每年有無數安全研究人員，分享網站安全領域上的各式攻擊技巧發現，近日2019年10大網站駭客技法（Top 10 Web Hacking Techniques）結果出爐，公布相關創新與重要攻擊技巧，是各大型資訊安全會議之外，每年網站安全研究人員關注的重要參考知識庫，當中藉由社群力量提名，再產生每年最值得關注的創新研究，方便日後安全研究人員閱覽，並可以從中獲得啟發。

這項活動，今年持續由網站安全公司PortSwigger舉辦，特別的是，臺灣資安研究人員再以兩項研究入選。

年度網站攻擊技法研究揭露，臺灣資安研究人員發表內容獲年度第四與第八

在這次評選過程中，共有51項研究獲提名，在1月13日透過網站安全社群投票，產生前15名入圍名單，接著，再於27日由4人組成的專家小組，經確認、投票與評定，選出前10名。

在2月中旬，PortSwigger在網站公布結果。第一名是由Sajjad Arshad等專家所發表，內容是：Cached and Confused: Web Cache Deception in the Wild。簡單來說，這是基於Omer Gil在2017年的研究而起，新提出了5種利用Web Cache Deception的方式，當中並有相當嚴謹度與研究統計，包括了Alexa Top 5000的網站。

值得我們關注的是，這是臺灣資安研究人員連續三年入榜，繼前兩年的提名都獲得年度第1名之後，今年再以兩項研究提名，獲選年度第4與第8。

挖掘Jenkins漏洞從Meta Programming下手，打破不執行就沒有漏洞的迷思

其中年度排名第4的研究內容，是由身為臺灣資安公司戴夫寇爾（DEVCORE）資安研究員的Orange Tsai（蔡政達）所發表，內容是：「Abusing Meta Programming for Unauthenticated RCE」，揭露開源Jenkins持續整合工具的RCE漏洞。

關於這項漏洞，身為PortSwigger首席研究員，也是這項活動幕後推手的James Kettle發表評論，他說，這項研究使用了Meta Programming來建立後門，是可以持續研究的一個案例。

為何這項研究能夠擠身榜內前5名？蔡政達指出，他認為有兩大原因：一是Jenkins非常流行，現在使用Jenkins的開發人員很多，同時也有很多人在協助Jenkins的程式碼安全審核，因此近年較少看到嚴重的漏洞；另一是因為漏洞情境較為深入，使得以往關於Meta Programming的漏洞並不多。

他進一步解釋，過去Jenkins的漏洞攻防，聚焦於序列化及反序列化，隨著2017年Jenkins重新改寫序列化機制，此後就沒有RCE漏洞出現，而他這次的發現是近來的首例。

而且，這個漏洞不僅使用新的攻擊面──Meta Programming，同時這還打破了普遍認為「沒有執行就不會有漏洞產生」的迷思。

具體而言，Jenkins團隊為了檢查使用者傳入的Pipeline是否有錯誤語法，因此使用了Groovy進行編譯，一旦語法有錯誤發生，編譯就會失敗，當開發者認為僅僅只是「編譯」不去「執行」，就不會有任何危險，這就是問題所在，而Meta-Programming就是在編譯時期是能被利用的技術。

蔡政達強調，資訊安全不是單一學科的技術，而是各種資訊領域跨學科的結合，而他提出的這項研究，其實也展示了如何將電腦科學與程式語言的知識，應用到漏洞挖掘上。

發現SSL VPN漏洞，對企業安全具有極大影響層面

另一項年度排名第8的研究成果，是由蔡政達與他同公司的Meh Chang（張亭儀）所共同揭露，這項在2019年8月於美國Black Hat與DEFCON大會發表的內容：「Infiltrating Corporate Intranet Like NSA: Pre-Auth RCE On Leading SSL VPNs」，當中介紹了大型企業所在用的SSL VPN，可以如何被駭客攻擊，由於影響層面廣又深，因此獲得極大關注，當時並獲得黑帽大會Pwnie Awards的年度最佳伺服器漏洞獎，獲得有如電影界奧斯卡金像獎的殊榮。

為何這項研究能再次獲肯定，入選2019年度的十大駭客技法？根據James Kettle的說法，儘管當中大部分使用的是較經典的技術，但是研究人員使用了一些創造性的技巧。而且，這項研究還促進了安全審核SSL VPN的浪潮，像是近期有其他資安人員揭露一系列的SonicWall VPN漏洞。

關於這項研究的創新之處，蔡政達表示，過去SSL VPN業者為了產品本身的安全，已經加上許多保護及加固，因此，即使產品出現一些漏洞，但攻擊者就也無法進一步利用，而這次他們在研究其弱點時，為了繞過既有的保護及加固，就使用到一些特殊的技巧。他解釋，例如，在Pulse Secure SSL VPN的研究中，他利用了命令解析器的解析錯誤，再配合模板引擎的特性，將錯誤訊息（STDERR）變成後門。

這樣的發現給出不少研究人員一條新的思路。在他發表此漏洞之後，有不只一位國外研究者與他交流，表示他們過去也有發現這個瑕疵，只是一直沒有想出利用的方法。

而在Fortigate SSL VPN的研究中，張亭儀是利用jemalloc及應用程式架構特性，進而偽造SSL結構，透過精妙的操作記憶體達到遠端執行漏洞（RCE），也被認為是相當精采的過程。

新研究雖未能持續奪冠，但為企業安全找出更大隱憂

另一個我們關切的話題是，蔡政達在前兩年的這項活動都獲得年度第一，已經備受全球專家肯定，這次很可惜沒能三連霸。對此，他並不感到意外，他表示，今年的研究主要著重在影響層面，因此在講求創新攻擊手法的這項活動上，已經可以預料不會獲選第一。

確實，若是單論影響力的話，從上述的SSL VPN研究結果來看，已是年度最有影響力的研究之一，不僅發現企業所信任並用來提供保護的資安設備的弱點，並獲得黑帽大會Pwnie Awards的年度最佳伺服器漏洞獎，而在他們通報產品業者修補並對外揭露後，至今仍有許多駭客組織試圖利用這樣的漏洞，而這樣的狀況，也就能看出其影響性。前面提及的Jenkins的漏洞也是如此，揭露至今，也被很多殭屍網路利用來安裝挖礦程式。

再從另一角度來看，每年獲提名的創新研究項目，約在50多個內，入選已是不易，還要能獲得社群投票與專家小組評選，才能入選前10名。事實上，與前兩年入選10大的研究者相比，我們發現，也只有Orange能夠持續名列榜上。此外，雖然不像前兩年的提名，臺灣資安研究人員能在創新性上獲得最高認可，但今年研究成果的影響性更顯著。

最後，對於臺灣資安研究人員而言，如果要像蔡政達一樣獲得全球研究人員肯定，有什麼祕訣呢？他認為，自己必須要有興趣與熱情，能夠24小時投入，就是最重要就是一點。

此外，對於國內後起之秀的培育，他本身也有參與，例如，在2017年「教育部資訊安全人才培育計畫」中，蔡政達擔任「臺灣好厲駭」的導師，帶領國內有潛力的學生，現在一些學生也已取得不錯的成績，參與國內外的漏洞獎勵計畫，並挖掘CVE漏洞。

2019年度十大網站攻擊技術手法

資料來源：PortSwigger，iThome整理，2020年3月

在2019年度10大駭客技法活動的第4名，是關於Jenkins未經身份驗證RCE漏洞，由Orange在去年2月於自己的部落格與戴夫寇爾官方網站上揭露，當中描述了利用Meta Programming來產生新攻擊面的過程，並說明了他與Jenkins安全團隊在2018年5月以來的通報、CVE取得與修補的時間。(中文版)

2019年10大駭客技法的第8名，是關於SSL VPN產品漏洞，以及入侵與利用手法，是臺灣資安公司戴夫寇爾資安研究員Orange Tsai與Meh Chang，在去年8月舉行的黑帽大會與DEFCON大會上所共同揭露。這項研究在2019年4、5月間已通報Pulse Secure、Fortinet等產品業者，對方已經完成修補，同時他們還參與漏洞懸賞計畫，利用此一漏洞成功駭入Twitter公司，獲得獎勵，以呼籲各企業應儘速修補。(圖片來源：DEFCON)

臉書在去年的F8開發者大會上揭露了光速（LightSpeed）專案，宣布將重新打造iOS版的Messenger，該專案的首個成果已於本周發表，新版iOS Messenger的程式碼數量，從170萬行減少到36萬行，整整少了84%，而它的執行檔大小則只有原先的1/4，在Messenger功能未縮水的狀態下，光速專案還讓Messenger的啟用速度，達到舊版的兩倍快。

臉書公布了光速專案的四大核心概念，分別是盡量利用原生作業系統的功能，藉由SQLite的動態範本重覆使用UI，以SQLite作為通用系統，以及建置一個能夠介接程式與伺服器功能的伺服器代理人。

臉書表示，當Messenger在2011年成為獨立的程式時，他們的目標是建置一個功能最齊全的傳訊程式，導致Messenger的執行檔案大小一度高達130MB，使得它的啟動變慢了，特別是在較老舊的裝置上。

最後臉書想開了，認為Messenger的核心功能應該是能夠很快傳遞文字，因而計畫把Messenger重新改建成一個簡單又輕量的實用程式。臉書對新一代Messenger的期望是能夠快速的下載、安裝、更新及啟動，而不必在乎裝置的新舊或網路狀態，而且一個小型的程式也更易於管理、更新、測試及最佳化，但當時Messenger已有多達170萬行的程式碼，於是提出光速專案，完全翻轉Messenger的架構，打造一個全新的程式。

事實上，完全重寫一個程式庫是非常罕見的事，因為其投資報酬率多半不高，但臉書相信光速專案可帶來截然不同的結果，並調動了上百名工程師參與此一專案。

充份利用作業系統功能

為了搶快，傳統行動程式多半是在作業系統上建置抽象層來新增功能、提高工程的彈性與建立跨平台的使用經驗，但現在的行動作業系統已經先進到能夠滿足許多功能的需求，使得臉書決定充份利用iOS的能力，包括渲染、轉碼、執行緒處理或日誌，都由作業系統來負責，亦直接使用作業系統上的UI框架。

這樣一來，即可避免快取或載入大型的客製化框架，減少程式的份量，也更精簡。同時臉書也採用了許多iOS既有的函式庫，包括JSON處理函式庫，而不再於程式庫中建置及儲存自己的函式庫。

總之，只要作業系統能做的，臉書就把它們交給作業系統，只有在iOS無法滿足需求時，才會撰寫小程式來彌補。

重覆使用UI

過去的Messenger在同樣的UI經驗上有眾多的版本，例如在光速專案之前，Messenger有超過40種不同的聯絡人名單螢幕，每個螢幕的設計都有些微不同，而且每種螢幕都必須支援橫向模式、深色模式及無障礙模式，而這些就占了很大的程式空間。

而現在Messenger的聯絡人名單，則是簡單的以一個動態範本來呈現，不必再額外撰寫程式來改變螢幕的樣貌。當有人載入螢幕來傳送訊息或讀取訊息時，Messenger就會連結SQLite資料庫來載入適當的名字或照片，而且還可支援諸如名單管理、群組建立或搜尋等豐富的功能。

以SQLite作為通用系統

大多數的行動程式都使用SQLite作為儲存資料庫，但隨著功能的新增，最後總是會變成，每個功能都有各自的儲存與存取資料的方式與邏輯，因此，臉書向桌面世界借鏡，與其讓每個功能都有自己的快取，臉書利用SQLite作為一個支援所有功能的通用系統。

過去不同功能的資料分享，需要藉由開發客製化的資料快取與執行子系統來完成，但這些程序會拖慢程式速度，但新版Messenger則是讓SQLite直接處理快取與執行，不管是要顯示朋友的活動、更新友人的檔案照片、取回所接收的訊息，或是從資料庫中請求資料，所有的快取、篩選、執行或查詢，都在SQLite中完成。

此外，臉書也以C語言打造了一個能夠整合所有功能的MSYS平台，來協調對SQLite資料庫的所有存取活動，包括佇列的變更、延遲或恢復任務，或是資料同步等。

全新的伺服器架構

為了配合新的Messenger客戶端，臉書亦建置了全新的伺服器架構，過去的Messenger採用傳統的客戶端與伺服器端互動模式，這意味著程式上的每個功能，在伺服器端都必須有大量相對應的客製化邏輯 ，而功能愈來愈多，它們之間的協調邏輯也會愈趨複雜，且容易出錯。

臉書則替新的Messenger設計了一個通用的靈活同步系統，允許伺服器能夠定義及實施商業與同步邏輯，並確保客戶端與伺服器端的所有互動都是一致的。如同客戶端的MSYS平台，臉書在Messenger伺服器端也建立了一個代理人，作為Messenger與所有伺服器功能之間的統一閘道。

既已打造了一個更輕盈也更快速的Messenger程式，臉書也立下了規定，未來若要在Messenger新增功能，除了必須符合上述架構之外，臉書也替每個功能設定了可使用的執行檔空間預算。

此一基於光速專案的新版Messenger只支援iOS，將在未來幾周陸續部署至全球市場。

原本由Alphabet百分之百持有的自駕車公司Waymo在周一（3/2）宣布，已完成該公司第一輪的外部投資，領投的是 Silver Lake、Canada Pension Plan Investment Board與Mubadala Investment，其它的投資者還包括美國私募基金Andreessen Horowitz、Alphabet、全球第三大汽車零件供應商Magna International，以及美國汽車零售商AutoNation，總計募得22.5億美元。

Waymo並未公布此輪投資所採用的市值，但投資銀行摩根史坦利（Morgan Stanley）去年9月時指出，由於自駕車技術的準備度不足，因而Waymo的市值已從1,750億美元下滑到1,050億美元。

Waymo執行長John Krafcik指出，這次Waymo的團隊擴張，除了增加財務上的投資者之外，也引進策略合作夥伴，將把發展革命性產品的經驗帶給Waymo。

已被提名加入Waymo經營理事會（Operating Board）的Silver Lake執行長Egon Durban表示，Waymo已被證實為自駕車技術的領導者，也是唯一一家提供公共共乘服務的自駕車公司，正在擴展其完全無駕駛的經驗。

根據美國加州的2018年自駕車解除自駕（disengagement）報告，在48家自駕車測試業者中，Waymo的測試者表現得最好，解除自駕的機率最低，而且加州截至去年底，僅頒布一張允許完全沒有駕駛人的自駕車測試執照，得主即為Waymo。

目前Waymo已在美國推出兩項自駕車服務，一是自駕車共乘服務Waymo One，其次則是專注於運送各種貨物的Waymo Via。此外，Waymo也在底特律建造了全球第一個專門量產L4等級自駕車的工廠，已交付了第一批的車輛，包括電動車與15噸以上的重型卡車（Class 8 Truck）。

蘋果藉由更新iOS來削弱iPhone效能，以維持老舊電池之續航力的「電池門」事件迄今餘波盪漾，繼被義大利與法國分別判罰1,000萬歐元及2,500萬歐元之後，上周傳出蘋果已同意以最多5億美元的金額，與美國的消費者和解。

美國的消費者在2017年底開始對蘋果提出集體訴訟，指控蘋果藉由iOS 10.2.1或之後的版本來削弱iPhone的效能，雖然蘋果宣稱此舉是為了維持老舊電池的續航力，並避免手機突然沒電，進而損害零件，但消費者卻認為，蘋果是為了讓他們相信iPhone壽命已到盡頭，督促用戶購買新機的手法，當時蘋果為了安撫用戶，還大幅調降iPhone的電池更換費用，不過仍然止不住訴訟浪潮。

該「電池門」事件影響了iPhone 6/6 Plus、iPhone 6s/6s Plus、iPhone 7/ 7 Plus及 iPhone SE等機種。

根據蘋果與原告的和解協議，蘋果將支付每個iPhone用戶25美元，此一價格將視符合賠償資格的iPhone數量而有所浮動，但最少要支付3.1億美元，若再加上律師費與其它支出，總和解費用可能高達5億美元。

此一和解協議仍待法官同意。

曾在美國國安局（NSA）任職，之後擔任Jamf首席安全研究人員的Patrick Wardle，在上周於舊金山舉行的RSA安全會議上，說明如何將利用國家資源開發的macOS惡意程式納為己用，只要花費少少的力氣，就能使用專家所打造的惡意程式。

Wardle借用並改編了藝術家畢卡索的名言：「好的駭客（藝術家）抄襲，偉大的駭客（藝術家）剽竊」來闡明他的立場。他認為，與其問說為什麼要剽竊他人打造的惡意程式，不如問說「為何不？」（Why Not？）

美國中情局、國安局與其它14家美國的情報組織在2018年的總經費為594億美元，而美國軍方的情報經費則是221億美元，在這麼多的預算下，它們所打造的macOS惡意程式不但具備豐富的功能，還經過完整的測試，不只是美國情報單位，擁有更多預算的APT及網路駭客集團，也都有能力撰寫出更好的惡意程式。

事實上，由吹哨者Edward Snowden公布的NSA文件顯示，NSA持續監控諸如卡巴斯基等外國資安業者的流量，也攔截重要文件，包括由研究人員針對防毒軟體漏洞所撰寫的惡意程式，NSA即指示有關部門可重新利用這些惡意程式，同時以它們來檢查資安業者的防毒軟體，是否還存在相關漏洞。

此外，在NSA的工具外流之後，中國的情報機關也利用這些工具，來攻擊美國的盟友。

因此，Wardle指出，政府機關能做這樣的事，那駭客也可以。即使缺乏惡意程式的原始碼，但從惡意程式的行為，可以找到所有有關的邏輯，進而理解命令暨控制（C&C）伺服器的協定，繼之拼湊它們，再建立自己的C&C伺服器，然後避免遭到防毒軟體的偵測，就能將這些由專家打造的惡意程式納為己用。

經過初步的改造之後，惡意程式就會將情報回傳給Wardle所建立的C&C伺服器，等於接管了惡意程式的控制權，並可加載自己需要的惡意功能，節省從頭開發強大惡意程式的時間與成本。

它還可能有兩個額外的好處，一是入侵已被另一方駭客嚴密控管的環境，二是當受害者逮到惡意程式時，追蹤到的也許是原始駭客，而非Wardle。

由於Jamf主要開發蘋果平台的企業管理軟體，也使得Wardle的研究只著重於macOS平台。

歷經超過2年的發展，機器學習工具包Kubeflow終於發布了第一個主要版本，Kubeflow是第一個針對Kubernetes，提供可移植與可擴展的機器學習解決方案，讓用戶利用機器學習工作管線，調度Kubernetes上執行的複雜工作流程。Kubeflow原本稱為TensorFlow Extended，是Google內部用來部署TensorFlow模型到Kubernetes的方法。

Kubeflow初始專案的開發者來自Google、思科、IBM、紅帽、CoreOS以及CaiCloud，在2017年底在美國Kubecon中對外開源，之後專案便蓬勃發展，現在有來自30個組織上百位的貢獻者，參與Kubeflow專案的開發。

官方提到，應用Kubeflow，用戶不需要學習新概念或是平臺來部署應用程式，也不需要處理Ingress或是網路憑證等問題。Kubeflow的目標是要讓機器學習工程師和資料科學家，能夠更容易地使用雲端資源，處理機器學習工作負載。

Kubeflow 1.0提供了一組穩定版本的應用程式，提高開發者在Kubernetes上進行開發、建置、訓練和部署模型的效率（下圖）。這些應用程式包括Kubeflow的使用者介面Central Dashboard以及Jupyter筆記本控制器，還有用於分散式訓練的Tensorflow和PyTorch運算子，同時也提供管理多重使用者的配置文件管理器，和部署升級工具kfctl。

Jupyter筆記本是資料科學家重要工具，而且為了提升實驗效率，Jupyter筆記本需要與Kubernetes雲端運算資源整合，以使用GPU訓練更大的模型，或是平行執行多個實驗。Kubeflow簡化了以Kubernetes管理資源的方法，每個資料科學家或團隊都可以擁有自己的命名空間，執行各自的工作負載。命名空間提供了安全性與資源隔離，在使用Kubernetes資源配額時，管理員還可以限制個人或是團隊使用量。

Kubeflow還讓用戶能夠簡單地進行分散式訓練，官方提到，當他們啟動Kubeflow這個專案時，動機之一便是要利用Kubernetes簡化分散式訓練。Kubeflow提供了Kubernetes自定義資源，而這些資源會讓使用TensorFlow和PyTorch進行分散式訓練工作變得簡單，只要定義TFJob或是PyTorch資源，自定義控制器便會自動啟動並且管理所有獨立的程序，並且使這些程序能夠互相溝通。

接下來還會有許多工具在Kubeflow中成熟，像是建置在無伺服器管理平臺Knative之上的自定義資源KFServing，可幫助用戶部署和管理機器學習模型，其模型可解釋性功能則正在Alpha測試中，另外，可用來定義複雜機器學習工作流程的工具Pipelines；可追蹤資料集、工作和模型的Metadata；超參數調校工具Katib，這些工具都正在beta測試中，在未來的發布版本會陸續加入Kubeflow 1.0。

武漢肺炎（COVID-19）疫情在美愈演愈烈，矽谷科技巨人受到直接影響，繼臉書取消F8開發者大會，Google也跟進宣佈，取消5月12日到14日舉行的年度開發者大會Google I/O 2020實體活動。

Google指出，基於冠狀病毒（COVID-19）的疑慮與美國疾病控管與防治中心（CDC）、世界衛生組織（WHO）及其他衛生主管機關的政策方針，Google決定取消Google I/O在Shoreline Amphitheatre會議中心的實體活動。

所有已經購票者將可在5月13日前獲得全額退費。由於Google I/O必須中籤才能報名，受到今年活動取消影響，今年已報名者的資格，將可直接沿用到明年的Google I/O，無需再參加抽籤。

至於活動會改採什麼樣的形式舉行，Google表示會在接下來幾周商討後決定。

Google I/O是這家科技龍頭一年之中最重要的活動，Google執行長Sundar Pichai將發表具指標意義的開幕演說，Google下一代Android、Google Assistant、Google Home智慧喇叭、Pixel手機及Google Glass等重要產品，都是在I/O大會上發表。今年Android 11 Beta也預定會在I/O上發布Beta版。去年全球共有超過7千人參加。

武漢肺炎在歐美爆發疫情，衝擊矽谷科技業。MWC 2020停辦。遊戲開發商大會（GDC）延後活動檔期。臉書取消開發者大會F8。微軟MVP高峰會由實體活動改線上舉行。Google 4月初舉行的雲端產品年會Next，也臨時改為全線上形式開放免費參加。蘋果的年度開發者大會WWDC是否會舉行，引人關注。

武漢肺炎（COVID-19）疫情在各地蔓延，許多公司宣布暫停員工出差或改成在家工作，視訊會議需求大增。思科、Google、Zoom宣布擴大提供視訊會議服務，供有需求的企業、學校或組織使用。

為防範武漢肺炎疫情擴散，企業禁止員工不必要的出差或鼓勵員工在家上班，日本、香港等國，也宣布延後開學或停課，促進了視訊會議的使用。思科指出，其雲端視訊服務WebEx在中國的流量，自疫情爆發已成長22倍，而日本、南韓及新加坡的用戶數也成長4到5倍，WebEx視訊會議使用時間也成長1倍。總體而言，在疫情嚴重的國家，免費版WebEx新增用戶數較平時成長了7倍。

去年才IPO上市的Zoom也反映需求大增。分析師估計，該公司今年二月初新增用戶數222萬人，是2019年全年的64萬的3倍。

因應可能有更多人有遠距開會和上課的需求，視訊會議業者包括思科、Zoom和Google都擴大免費版服務的功能。Zoom率先於上周宣布，2人以上的免費視訊服務，針對中國地區將移除40分鐘使用上限。

思科則針對所有國家提供免費版WebEx不限時服務，最多支援100人。至於原本非WebEx的企業用戶，也提供90天免費授權。思科也承諾之後會再提高現有視訊會議支援容量，特別在歐、美，也會開放給學校使用。

此外，Google也宣布原本僅G Suite及G Suite for Education付費服務才有的Hangouts Meet視訊會議功能，將免費提供所有人使用到7月為止。每次視訊通訊可支援最多250人，而每個網域最多支援10萬人次的即時串流服務，還能將會議儲存在Google Drive中。

愛爾蘭媒體報導，因一名員工疑似感染冠狀病毒，迫使Google愛爾蘭8千名員工在家上班。

報導指出，一名員工本周出現類似流感的症狀，雖然還未確認，但為防患未然，Google愛爾蘭都柏林分公司要求所有員工「測試」在家上班的可能性。

Google也證實，考量員工的健康與安全，該公司為謹慎起見，採取了預防措施，並要求都柏林的團隊周二在家上班，直到一切情況明朗。不過Google拒絕說明該名員工的狀況。

武漢肺炎疫情在歐美擴大，上周六愛爾蘭首度出現確診案例。Google上周也證實一名瑞士分公司員工已遭感染。

為減低員工感染風險，推特周一率先公布鼓勵全球各地員工在家上班的政策。

免費憑證發行機構Let's Encrypt本周指出，由於該組織所使用的憑證機構軟體Boulder含有一臭蟲，誤發了許多憑證，使得它們必須撤銷已頒發的3百萬個TLS/SSL憑證，約占現行1.16億個憑證數量的2.6%。

當使用者向Let's Encrypt申請網站憑證之後，Boulder會驗證使用者是否擁有該網域名稱的控制權，同時檢查憑證頒發機構授權（Certification Authority Authorization，CAA），CAA是用來確認使用者的確指定由Let's Encrypt負責頒發憑證。

這兩項檢查的有效性存在著時間差，成功驗證網域的所有權之後，在30天之內都是有效的，而Boulder要正式頒發憑證之前的8小時，會再重新檢查一次CAA。

這意味著倘若使用者在申請憑證並通過Boulder的雙重檢驗之後，沒有立即取得憑證，那麼Boulder在發行憑證前就會再檢查一次CAA。

不過，就在Boulder重新檢查CAA時，如果使用者所申請的憑證是支援N個網域名稱的，Boulder並沒有檢查這N個網域名稱的CAA，而是只選擇其中一個網域名稱，然後檢查N次。於是就可能出現使用者的某些網域並未授權Let's Encrypt頒發憑證，但還是取得了來自Let's Encrypt的憑證。

Let's Encrypt是在今年的2月29日發現該臭蟲，但相信此一臭蟲自去年的7月25日就存在了。

於是Let's Encrypt決定撤銷這些受到影響的憑證，目前Let's Encrypt尚未公布撤銷憑證等時間點，但已確定會在世界標準時間（UTC）的3月5日凌晨3點（台北時間3月5日的上午11點），完成撤銷作業。

Let's Encrypt已發出郵件通知受到影響的使用者，使用者亦可透過線上工具檢查自己的網域是否受到波及。

Google在本周發表了今年3月的Android安全公告，修補了71個安全漏洞，而行動軟體開發社群XDA Developers，則大篇幅地針對當中的CVE-2020-0069漏洞提出警告，這是一個存在於聯發科晶片中的安全漏洞，允許駭客直接取得裝置的根權限，波及逾20款聯發科晶片與數百萬Android裝置，而且已被開採。

根據XDA Developers的報導，此一漏洞的攻擊細節在2019年4月時便已於該站曝光，且聯發科在去年5月就修補了該漏洞，只不過，由於相關晶片主要供中、低階的Adnroid手機、平板或機上盒使用，這些裝置製造商並無及時修補安全漏洞的習慣，再加上該漏洞已被駭客開採，才使得聯發科決定求助於Google，透過Google的安全公告督促業者修補。

XDA Developers解釋了CVE-2020-0069漏洞的嚴重性。一般而言，若要取得Andorid裝置的根權限，首先得解鎖引導程序，關閉啟動區的驗證，使用者才能在Android系統上注入執行檔與管理程式，但有了CVE-2020-0069漏洞，使用者完全不需要執行上述程序，只要複製已在網路上流傳的攻擊腳本程式，再於Shell中執行即能取得根權限，而且不只是裝置用戶，任何手機上的應用程式，只要在程式中嵌入該腳本程式，同樣能取得該裝置的根權限。

一旦取得了根權限，代表駭客就能安裝任何程式、賦予程式所有的許可，也能存取裝置上的所有資料。

只是就算聯發科去年就修補了該漏洞，卻無法強迫所有的裝置製造商更新，目前XDA Developers僅確定Amazon已修補了相關裝置上的此一漏洞，但依然有數十家裝置製造商裝聾作啞。

這使得聯發科在去年底告知Google此一漏洞，期望藉由Google的號召力來提醒製造商。Google則把CVE-2020-0069列為高度（High）嚴重漏洞，但並未進一步說明該漏洞的細節。

以尋找外星智慧為宗旨的運算資源共享專案，在上線21年後，基於資料已足夠及管理太麻煩等原因，將在3月31日終止。

SETI@Home（search extraterrestrial intelligence at home）是加州大學柏克萊分校發起以搜尋外星智慧生物的運算資源共享計畫。它是透過分析位於波多黎各阿雷西博天文台和望遠鏡，以及位於維吉尼亞州的綠岸天文望遠鏡（Green Bank Telescope）所蒐集到的無線電訊號，來搜尋外星高等智慧生物存在的證據。為分析龐大的資料，SETI@Home計畫將這些資料再透過網路分配運算任務，到自願參加這項計畫的PC上計算。運算任務只會在PC閒置時，以螢幕保護程式形式或背景運作，不會影響用戶的正常使用。SETI@Home是在1999年5月17日啟動至今。不過到目前為止，本專案的分析結果，還沒有找到足以證明外星智慧存在的證據。

本周專案網站宣布將「休眠」， SETI@home的自願者運算部份，將從3月31日起終止分配作業，進入休止期。

專案小組解釋，終止分配運算的原因在於，從科學分析角度來說，本專案已經來到報酬遞減期，專案小組已經分析完所有需要的資料。另一個原因是，資料的分散式運算管理很費事，專案小組決定把心力放在完成資料的後端分析，以及撰寫科學論文上。

但是專案小組表示SETI@home網站及留言板都還會留著，也期望會有其他太空研究，會再一次需要集結眾人的運算資源。

SETI@Home使用的柏克萊開放網路運算平台（Berkeley Open Infrastructure for Network Computing，BOINC），迄今全世界有超過71萬台活躍主機，每天提供約30PetaFLOPS的運算能力。如果自願者還是希望能貢獻自己的資源，SETI@Home專案小組建議，可以改投入BOINC上其他約30項專案。

武漢肺炎（COVID-19）疫情是全球關注焦點，本月不少資安議題與事件也與之有關，包括相關的網釣攻擊、假新聞，以及迫使國內外資安會議有異動，並為企業持續營運帶來挑戰。

例如，自從2月初就有多家資安業者指出，有駭客利用社會大眾對於疫情的恐懼心理，寄送以官方感染數據或衛教資訊為題的惡意電子郵件，發動網釣攻擊。

此外，疫情相關的假新聞也趁機作亂，臺灣法務部調查局與刑事警察局陸續查獲多起在社群媒體散布不實訊息的事件，後續並發現有許多來自中國與境外人頭帳號散布的造謠內容，影響國內防疫資訊的正確性。對此，國內執法機關呼籲，對於非官方的訊息應小心求證，切勿任意散播、轉傳，以免觸法，依所涉情節，包括傳染病防治法、刑法與社會秩序維護法。

不僅如此，在疫情衝擊下，今年上半多場大型科技與資安會議延期舉辦。另一方面，許多企業也取消海外出差，實施分區、分批或在家辦公等，都是為了因應疫情所採取的措施，而在企業風險評鑑與營運衝擊分析之下，持續營運管理（BCM）與遠端工作資安風險，就成為企業現階段關切的一大重點。

在2月的其他重大資安新聞中，資安廠商Malwarebytes發布的Mac資安威脅首度超過Windows平臺，相當受注目，揭露了不同於以往的資安態勢。同時，本月也有一些揭露惡意程式新能力的研究公布，其中，可竊取Google Authenticator一次性密碼的金融木馬，引發側目。

網站密碼安全相關議題，也是本月關注焦點之一，包括了密碼原則與實體安全金鑰的面向。首先，FBI新公布關於密碼設定的原則，建議大眾改用由幾個字詞組成15個字元以上的密碼，例如：VoicesProtected2020WeAre，以取代複雜密碼可能難記而造成的反效果，並有多項密碼政策的建議，事實上，前幾年就已經有專家這樣呼籲。

在網站服務登入安全的實體安全金鑰方面，也有新的進展，其中Google將可製作Securtiy Key的韌體專案OpenSK開源，有助於FIDO2實體安全金鑰普及，因此最受關注。此外，蘋果也在2月加入FIDO聯盟，成為另一推力。

還有一個不容忽視的資安新聞議題，在於委外供應鏈安全管理。像是美國國防部宣布推出網路安全成熟度模型認證（CMMC），共分為5級，將開始要求IT承包商，需取得相應的安全等級認證。附帶一提的是，國內政府的資安服務廠商評鑑，往年評鑑等級是特優、優、甲的方式呈現，現改為A、B、C、D、E級。

在國際新聞焦點上，有兩起較為重大，包括俄國研究人員揭露海思半導體晶片的後門漏洞，以及美國消費者信用報告公司Equifax的個資外外洩案後續，這起在2017年爆發的事件，現在美國司法部調查出爐，並指控是中國解放軍第54研究所的4人所為。

最後，在安全漏洞修補方面，其中Linux的sudo指令再次修補一項高風險漏洞，最受關注。但其實2月還有不少漏洞修補事件，雖然不在本月十大新聞之列，但也是相關領域會重視的焦點。包括：微軟Exchange伺服器、合勤防火牆與NAS產品的漏洞修補，還有像是藍牙軟體開發套件的多項漏洞，影響7家半導體業者的系統單晶片，以及Broadcom與Cypress的藍牙晶片也被發現漏洞，影響10億裝置等。

01.小心！利用武漢肺炎的病毒與網釣郵件已開始流竄

 

02.企業落實BCM是因應武漢肺炎最佳策略

03. Mac資安威脅首度超過Windows平臺

04. sudo爆可取得根帳號權限的漏洞

05. 美國國防部將開始要求承包商必須具備網路安全認證

06. FBI：以長密詞取代密碼、不應設定密碼變更期間或次數上限

07. Google開源可製作硬體金鑰的韌體專案OpenSK

08. 新版金融木馬Cerberus可竊取Google Authenticator所產生的一次性密碼

09. 俄研究人員揭露海思半導體晶片的後門漏洞

10. 美國司法部：Equifax案是中國解放軍盜走1.5億名美國民眾個資

 

在2018年底才發表量子運算能力，並於2019年與微軟結盟，成為Azure Quantum量子運算雲端服務合作夥伴的Honeywell，在本周宣布將於3個月內推出全球最強大的量子電腦。

Honeywell的四大本業為航太、建築、性能材料，與安全及生產力解決方案，看起來跟量子電腦不太有關聯，不過，Honeywell說該公司在量子電腦的技術基礎已鑽研超過10年，且將採用突破性的技術，來打造全球最強大的量子電腦。

Honeywell本周也發表了一篇論文，展示了該公司所使用的量子電腦架構。目前包括Google及IBM等業者，都是採用基於Transmon的量子技術，而Honeywell則是採用量子感光耦合裝置（Quantum Charge Coupled Device，QCCD）離子阱（Trapped Ion）量子電腦架構。

Transmon量子位元是由使電流通過超導線環路來運作，該環路連結到諧振器，以控制及讀取電流的狀態，除了必須製造超導線與諧振器之外，相關硬體也必須保持在極冷的狀態。

Honeywell表示，QCCD架構可用來加速量子的能力，而所採用的離子阱技術，則是利用多個個別的帶電離子來保存量子資訊，只要利用雷射脈衝就能操縱與編碼。與那些不直接使用離子的量子位元技術相較，離子阱量子位元能夠統一的產生，且錯誤也更容易理解。相關技術涉及原子物理學、光學、低溫物理學、雷射、磁學、超高真空與精密控制系統，而Honeywell在這些領域已有數十年的經驗。

總之，Honeywell說該公司在3個月內就會發表量子體積（quantum volume）至少達64的全球最強大的量子電腦，其量子運算能力將是該產業下一代產品的兩倍，而且在QCCD架構的助益下，估計其量子電腦的量子體積，在未來的5年內，每年都會有10倍的成長速度。

此外，Honeywell本周也宣布注資Cambridge Quantum Computing (CQC) 與Zapata Computing這兩家專門研發量子軟體與演算法的業者，前者的專長在於量子開發平台與化學／機器學習／網路安全上的企業應用，後者則是專門打造支援不同產業的量子軟體。

中國資安業者奇虎360於本周指出，有一駭客集團APT-C-39從2008年9月到2019年6月間，持續針對中國的航太組織、科學研究機構、石油產業、網路公司與政府部門發動網路攻擊，在分析了2016年自美國中情局（CIA）外洩的Vault 7文件之後，相信APT-C-39是由CIA所支持的國家級駭客集團。

維基解密（WikiLeaks）在2016年對外公布了來自CIA的機密檔案，揭露了CIA的全球駭客計畫，以及各種CIA所研發及使用的網路攻擊工具。隨後涉嫌洩密的CIA員工Joshua Schulte，即遭到美國逮捕。

研究人員表示，在APT-C-39針對航太與研究組織的攻擊行動中，主要鎖定相關領域的開發人員，這些開發人員負責的是民航機的資訊科技，包括飛機控制系統、貨運資訊系統或旅客資訊系統等，而且APT-C-39的攻擊行動，遍布全球數百個民航機業者。

外洩的Vault 7文件，則讓奇虎360發現了APT-C-39與CIA之間的連結，包括APT-C-39使用了Vault 7中的獨家網路攻擊工具，且APT-C-39多數樣本的技術細節與Vault 7文件中所描述的一致，在Vault 7文件尚未外洩前，APT-C-39就已使用了該文件中的攻擊工具，而且有些APT-C-39所使用的工具，還與美國國安局（NSA）有關，再加上APT-C-39編譯武器的時間點符合美國時區等。

奇虎360表示，Vault 7文件證實了美國已打造出全球最大網路武器軍工廠，不只對全球網路帶來嚴重的威脅，亦展現了美國APT組織的高技術能力與專業水平，顯示網路空間已然成為大國間另一重要戰場。

0229～0306

 澳洲政府   區塊鏈 
澳洲政府揭國家級區塊鏈藍圖，先著重農業、教育、金融應用
澳洲政府的工業科學能源與資源部門（Department of Industry,Science,Energy and Resources）在2月初宣布了國家區塊鏈發展藍圖（National Blockchain Roadmap），將透過使用區塊鏈技術實現該國新的經濟增長，並改善澳洲整體生產力。澳洲政府找來產業界和研究人員共同制定這項戰略，尤其聚焦農業、教育、金融服務業這3個主要產業在區塊鏈的應用。比如，在金融服務系統中，區塊鏈可以成為提供共享KYC資訊的解決方案，使KYC檢查流程快速且安全。

這個戰略藍圖也要求，區塊鏈應用需要符合對應目的的監管框架與標準，以應對多項挑戰，包括了網路安全、信任維護、數據完整性，並且在隱私與透明度之間取得平衡，以及技術中立、智能合約的法律地位等。另一個關鍵挑戰是，區塊鏈教育和人才。區塊鏈仍是新興技術，澳洲政府認為，有必要建立一個可以轉化為驅動創新能力的技能基礎，也將對產業和政府進行有關區塊鏈潛力的教育。此外，擴大國際投資與合作，也是澳洲發展區塊鏈的關鍵之一。

澳洲政府更明確訂出2020年到2025年的目標，包括建立國家級區塊鏈藍圖諮詢委員會，該委員會將就現有政府計畫提供建議，並建立產業、研究部門、政府的工作團隊，以促進對區塊鏈使用案例的分析。

 Mastercard   人事異動 
萬事達卡CEO換人，力推全球即時支付的產品長明年1月將接任

國際發卡組織萬事達卡（Mastercard）在2月25日宣布了一項高層人事異動，現任總裁暨執行長Ajay Banga將於今年底卸任，明年起改由現任產品長Michael Miebach正式接棒，後續還將兼任總裁。

Mastercard今年計畫完成以28.5億歐元買下北歐支付Nets旗下A2A事業的收購案，Michael Miebach正是主導這項全球支付布局計畫的推手。當時他就指出，即時支付的全球機會正在加速，結合Mastercard的Vocalink（英國支付系統）、Transfast（跨境支付）與2019年買下的Transactis帳單支付系統等資產，收購Nets的即時支付平臺將讓Mastercard成為銀行、商家或政府支付需求的一站購足合作夥伴。

新任執行長Michael曾在歐洲、中東、非洲、美國等地區的支付、數據、金融服務與技術領域擔任過領導職務。2010年到2015年期間，擔任萬事達卡中東與非洲地區總裁，2016年升任萬事達卡產品長。Ajay表示，Michael在萬事達卡的這10年以來，一直是萬事達卡多軌戰略的主要架構師，包括領導萬事達卡對Vocalink與Nets即時支付平臺的收購案。進入萬事達卡前，Michael也曾在花旗銀行擔任總經理，在巴克萊銀行擔任常務董事等高階主管職位。

 證交所   盤中零股交易 
散戶也可買高價股票，證交所將於10月實施盤中零股交易

目前零股交易全面是盤後交易，也就是下午1點40分到下午2點半才可進行零股交易，下午2點半後以集合競價一次撮合成交。若想在盤中交易，就必須累積到1000股（一張股票）才能交易，對於一般民眾仍有一定的交易門檻。為此，臺灣證券交易所（簡稱證交所）宣布，今年10月26日開始，可在普通交易時段買賣零股，以降低交易門檻，既有的盤後零股交易作法和機制則照舊。

證交所表示，盤中零股交易上線後，交易時間提前到早上9點到下午1點半，於早上9點10分起第一次撮合，之後每3分鐘以集合競價撮合，依照價格與時間優先原則成交，撮合後才會對外揭露成交價格及數量等資訊，而零股交易未成交委託，則不會保留到盤後零股交易時段。 證交所提到，不是每一家券商都會提供盤中零股交易服務，但若有提供該服務的券商，即規定下單方式須採用電子交易方式來委託，不過，專業機構投資人可不適用。此外，零股交易申報及成交與股票價格，皆不作為當日的開盤、收盤價格，也不作為最高、最低行情的記錄依據。

不只盤中零股交易，證交所也將在3月23日正式實施逐筆交易制度，有別於現有盤中每5秒撮合一次的集合競價，未來逐筆交易上路後，將會是委託單隨到隨撮，提升交易效率。今年度臺股這兩大變革，想必將為證券市場帶來一番新風貌。

 LINE代幣經濟   數位貨幣交易所  
LINE關閉新加坡交易所，轉戰美國開全球法幣交易所Bitfront

為了持續擴張LINE代幣經濟版圖，LINE宣布，2月27日正式在美國啟用全球數位貨幣交易所Bitfront，並且已關閉2018年7月在新加坡成立的數位資產交易所Bitbox。LINE轉戰美國開設的交易所，將由LINE旗下經營加密貨幣及區塊鏈業務的LVC底下子公司LVC USA負責營運，提供法幣對加密貨幣，以及加密貨幣之間的美元交易，用戶綁定銀行帳戶後，就可用美元開始交易。

LINE表示，Bitfront將成為LINE代幣經濟的主要數位貨幣交易平臺。 比起Bitbox只能提供加密貨幣之間的交易，LINE決定擴大到法幣對加密貨幣間的交易服務，建立全方位交易所，希望藉由降低加密貨幣採用門檻，來提升區塊鏈的使用率。目前，Bitfront支援15種語言，5項加密貨幣，包括LINE的數位貨幣LINK(LN)、比特幣 (BTC)、以太幣 (ETH))、比特幣現金(BCH)、泰達幣 (USDT)。適用區域為全球，但日本與美國特定幾州除外。

 PayPal   Google Pay   盜刷  
PayPal帳號出包導致多國用戶遭盜刷，德國資安專家警告有漏洞沒補

近期多名PayPal用戶透過PayPal社群、Reddit及推特反映，他們的PayPal帳戶遭到盜刷購物，金額從上百到上千歐元不等。這些用戶以德國為最大宗，但也包含美國、俄羅斯用戶，他們的共同點都是綁Google Pay服務。盜刷的犯罪地點皆位於美國，像是3C賣場Target及星巴克的線上或實體商店。Paypal獲通報後，已經退款給受影響的消費者。

駭客如何駭入Paypal帳戶不得而知，但代號iblue的德國安全研究人員懷疑，這和他與同事去年發現的PayPal漏洞有關。iBlue解釋，用戶把PayPal連結Google Pay時，PayPal以Paypal卡號、到期日和認證碼（CVC）建立了虛擬卡片。而當Google Pay 用戶刷卡以PayPal帳戶支付時，就是從該虛擬卡扣款。因此如果虛擬卡資訊被駭客取得，就能盜刷交易，而且輸入任何CVC碼都接受。 這名安全人員說，去年他們就將漏洞通報給PayPal，而在180天的緘默期後，顯然PayPal並未修補，於是他決定公布出來。PayPal對BleepingComputer和ZDNet表示，他們正在調查這起盜刷事件。（更多內容）

 玉山銀行   AI   全自動化貸款  
玉山銀推自動化貸款平臺，運用AI打造無斷點數位貸款服務

玉山銀行推出全自動化貸款平臺e速貸。玉山銀宣稱，運用AI技術打造無斷點數位貸款服務。首波將以名單邀請的方式讓顧客體驗， 只要符合申辦資格，並完成線上身分驗證與申請書填寫，再於營業時間內完成線上對保，即可於58秒內取得所需資金，整體貸款體驗皆為線上自動化完成。玉山銀表示，可節省紙本作業及等待專人回覆的時間，提供顧客快速的數位貸款新體驗。然而，上線初期僅以邀請優質薪轉戶為主，玉山銀提到，未來會在兼具風險管控與顧客體驗下，持續擴大適用客群。

 區塊鏈   雲端郵件   區塊科技  
鎖定BEC威脅，區塊科技發表區塊鏈雲端郵件存證與真偽驗證工具
近年關於商業電子郵件詐騙（BEC）的威脅不斷發生，一次就為企業帶來數百萬元的損失，臺灣新創區塊科技推出郵件存證與真偽驗證的解決方案「ChkSender」，鎖定雲端郵件平臺，並以Chrome瀏覽器外掛形式來執行，強調從使用者端的寄送與接收階段來驗證郵件真偽，特別的是，這樣的解決方案結合了區塊鏈技術，再加上全球詐騙情資，以及AI機器學習技術，提供進階防詐能力，協助Gmail用戶降低受詐騙郵件的機率。現階段，可針對的是Gmail使用者（包含G Suite用戶），目前他們也正開發相容Office 365郵件平臺的應用。（更多內容）

圖片來源：Mastercard、LINE；攝影／洪政偉
責任編輯／李靜宜
 金融科技近期新聞 
1.  前微軟工程師盜走價值1千萬美元的數位資產，在網路上以比特幣等方式兜售，被判18項重罪
2.  FBI：勒索軟體受害者過去6年來已支付價值1.4億美元的比特幣
資料來源：iThome整理，2020年3月。

國內5G首波頻譜釋照剛落幕，看準各家電信業者將在下半年開通5G服務，台灣三星搶先卡位國內5G手機市場，預告3月20日將開始銷售年度旗艦手機Galaxy S20，支援5G通訊功能，空機售價3.29萬元起。

三星Galaxy S20 5G系列共推出三款機型，6.2吋Quad HD+螢幕的S20，配備更大6.7吋螢幕的S20+，以及擁有最大6.9吋螢幕、1億800萬畫素相機及100倍變焦功能的超規格旗艦手機S20 Ultra。

S20（12GB記憶體及128GB內存容量）空機售價3.29萬元，同樣記憶體及內存容量的S20+為3.69萬元，最高階的S20 Ultra則分為兩種版本，配備12GB記憶體及256GB版本定價為4.39萬元，而16GB記憶體及512GB的版本則是4.79萬元。

S20與S20+支援了6400萬畫素相機，最高階的S20 Ultra更支援1億800萬畫素相機，高畫素照相功能，加上支援8K錄影，大容量影像檔案傳輸，未來將能透過5G或是Wi-Fi（上傳/下載速度達1.2Gbps）高速傳輸。

Galaxy S20 5G系列均採用了高通S865八核心處理器，可支援Sub-6頻段的5G服務，並向下相容4G LTE。目前國內尚未開通5G服務，要等到第三季才會陸續開通，台灣三星也說明，S20 5G系列手機將等到國內的電信商5G開臺後，透過軟體更新開通手機上的5G通訊功能，用戶在國外也能使用Sub-6頻段的5G服務。

中華電信、遠傳電信、亞太電信、台灣大哥大及台灣之星五家業者，不約而同宣佈了S20的購機資費方案，皆以4G資費方案搭配銷售手機，以電信三雄為例，三家業者資費多鎖定999以上，到最高2000多元的月租費。

值得注意的是，S20在全球支援了Sub-6和毫米波（mmWave）頻段，但是會視各地區市場需求推出適合的版本，臺灣上市的S20僅支援Sub-6頻段，即支援3.5GHz頻段5G服務，並沒有支援28GHz，因此未標得3.5GHz的亞太電信用戶可能不適用。但亞太電信表示，未來將和其他電信業者合作，提供3.5GHz頻段5G，讓亞太用戶也能使用支援該頻段的5G手機。

另外，國內電信商正在投入5G網路建設，5G的資費方案仍在規劃中，若消費者現在先以4G資費方案入手5G手機，到下半年電信商開通5G服務、公布資費方案，S20用戶是否需要再申請新的5G資費，或是如當初4G剛開臺時的升級資費方案，目前尚不得而知。

三星在今年1月宣佈，去年全球已售出670萬支5G手機，包括Galaxy S10 5G、Note 10 5G等等，在全球5G手機市佔率超過5成，今年S20 5G系列手機挾高通S865處理器，最高1億800萬畫素、100倍變焦等進階功能搶市。

不讓三星專美於前，LG上個月也在國外發表了5G旗艦手機V60 ThinQ 5G，而Sony也不甘示弱，發表旗下首款5G手機Xperia 1 II，展望台灣即將在下半年推出5G服務，其他業者也可能引進5G手機，國內5G手機市場競爭可能提前開打。

VMware新的合作夥伴計畫Partner Connect於3月2日正式啟用了，VMware今日（3/4）首度在臺對外介紹新計畫。新計畫採單套框架涵蓋全產品的模式，目標是毎一家經銷商都能賣所有VMware的產品。

VMware坦言，因舊有模式太複雜，有多套夥伴計畫的框架，所以，他們早在去年4月初就預告，要在今年第一季換掉已沿用9年的Partner Network模式，讓該模式走入歷史。VMware以合作夥伴形容參與計畫的經銷廠商。新計畫採單一套框架的作法，改變了過去以經銷、服務、技術類型，各自劃分不同級別的方式，現全面統一為相同的3個等級，分別是Partner、Advanced Partner和Principal Partner，再藉此來訂定合作夥伴於各級別可獲得的權益，以及需達到的標準，都透過單一份合約來規範。

圖片來源：VMware

除了有3級別的單一套合作夥伴框架， VMware還將旗下產品劃分為7大領域，包含資料中心虛擬化、雲端管理自動化、VMC on AWS、雲端供應商、現代化應用、網路安全和數位工作空間，VMware進而再依3級別，對合作夥伴設有各領域銷售業績、技術和能力驗證的標準。

圖片來源：VMware

合作夥伴若要取得最高級別Principal Partner的資格，除了銷售業績需達到積分的條件外，也需獲得至少1項領域的大師級服務能力（Master Services Competencies）認證，才可符合資格。

這個大師級服務能力是VMware新增加的認證，合作夥伴需要提出成功部署的案例，才可取得。VMware臺灣工商業務暨合作夥伴事業部副總經理謝國東提到，過去，合作夥伴僅通過考試，來獲得認證，而這個認證增加了實作經驗的要求，他進一步說明，實際部署經驗需符合多項要求，像是部署建置、技術分析和專案規畫等能力。

VMware臺灣總經理陳學智表示，該認證相當於VMware驗證了合作夥伴在該領域的部署能力。未來，企業可依需求所屬的領域，評估具該領域大師級服務能力認證的VMware經銷商是否合適選用。

現階段，臺灣共有逾150家合作夥伴參與新計畫。謝國東表示，原先Partner Network模式之下，約150家合作夥伴皆已轉換至新計畫，另外，新計畫還包含了VCPP、新併購公司之經銷商等。VMware未具體訂定該計畫在臺合作夥伴數將達到的目標，不過，根據他們的估算，VMware在臺的生態系規模超過500家。

臺灣逾150家的Partner Connect合作夥伴中，有4家已經取得大師級服務能力認證，分別是精誠資訊、晉泰科技、創鑫資訊和大同世界科技，取得的認證屬於資料中心虛擬化和雲端管理自動化領域。

此外，這4家通過大師級服務能力認證的廠商，其中有2家已取得Principal Partner級別的認證，另兩家則因尚未達到銷售業績的條件，屬於Advanced Partner級別。目前臺灣共有逾50家合作夥伴被認證為Advanced Partner，其餘屬Partner級別。

對於新合作夥伴計畫帶給企業的影響，陳學智表示，過去合作夥伴需獲取各領域專屬的銷售資格，現可透過單一合約獲取，可更快對外銷售不同領域的產品。文⊙黃郁芸

Amazon利用生成對抗網路（Generative Adversarial Networks，GAN）依據文字產品描述，來產生相匹配的產品範例，讓購物者可以依視覺指引，逐漸修正文字查詢，直到能夠檢索出正在尋找的產品為止。

Amazon提到，生成對抗網路能夠良好地處理圖像合成任務。生成對抗網路由兩個網路組成，一個為生成網路，目標是盡可能的產生仿真的虛假樣本，而另一個為判別網路，試圖辨識出生成網路所產生的虛假樣本，並區分出真實樣本，這兩個網路一起訓練，之間的競爭可收斂在一個有用的生成模型上。

將生成對抗網路用在Amazon的這個案例上，可讓購買者更簡單地探索出想像中的服裝，像是購物者可用文字描述「女性的黑色長褲」搜尋長褲商品，並且根據搜尋出來的結果，後續添加「嬌小」和「卡普里褲」等特徵，系統根據新的單詞調整顯示的圖片。Amazon這個系統特別之處，在於添加新特徵後還能夠保留舊視覺特徵，並產生與文字描述相符的顏色。

Amazon應用的新方法稱為ReStGAN，是修改自常用的文字轉圖像生成對抗網路StackGAN模型。StackGAN將合成圖像簡化成兩部分，其一是從文字產生低解析度的圖像，接著在圖像上進行採樣，以進一步產生具有材質和自然色彩的高解析度圖像。這兩個程序各有其生成對抗網路，將兩個生成對抗網路堆疊在一起就成了StackGAN。

而Amazon在StackGAN增加了長短期記憶（Long Short-Term Memory，LSTM）元件，長短期記憶是一款依序處理序列輸入的神經網路，Amazon提到，將長短期記憶與生成對抗網路一起訓練，這個網路將可隨著相繼輸入的單詞，逐漸修改圖像。由於LSTM是一種時間循環神經網絡（Recurrent Neural Network，RNN），因此新網路名稱為遞迴StackGAN，縮寫為ReStGAN。

由於從文字敘述合成圖像這項任務仍然非常困難，為了降低複雜度，Amazon將應用限縮在長褲、牛仔褲和短褲三種類似的產品，並且標準化用於訓練模型的圖像，除了移除背景之外，也進行剪裁和調整大小，使其比例與形狀都相同。

新模型的訓練大多使用無監督式學習，也就是訓練資料主要由產品名稱和經標準化的圖片組成，沒有任何的人工註解，不過為了提高系統的穩定度，Amazon使用了輔助分類器，根據褲子類型、顏色以及適合的性別三個屬性進行分類。

在顏色合成上，Amazon提到，傳統單詞嵌入將顏色名詞分在同一群，但是並沒有結合人類感知經驗，因此Amazon開發了新方法對顏色編碼，他們在LAB色彩空間中對顏色進行分組，這個色彩空間的特性，是顏色點之間的距離，與人類感知到的顏色差異相符。Amazon利用分組的顏色建立查詢表格，將視覺相似的顏色，對應到文字描述相同的特徵中，而建立顏色查詢表格附帶的好處是，模型更能夠合成出具自然顏色的圖像。

Amazon以可辨識度和多樣性作為指標，計算類型、顏色以及性別三個屬性的分數，以比較ReStGAN和StackGAN模型，在類型和性別上，前者比後者分數提高了22％和27％，而顏色分數則改進100％，Amazon提到，這代表使用新的顏色模型效果明顯。

Hewlett Packard Enterprise（HPE）周二（3/3）公布截至今年1月底的2020財年第一季財報，顯示該季HPE創下了69億美元的營收，比去年同期衰退了8%，當中擔當HPE營收主角、以伺服器為主的運算營收則為30億美元，下滑了16%；儲存營收為13億美元，亦下滑7%；金融服務營收為8.59億美元，下滑6%；高效能運算系統創下8.23億美元的營收，成長6%；智慧邊緣則帶進7.2億美元營收，成長4%；顧問營收為2.43億美元，與去年持平。

從財報上可看出，支撐HPE的前三大營收，包括運算、儲存與金融服務都是下滑的。HPE表示，伺服器的營收在該季受到不確定的商業環境、零件供應受限及北美生產力受限等因素的影響。不過，外界則分析，除了整體的經濟環境以外，企業逐漸轉移到雲端運算，也對伺服器的銷售造成衝擊。

由於財報低於分析師預期，HPE周二的股價下滑了2.33%，以12.59美元作收。