一名來自德國的行為藝術家Simon Weckert,最近示範了如何混淆Google Maps顯示的交通狀況,他蒐集了99支二手的手機,把它們放在同一台手推車上,在一條道路上拉著手推車前進,而Google Maps則因偵測到該道路聚集了大量的手機,而在Weckert所行經的路段上,顯示了交通擁擠的紅色狀態。
Google Maps主要是利用手機上的GPS與位置資料來判斷特定地區的交通狀況,當在察覺大量手機或是手機前進速度緩慢時,就會在地圖上顯示紅色來提醒用路人,建議用路人避開該路段。
而Weckert則公布了此一實驗的影片,可以看到當他拖著99支手機行走時,Google Maps上同一位置所顯示的路況,從原本代表交通順暢的綠色,轉變成塞車狀況的紅色。但事實上,在Weckert執行實驗時,只有零星的幾部車輛經過同一路段。
微軟的Microsoft Teams在美東時區的周一(2/3)早上9點(約台灣周一晚間10點)時,當了3小時左右,造成Microsoft Teams用戶無法存取該服務,調查後發現是因該服務的憑證過期所造成,微軟緊急部署了新憑證,於台灣周二凌晨1點時恢復大多數用戶的存取能力,直到今早5點才完全修復。
昨天當Microsoft Teams用戶要存取該服務時,出現了無法與伺服器建立HTTPS連線的錯誤訊息,Microsoft 365團隊很快就在Twitter上發布聲明,表示正在展開調查;一小時後就查出了原因,原來是Microsoft Teams的憑證過期了,使得微軟緊急部署了新憑證。
美國媒體認為這真是個尷尬的錯誤,一來忘了更新憑證似乎過於大意,二來微軟最近正在大打Microsoft Teams的電視廣告,竟然就在此時出錯了。
根據微軟去年11月所公布的數據,Microsoft Teams的每日用戶數已超越2,000萬,成為全球最受歡迎的聊天協作服務,凌駕最大競爭對手Slack的1,200萬名每日用戶。
日本大廠再傳遭駭,繼日前的三菱電機後,NEC也坦承2018年公司發現國防事業部一台伺服器遭駭客入侵,使2.8萬份檔案疑遭不法存取,但NEC強調國防機密和個資並未外洩。
這件事發生於2年多前。NEC於2017年6月執行網路安全檢測,發現有從公司伺服器發出的異常連線,於是將這台伺服器加以隔離並送交調查。經過鑑識分析後,2018年7月證實是NEC國防事業部一台和其他部門共用的伺服器遭駭,儲存於其上的27,445份檔案,可能已經遭非法存取。
NEC指出,目前協助調查的第三方廠商尚未確認資料外洩的損害。但該公司強調疑似遭存取的檔案,並不包含國防機密或個人隱私資訊。而從2018年7月以後,NEC 也已個別通知受到影響的客戶。
NEC並未說明這些檔案的性質。日經新聞報導可能洩露了「軍事設備」資訊,NHK則引述NEC說法報導,外洩資料包含潛水艇感測器相關資訊。NEC也強調會強化公司網路攻擊的防範及安全政策執行,以防止類似事件再發生。
這也是日本大廠近來曝光的第二宗重大資料外洩事件。二周前三菱電機也坦承公司網路於去年6月底遭駭,造成近2,000名求職者履歷、4,500多名現任員工及1,600名退休員工個資外洩。
日本汽車大廠豐田澳洲、越南分公司及日本總公司去年上半年,也分別遭疑似同一駭客組織發動網路攻擊,造成經銷商及客戶資料外洩。
武漢肺炎從年前爆發迄今,打亂許多企業的業務與差旅計畫,臺灣雖然只有十個確診病例,但從中央防疫指揮中心年節前的全天候待命,到開工後的口罩之亂等,也都在在凸顯出,抗疫防疫的確不是一件容易的事情。
從1月30日臺灣許多企業正式開工後,從資訊到業務單位都為了因應武漢肺炎展開許多應變措施,iThome也於最短的時間內,針對全臺灣二千規模的大型企業,進行「武漢肺炎因應措施」的緊急問卷調查,在兩天(2/2-2/3)回收了116家企業的有效樣本。
臺灣BSI營運長謝君豪針對此一問卷調查進行分析指出,臺灣企業平時已完成的IT對策,包括八成以上企業都已經做到「關鍵系統和資料備份」等,顯見IT部門對於IT系統以及資料備份等營運持續對策落實度很高。
但相對於「正在進行中」的IT對策,都比較偏向「業務面」的營運持續措施來看,目前只有32.8%的企業已經做到「營運持續計畫(BCP)納入傳染病衝擊對策」。謝君豪分析指出,換句話說,仍有六成七的企業,面對這次傳染病的營運衝擊,沒有任何營運持續計畫的備案。
但他也說,要從企業營運持續管理(BCM)的角度來看,IT部門頂多只能完善並落實IT系統層次相關的營運持續計畫,真正對業務面帶來衝擊的營運持續計畫,仍有賴公司的高階主管支持,才可能真正落實。
這一次的「因應武漢肺炎疫情的IT對策」問卷調查中,從疾管署在2011年修訂的機關企業因應流感大流行營運持續指引中,整理出23項IT對策作為問卷選項,也針對企業「平時已完成」、「正在進行/執行」、「計畫中還沒執行」和「不需要或不知道」等四個層次,做為企業的自我評量的標準。
從116家企業的問卷調查來看,平時已完成的項目中,超過八成企業,平日已經落實「關鍵系統和資料備份」(81.6%);超過七成企業已做到「關鍵系統備援機制」(71.9%)和「災難備援和復原演練」(70.4%);更有超過六成企業「建立IT的職務代理機制」(69.9%)、「重新確認受災時,關鍵系統可正常運作」(67.8%)和「建立IT單一服務窗口」(65.8%)。
謝君豪認為,企業IT部門對相關系統與資料備援已經很有經驗,「這些對策早就落實在IT部門的平日工作項目中。」他說。另外,過半企業也「建立遠距工作機制,含遠端桌面與雲端協同」(58.3%)和「建立即時通訊機制」(50.4%)。
謝君豪認為,隨著雲端科技的普遍和各種即時通訊工具的普及,許多IT部門平時若多採用雲端或是Web服務,面對這一次的疫情爆發,往往有餘力提供企業所需的各種遠距工作環境,並且藉由事先已經落實的緊急通訊聯繫的機制,確保企業內部的政策溝通無誤。
但是,若進一步觀察IT部門「平時已完成」的IT對策中,只有3成企業「營運持續計畫(BCP)納入傳染病衝擊對策」(32.8%),謝君豪指出,有將近七成企業,即便平時有撰寫營運持續計畫,但在對應的情境中,並沒有納入傳染病可能對企業帶來衝擊的情境,這也可見,多數企業對於傳染病防治相對缺乏警覺性。
從2002年的SARS,到2005年的禽流感,或者是2009年H1N1新流感,或許因為每一次的傳染病流行都有很長的時間間隔,今年武漢肺炎距離上一次H1N1新流感,迄今甚至超過十年時間,也讓許多企業無形之中,淡忘了傳染病對企業營運持續帶來的重大衝擊。
萬事莫如防疫急!許多企業正式開工後,也都陸續針對武漢肺炎的防疫做相關因應。根據此次調查顯示,有超過四成以上的企業,正在進行包括:「建立員工健康監測和追蹤機制」(48.7%)、「建立疫情專責應變小組」(47.8%)、「建立員工差與的疫情風險控管機制」(47.8%)、「建立疫情接觸者的管理和追蹤機制」(43.5%),以及「建立疫情風險和業務衝擊盤點」(41.7%)等IT對策。
另外也有三成企業,正積極「建立即時通訊機制」(33.6%)、「營運持續計畫(BCP)納入傳染病衝擊對策」(32.8%)和「確保關鍵人物的聯繫管道暢通」(32.2%)。
謝君豪表示,從這些前八大正在進行中的IT對策可以發現,除了建立即時通訊機制是IT部門原先的職掌外,多數的IT對策都涉及業務層面的決策,並不是IT部門本身可以做決定的項目。
從這個調查結果也可以清楚發現,他說:「企業在落實營運持續管理(BCM)或制定營運持續計畫(BCP)時,絕對不只是IT部門的責任,公司管理階層和業務單位如果沒有參與並投入,整個營運持續管理是無法真正到位的。」
至於,其他想做還沒做的十大IT對策中,排名前五名的項目包括:「完成臨時辦公室的IT環境準備」(27.8%)、「IT也建立彈性工時機制,如停班或輪班工作」(24.4%)、「建立供應商受災情報」(21.7%)、「啟用備援機房」(20/9%)和「進行疫情風險和業務衝擊盤點」(20.9%)。而排名第六名的「營運持續計畫(BCP)納入傳染病衝擊對策」則列在20.7%企業的待辦事項清單中。
謝君豪認為,這些項目中,像是排名第一名的「完成臨時辦公室的IT環境準備」,「IT建立彈性工時制度」或是「啟用備援機房」等,看似要執行IT部門的系統復原任務,但實際上,這些IT服務的啟用,最終的目的卻是為了做到異地辦公室可以順利業務復原的前置作業。
如同謝君豪所言,要從企業營運持續來看企業防疫的IT對策時,單從IT復原或是業務復原的層面來看都是不足夠的,管理階層、業務部門和IT部門都必須分工合作,從公司營運持續的角度來執行相關的IT或業務復原工作,才能真正達到企業營運持續的目標。
此外,相較前面只有三成企業,已經將傳染病對企業營運持續的衝擊納入該公司的營運持續計畫中,從調查中則可以發現,仍有二成企業,目前還無力將傳染病對企業營運帶來的衝擊,納入營運持續計畫中。
由Google投資的診所1Life Healthcare上周在那斯達克市場,以每股14美元掛牌上市,一舉募得2.45億美金。
1Life Healthcare IPO目標底價為14到16美元。但當天獲得金融巨擘摩根大通(JP Morgan)及摩根史坦利(Morgan Stanley)投資2.45億美元,當天以22.07美元作收,比底價還高出58%,使市值爆增為27億美元。目前該公司股價為22.8美元。
總部位於舊金山的1Life Healthcare為診所連鎖One Medical母公司,成立於2007年,One Medical提供號稱未來式的全觀(holistic-view)初級健康照護服務。它採用會員制,會員年繳199美元可享有「平價、方便」的醫療服務、同日預約及24x7的遠距健康照護諮詢。1Life Healthcare客戶包括會員數4萬,來自4千家為員工支付會員費的企業。
1Life 2013年獲得Google Venture 投資,其他投資者也大有來頭,包括Carlyle Group、Oak Partners、私募基金業者Benchmark等,Google也是1Life最大企業客戶,約佔其近10%的營收。根據CNBC的報導,去年頭9個月1Life營收近2億美元。
OneMedical診所目前在全美9座城市,包括波士頓、西雅圖、紐約與芝加哥等設有77家診所,並宣稱未來會再擴展到波特蘭市、亞特蘭大及加州橘郡等地。
科技巨擘紛紛投入健康照護業。除了發展健康照護用的穿戴裝置、儲存資料的雲端儲存服務外,他們也提供診所為員工及眷屬提供醫療服務作為員工福利,像是蘋果的AC Wellness和Amazon的線上診所Amazon Care。
在2016年12月取得黑莓(BlackBerry)品牌獨家授權的TCL Communication,於周一(2/3)宣布,與黑莓母公司BlackBerry Limited的合約將於今年的8月31日到期,屆時TCL將不再銷售黑莓品牌的裝置。外界則認為這代表著黑莓機將從此消失。
成立於1984年的加拿大業者Research In Motion(RIM),在市場上推出了「黑莓」(BlackBerry)品牌的裝置及服務,相關裝置最大的特色是安全性與內建實體鍵盤,成為商界及政治界人士的最愛,也一度是全球最受歡迎的智慧型手機品牌,還使得RIM在2013年直接更名為BlackBerry Limited。
然而,黑莓機終究不敵iPhone與Android手機,逐漸淡出手機市場的BlackBerry,更在2016年宣布將黑莓品牌的安全軟體與服務套件獨家授權給TCL,允許TCL設計、生產及銷售黑莓機。
本周TCL則表示,在今年8月31日之後,該公司已無權再設計、生產或銷售任何新的黑莓裝置,但會繼續支援既有的黑莓機,包括保固或客戶服務,期限為2022年的8月31日或其它各地法令所規定的日期。
在2016年接手黑莓品牌的TCL,在這幾年以BlackBerry Mobile為名,陸續發表了BlackBerry KEYone、BlackBerry Motion、BlackBerry KEY 2及BlackBerry KEY 2 LE等多款手機,最新的一款是2018年10月推出的BlackBerry KEY 2 LE,屬於入門款黑莓機,售價為399美元,之後就再也沒有新作。
已經轉型為安全軟體及服務供應商的BlackBerry Limited,目前尚未回應TCL的聲明,並不確定BlackBerry Limited是否會重拾黑莓裝置生產業務,或是將黑莓品牌重新授權給其它業者,還是讓黑莓機從此成為絕響。
蘋果近日針對包含雙因素驗證(two-factor authentication,2FA)一次性密碼(one-time password,OTP)的簡訊,提出新的格式草案,減少以簡訊傳送動態密碼的安全風險,也獲得Google的支持。
許多網站使用一次性密碼作為身份驗證,而簡訊是傳送OTP最常見的機制,但是一如許多研究顯示,以簡訊傳送OTP安全風險很高,可能遭到外人攔截以發動中間人攻擊(man in the middle),取得用戶的登入帳密,或是竄改目標URL而導引用戶到釣魚網站。而這項草案即希望能降低簡訊傳送OTP的部份風險。
在現有簡訊傳送OTP的作法下,例如一個名為foobar.com的網站透過傳送747723的OTP到用戶手機,再由用戶將這組數字在https://foobar.com網站輸入。但因為目前傳送OTP的簡訊沒有標準文字格式,因此想用2FA登入的網站,必須使用啟發式(heuristics)演算法,來尋找簡訊文字內的數字密碼,以及將這組密碼和網站進行關聯。問題是啟發式演算法容易出錯也很危險。
蘋果Safari Web技術部門的工程師Theresa O'Connor指出,蘋果提出的文字格式草案目標有二。一是不用仰賴啟發式演算法從簡訊擷取出OTP。她認為用戶不需手動將OTP複製、拷貝到瀏覽器上的方式,才是最理想作法。目標二是將OTP穩定地關聯到特定目標網站,OTP是由哪個網站發出,最好也只能用於該網站。
蘋果草案提出一種很簡單的簡訊格式來解決上述問題。第一行是人類可讀取的文字,這可由網站自行決定要不要加。此後則是以將OTP和發送OTP的網站列於一行,如「747723是您Foobar的驗證碼」。第三行,也就是最後一行則提供說明,像是「@foobar.com #747723。」
蘋果認為這個格式可以提升以啟發式演算法從簡訊擷取OTP,以及將OTP關聯到來源網站過程的穩定性。此外,還可以增加瀏覽器提供的2FA驗證輔助功能(即AutoFill功能),並減少用戶誤上釣魚網站輸入OTP的風險。
但蘋果也強調,這種新式簡訊格式只能減少網釣風險,無法解決簡訊被攔截的弊病。
這項草案需要其他瀏覽器的支持。除了蘋果Safari,Google Chrome團隊也表達支持,也在早期制訂過程提供了意見,但Firefox似乎未加入支持。
不過為避免簡訊OTP被攔截的風險,使用者還可以選擇其他方式,如以Google Authenticator等App產生密碼,或用Google、Yubico提供完全不必使用密碼的硬體金鑰。Google上周甚至把開發硬體安全金鑰的韌體,以OpenSK專案開源,讓獨立開發人員或硬體廠商也能開發金鑰裝置。
自保,才能救人,當臺灣開始出現武漢肺炎通報案例時,全臺31萬醫護就成了武漢肺炎的高風險族群,如何更早一步提高警覺,關鍵之一就是,健保系統上的這個病患旅遊史「重點提示」小視窗。
為防止武漢肺炎疫情擴大,衛福部中央健康保險署(簡稱健保署)早在1月27日時,就宣布「高風險地區入境日期資料」功能正式上線,勾稽了移民署入境資料,只要插入健保IC卡,醫事人員就能得知就醫民眾的入境史,了解民眾過去14天內是否去過疫區。
後來,隨著疫情蔓延、通報定義擴大,這個警示功能也不斷精進,不只最初的湖北資料,現在涵蓋到來自全中國的入境史,甚至是否接觸過確診個案等紀錄,都會顯示在健保雲端系統中的摘要資訊區,提醒第一線的醫護人員加強防疫措施。甚至更進一步,現在,醫療院所透過授權機制,護理人員在醫院入口或診所櫃檯,就能提前查詢就醫民眾的旅遊史,更提早一步展開防疫措施。
健保署、疾管署、移民署連夜趕工,新功能才能及時上線
這個看似簡單的提醒功能,其實來自一群幕後團隊的付出。健保署資訊組科長張齡芝指出,中央疫情指揮中心在春節1月25日指示,要求移民署提供最近3個月內曾至湖北地區的出入境名單,並將此資訊結合健保雲端系統,讓醫療院所可以直接從系統得知民眾的相關旅遊史。
收到指示後,張齡芝與團隊馬上回到署中,趕工這個新功能。張齡芝指出, 他們直接在原有的雲端系統上開發這個功能,初版,先由疾管署轉達提供移民署的入境資料,包括入境日期、ID和居留證號碼,以武漢和湖北地區為主。後來,移民署直接加入開發協力,採每天批次提供的方式,每天下午提供前一天的入境資料給健保署更新。
健保署資訊組參議張淑慧表示,由於是這是緊急指令,許多作業直接先採人工進行,包括收發檔案和統整、資料庫匯入等。這些看似簡單的動作,在時間壓力下,「如何快速解決資料不正確的問題是挑戰。」她舉例,如原始資料中,就曾出現ID空白的記錄或ID超過10碼(身分證號標準長度)的資料,還得人工反覆與移民署釐清。資料清理後,還需轉換成健保雲端系統可用格式,「一開始,雙方沒有建立默契,常需調整格式,後來就漸入佳境了。」
2天加班趕工,這個功能終於在1月27日正式上線,透過健保三卡認證(即醫療院所的安全模組卡、醫事人員卡和民眾健保卡),就能在雲端系統的病人摘要資訊區,跳出視窗告知旅遊入境史。
預防院內感染早一步,建立授權機制讓護理人員在大門先把關
後來,通報定義擴大,在1月31日時,開始增加來自中港澳地區的出入境記錄,資料量一下從最初的幾千筆,「暴增到了31萬多筆。」健保署資訊組隨即調整資料庫的比對條件邏輯,將來自移民署的資料,整合至自建的地區代碼檔案,來提高作業的速度。此外,提示內容還進一步增加了民眾的接觸史,讓醫護人員了解就診民眾是否曾接觸過確診個案,以便提高警覺。
不只在資料上有所調整,健保署在1月30日時,增加了授權機制,讓護理人員經過授權,就能用護理人員卡,在大醫院門口或診所櫃檯,先查詢民眾的旅遊史和接觸史。
健保署署長李伯璋解釋,一般醫療院所在民眾看診前,會先測量耳溫、判定是否發燒,「但發燒不一定是武漢肺炎的指標,病人也有可能只是肚子痛。」因此,為了避免進一步的院內感染、給予正確的診療,健保署開放授權,讓醫療人力較少的診所,可透過護理人員,先在櫃臺以健保卡查詢民眾資料。同時,大醫院也能藉此,在醫院入口就先了解民眾旅遊史,再分派至合適的診間。
下一步:因應口罩實名制系統上線
李伯璋指出,全臺一天口罩產量約300多萬片,其中,105萬片分配給醫療防疫人員、50萬片給服務業者,剩下的則分派給衛生單位,以及透過四大超商販售給民眾。
但四大超商近日出現口罩分配不均問題,因此,經行政院指示,疾管署在昨(3日)宣布,自2月6日起實施口罩實名制,民眾須以健保卡,依照身分證字號末一碼和特定天數,至社區藥局購買口罩,每人限購2片。
張齡芝表示,健保署在兩天內修改全國資料庫系統,透過健保卡過卡方式,可註記購買日期、數量,一方面也能告知藥師,民眾是否符合購買資格,來把關口罩數量分配。
不過,「口罩實名制系統,對資訊組來說是不一樣的大挑戰,因為要考量瞬間爆量和硬體備援。」張齡芝解釋,依口罩購買量來判斷,系統在全臺6,500多家藥局同時上線時,勢必會遇到系統瞬間流量爆增。「也因此,我們在伺服器、CPU、資料庫連接和頻寬等,都加倍處理,」比如,健保署已備妥24臺應用伺服器(AP Server),來因應系統上線,另外也多準備了12臺預備主機,以備不時之需。
在整體防疫面,為了減少防疫漏洞和人工作業量,行政院也指示衛福部,日後進行跨部會的資訊整合,比如與移民署、戶政和電信業者合作,整合出入境資料、戶籍資料和電信帳單資料,未來若有疑似個案失聯,也還有一套可行的追蹤機制。文◎王若樸
Hewlett Packard Enterprise(HPE)在本周宣布,已買下甫於2017年創立的雲端安全服務供應商Scytale,打算藉由Scytale的技術來強化HPE雲端服務,HPE亦承諾將承繼Scytale對SPIFFE及SPIRE兩大開源專案的貢獻。
Scytale團隊由老練的工程師組成,他們分別來自AWS、Duo Security、Google、Okta、PagerDuty與Splunk,且是SPIFFE與SPIRE開源專案的貢獻者。SPIFFE的全名為「每個人的安全生產身分認證框架」(Secure Production Identity Framework for Everyone),SPIRE則是SPIFFE的執行環境,因此,Scytale基於這兩個專案,替雲端及基於容器的微服務打造了服務身分認證能力。
Scytale專注於打造零信任(Zero Trust)的安全服務,亦即要求組織不論是在任何時候,都不應信任內部或外部的各種實體,該公司的共同創辦人Sunil James表示,隨著有愈來愈多的組織擁抱混合雲、多雲、容器及邊緣運算,零信任的價值愈趨明顯。
在雲端運算的分散式微服務架構中,許多元件都必須持續與其它元件交流,而這些元件需要一個機制來驗證各種訊息的真實性,使得SPIFFE與SPIRE逐漸成為雲端原生運算的基礎。
HPE則說,他們在HPE的產品或服務中,看到許多可利用SPIFFE與SPIRE的機會,相信此一基於密碼的身分認證技術,將能在企業的數位轉型或雲端部署中扮演重要的角色,此一併購案將能讓HPE的客戶能夠設計、部署及達到其IT經營目標,不需考慮供應商或區域,就能達到過去只有透過私有網路安全方案才能實現的信任。
此外,HPE也承諾將會繼續貢獻SPIFFE與SPIRE專案,提供基於開源專案的各種服務與產品,以協助客戶在最短的時間內現代化它們的應用。雙方並未公布此一併購案的交易金額。
現在程式語言Swift多了一個用於加密的開源專案Swift Crypto,Swift Crypto是一個新的套件,讓Swift開發社群也能用到Apple CryptoKit的功能,開發人員可以應用API進行一系列通用的加密操作。Swift Crypto是一個跨平臺的加密解決方案,在所有Swift支援的平臺都可以使用。
Swift Crypto加密套件由兩部分組成,在Apple的平臺上,Swift Crypto依循Apple CryptoKit加密框架,提供Apple CryptoKit的API,而在其他平臺上,Swift Crypto則是以BoringSSL函式庫為基礎重新實作,目標是提供一組簡單易於使用的API,讓開發者用於開發跨平臺程式碼。
官方提到,Swift Crypto需要考量複雜的硬體實作問題,雖然Apple CryptoKit是由公開的加密原語實作,但是其API子集使用Apple的Secure Enclave處理器來儲存並且計算金鑰資訊,但Apple的Secure Enclave處理器無法用於非Apple的硬體,因此Swift Crypto不會提供部分相關API。
而且為了讓開發人員在非Apple平臺上,方便地更新Swift Crypto,開發團隊利用Swift套件管理器發布Swift Crypto,開發者可以簡單快速更新套件,以獲取安全修復程式和API更新。官方強調,從Swift Crypto獲得的結果,與從Apple CryptoKit獲得的結果相同,相同輸入對Swift Crypto和Apple CryptoKit的同一API,將會產生語意上相同的結果,官方釋出了測試套件,開發者可用來進行驗證。
不過,在部分情況下,開發人員需要進行額外的工作,橋接Apple CryptoKit驗證與BoringSSL驗證不相符的情況,甚至在特定的案例,部分演算法有重新實作的需要,官方提到,這些工作將是Swift Crypto專案接下來努力的方向,而且也會盡力在Swift Crypto中提供Apple CryptoKit的所有功能。
Swift Crypto專案的目標是提供跨平臺的解決方案,以便在更廣泛的平臺上使用Apple CryptoKit的API,因此Swift Crypto的發展會跟隨Apple CryptoKit的發展狀況,也由於Swift Crypto是一個開源專案,因此貢獻者有一定程度的自由可以發出API提案,並且根據這些API影響的範圍,Apple會考慮在Apple CryptoKit中實作。
除了需要用到專有硬體的API之外,Apple CryptoKit實作的API都會被Swift Crypto採用,不可用的部分會以Swift Crypto為基礎實作,官方會透過共享的測試套件,確保Swift Crypto和Apple CryptoKit完全相容。而官方也提到,Swift Crypto的重點不在於提供所有加密原語,因為這會使得開發者選擇困難。
圖片來源/趨勢科技
隨著武漢肺炎疫情持續延燒,民眾可要當心以相關時事為誘餌的社交工程與詐騙!已有事件被資安業者揭露。例如,在國內,趨勢科技近日指出,發現多個以送口罩名義騙個資的臉書粉絲專頁,像是有一個假冒全聯名義的「全聯福利中心Taiwan」粉絲專頁,在1月31日剛成立,透過臉書投放廣告,聲稱填問卷就可以優惠價格購買口罩,騙取民眾個資;還有其他粉絲專頁用各式藉口,以留言分享就能免費送口罩為號召,吸引不知情民眾上鉤,再以聊天機器人透過私訊拉攏消費者,目的是要大家對粉絲專頁按讚與騙個資,同時還要大家資訊分享,根據趨勢科技統計,已有超過5萬用戶上鉤。
在國際上,也出現偽裝成各式防範武漢肺炎的社交工程郵件。近日KnowBe4、卡巴斯基實驗室與IBM X-Force都公布相關發現。例如,IBM X-Force公布一封日文撰寫的網釣郵件內容,標題帶有「武漢肺炎」相關文字,信中則夾帶惡意巨集的Word文件,聲稱是衛生單位提供的防疫措施,實為傳播Emotet銀行木馬類型的惡意巨集檔案。更多內容 更多內容
圖片來源/擷取自可取國際官方網站
在1月中旬,臺灣可取國際(iCatch)DVR錄影主機傳出IoT攻擊事件,用戶發現設備遭破解後門並陸續被植入木馬,同時對網路骨幹發動DDoS攻擊,許多用戶之後接到中華電信通知,才知道被當跳板。
對此,該公司在1月16日於官網發出資安通報,先針對受影響的KMH(25、28系列)、RMH(A、C系列)提供新版韌體,其臺灣總代理德勝監控也說明產品處置計畫,他們表示,KMH、RMH、RAH、RAV的1080P系列將提供安全性升級,甚至,已超過保修期限的RMV、RAS的720P系列,也將額外提供修補,但更老舊的HDR、960、D1系列則建議不要連網使用。在追蹤此事件的動向時,同日我們也發現台灣學術網路危機處理中心(TACERT)率先發布相關漏洞預警,並特別指出遭入侵設備會被竄改網路介面設定,將連線設定PPPoE改成DHCP模式,造成使用者遠端無法連線錄影主機。
關於這起事件的影響,TACERT表示這次事件為IoT板韌體漏洞,使用相同板子就可能存在同樣問題;而對於這次事件是否是工程帳號root遭利用及相關問題,德勝監控在1月底的回應是這次事件仍在處理,尚未提供更詳細的說明。至於最新近況,可取國際在2月3日釋出RAS、RAV、RAH與RXH等更多機種的新版韌體,建議用戶儘速更新,並要在帳戶設定中修改密碼為高強度。更多內容
圖片來源/擷取自英國數位、文化、媒體暨體育部官方網站
英國數位、文化、媒體暨體育部部長Matt Warman宣布,該國政府將立法規範物聯網裝置的安全標準,以避免這些裝置蒙受安全及被駭風險,並確保所有在當地銷售的IoT裝置都符合三大安全要求:第一,所有IoT裝置都必須具備獨特的密碼,而且無法重置成任何通用的出廠預設值;其次,IoT裝置的製造商必須提供公開的安全漏洞回報窗口;第三,IoT裝置製造商必須明確揭露裝置的安全更新時程。更多內容
專門報導人道新聞的The New Humanitarian通訊社在1月29日踢爆,有未具名的聯合國IT主管透露,該組織在歐洲的多個網路曾在去年7月遭到駭客入侵,大約有40臺伺服器遭駭,然而,聯合國對此資安事件始終保持沈默,只要求員工變更密碼,並未提及員工的個人資料可能已外洩。報導中指出,聯合國發言人Stéphane Dujarric已坦承此事,但因無法確認事件的性質與範圍,遲遲未對外公布。此一保持沈默的作法,引發相關專家抨擊,因為身為國際治理組織,卻沒有遵循專業標準。更多內容
圖片來源/CyberMDX
專門提供醫療照護網路安全解決方案的CyberMDX,揭露GE Medical旗下醫療裝置有6大安全漏洞,其中5個是CVSS v3.1最高風險10分。
由於CyberMDX是在2019年9月通報,已過90天的緩衝期,GE Medical仍來不及修補,因此美國ICS-CERT也在1月23日,針對GE CARESCAPE、ApexPro與CIC系統提出警告。
後續GE Medical表示,迄今尚未發現鎖定相關漏洞的攻擊程式,用戶可繼續使用相關裝置,但最好確認MC與IX網路是獨立的,以提高駭客的攻擊門檻,也應採用各裝置的最佳配置準則。更多內容
圖片來源/擷取自Google Secrutiry Blog's影片
去年Google開賣自有Titan實體安全金鑰裝置,在1月30日,他們進一步將開發硬體安全金鑰的韌體開源,在GitHub上釋出OpenSK專案,希望藉由這個開源專案讓獨立開發人員、硬體金鑰製造商,都能開發安全加解密裝置,加速實體安全金鑰的普及。
基本上,OpenSK是以Rust撰寫而成,運行在TockOS上,支援FIDO U2F及FIDO 2標準,Google指出,現在開發人員可將OpenSK韌體刷到Nodic晶片的dongle開發板,因為它支援FIDO2所有主流傳輸協定且價格便宜,未來Google計畫未來也會擴大到其他晶片。更多內容
在2020年1月14日微軟正式終止Windows 7,根據德國《商報Handelsblatt》報導,儘管該國政府1年多前就已啟動升級Windows 10的計畫,但是各單位裝置數量太多,像是柏林市政府就有8.5萬臺電腦,迄今還有2萬臺是Windows 7電腦。因此,為了確保德國聯邦政府目前3.3萬臺Windows 7電腦的安全,德國政府今年必須多花88.6萬歐元(約新臺幣2952萬元),購買延伸安全更新,以便持續獲得安全修補程式。更多內容
安全公司Safebreach發現一種勒索軟體實作方法,可利用微軟的加密技術Encryption File System(EFS)來強化勒索軟體的威力,使得現有多家安全防護產品無法偵測,所幸後續這些業者也都更新了產品,加入偵測這種EFS勒索軟體的能力。
研究人員指出,這種新手法不僅難以發現及防堵,而且還有可自動化執行,無需人力介入的特性,一般資安產品的特徵檢測式技術無法防堵,啟發式或普遍特徵方案或許可以,但還需要以更先進研究協助訓練演算法。更多內容
美國國防部在上周宣布,在今年9月底前,該部門將會要求部份競標國防部合約的承包商具備網路安全認證,此一認證將奠基在國防部所發表的《網路安全成熟度模型認證 1.0 》(Cybersecurity Maturity Model Certification,CMMC),承包商必須依據專案的機密性,而取得不同等級的安全認證。
目前美國國防部將CMMC分為五個等級,從第一等級的基本網路防護(Basic)、中等網路防護(Intermediate)、良好網路防護(Good)、主動防護(Proactive),到第五等級的進階防護(Advanced)。
負責採購業務的國防部副部長Ellen Lord指出,網路安全風險威脅了美國政府及合作夥伴的國防產業與國家安全,每年全球因網路竊盜所損失的金額高達6千億美元;在現今大國的競爭環境中,不管是資訊或技術都是重要的基石,而且對駭客而言,攻擊第二線的供應商比攻擊一線供應商更有吸引力,而CMMC則將同時規範第一線與第二線供應商的網路安全準備度。
該部門的資訊安全長Katie Arrington則說,其實第一等級的基本網路防護很容易就可達到,像是詢問合約商是否部署或定期更新防毒軟體,是否定期更新密碼等問題;第二等級的防護則會另外注重承包商的網路安全程序,確定承包商有效地紀錄、管理、審查及最佳化其網路安全部署。
未來國防部在承包商提案以競標該單位的專案時,都會提出相關的要求,並根據專案的需求而採取不同等級的CMMC認證,相關的認證將由獨立的第三方負責進行。
依照美國國防部的規畫,在今年6月底前,該部門就會公布包含CMMC認證在內的合約,9月底前即會公布包含CMMC認證在內的專案,而到了2026年,美國國防部的所有新合約都將包含CMMC認證要求。
為了促進自駕車在寒冷天氣下的發展,新創公司Scale AI、滑鐵盧大學和多倫多大學合作,開源了CADC(Canadian Adverse Driving Conditions)資料集,其中含有攝影機圖像以及光達資料。雖然許多組織也有釋出自駕車感測器資料集,但Scale AI提到,CADC是第一個專注在真實下雪天氣的行車影像。
人類持續改善自駕車的性能,以建立更高效的交通系統,或是執行更多重要的任務,儘管自駕車的發展已經有了長足的進展,但是卻一直還無法克服不同的天氣條件。Scale AI執行長提到,下雪時很難開車,人類卻可以輕易地應付任何天氣,在任何天氣駕駛車輛行經同一條路,但對自駕車來說並非如此,下雪會嚴重影響自駕車重要硬體,和人工智慧演算法判斷能力,當前自駕車模型無法適應不同天氣,需要更多的資料才行。
自駕車在寬闊有陽光的林蔭大道接受訓練,但是一放到有積雪的街道就會發生錯誤,積雪覆蓋的道路會讓自駕車難以辨識,因此無法穩定的在車道上駕駛,而且積雪會大幅降低環境色彩對比,汽車系統會更難以辨識物體,像是被雪覆蓋的路樹、路邊停放的車輛,甚至是行人。
更大的問題是,降雪使自駕車的攝影機和光達感測器難以正常作用,因此大幅降低安全性,這些問題,自駕車模型需要有豐富的資料進行學習,但目前都沒有已註釋的光達開放資料集,以及下雪天氣的行車影像資料。為此,Scale AI、滑鐵盧大學和多倫多大學合作,釋出寒冷條件的資料集CADC。
CADC拍攝的路線,是根據交通等級以及障礙物而定,從基本的汽車、行人、具有輪子的垃圾桶與動物等,當然,最重要的要素還是降雪。這個資料集是使用滑鐵盧大學和多倫多大學合力開發的Autonomoose自動車輛研究平臺收集,研究人員駕駛搭載光達、慣性感測器、GPS和視覺感測器的車輛,在過去兩個冬天,於安大略省西南部嚴寒的天氣中,駕駛了20公里收集資料。
接著,Scale AI利用自家資料註釋平臺,將收集來的資料加上標籤,CADC內含75個50到100影格的駕駛鏡頭,還有7,000影格的光達資料,Scale AI表示,他們所標記的標籤精準度,高於人類判斷和其他合成標籤技術。
CADC能讓自駕車模型擁有處理下雪天氣的能力,滑鐵盧大學教授Krzysztof Czarnecki表示,由於自駕車應付下雪的問題太大了,任何組織都難以獨立解決,他希望該資料集可以促進社群研究,讓自駕車能應付寒冬條件。滑鐵盧大學和多倫多大學的研究人員,還發表了一份學術論文,概述所收集的資料,其特徵以及物體偵測的標籤。
Go 1.14即將在2月的時候發布,而Go 1.15預計將會在今年8月的時候釋出,官方團隊提到,經過他們各種考量,決議在Go 1.15不加入重大更改,取而代之的是兩個審核檢查以及次要語言調整,包括以Go vet診斷string(int)轉換,以及診斷介面對介面(interface-interface)類型斷言診斷,並且讓常量求值索引和切片表示式(slice expressions)可帶有常量字串和索引。
官方原本預計在Go 1.14版本的Go vet加入診斷string(int)轉換的功能,但因為來不及,因此順延至Go 1.15。string(int)轉換是Go在早期加入的,但是因為有可能造成新手困惑,且unicode/utf8套件現在提供該轉換,由於移除該轉換並非向後相容的更改,因此Go官方提案使其成為Vet錯誤。
目前Go允許任何類型的斷言x.(T),x和T的類型為介面,但是當x和T都具有相同名字但簽章不同的方法,就不可能分配給x又實作T,這樣的類型斷言將會在執行時發生錯誤,在編譯的時候也會有錯誤,而在這個案例回報編譯錯誤並非向後相容的改變,因此官方建議還是從Vet錯誤開始。
另外,目前用一個或多個常量索引,對常量字串進行索引和切片,會分別產生一個非常量位元和字串值,但當所有運算域都是常量,編譯器將可以對這些表示式進行常量求值,並且產生常量結果。這項提案原先Go團隊認為是向後相容的改變,因此建議對規範和編譯器進行調整,但隨後Go團隊發現該提案並非向後相容。
Go開發團隊認為這三個提案應該沒有爭議,但想表達意見的社群成員,仍可以在Go 1.15釋出週期開始提供建議,讓開發團隊可以有足夠的時間評估與回應。開發團隊除了說明Go 1.15的提案,也提到了Go專案最近的狀態,Go當前發展主要目標仍然是套件與版本管理、錯誤處理支援以及泛型。
在去年7月官方試圖推動的錯誤處理機制提案,引起很大的爭議,最後官方決定放棄該提案,而後又有許多建議,但是都不足以說服他們新建議比原先的提案更好,因此目前暫時錯誤處理功能先行擱置,待未來有更好的解決方案再決定。
而官方也提到他們收到的語言變更建議,遠比他們能夠審核的數量多上不少,光錯誤處理就有57個問題,官方表示,因為語言更改的成本很高,而且效益往往不清楚,因此大多數的語言變更建議都會遭到拒絕。為了減少審核委員會的負擔,官方新增了語言變更調查表,社群成員填寫該表將能夠讓提案審核更有效率。
新型冠狀病毒肺炎(武漢肺炎)疫情對科技界影響逐漸擴大。南韓電子大廠LG首先宣布,今年將不參加預定2月下旬舉行的世界通訊大會(Mobile World Conference,MWC),而中國電子業者中興(ZTE)也被迫取消MWC的記者會。
LG指出,考量到員工和大眾安全,LG決定不參加本月稍後於西班牙巴塞隆納舉行的MWC 2020。有鑒於病毒持續跨境散布,本決定可免於LG數百位員工非必要的國際旅行。但LG表示近期內將會個別舉行活動,以宣布2020年該公司的行動產品。
另外,中國電子與網路設備大廠中興也證實取消MWC的記者會。中興表示原因是商務旅行和簽證作業作業趕不及,以及對新型冠狀病毒肺炎的顧慮,並說中興向來十分謹慎,「不想讓大家覺得不安。」不過中興仍然會參展MWC 2020。
MWC主辦單位GSM協會(GSMA)表示,會持續監控新型冠狀病毒肺炎對巴賽隆納、上海、洛杉磯MWC 2020及各地區Mobile 360大會的可能影響。GSMA表示,病毒對巴賽隆納MWC 2020目前只有最小幅影響,因此將按原訂計畫舉行。
此外,CNET報導,華為、高通、小米也會如期參加今年的MWC大會。
為了防範病毒感染,GSMA表示將在MWC會場上人潮眾多地方如餐飲區、桌面、扶手、洗手間、出入口、公共觸控螢幕等加強清潔和消毒、加強醫療支援人力及增加消毒用品供大眾使用、強化大會員工訓練,也會在會場、線上以及巴賽隆納當地飯店、公眾運輸、餐廳、零售店實施衛生宣導。大會也針對此一非常時期,實施講者麥克風定期更換政策,及要求所有來賓不要握手。
臉書(Facebook)在去年的6月18日發表了定位為全球數位原生貨幣的Libra幣,在當時召集了28家組織作為Libra協會的創始成員,但在Libra協會於同年10月正式成形前,包括PayPal、eBay、Visa、Mastercard與Stripe相繼退出,本周Mastercard執行長Ajay Banga接受英國金融時報專訪時,透露了該公司脫離Libra的原因。
根據報導,Banga最擔心的兩件事是Libra幣的法規遵循與商業模式。
他說,該協會的主要成員們並不願承諾不作任何違法的事,例如當他們談及該了解客戶、採取反洗錢措施,或執行數據管理等與法令相關的事情時,他們並不肯作出書面的承諾。
此外,Banga也看不出Libra的生財之道,假如不確定經營模式,「那麼賺錢的管道可能就是你不喜歡的」。
Banga指出,臉書把Libra當作一個能有效對社會所有階層及群眾提供服務的「普惠金融」(Financial Inclusion)系統,但卻同時將Libra連結到私有的Calibra數位錢包,把一個無私的想法變成臉書的私有錢包,聽起來不太對。
除了Banga所提出的原因之外,金融時報也引述了支付分析師Lisa Ellis的看法,表示Mastercard反對Libra也可能有自私的原因,例如基於區塊鏈的支付系統若在未來幾年成為全球性的支付網路,將會對像是Mastercard的現有支付網路造成威脅。
不論如何,原本有28家創始會員的Libra協會,在正式成立時只剩下21家,而電信業者Vodafone亦在今年1月宣布脫離Libra協會,在在都顯示Libra幣所面臨的難題,特別是難以與各國的法規兼容,臉書原本計畫要在今年上半年網羅100家Libra協會成員,但目前看來該目標恐怕也不容易達成。
一家資安公司報告指出,他們檢視全球最大的100家國際機場網站及App的安全性,其中只有3家機場通過安全測試。
在這項測試報告中,安全廠商Immuniweb檢視了全球最大的100家國際機場的網站、手機App郵件伺服器和API安全性,像是Web App防火牆(WAF)、TLS加密、是否符合GDPR及PCI- DSS(Payment Card Industry–Data Security Standard)標準,以及它們的公有雲儲存安全性、是否有資訊或程式碼外洩到暗網或GitHub上。研究結果顯示,只有三家國際機場通過所有測試,包括荷蘭阿姆斯特丹史基浦(Schiphol)機場、芬蘭赫爾辛基萬塔(Vantaa)機場,以及愛爾蘭都柏林機場。不過該報告未列出其他機場名單。
分析顯示,97家機場網站包含過時Web軟體,24%有已知且可被開採的漏洞。76%和73%不符合GDPR及PCI DSS安全標準。有24%網站未採用SSL加密或使用老舊的SSLv3。使用WAF的比例為55%。
在研究團隊檢視的36支機場App中,全部都有至少2個漏洞,15支有安全或隱私疑慮,超過三分之一的App其對外連線不提供加密。
在這些機場的雲端服務安全性,以及是否確保資料不外洩到外部網站被有心人士取得方面,研究顯示,66%的機場資料外洩到暗網上,而外洩的325件資訊中,有72件屬於重大或高風險外洩。87%的機場資訊流到GitHub上,外洩的3000多項中,有503件屬於重大或高風險外洩。而在13家使用公有雲的機場中,有4家機場沒有針對含有敏感資料的雲端資料庫設定密碼保護。
ImmuniWeb統計指出,出現洩露密碼、API金鑰和私有憑證等機密資訊等重大風險問題的機場有59家,犯了洩露第三方系統密碼及內部程式碼等高風險問題的機場有61家。此外,有7成機場洩露內部資訊(如組態檔或內部路徑),有8成機場含有bug內部討論或技術細節外洩等低風險安全問題。
美國民主黨在本周一(2/3)晚間7點於愛荷華州召開了1,678個黨團大會,以進行民主黨總統候選人的初選,原本預計要在2小時後公布結果,卻一直到隔天還未能公布,原來惹禍的是一支用來統計投票結果的IowaReporterApp程式,不僅是統計結果不一致,有些民主黨員甚至連下載或安裝該程式都有困難。
該程式是由非營利數位媒體組織Acronym旗下的Shadow所開發,Shadow主要替政黨建置網站、設計數位行銷活動或是打造各種工具,而民主黨即是Shadow的客戶之一。
Shadow所開發的IowaReporterApp可用來上傳及統計投票結果,其實早在民主黨啟用該程式之前,美國公共廣播電台(NPR)就曾質疑民主黨竟可不顧安全性,在愛荷華州的初選上大膽採用全新的手機程式。當時民主黨還不願揭露IowaReporterApp的安全機制設計,擔心公布相關細節反而會讓駭客有機可趁,沒想到是IowaReporterApp自己出現了臭蟲。
根據Motherboard的調查,Shadow在1月中旬就曾邀請民主黨員測試該程式,但必須透過Android的程式測試平台TestFairy下載,Motherboard在兩支Android手機上下載及安裝了IowaReporterApp,但只有一支手機上的IowaReporterApp可正常啟動。Shadow也在蘋果的測試平台上TestFlight部署了該程式。
愛荷華州民主黨主席Troy Price則說,調查後相信IowaReporterApp所蒐集的資料是建全的,卻只有回報部分的資料,判斷是報告系統的程式出了問題,已經修補完畢。此一意外也讓民主黨啟動備案措施,決定手動輸入資料,也將延後初選結果的出爐時間。
不過,資安專家認為,透過測試平台來遞送行動程式原本就是不安全的,因為該程式既未經過行動程式市集的審核,還可能藏污納垢,夾帶惡意程式,在大量部署時亦容易出現不穩定的情況。
在經過此一事件之後,原本也打算採用Shadow技術的內華達州民主黨已經決定棄用Shadow工具。紐約時報的專欄作家Kevin Roose對該事件下了一個註解:「低科技的選舉才是最安全的選舉,即便我們已處於21世紀,但還是應該利用19世紀的方式來投票。」
Linux/Unix平台知名管理工具Sudo爆發漏洞,可讓用戶觸發緩衝溢位,取得根帳號權限。所幸Sudo維護組織已經修補該漏洞並釋出最新版本。
Sudo是Unix/Linux平台管理廣受歡迎的工具,它讓系統管理員可分配給一般用戶合理的權限,以執行一些只有管理員或其他特定帳號才能完成的任務。
最新編號CVE-2019-18634的漏洞,出在一個pwfeedback的功能選項中。這個功能讓系統可以星號字元表示目前輸入的字元長度,原本是提升安全性的功能,但蘋果資訊安全研究員Joe Vennix發現,sudoer檔案開啟pwfeedback功能後,可能讓用戶觸發堆疊式(stack-based)緩衝溢位攻擊,讓沒有系統管理權限的用戶、甚至連非列於sudoer檔案中的用戶得以提升到根帳號。由於攻擊者完全掌控資料控制權以發動緩衝溢位,因此本漏洞被開採機率極高。
Sudo維護組織指出,Sudo 1.7.1到1.8.25p1都受本漏洞影響,不過前提是系統管理員需開啟pwfeedback,未開啟者就不需要擔心。另外,1.8.26到1.8.30版也出現CVE-2019-18634,但1.8.26版本時曾變更EOF(end of file)處理的設定,致使該漏洞無法被開採。
Pwfeedback在sudo上游版本中預設關閉,但在Linux Mint及Elementary OS中卻是預設開啟的。所幸Sudo組織已經釋出最新版1.8.31版,應該也會很快部署到所有主要Linux發行版或macOS中。
如果尚未能安裝更新版本,在開啟pwfeedback的sudoer檔內,將「Defaults pwfeedback」改成「Defaults !pwfeedback」,也能有效阻止攻擊。
Alphabet旗下的孵化器子公司Jigsaw,在本周發表了一個可用來辨識假照片的實驗性平台Assembler,它整合了各種不同的偵測技術,讓新聞從業人員或事實查核人員透過單一平台,就能辨識影像的真偽,目前仍處早期開發階段,歡迎外界貢獻各種偵測模型。
Jigsaw執行長Jared Cohen表示,現代所指的不實資訊(Disinformation)並不只有假新聞,它可能是有目的的影響力活動,經常是由政府發動,企圖影響全球的社會、經濟及軍事事件,然而,不實資訊大量出現的同時,也推動了防範技術的進展。
從2016年起,Jigsaw便與研究人員及學者,共同尋找可以技術來偵測不實資訊活動的各種方法,而Assembler即是多年來的成果。
Cohen說,對事實查核人員與新聞從業者來說,拆解照片是個既耗時又容易出錯的程序,於是他們只好仰賴市場上各種不同的工具與方法,例如一個由調查記者與研究人員所組成的Bellingcat組織,就利用25種不同的工具來驗證照片、影片、網站或其它媒介的真實性。
而Assembler則是整合了來自學者的多種照片操縱偵測工具,每個工具都有特定的用途,例如有的能夠辨識照片中的「複製-貼上」程序,有的則能發現照片的亮度曾被變更。
除了向學者蒐集的偵測工具之外,Jigsaw也自行打造兩款工具,一是專門用來辨識DeepFakes的StyleGAN,它利用機器學習來區分真人與DeepFakes的不同,第二個工具則是一個整體模型,可結合來自不同偵測工具的結果,分析照片中曾被操縱的各種型態,一次揪出照片中的所有古怪之處,可望比單一偵測工具更精確。
Jigsaw也宣布開始發行研究期刊《The Current》,創刊號的內容圍繞在不實資訊上,封面故事為「視覺化的不實資訊」(Disinformation Data Visualizer),在地圖上呈現了全球各地的不實資訊散布,例如他們發現了去年中國派出商業機器人,企圖透過各大社交平台,影響香港人對許多政治事件的看法。