明表示,這類問題可能不易解決,因為企業內部總是會有人中招,例如,面對複雜的電子郵件寄件者偽冒與竄改手法,有經驗的人雖然能從郵件標頭去分辨,但要讓一般民眾都懂得識別,並不容易,因此,他認為透過DMARC驗證機制來防範,會比較有效。同時,他也指出釣魚郵件及郵件帳號遭盜用的問題,企業不能再忽視。他以最近TWCERT發布的攻擊警訊為例,是有已知惡意IP位址對企業Office 365帳號進行暴力破解攻擊,提醒企業注意相關防護。
對於企業郵件帳號被盜的後果,他也舉例說明,假若公司雙方的聯絡人,有一方郵件帳號被入侵,這意味著駭客可以監控到郵件的內容,因此,接下來的駭客攻擊有兩種顯而易見的方式,一是竊取原始郵件內容,並將惡意附檔包含在郵件中,然後寄送給原寄件人的部屬與同事;另一種就是用於商業電子郵件詐騙(BEC),針對公司財務相關人員,假冒合作夥伴或自己的主管,騙稱臨時要將款項轉至另一金融帳號。因此,他強調,這些事件的因應上,一定要有雙重驗證,例如打電話再確認是否要變更匯款帳號。
同時,他指出提升權限與Web Shell的問題,也是偵辦過程中常發現的狀況。劉嘉明表示,前者多半發生在委外業者,並強調,預設密碼與明碼Web.config的狀況很嚴重。
以預設密碼的問題而言,像是近期多家醫院遭受勒索軟體攻擊事件,就是因為委外業者在應用系統上使用了預設密碼;而在網站系統使用明碼Web.config的狀況上,他認為8成為委外業者都沒有做好這方面的防護,使用明碼儲存連線字串,讓駭客可以輕易透過web.config蒐集到資料庫帳號密碼,取得最高權限,以管理者身分存取資料。因此,他也提醒,企業要在這方面督促委外廠商注意。
較特別的是,他還提到了另一個企業內部也很普遍的問題,那就是一旦有員工PC不小心被入侵,IT人員在維修時,很可能因為使用了管理者帳號最高權限帳號,而被鍵盤側錄程式或惡意軟體MimiKatz截取,雖然駭客使用這招已經行之有年,但一直很管用。
對於控制網站伺服器的Web Shell攻擊手法,調查局也在很多案件的追蹤入侵過程當中,發現了「一句話木馬」這個網頁型後門程式的存在,由於這種攻擊是在網頁中插入「一行」指令,利用網頁的GET或POST以傳送指令文字,因此不容易被發現。
另外,關於離職員工方面的問題,也是近年企業不可忽視的因素。像是離職後仍然可登入公司網路,應該要立即停用帳號,以及員工在快要離職前,違規下載企業資料,可能是為了跳槽之用,要有異常存取行為監控機制。
對於調查局的案件處理,劉嘉明指出,企業在配合時有兩大準備工作,企業必須牢記,一方面是要保留記錄,另一方面則是需要提供適當的安全防護,包括明確的重要資安資產,以及資訊保護證明與說明。
對於電腦與防火牆的記錄保存,他表示,在調查局的經驗中,發現很多公司內部並沒有相關政策,就容易發生保存時間太短,或是入侵過程中遭到刪除。他建議,企業必須要做好集中記錄保管。另外他也強調,保存記錄的類型包含除錯與資安事件,前者資料量大,而他們最需要的僅是後者,儲存用量其實相對也比較小。
以調查局資安團隊的任務而言,簡單來說,包括了電腦犯罪案件預防、網安情資蒐集、電腦犯罪案件偵辦、中繼站查處,以及相關資安鑑識。其中,關於電腦犯罪案件預防,劉嘉明表示,他們主要針對政府機關、大專院校、上市櫃公司與關鍵基礎設施等機關,宣導防制電腦犯罪與教育訓練,特別的是,今年也納入資本額2億元以上的企業;而在網安情資蒐集方面,他表示,以行政院資通安全處目前對他們的要求而言,講求的是要精準,而不是快,因此他們現有掌握的情資中,有8成比例都經得起考驗。另外,為了因應明年大選,調查局今年8月份還新成立了假訊息防制中心。
.jpg)
對於臺灣企業遭遇勒索軟體攻擊的問題,法務部調查局資通安全處科長劉嘉明指出,多數業者都是以付贖金了事。對於這樣的現況,他表示,調查局當然也不希望受駭企業付款,但企業們會盤算如何可以損失最小化,但也很可能付了贖款,卻得不回應的二次傷害。但對調查局而言,他們不會因為企業已付贖金而停止調查,仍會努力持續追蹤。
研究人員發現所有版本的McAfee防毒軟體存在一項權限升級漏洞,可讓駭客取得管理員權限執行攻擊或接管系統。
編號CVE-2019-3648的漏洞能讓駭客繞過McAfee自我防護機制,下載未經簽章的惡意DLL檔案到以系統權限執行的多項服務中,以進行檔案刪改、植入資料竊取程式或是接管整個系統等攻擊。
受影響產品擴及16.0.R22版以前所有McAfee防毒軟體,包括McAfee Total Protection (MTP)、McAfee Anti-Virus Plus (AVP)、 McAfee Internet Security (MIS)。研究人員通報後,McAfee在周二發佈安全公告,並會透過自動更新發佈修補程式。
安全廠商SafeBreach 研究人員Peleg Hadar發現,McAfee多項服務以NT AUTHORITY\SYSTEM帳號執行,又作為已簽發行程身份執行。這些服務企圖從當前工作目錄(current working directory,CWD)System32\Wbem、而非從實際所在位置(System 32)載入DLL檔,卻又未驗證DLL檔是否由數位憑證簽發。這就形成一個漏洞,讓駭客得以將未簽發的任意DLL檔注入到這些合法行程中,中間繞過McAfee原有保護資料夾的mini-filter檔案系統驅動程式的機制得逞。
在概念驗證攻擊中,研究人員成功將一個未簽發的代理伺服器DLL程式下載到多個McAfee產品的已簽發行程中執行。研究人員表示,這項漏洞可被駭客用作各種迴避及執行目的,像是繞過應用程式的白名單檢測,使McAfee不主動偵測攻擊程式的binary。還能獲致持續攻擊之效,在每次服務啟動時下載及執行惡意程式,也就是說,只要攻擊者植入一次惡意DLL檔,每次McAfee服務重新啟動時都會下載惡意程式碼。
本漏洞風險分數被列為中度。研究人員8月初通報McAfee後,後者於9月中證實。所有受影響的McAfee產品都會透過廠商自動更新機制升級到最新版。
此前趨勢科技、CheckPoint、Bitdefender、Avira、Avast,也都出現過防毒產品本機權限升級的安全漏洞。
微軟在本周二(11/12)正式釋出了版本別為1909的Windows 10 November 2019 Update,此一版本雖然有些新功能,但主要著重在效能、穩定性與企業功能上的改善,初期微軟並不主動遞送更新通知,有意願更新的使用者可自行透過Windows Update檢查是否有更新版,並自行下載及安裝。
Windows 10 1909有不少別名,除了November 2019 Update之外,它的研發代號為Vanadium,也曾被稱為19H2。當使用者下載更新之後,必須重新啟動電腦才能完成安裝程序,若是無法立即重新啟動,也能根據需求安排重新啟動的時間。
不過,Windows 10 1909將有更順暢的更新經驗。根據微軟的說明,Windows 10 1909與Windows 10 1903(Windows 10 May 2019 Update)除了有共同的核心作業系統之外,也具備同樣的系統檔案,且微軟已藉由Windows 10 1903的每月更新遞送了Windows 10 1909的功能,只是這些功能處於休眠狀態,只需要透過啟用套件就能喚醒它們,而Windows 10 1909即包含了此一啟用套件。
因此,對於Windows 10 1903用戶來說,執行更新只要重新開機一次,就能順利升級到Windows 10 1909,且各種相容於Windows 10 1903的應用程式或驅動程式,也都相容於Windows 10 1909。
但倘若Windows 10用戶採用的是Windows 10 1903之前的版本,其更新到Windows 10 1909的程序將會與過去的功能更新一樣,將會耗費多一些的時間。
微軟也建議IT管理人員應該開始驗證企業所使用的程式、裝置或基礎設施能否相容於Windows 10 1909,且不管是使用Windows Server Update Services、Windows Update for Business或Volume Licensing Service Center,都能透過Microsoft Endpoint Manager或其它系統管理軟體執行分階段部署。
由於微軟對Windows 10 1803(Windows 10 April 2018 Update)的支援,也剛好到11月12日終止,使得微軟再度重申,已經終止支援或是在幾個月內就會終止支援的Windows 10裝置,都會自動啟用功能更新。
Windows 10 1909的新功能包括,可在工作列上的行事曆飛出視窗中直接建立活動,改善了通知管理能力,在檔案總管的搜尋結果中整合了雲端的OneDrive內容,以及在鎖住的螢幕上,能夠以聲音啟用第三方的語音數位助理等。
交大電機工程系特聘教授趙昌博今(13日)發表了自行研發的非侵入式手持AI血流量測器與App,號稱世界首支,整合了PPG光學技術、AI模型和大數據分析,只要10秒就能偵測洗腎患者的瘻管狀態,不必到大醫院檢查,病患在家就能自己量測。他透露,目前正在準備申請美國FDA驗證中,若通過,最快明年上市。
根據衛福部統計,去年臺灣醫療支出的前十大疾病中,慢性腎病蟬聯了第一名,就醫人數高達36.4萬人。去年洗腎病患更創下歷年新高,多達9萬人。
新光吳火獅紀念醫院腎臟科主治醫生林秉熙指出,慢性腎病患者需定期進行血液透析(也就是洗腎),來維持生命。但在洗腎前,患者須先動手術,在皮膚下方建置動脈瘻管,供血液透析使用。這條瘻管,可說是洗腎患者的生命之線。不過「通常在瘻管建立的兩年內,8成病人會發生瘻管阻塞,嚴重可能導致尿毒症和血鉀過高等致命併發症。」
目前,醫院常見瘻管阻塞檢查方法有兩種,一是利用大型超音波都普勒血流儀(Doppler),每月對患者進行非侵入式的血流檢測。另一個是利用侵入式的大型血流感測器HD03,由經驗老道的專科醫生操作,每3個月來檢查一次。趙昌博指出,HD03是目前業界公認最精準的檢查儀器,但不論是超音波機臺還是侵入式的大型感測器,都無法即時檢查患者簍管狀況。
歷時6年研發輕巧手持非侵入式血流計,每天在家量測一次不是問題
有鑑於此,趙昌博團隊自6年前開始投入研究,來打造非侵入式的光學血流量測器,讓民眾可自行在家操作。首先,團隊利用光體積變化描記圖訊號(PPG)原理,藉由血液流動對光吸收的變化,以特殊波長陣列來設計光學感測器,以光學感應皮下血管傳送的訊號,來偵測血管血流。
趙昌博強調,市面上許多生理量測器也採PPG原理,像是Apple Watch、智慧手環等裝置,但與這些裝置不同的是,「交大這款量測器採用的波長更長,能感應到深層的血管血流訊號。」除了血流,還可以偵測連續心率、血壓和心房顫動數值。
而這臺量測裝置體積輕巧,只有手機的一半,方便民眾自己操作(如下圖)。搭配手機App,只要手持裝置在手腕上等待10秒,資料回傳雲端分析後,能直接在App上呈現血管狀態,要是偵測異常,還可連結醫院系統、通知醫生,即早安排瘻管疏通用藥或手術。「這個好處是,民眾可以家每天量測,不像到醫院使用大型儀器,得1個月或3個月才能量測一次。」
這個手持裝置能的精準判斷血流的關鍵,是大數據分析平臺與AI模型,趙昌博指出,光學感測器會蒐集到大量帶有雜訊的資料,「透過AI,可以從龐大的雜訊中,自動找出血管血流訊號,大幅提高分析的準確度。」
目前,這個AI模型已於兩家大型教學醫院測試,已累積200筆洗腎病友的量測資料,目前這款血流量測AI的準確度約達91%,「接下來要達到1,000筆的測試。」趙昌博指出,「也正準備送件申請美國FDA認證,預計明年完成,最快明年就能問世。」
最後,他也揭露,團隊目前正研發一款手貼式量測裝置,要讓洗腎病友更輕便掌握瘻管狀況。文◎王若樸
臉書發布了一個稱為Facebook Pay的新支付系統,讓使用者在臉書、Messenger、Instagram以及WhatsApp上方便的付款,Facebook Pay可以直接匯款給朋友,也可以用來購物或是捐贈給募款基機構,臉書表示,Facebook Pay獨立於臉書Calibra錢包與Libra網路,建構在現有的金融基礎設施和合作關係上。
臉書提到,現在使用者大量的使用臉書旗下應用程式進行購物、捐贈或是匯款,而為了讓交易更加簡單而且安全,因此推出了Facebook Pay,用戶只要在第一次使用時,新增付款的方法,之後在臉書旗下應用程式付款,便不需要再重新輸入付款的訊息。
臉書提到,使用者必須要逐一在各應用程式中設定Facebook Pay,或是在可用的情況下,同意Facebook Pay可跨各應用使用,否則臉書不會自動替使用者在各應用間設定Facebook Pay。
臉書在這星期會先於美國,在臉書以及Messenger上推出Facebook Pay,用戶就能以Messenger進行用戶對用戶的支付、捐贈給募款機構,以及在遊戲內購買,還能購買活動票券,也能在臉書的拍賣市集(Marketplace)購買商品,在未來Facebook Pay的應用範圍還會擴展至Instagram和WhatsApp上,並且將Facebook Pay擴展到其他市場。
用戶可以在臉書和Messenger應用程式的設定中,設定支付方法,目前Facebook Pay接受簽帳金融卡與信用卡,臉書透過Stripe和PayPal等第三方支付公司來處理這些支付款項。臉書提到,Facebook Pay除了會加密儲存用戶卡號以及銀行帳號之外,也會在系統上執行詐騙監控,以偵測未經授權的帳戶活動。Facebook Pay支援PIN碼或是指紋與臉部ID的生物特徵辨識,在支付前提供額外的安全保護。
用戶使用Facebook Pay的資訊,將被用於廣告網路上,Facebook Pay會收集用戶支付資訊,諸如付款方式、交易日期、帳單、運輸方式和聯絡方式,臉書提到,Facebook Pay與臉書其他產品一樣,其操作會用於向用戶推播相關內容和廣告,也就是說,當用戶在臉書拍賣市集購買了棒球手套,便有可能看到關於棒球球棒的廣告,不過,卡號跟銀行帳號不會用於最佳化廣告。
用戶可以在Facebook Pay增加或是刪除支付方式,並查看交易紀錄,用戶的支付或是購買活動,除非用戶自己分享,否則Facebook Pay不會主動與用戶朋友共享,也不會出現在個人資料及塗鴉牆上,臉書也強調,他們只會與商家共享交易所需,例如運輸和聯繫方式的資訊。
墨西哥國營石油公司Pemex在本周日(11/10)遭到勒索軟體攻擊,駭客加密了Pemex部份系統的檔案,且外傳駭客提出了565個比特幣的贖金要求,約等於490萬美元。
Pemex透過Twitter證實了此事,並在聲明中澄清該公司的營運與生產系統都可正常運作,也有充足的庫存與供應,希望外界不要相信損及該公司形象的謠言。
Pemex表示,如同其它大型企業或政府組織一樣,該公司也經常成為駭客的攻擊目標,由於適時的因應,周日的攻擊僅造成不到5%的個人電腦受損,而燃料生產、供應與庫存等系統都是安全的。
Pemex並未提供其它攻擊細節,但根據路透社的報導,Pemex於內部郵件中聲稱是受到Ryuk勒索軟體的攻擊,但Bleeping Computer則自外洩的勒索信函與付款網站等資訊,判斷Pemex是被DoppelPaymer所感染,而非Ryuk。
此外,Bleeping Computer還從付款網站看到駭客向Pemex勒索了565個比特幣,約等於490萬美元的金額。
微軟在11月的Patch Tuesday修補了74個安全漏洞,其中有13個屬於重大(Critical)漏洞,並有一個IE零時差漏洞CVE-2019-1429 ,以及一個存在於Microsoft Office for Mac上、已被揭露但尚未被開採的CVE-2019-1457漏洞。
CVE-2019-1429衍生自IE腳本引擎處理記憶體中物件的方式,該漏洞可能造成記憶體損毀,而讓駭客得以執行任意程式,並使駭客取得與使用者同等的權限。
根據微軟的描述,駭客只要設立一個專門用來開採該漏洞的網站,然後誘導使用者造訪該站,就能開採此一漏洞,或者是在Office文件或應用程式中嵌入一個標示為安全的ActiveX控制器,也能藉由惡意廣告展開攻擊。此一已被開採的漏洞影響IE 9與IE 11。
至於CVE-2019-1457則是藏匿在Microsoft Office for Mac中,當使用者勾選了「不必通知就關閉所有巨集」(Disable all macros without notification)設定時,它卻依然容許Excel巨集的執行,而且不會跳出通知,該漏洞同時波及Office 2016 for Mac與Office 2019 for Mac。
此外,微軟修補了19個與繪圖元件有關的安全漏洞,以及9個涉及Windows Hyper-V的安全漏洞。
Intel今天在AI Summit 2019活動上,揭露AI生態系的最新佈局。除了發表新一代的Movidius視覺運算處理器(VPU)Keem Bay,要搶進邊緣運算的市場,也在與VPU搭配的軟體工具集OpenVINO中,新增了DevCloud硬體部署測試平臺,讓企業能直接從雲端上傳訓練好的模型,來測試出最適合該模型的硬體設施,此外,也宣布成立Edge AI NanoDegree,來培育AI領域中的邊緣運算人才。
VPU(Vision Processing Unit)是Intel 2016年併購Movidius後,所推出專門進行影像識別的處理器。而新一代的VPU Keem Bay,是繼2016年推出首款VPU Myriad 2、2017年推出VPU Myriad X後,專門為IoT邊緣運算所設計的第三代VPU,能處理的資料已經不侷限於影像識別,現在連語音、社群媒體中的用戶行為等邊緣端的非結構化資料,都能用Keem Bay來進行推論(Inference)。
Intel副總裁暨AI產品部總經理Naveen Rao表示,Keem Bay的推論效能(performance)為同類產品Nvidia TX2的4倍,也是華為Ascend 310的1.25倍,雖然比不上Nvidia另一款旗艦產品Xavier,但在相差不多的表現下,Keem Bay的功耗只有30瓦,約為Xavier的五分之一,「功耗會是一個關鍵,雖然高效能運算很重要,但客戶也很在意能源的耗費。」
若從能源的角度來看,在耗能固定的效能表現上,Naveen Rao更宣稱,Keem Bay的效能足足是Nvidia TX2的6.2倍,若去測量處理器每平方毫米的每秒效能表現,Keem Bay更能達到Nvidia TX2的8.7倍,「而且,如果再搭配上OpenVINO軟體來最佳化模型,效能初步能再提高50%,而且我們還會繼續優化軟體堆疊架構。」
至於,Intel是如何達到這個成果?Intel IoT部門副總裁Jonathan Ballon表示,用VPU搭配CPU執行運算時,在CPU的部分,Intel正在用64位元記憶體頻寬(memory bandwidth)來加快資料傳輸,同時也改良指令集來提高推論效率,而且,為了達到工作負載平衡,CPU也執行平行運算,且自動將推論工作轉移到加速卡上,來更有效的利用運算資源。
而在軟體層面,Keem Bay也結合OpenVINO工具集來優化AI模型。當客戶要將模型部署到VPU上,編譯器可支援TensorFlow、Pytorch、MXNet、Keras、Caffe、ONNX等深度學習框架,且龐大神經網絡也能透過模型優化器(model optimizer),在不影響辨識準確度的前提下進行壓縮,來減少運算資源的消耗。
比如提供醫療影像辨識平臺AIRX的Go Healthcare這家公司,就是用Intel的OpenVINO來最佳化模型,優化前後的影像處理延遲情形從2.86降至0.66秒,也就意味著,系統能在相同時間內標注更多的病灶影像,來加速影像辨識的流程。
用Intel的OpenVINO來優化模型後,優化前後的影像處理延遲情形從2.86降至0.66秒,快了4.37倍。
Keen Bay預計在2020上半年將正式推出Keem Bay,Intel IoT部門副總裁Jonathan Ballon受訪時,雖無正面回應市場定價,不過以GPU作為比價對象:「Keem Bay的價格將會是GPU的一部分而已(a small fraction of the price of a comparable GPU)。」加上發表會上公布的圖表數據,不難發現Intel將Nvidia視為競爭對手。
除了硬體VPU處理器的發表,為了讓客戶不再困擾該使用哪種硬體處理器, Intel今天也發布了「DevCloud硬體部署測試平臺」,是OpenVINO的軟體工具集的新功能。這個平臺能讓客戶上傳演算法,並選擇不同的處理器來測試軟硬體搭配的效能,來找到最合適部署的硬體。「過去的幾個月中,DevCloud在進行Beta版測試,如今已經有2700多家客戶使用過。」Jonathan Ballon表示。
該平臺的使用方法分為兩步驟,第一,是上傳演算法並選擇硬體處理器,包括CPU、FPGA、VPU等邊緣運算用的推論晶片,在大方向的選定硬體類別後,即可在雲端執行推論,並得到推論的速度與成效;接著,重複測試幾次並選定了要使用的硬體類型後,就能更進一步選擇處理器型號、要搭配哪種加速卡、batch-size與執行緒的數量等,來進行更精確的測試。
.JPG)
在OpenVINO工具集中,除了具備模型最佳化的功能(model optimizer),也新增了邊緣運算硬體部署最佳化的功能(Edge AI Optimizer)。
第一步,先上傳演算法並選擇硬體處理器類別進行測試。
第二,能更進一步選擇處理器型號、要搭配哪種加速卡、batch-size與執行緒的數量等,來進行更精確的測試。
測試完成後,下一步驟就是部署。Jonathan Ballon表示,邊緣運算的應用不是只要建構一個解決方案,而是需要大規模的將軟體部署到邊緣端產品中,而Intel的優勢在於其CPU搭配加速卡的組合,「效能比只用GPU高很多,」再加上軟體平臺的工具以及系統整合商的資源,能創造出一個完整的AI生態系,讓客戶直接在其中找到合作夥伴,更容易進行大規模產品部署。
要發展生態系,Intel長期以來也提供開發者許多學習資源來培育AI人才。2016年底,Intel因應AI趨勢來襲而成立了Nervana AI學院,以Intel AI相關軟硬體為教材來提供線上課程。「不過,以往我們有關AI的教育和培訓都針對雲端開發人員,現在我們也要培訓開發人員在邊緣端應用AI。」Jonathan Ballon表示,Intel宣布成立具有Udacity學位的Edge AI NanoDegree,來因應邊緣運算興起的趨勢,也釋出獎學金來鼓勵女性參加。
日本老牌科技媒體日經今天揭露了日本雅虎傳出要和LINE合併為新公司的消息,消息一出,引起業界熱議紛紛,不過,兩家公司都沒有正面回應這個傳聞。
日經今天突然披露,日本雅虎背後主要持股公司,也就是軟銀集團旗下Z控股(Z Holding)公司,正與LINE的韓國母公司Naver洽談中,計畫將在這個月底達成初步的合併協議。另外,也傳出軟銀和Naver將各出資5成,成立一家新公司來維運日本雅虎和Line,不過,沒有進一步的細節。
日本雅虎用戶約5千萬人,而LINE在日本用戶約8,200萬人,兩者若合併後,有機會建立一個破億用戶的生態系。
Z控股公司旗下除了日本雅虎,還擁有知名一休訂房網站、大型物流商ASKUL,以及Z金融集團,而雅虎則持有日本網銀Japan Net Bank的44.25%持股(與三井住友銀行持股比例相同)
Z控股的發展策略,其實與LINE近年力攻的點數經濟和金融科技布局類似,如下圖,透過資料平臺整合支付和交易、線上用戶使用時間、電商交易、可記錄的使用者規模,來貫穿電商、會員、O2O、金融、整合營銷、廣告等產業,來營利。(圖片來源:Z控股)
而LINE則在今年初剛建立新的內部組織架構,內部區分為通訊軟體、金融服務、金融科技、娛樂、數位內容、AI、入口、行銷、各地子公司和O2O等。兩家公司的重疊領域甚多,如下圖(圖片來源:LINE)
根據外電報導,包括Chromebook或其它採用Chrome OS裝置的使用者,未來直接從裝置的系統設定中,就能直接看到該裝置的支援期限,在打算購買舊有機種或二手裝置時,是個非常有用的參考值。
Chrome OS裝置都採用自動更新(Auto Update)機制,涵蓋Chromebook、Chromebox、Chromebase及Chromebit,它們都會自動接收可改善硬體或軟體效能的更新,而且它們的更新或支援期限都是固定的,Google則曾承諾每個新硬體平台,都可接收6.5年的自動更新,此一期限也代表著裝置的生命周期,儘管裝置還能持續使用,但已無法再接收來自Google的功能及安全更新。
事實上,在Google的自動更新政策網頁上,就陳列了各式基於Chrome OS的裝置型號,也秀出了它們的自動更新到期日,因此,過去只要需要知道該資訊的用戶都可到此查詢。
不過,根據國外媒體所張貼的螢幕截圖,現在Google讓Chrome OS裝置用戶直接透過設定中的「About Chrome OS」,再點選「Additional details」,就能看到自己裝置的更新期限,讓相關資訊更加透明化。
這雖然只是個小功能,但外界認為市場上還流通許多舊款的Chromebook,或者是當要添購二手Chrome OS裝置時,它將是個非常重要且有用的資訊。