上周舊金山國際機場（San Francisco International Airport，SFO）自承今年3月有網站被駭，可能導致登入過網站的使用者，個人的Windows登入帳密被竊取。最新研究顯示，這起資安事件可能和俄羅斯駭客有關，而且所有登入過舊金山機場網站的使用者，都應該小心。

舊金山國際機場的SFOConnect.com與SFOConstruction.com兩個網站，在3月被駭客植入了惡意程式，目的在竊取從外部網路存取網站的使用者Windows裝置密碼。至於駭客背景及手法，安全廠商ESET公布其研究，顯示可能是一個俄羅斯駭客組織所為。

ESET研究中心指出，從攻擊手法和工具來看，舊金山機場駭客入侵事件，和名為Dragonfly/Energetic Bear的俄羅斯駭客組織慣用手法很像。這個組織從2010年起就為俄羅斯政府執行網路攻擊行動。ESET也在發現攻擊後，通報舊金山機場當局。

ESET指出，駭客目的在蒐集所有Windows使用者帳號及NTLM（NT LAN Manager）驗證協定的雜湊值。他們駭入SFOConnect.com及SFOConstruction.com網站後，在HTML中加入JavaScript，以注入file: // xn--1x1-l29dp4eo1au0xzuflqhpwjden56gs82dsuzcbqdxyg pixel的圖片檔。

當Windows機器以瀏覽器造訪網站時，瀏覽器便會根據該路徑下載該圖片檔，並以SMB檔案開啟。預設下的Windows會在NTLM驗證過程中，送出Windows帳號及雜湊值到駭客掌控的遠端伺服器。駭客接收Windows雜湊值後，可以進一步破解密碼或用以入侵受害者公司的Windows網路，進行大規模竊密、刪改檔案或勒索攻擊。

雖然舊金山國際機場已經強制重設所有受影響使用者的電子郵件及網路密碼，且目前似乎沒有其他機場被駭，但這項攻擊也會影響外部使用者，因此所有透過Windows裝置上的IE、自外部網路造訪上述網站的使用者，都應該修改自己裝置上的登入密碼。

微軟宣布了一系列環保倡議行動，目的是要保護地權的生物多樣性以及生態系，現在微軟的AI for Earth計畫進入下一階段，他們將投入資源打造行星電腦（Planetary Computer），並資助社群取得重要的環境資料集，以及可供分析的平臺，最終將這些分析結果，用作推動全球環保政策的依據。

微軟在2017年啟動AI for Earth計畫，致力幫助農業、生物多樣性、保育、氣候變化以及水資源5個領域的環保組織，提供他們5千萬美元資金和雲端人工智慧工具，解決各種環境問題。微軟提到，地球生態系統與生物多樣性狀態每況愈下，地球四分之一的物種瀕臨滅絕，供數千種生物棲息居所的濕地已經減少87％，珊瑚礁減少50％，野生動植物的數量下降近60％，對食物鏈至關重要的昆蟲，多樣性和豐富度大幅下降，衝擊全球75％的糧食作物。

為了解決這些問題，微軟希望能夠匯總來自全世界的環境資料，並結合運算和機器學習技術，更快速地評估地球的狀態。過去，聯合國生物多樣性和生態系統服務平臺（IPBES）在2000年時，發起了首次地球評估計畫，共有1,300多人參與耗時近5年，最新的研究報告又花了15年，共1,700頁引用了15,000多個科學資料。

微軟提到，隨著環境挑戰越來越劇烈，已經沒有這麼多年的時間可以消磨，但同時地球又需要更多的環境資料來評估、診斷和治癒，微軟認為，評估地球的健康狀況，應該要成為一種持久且全面的行動。

而行星電腦就是為此而生，行星電腦並非單指一臺電腦，而是一種新型的計算平臺，這個平臺儲存由人或機器，收集來自太空、天空、地面和水下無數的資料點，這些資料點可被以地理位置搜尋，而非傳統的關鍵字。

使用者可以對感興趣的區域進行查詢，也能搜尋世界各地擁有特定環境的位置，行星電腦可讓用戶使用最新的機器學習工具，尋找新問題的答案，並將預測結果向全球社群公開。這些問題可能包括森林密度、城市規畫、野生動物保護和氣候測量等領域。

由於行星電腦非常複雜，微軟表示，他們難以獨自完成，因此找來了Esri一起合作，Esri是一間多年發展環境監控解決方案的地理資訊系統軟體廠商，在AI for Earth計畫啟動時就與微軟開始合作。微軟與Esri要合作收集、顯示和處理有關於地球系統的資訊，並且讓所有環境保護組織都可以取用這些資訊，而他們也能夠回饋貢獻資訊給資料儲存庫。

Esri過去在全球保護組織已經耕耘不少，從事瀕臨絕種的物種保護、土地保護和自然界基礎科學等工作，從估算森林損失到保護大象免受偷獵，Esri提供環境保護組織數位工具和專業知識，共同保護全球生態系。

接下來微軟和Esri在行星電腦上的合作，會圍繞在機器學習的地理空間解決方案，微軟也將在Azure上提供重要的地理空間資料集，在今年稍晚，環保組織可以利用Esri的工具進行存取，微軟承諾會持續向相關合作夥伴挹注資金，確保環保組織能無虞地存取資料集、計算和其他資源。

Motherboard於本周報導，已有駭客在黑市銷售鎖定Zoom的兩個零時差漏洞攻擊程式，分別可用來攻擊Windows及macOS上的Zoom客戶端程式，且Windows版的售價高達50萬美元。

根據報導，鎖定Windows版Zoom的攻擊程式，可用來執行遠端程式攻擊，除了得搭配其它的漏洞才能控制整個受害系統之外，也必須加入Zoom會議才行，但由於它是個尚未被揭露的零時差漏洞，因此駭客開價高達50萬美元，但有資安專家認為，它頂多價值25萬美元。

至於macOS版的Zoom攻擊程式，由於並非開採遠端程式攻擊漏洞，也較不容易使用，因此不那麼危險。

因為武漢肺炎（COVID-19）疫情的關係，Zoom一躍成為全球最熱門的視訊會議程式，每天的與會人數從去年底的1千萬，爆量成長到今年3月的2億，也讓它成為駭客的頭號目標。

Motherboard指出，Zoom的一夕竄紅，讓全球的駭客都在尋找它的安全漏洞，而且急著以高價在黑市中銷售，因為這些零時差安全漏洞一旦被利用或被察覺，價值就會隨之降低。有一名駭客開玩笑地向Motherboard表示，「現在誰沒有Zoom的零時差漏洞？」

不過，Motherboard也說，Zoom也許不完美，但用來與親友閒話家常應該沒什麼問題，這個世界就是有愈多人用的產品，就愈會受到駭客的青睞。

資安公司AT&T Alien Labs揭露了一種使用協作通訊軟體Slack的Webhooks，來對使用者進行釣魚攻擊的手法，而Slack也主動搜尋洩漏的URL使其無效，並呼籲管理者妥善保管Webhook URL。

Incoming Webhooks是一種將應用程式的訊息傳送進Slack的方法，其提供一個唯一的URL，應用程式可以利用該URL以JSON作為載體，傳送文字訊息以及選項，但資安人員卻發現，攻擊者利用這個可讓開發者從外部傳送資料到Slack的簡單方式，對使用者進行釣魚攻擊。

問題發生在頻道覆寫功能，這個功能讓JSON載體只要增加頻道鍵值，就能快速地覆蓋先前指定的Webhook目標頻道，在部分情況中，這個方法可以被用來覆寫先前的配置。資安研究人員在GitHub中的公開程式碼中，找到了130,989份存在Webhook URL的程式碼，大部分這些程式碼都包含了唯一的Webhook值，使用這些公開的URL，就能利用Slack應用程式進行釣魚攻擊。

攻擊者可以建置一個Slack應用程式，並讓這個應用程式可公開存取，接著對洩漏的Webhook URL發送惡意訊息，攻擊者就能夠追蹤安裝惡意應用程式的工作空間，並利用該應用程式從工作空間竊取資料，而攻擊者可以存取資料的範圍，取決於應用程式當初請求的存取權限。

AT&T Alien Labs研究人員提到，Slack管理者可以採取一些措施，降低可能出現的攻擊風險，但是部分措施只有Slack才能進行。Incoming Webhooks應僅能給予最低的權限，像是預設僅能在定義的頻道中運作，多頻道Webhooks以及覆寫功能，應該作為獨立的應用程式或是選擇性啟用，研究人員表示，現在覆寫功能藏在配置說明面板底下，使用者需要特別進行操作才會顯示，因此許多用戶並不了解這項功能，另外，也應該確定除非Webhooks具有明確定義，否則Webhooks都不應該能被發布到公告或是管理員頻道。

研究人員也提到，Webhooks配置頁面沒有任何文字告訴使用者Webhook URL的重要性，加上使用者對覆寫功能不熟悉，就會讓使用者暴露在可能遭受釣魚攻擊的風險中。而對此Slack也回應，Webhooks是憑證工具，能夠用來存取工作空間的發布功能，因此對於已經洩漏的Webhook URL，管理員應該主動讓這些URL失效後，產生新的URL。

Slack也主動到GitHub上搜尋了所有已經對外洩漏的Webhooks，並使這些URL失效，Slack提到，只要能夠妥善保管Webhook URL，那Webhooks就會是安全的，因為URL本身無法被猜測，管理者應該使用最佳實踐來儲存這些憑證。

Google進一步擴大其公益支援計畫，現在加入更多新的國家，並且給予非營利組織訂閱使用G Suite商業版和企業版，更多的折扣，商業版從每人每月12美元降為4美元，而企業版則從每人每月25美元降為8美元，適用於非營利組織的G Suite版本維持免費。

由於武漢肺炎疫情在各國持續蔓延，Google提到，此時非營利組織更需要線上協作工具，來支援遠端工作，因此這次是他們多年來，首度擴展公益支援計畫，新增葡萄牙、希臘、愛沙尼亞、拉脫維亞、立陶宛和秘魯，目前總共支援了全球57個國家。而為了鼓勵非營利組織使用G Suite的進階功能，滿足線上工作的儲存、安全性和虛擬協作的需求，Google也調整非營利組織使用G Suite商業版和企業版的價格。

現在全球非營利組織G Suite商業版，每個用戶月費降至4美元，而企業版則降價為8美元，原本適用於非營利組織的G Suite版本將繼續免費，非營利組織可以免費啟動適用非營利組織的G Suite版本，使用Gmail、文件和日曆等線上應用程式，而且在2020年9月30日前，所有G Suite版本都可以使用Google Meet的進階功能。

非營利組織G Suite商業版向每個用戶提供1 TB的儲存空間，並可使用Google Vault管理資料，開啟最多可容納150人的視訊會議，而G Suite企業版除了涵蓋商業版的功能，另外還有電子郵件加密，且能開啟最多可容納250人的即時視訊會議，以及用於管理用戶和應用程式的Cloud Identity。

網路應用程式開發平臺Glitch，本周發表了該站的第一個訂閱服務，提供更多的記憶體與儲存資源予付費的訂閱用戶。

2017年創立的Glitch，允許使用者藉由該站撰寫或混合程式碼，進而發布機器、網路應用程式或各種專案，並提供512MB的記憶體空間及200MB的儲存空間，通常是一些範圍有限的小應用，但只要閒置5分鐘，就會進入休眠狀態，且重新喚醒也需要一些時間。此外，它每小時最多只能支援4千次的請求。不過，由於它是免費的，迄今已代管了超過500萬個程式與機器人。

為了增進這些應用的效能，Glitch推出了訂閱服務，也是該站的第一個付費功能，只要每月支付10美元或一年支付96美元，就能使用2GB的記憶體與400MB的硬體空間，同時也不會再讓程式進入休眠狀態，並提供無限制的請求次數。

武漢肺炎（COVID-19）疫情讓視訊程式成為近來最熱門的議題，包括鎖定企業視訊會議的Zoom，與定位為社交視訊平臺的Houseparty，根據SimilarWeb的統計，Houseparty不管是在美國Google Play或蘋果的App Store上，都已高居社交應用程式下載排行榜的第一名，也是這兩個平臺所有類別程式下載排行榜的亞軍。

Houseparty創立於2016年，目前提供支援Android、iOS、macOS與Chrome的版本，標榜是個面對面的社交網路，除了可一對一視訊聊天之外，也支援最多8人的群組視訊聊天。

該程式原本只流行於青少年之間，但隨著疫情的爆發與禁足令政策，它的使用族群也逐漸擴大。Houseparty共同創辦人暨執行長Sima Sistani本周向彭博社透露，過去一個月以來，Houseparty新增了5千萬名用戶，大概是過去的70倍。

Houseparty只是近來視訊會議程式竄起的其中一例，行動程式分析機構App Annie上個月的調查顯示，在今年三月的第三周，包括Hangouts Meet、Microsoft Teams、Zoom及Houseparty等行動程式的下載量，幾乎都有10倍以上的成長。

GE Healthcare及微軟在本周共同發表了Mural虛擬照護解決方案（Mural Virtual Care Solution），以協助醫療院所自遠端監控具傳染性的武漢肺炎（COVID-19）病患，該服務奠基在微軟的Azure雲端平臺上，醫療院所除了必須支付安裝費用之外，至明年1月31日止都不需支付訂閱費用。

GE Healthcare原本要在今年3月舉行的醫療資訊暨管理系統協會（HIMSS）會議上，發表全新的Mural虛擬照護解決方案，但該會議因疫情而取消，此次與微軟的合作則是Mural的首度曝光。

正在全球大流行的武漢肺炎幾乎榨乾了各國的醫療資源，也讓醫護人員疲於奔命，Mural能夠即時展示各種數據，包括呼吸器、病患監控系統、電子病歷或是實驗系統等，讓醫生能夠一次監控多名重症病患。

根據GE Healthcare的說明，單一的Mural安裝就能支援一個加護病房網路上的100床病患，而且只需3名資深護士與兩名醫生進行全天候的監控，除了能夠協助醫院解決人力不足的問題之外，遠端監控還能降低醫護人員受到感染的風險。

微軟醫療長David Rhew表示，現在我們比任何時候都更需要利用有限的資源，來管理日益增加的肺炎患者，Mural與Azure的結合將可大規模地監控這些肺炎病患。

武漢肺炎大幅提升視訊會議軟體的重要性，Verizon周四宣布收購雲端視訊服務業者BlueJeans。

這項收購案預計今年第2季完成。根據CNBC報導，雙方收購金額為4億美元。

創立於2009年的Bluejeans提供雲端視訊服務，主打商用市場，曾被媒體評為最酷的網路新創公司，客戶包括Salesforce、臉書、麻省理工學院（MIT）、Google、LinkedIn。在武漢肺炎期間許多公司被迫改為在家上班，Google及LinkedIn等，也都改用Bluejeans進行員工招募面試。

這項收購將可強化Verizon的統合通訊（UC）服務產品線。Verizon商用部門執行長Tami Erwin表示，協同作業方式不斷變化，企業和公部門客戶有必要獲得能和現有工具無縫整合的企業級工具。在此之前，Verizon原本是銷售思科WebEx的整合通訊協同服務。此外BlueJeans也將整合Verizon的5G產品線，提供遠距醫療、遠距學習或現場服務等方案。

Blue Jeans的視訊和協同工具，包括雲端會議及大型互動活動平臺，將整合到Verizon商用業務部門，而其員工也會合併入Verizon該部門。BlueJeans創辦人及管理團隊，也將一同加入Verizon。

本收購案也有助於Verizon搶占水漲船高的視訊會議市場。從武漢肺炎以來，Zoom用戶三個月內由1千萬成長為2億，不料卻傳出客戶端軟體有漏洞、視訊會議易遭亂入等資安問題，先後遭紐約市、德國、澳洲、巴西、印度、及臺灣公部門部分禁用。

4/2~4/14 精選容器新聞

#API優先權 #K8s新功能

K8s 1.18版暗藏未來關鍵新功能，API優先權新設計初測中

3月中釋出的K8s 1.18版中，一口氣多了38項新功能，其中只有15項是正式功能，其他大多是測試功能，甚至有12項是實驗性高的Alpha版初測功能。三位來自Google、螞蟻金服和IBM的工程師，最近特別在K8s官網揭露一個1.18版中新加入的重要功能：API優先權和公平性（API Priority And Fairness）設計，這就是Alpha功能中，少人注意到但影響深遠的改變。這個功能主要用途是讓叢集管理員設計不同的優先權重等級，負責管理K8s所有API的伺服器，每收到任何API呼叫請求時，就會依據這次呼叫所屬的等級，來分配所能得到的流通量。

API伺服器可以用來控制變動或讀取量的上限，來避免主機CPU或記憶體超載的把關者，但是，目前K8s的設計上，只能區分異動用請求和唯讀用的請求這兩大類，而無法進行更細緻的調控，所以，常會出現某一種使用情境的請求特別高的情況。簡單來說，若某一個K8s服務的請求大增，一旦塞爆了這個控制所有API的API伺服器，就會連帶地影響了其他K8s內部服務的呼叫，例如影響到系統控制器的運作，或是一兩個故障節點連續狂送請求，可能就會導致整座叢集大塞車，其實塞住的是那個扮演交流道功能，負責指揮的API伺服器。

這個新增的API優先權和公平性設計，可以建立一個流量架構（Flow Schema），來定義不同的流量指標所能擁有的優先權等級。API伺服器再依據不同的等級來安排API呼叫的執行順序，另外，執行完一次請求要挑選下一次要執行的請求時，也會使用一個公平性演算法來檢查，避免某些重要的請求一直被塞在後面而無法執行，進而影響了整體叢集的運作。

目前，這樣的API優先權設計還有一些不足的機制有待開發，例如對於還必須修改系統監控機制的支援，讓這樣的API優先等級的影響，也能反映到是視覺化監控報表上呈現，這也是下一版要先改良的地方。

#K8s管理 #資安掃描
Rancher小改版，可支援到2千叢集十萬節點，未來目標是百萬叢集

K8s管理平臺Rancher最近釋出2.4新版，再次提高擴充能力，這次改版後可支援到2千個叢集，最多共10萬個節點，目前架構設計上，也以百萬叢集為目標來考量。另外也增加了遠端升級功能，可由本地端K3s叢集來決定是否自動升級。另外，新版也開始支援不關機維護機制，可以在不影響應用程式的情況下，來升級K8s叢集。另外一個新特色是，引進了CIS資安掃描，利用公開的100項CIS資安指標，來檢查RKE叢集的資安問題。新版也提供了一個AWS實例的安裝部署套件，方便企業快速建議一個全功能的Rancher伺服器，可達99.9%的服務水準，但若部署在其他雲端平臺則無法保證SLA，如GKE和AKS。

#AIOps #雲端成本管控
雲端AI優化工具推出3個月免費，靠AI自動調校K8s工作負載

一家AIOps雲端優化業者Opsani宣布，因應疫情推出3個月免費服務，可用AI技術來優化企業部署在雲端的K8s，自動調度到效能夠用但更便宜的部署環境，來降低企業租用雲端服務的成本。這項服務主要利用AI來追蹤不同K8s應用的執行效能，再依據應用所需的CPU和記憶體用量，將工作量動態調度到成本較低的執行環境，也可協助優化JVM等中介軟體的配置。這個AIOps工具也可整合到常見的DevOps工具鏈的服務或監控服務，例如GitHub、Terraform、Jenkins、Prometheus等。

#PaaS,#SAP,#IBM
CloudFoundry基金會開始認證K8s作為CFP內建容器管理平臺

不少雲端PaaS業者採用Cloud Foundry的PaaS作為應用層平臺軟體，例如IBM、SAP，當然還有VMware的雲端平臺都使用了Cloud Foundry PaaS來建置。最近，Cloud Foundry基金會宣布，將開始認證K8s可以作為CF PaaS的內建容器管理平臺，可以用來取代他們原本的Diego容器管理平臺。原本就已經採用Digo的企業，仍舊可以繼續使用，但新的K8s認證措施，也意味著Cloud Foundry PaaS也開始大舉向K8s靠攏了。

#ECS #EFS #AWS Fargate
AWS雲端容器服務小更新，強化對自家雲端儲存EFS的支援

最近AWS雲端容器服務ECS有項小幅更新，強化對雲端檔案儲存服務EFS的支援，讓靜態容器應用，更容易透過EFS來跨區域部署。另外，AWS也同步更新Fargate容器代管服務對EFS的支援，並且改用Containerd來取代相對較複雜的Docker Engine，來提高容器核心引擎的執行效率。不過，目前這兩項更新都仍是預覽版本。

#持續派送 #Argo
CNCF孵化專案又多了一款持續派送平臺Argo

最近CNCF同意持續派送平臺Argo專案的加入，成為孵化專案之一。Argo是一組Kubernetes原生工具，可用來執行和管理在Kubernetes上運作的應用程式與工作，Argo專案是由一間名為Applatix的企業，在2017年時創建，Applatix在2018年的時候被Intuit收購，之後BlackRock也加入貢獻Argo專案的行列，並且與Applatix共同積極發展專案以及經營社群。

#Krustlet #Virtual Kubelet
在K8s上部署WebAssembly應用有新工具

開發者將應用程式編譯成WebAssembly後，可以利用一個新興的部署工具Krustlet工具來部署。Krustlet的設計類似Virtual Kubelet，可以從Kubernetes API事件串流中監聽新的Pod；Virtual Kubelet是一個開源Kubelet實作，而Kubelet則是Kubernetes叢集的必要元件，叢集中每個節點都會啟動Kubelet，來處理主節點派送的任務，以及管理節點上的Pod。

#應用程式交付 #Dragonfly
K8s雲端檔案發布系統Dragonfly正式進入CNCF孵化器

由阿里巴巴集團貢獻的Dragonfly專案，正式進入CNCF孵化器階段。這是一個K8s專用的雲端原生映像檔和檔案發布系統，也是阿里巴巴容器平臺中的骨幹技術，每年支援數十億次的應用程式交付。Dragonfly在2018年的時候被CNCF沙盒接收，並被中國移動、滴滴和螞蟻金服等企業採用。透過P2P映像檔和檔案發布協定，Dragonfly能有效減輕映像檔註冊表和網路的負載，以提升使用者體驗，由於P2P技術可以充分利用每個同儕的頻寬資源提升下載速率，能節省大量的跨IDC頻寬以及昂貴的跨境頻寬。最新版本Dragonfly 1.0，已經用程式語言Go全部重寫，來提高雲端擴充性。

#Prometheus #日誌分析
Grafana Lab推出Prometheus日誌分析平臺的企業級產品Cortex，自己先試用三年

Grafana Lab釋出了Cortex 1.0，這是一款以Prometheus來打造的開源時間序列資料庫與監控系統，具有水平擴展架構，以及幾乎無限的留存資料能力，目前為CNCF沙盒專案。1.0增加了多個讓用戶更容易用於生產的改進，像是提供詳細的部署步驟，以及簡單入門模式。Grafana Lab自己在內部生產環境中用Cortex長達三年，如Grafana Cloud的託管日誌和指標平臺的後端都是Cortex。

#開源專案管理 #按功能付費
GitHub核心功能全免費，私有儲存庫的協作人數不再有上限

從「按私密性付費」（Pay by Privacy)，全球最大的開源專案代管平臺GitHub開始轉為按功能付費（Pay by Feature)的模式。最近GitHub執行長Nat Friedman宣布，核心功能將永久免費，尤其是原本私有專案的3名協作者上限，也取消，不再限制人數，現在改為以專案所用的儲存量來計算，免費版只能儲存500MB，超過得使用付費版，另外，免費版的Actions數量也只提供每月每分鐘2千次呼叫。原本付費使用開源Team版本的用戶，現在全部免費。不過，免費版只會提供社群支援，企業級支援得付費才有。

責任編輯／王宏仁 

更多Container相關動態

-VMware修補vCenter Server高風險漏洞
-Canonical推出應用託管服務，可代管10款應用上雲端

Windows 10更新本周又傳出導致Microsoft Defender出現錯誤訊息，引起大批用戶抱怨，原來出在一個很小的問題上，不過微軟這次迅速解決問題。

本周二微軟在Patch Tuesday釋出Windows 10更新KB4549951版後，有用戶在微軟支援網站上指出，其Microsoft/Windows Defender的病毒和威脅防護通知，出現「威脅服務已經停止，請立即重新啟動」、「發生意外錯誤。對不起，我們遇到問題，請重試一次。」的錯誤訊息。但是用戶重試後，卻沒有反應。不少用戶也在Reddit論壇反映類似問題。

許多用戶以為又是Windows更新惹禍，但最後發現問題元兇，其實是周四稍早透過Windows Update自動更新的Security Intelligence 1.313.1638.0版。這使得Defender掃瞄到資料夾檔名中，內含副檔名前有2個點以上的檔案（如G.E.C.K..ink）時會當掉，造成Microsoft/Windows Defender無法掃瞄系統。

只要將檔名改成1個點，問題就解決了。板上用戶對Defender會受到這麼小的問題而當掉，表示不可思議。

Bleeping Computer報導，微軟周四已釋出Security Intelligence 1.313.1687.0版解決該問題。使用者可以循Windows Security>病毒&威脅防護，點擊「檢查更新」下載最新版本。

這是Microsoft / Windows Defender一個月來第3次出包。3月底Windows Defender在做例行性掃描時，自動跳過特定檢查項，還說是因為用戶設定排除網路掃描相關項目。本周Microsoft Defender又把工具軟體Winaero Tweaker，誤判為有害程式。

臉書（Facebook）在去年6月所發表的加密貨幣Libra，由於受到各國政府與各大銀行的抵制，使得它幾乎寸步難行，為此，支撐該貨幣的Libra協會（Libra Association）在本周更新了Libra白皮書，宣布除了支援多貨幣的Libra幣之外，也將推出可對應單一貨幣的穩定幣，並已向瑞士金融市場監督管理局（Swiss Financial Markets Supervisory Authority，FINMA）申請支付系統的經營授權，可說是Libra正式踏出的第一步。

Libra白皮書主要修改四大部份，一是提供基於單一貨幣的穩定幣，二是建立符合各國法規的框架來強化Libra支付系統的安全性，三是放棄未來將轉型為開放式區塊鏈系統（permissionless system）的計畫，四則是替Libra儲備金建置強大的保護。

上述修改的部份，都是Libra協會在這半年多以來到處碰壁，在與監管機關或金融專家協商與諮詢過後的結果。

最初Libra幣（≋LBR）的設計是一次可對應不同的貨幣，但現在將推出鎖定單一貨幣的穩定幣，像是對應美元的LibraUSD（≋USD），對應歐元的LibraEUR（≋EUR），對應英鎊的LibraGBP（≋GBP），或是對應新加坡元的LibraSGD（≋SGD），此舉將允許在具備單一穩定幣的地區與企業，可以直接利用當地貨幣存取穩定幣。

Libra協會解釋，Libra網路一直都是為了要輔助法定貨幣，而非與法定貨幣競爭，然而，大家對一籃子Libra幣的最大顧慮是，當Libra網路達到一定的規模，以及有大量的國內交易都以Libra幣進行時，它可能會干擾各國的貨幣主權與貨幣政策，因此，該協會決定擴大Libra網路，納入單一貨幣的穩定幣。

這意味著Libra協會並不打算放棄一籃子貨幣，而是額外推出對應單一貨幣的Libra穩定幣，未來的一籃子貨幣將可作為跨境結算幣，或者是在缺乏單一貨幣穩定幣的地區，成為中性與低波動的選擇。

CoinDesk則分析，此一改變代表銀行不會直接交易一籃子Libra幣，而是以新的穩定幣為中介，將大幅限制Libra的彈性。

除了推出穩定幣之外，Libra協會的另一個重要讓步，是取消讓Libra網路成為開放性區塊鏈系統的計畫，原本該協會希望最終能讓所有人，都能在Libra網路上建置服務，但監管機構擔心這將使得Libra網路，成為恐怖份子或其它惡意份子的天堂。現在Libra協會則決定，讓Libra網路成為一個封閉的系統，只有取得許可的合作夥伴，才能在其上打造各種服務。

當臉書在去年6月18日發表Libra幣時，原本有27家業者準備加入Libra協會，但因爭議不斷，使得Libra協會在10月15日正式成立時，只剩21家支持者，現在該協會則有22家成員。

隨著外界對視訊會議的需求愈來愈高，Google也加緊腳步以改善Google Meet服務，繼於3月宣布讓所有G Suite用戶，都能享受大型企業等級的Google Meet功能之後，Google本周再將Google Meet整合到Gmail中，讓所有G Suite使用者都可自Gmail，直接撥打Google Meet視訊電話。

現在不管是G Suite Basic、G Suite Business、G Suite Education或G Suite Nonprofit客戶，都能使用原本只屬於G Suite Enterprise及G Suite Enterprise for Education版本的Google Meet功能，涵蓋最多可容納250名與會人員，支援10萬名觀眾的即時串流，以及可紀錄會議內容並將它們存放到Google Drive上，且使用期限可到今年的9月30日。

本周Google進一步將Google Meet整合到Gmail中，G Suite用戶將可在Gmail左邊的側欄上看見新的Meet標籤，可直接召開會議（Start a meeting）或加入會議（Join a meeting）。

Google表示，由於有愈來愈多使用者在家工作或學習，他們希望讓人們能夠更容易地進行溝通，在電子郵件與視訊會議之間可無縫切換。

當使用者要召開會議時，它會跳出一個顯示會議網址的視窗，也會產生一個會議代碼，只要把網址及代碼分享給其他人，就能邀請其他人與會；而加入會議時也只要連結至會議網址，並輸入會議代碼即可。

G Suite用戶只要啟用了視訊會議功能，那麼Google Meet就會自動現身於使用者的Gmail中。即日起該功能就會部署到Rapid Release網域，從4月30日開始部署到Scheduled Release網域。

麻省理工學院（MIT）本周公布首個以AI模型而未使用歷史資料建立的預測模型，推估社交距離（Social distancing）措施，的確有助於減緩COVID-19病毒散布。同時AI模型也估計，美國感染人數將在4月15到20日間，來到高峰。

相較於許多學者使用SARS及MERS時代的資料，建立武漢肺炎的預測模型，MIT的研究是第一個只使用武漢肺炎感染數據，結合神經網路來預測隔離措施的效果。由MIT公民與環境工程博士候選人Raj Dandekar，及機械工程教授George Barbastathis合作的研究小組，以一般疫情散播研究所用的SEIR模型為基礎。一般SEIR模型將人群分成S（susceptible）、E（expose）、E（infected）及R（recovered），但是他們以實際COVID-19的病例資料，來訓練神經網路。

研究人員蒐集4個地區，包括美國、武漢、南韓和義大利的感染者人數各500名，並以這些資料來訓練神經網路，後者學習隔離措施下，感染者對感染速度的影響，進而發展出預測感染人數的能力。

利用這套模型，研究小組發現，隔離措施和病毒有效複製量的減緩，有直接相關性。研究人員說，這套神經網路學習到「隔離控制力道」的概念。在南韓等及早實施高強度措施的地區，有較高的「隔離控制力道」，得以減緩新增感染數，因而很快就出現高原期。

而美國或義大利則到3月中，才採行隔離措施，COVID-19病毒有效複製量較大，表示病毒成指數散布開來。

MIT的AI模型也預測出美義兩國的感染高峰期發展。根據該模型，美國會在4月第一周，感染數由指數成長減緩為直線成長，美、義兩國皆會在4月15日到20日之間開始走緩。該模型還預測美國感染人數會達到60萬人後，才會開始減速。

MIT這項預測，和美國華盛頓大學健康指標與評估研究院（Institute for Health Metrics and Evaluation）的研究結果相差不遠。

Barbastathis警告，這表示如果太早放鬆管制，將會引發災難。研究人員說，只要看新加坡，就知道太早放鬆管制的結果。早期的優等生新加坡，本周出現第二波大爆發，一天之內突增數百起感染案例。

研究小組計畫將模型，分享給其他人以協助防疫管制決策。

根據約翰霍普金斯大學的COVID-19感染地圖，美國感染速度是否能在本周減緩，值得觀察，截至今（17）日，美國確診人數已超過67萬。

正當全球各地處於武漢肺炎暴發的狀態，駭客大肆發動以疫情為誘餌的攻擊行動，其中最常被提及的莫過於釣魚電子郵件。不過，最近也有惡意軟體打著肺炎資訊更新（Coronavirus Update）的名號，實際上卻是暗中收集手機個資的間諜軟體。趨勢科技於3月底，發現一起網路間諜行動，駭客利用名為Project Spy的惡意軟體感染Android與iOS行動裝置，然後執行監聽通話內容與收集受害者個資，包括通話記錄、位置資訊，以及社交App傳送的訊息等資料。

駭客將上述的惡意軟體包裝在一款叫做Corona Updates的App，這個應用程式在巴基斯坦、印度、阿富汗、孟加垃、伊朗、沙烏地阿拉伯、奧地利、羅馬輒亞、格瑞納達，以及俄羅斯等地，都有少量使用者下載。趨勢科技因為駭客的後臺管理系統上，登入畫面有Project Spy的文字，便以這組字串來稱呼攻擊者使用的惡意軟體。

趨勢科技找到駭客所使用的管理後臺登入網頁，並以頁面上的Project Spy來稱呼駭客的攻擊工具。

趨勢科技發現，Corona Updates會要求數種系統權限，包含能存取通知的內容，以及能夠讀取外部的儲存裝置等。其中前者可讓這個App從手機的通知裡，竊取即時通訊軟體的訊息，除此之外，它還會收集手機的各種用戶資料，像是受害人的通話記錄和聯絡人資料、語音備忘錄，以及簡訊與社群軟體的訊息等，也會收集裝置資訊的延伸清單，還有SIM卡的資訊，以及無線網路的SSID和MAC位址等。

這款名為Corona Updates的App，標榜功能是提供武漢肺炎更新情報（Coronavirus Update），然而首次執行會要求受害者7項權限，像是如圖中要求能夠存取並傳送簡訊的能力。

從App的程式碼片段中，這款Corona Updates會收集多款社群軟體的訊息，包含了臉書、WhatsApp、Telegram，以及Threema等App的內容。

雖然Corona Updates在多個國家都有被下載的情況，但是次數並不多，探究其中的原因，趨勢科技認為應該與App有部分功能會出現錯誤有關，因此研判攻擊工具並不成熟，尚在開發的階段。他們推測，駭客散布這款App的動機，有可能是拿來測試特定的攻擊手法，或者打算等到App到達特定的下載量，才進一步採取其他的攻擊行動。

另一方面，趨勢科技解析程式碼後，發現攻擊者僅是業餘駭客，其中iOS版的程式碼並不完整，很有可能是向他人買來後再加入其他功能。但該公司認為使用者不能因此掉以輕心，在Goolge Play商城與蘋果App Store下載應用程式，還是要詳加檢查，使用者可藉由執行畫面的截圖、開發者宣稱的功能、應用程式權限需求，以及其他用戶評論等層面，來判斷應用程式是否有問題。

基隆長庚醫院今（17日）宣布與礦工醫院聯手，要利用腦出血輔助判讀AI，來建置一套急救轉診網路，縮短關鍵1至2小時的轉診時間，進一步降低腦出血病患致殘或致死的機率。

基隆長庚醫院腦神經外科助理教授級主治醫師顏君霖指出，腦出血是急診室中常見的疾病，一旦發生，很容易造成傷殘或致死，因此「時間就是關鍵，」急救團隊更要與時間賽跑。

然而，一般中小型區域性醫院，在接收、處理腦出血急診病患的流程上，較容易遇到資源不足、等待時間長等挑戰，難免延誤黃金治療時間。顏君霖解釋，當病患發病後，送至初診醫院時，會先進行腦部電腦斷層掃描（CT），再送至外傷急救中心，由急救中心神經外科醫師來會診，決定治療方法，比如進一步檢查，或轉診至較大醫院進行手術。

特別是，在拍攝腦部CT時，每一位病患拍攝一次，就會產生數十至數百張影像，還得等待醫師一一檢查後，才能決定後續診療決策。

AI小幫手30秒快速判讀，早一步預警、多一分準備

有鑑於此，基隆長庚醫院斥資導入醫療AI新創Deep01開發的腦出血判讀AI，來進行研究試驗。這套AI系統，只要30秒，就能判斷一位病患是否出現腦出血。

在導入之初，團隊也利用院內2萬4千張急診CT影像，來微調這套AI系統，讓AI系統的敏感度和特異性，分別達到94％和93％。

顏君霖指出，這套AI不僅能輔助醫師、縮短判讀時間，更重要的是，「AI辨識腦出血後，可發出預警通知，來告知急救中心的神經內、外科醫師，醫師再回饋通知給急診部，來做相關準備。」（如下圖）

也就是說，當醫師先得知腦出血狀況後，隨即能判斷腦出血原因，進而決定是否需要手術，或進一步的特殊檢查等。「這麼做，急診室可即早準備，也能節省特殊檢查的安排時間。」（如下圖）

基隆長庚醫院，希望藉這個方法，來縮短急診動向的總體準備時間。「最重要的是，我們能避免病患失能或死亡，增進預後表現。」

聯手衛星醫院，把握關鍵2小時、編織急救轉診網

不只如此，基隆長庚擔起當地急救責任，經常接收醫師資源不足的小醫院轉診。為突破醫師資源不足的限制，基隆長庚也決定聯手礦工醫院，要導入腦出血AI系統，來加速腦出血診斷和轉診，同時提升地區與中心的轉診連結。

「就自身經驗來說，腦出血病患自中小型醫院轉診至急救中心，時間落差約為1至2小時。」顏君霖解釋，這代表，在急救中心的醫師，通常是1、2小時候才知道病患出事。如果藉這套AI即時預警，醫師就可把握這關鍵時間，提前準備病患所需的治療。

顏君霖指出，基隆長庚目前正裝設這套系統，將正式應用於臨床，「我們預計透過這個智慧轉診網，一年至少要成功轉診100至150位病患。」未來，雙方還要納入更多地區醫院，來完善這個急救網。

獲臺美雙認證，不只能讀腦出血，還能計算體積、判讀中線偏移

Deep01共同創辦人暨執行長周仁海指出，這套腦出血AI系統，不僅在去年7月通過美國食品藥物管理局（FDA）認證，今年2月也拿下臺灣衛福部食藥署（TFDA）認證，成為亞洲首個拿下雙認證的AI醫療影像軟體。

除了腦出血判讀，周仁海表示，該AI系統也新增了兩大功能，也就是腦出血體積估算，以及中線偏移判讀等功能。一般來說，醫師在估算腦出血體積時，會以一個橢圓形來對比，「但研究指出，傳統方法容易高估三分之一的體積，」而Deep01開發的新功能，則能較精確計算（如下圖）。

至於中線偏移，是用來衡量左、右腦腦壓是否均衡的重要指標，也是用來判斷是否須緊急手術的關鍵。周仁海表示，自家AI系統的中線偏移判讀功能，不只能偵測，還能計算出偏移量（如下圖）。

顏君霖指出，腦出血會導致腦壓升高，一旦左、右腦壓高過另一側，中線就會偏移。其中，「偏移程度能告訴醫師病人的嚴重程度，也能幫助醫師選擇適當的藥物、手術或其他治療方法。」在他看來，中線偏移能幫助醫師，更精準制定腦出血病患的治療決策。

由於醫療涉及敏感個資，這套腦出血AI在設計上，也分為雲端版和本地版，本地版可安裝於院內機房，透過API在PACS（醫療影像儲傳系統）中使用，不必將資料上傳至雲端，免除個資外洩的疑慮。文◎王若樸

近期Tomcat Server被揭露的Ghostcat漏洞，已有疑似被利用的攻擊情事發生，由於Tomcat是Java開發者常用的應用伺服器之一，且這個漏洞在國內比較少被關注，還未更新修補的用戶可要特別注意。在Apache Tomcat官方網站上，已於2月11日與14日發布不同版本的更新修補，用戶應儘速更新修補，用戶可升級至9.0.31、8.5.51與7.0.100版本。

近日臺灣資安業者TeamT5指出，他們發現臺灣學術網路上的一個圖書館網站，遭到中國駭客組織HUAPI（又名為PLEAD）上傳了BiFrost後門程式，並將該網站變成惡意程式下載站。

根據TeamT5的說明，他們是在3月接獲情資，並於該圖書館網站上發現存有惡意程式，在之後的分析調查結果中，他們發現，該網站系統使用Tomcat 7.0.73作為網頁伺服器，同時也有開啟8009通訊埠，具有Ghostcat（CVE-2020-1938）漏洞。經他們判斷，在此案例，駭客應是透過Ghostcat漏洞上傳BiFrost惡意程式。

今年3月，臺灣某學術網路的圖書館網站上發現存有惡意程式，Team5研究人員指出，在他們展開調查後，發現該網站系統Tomcat 7.0.73作為網頁伺服器且開啟8009通訊埠，他們並於4月中旬公布相關分析。

對於該後門程式，在TeamT5的進一步分析中，指出其程式檔名雖是md.png，但真實的檔案格式為UNIX系統的ELF執行檔，利用PNG副檔名偽裝在Tomcat網站伺服器上。同時，他們也透過逆向分析，指出該後門程式的能力，包括上傳、下載、列舉、刪除與搬移檔案，可執行或結束程序、以及開啟或關閉遠端命令列介面程式（Remote Shell）。

另外，他們還指出這個惡意後門程式與中繼站的連線內容，會使修改過的RC4演算法進行加密，而這樣的專屬特徵，也讓他們可辨認出此惡意程式，是由中國駭客組織HUAPI所為。根據他們在近年的分析統計，遭HUAPI攻擊的受害國家包含臺灣、美國、日本及南韓，有超過5成的受害單位是政府機關，而針對臺灣政府機關進行入侵攻擊的為多。

在TeamT5的對於該惡意程式的分析結果中，他們發現偽裝為PNG的ELF執行檔。（圖片來源：TeamT5）

特別要注意的是，這樣的事件暴露出Ghostcat漏洞的風險。TeamT5資深經理侯翔齡表示，這段期間，他們已在國內多個企業與機關中，發現數十臺Tomcat Server都存在Ghostcat未修補狀況，希望企業與組織注意到GhostCat漏洞的嚴重性。

關於這個名為Ghostcat的CVE-2020-1938漏洞，它在CVSS v3.1的分數是9.8，屬於重大風險漏洞，並影響Tomcat 9/8/7/6各版本。

該漏洞存在於Apache JServ Protocol（AJP）中，發現該漏洞的是中國資安業者長亭科技，他們在2月20日揭露其風險。在受影響的版本中，如果用戶有開啟AJP Connector，成功利用漏洞的攻擊者，將可讀取Tomcat所有webapp目錄下的任意文件，例如像是webapp的設定檔或原始程式碼。更要注意的是，若是網站應用提供了文件上傳的功能，攻擊者將可進一步上傳含有惡意JSP腳本的檔案，進而實現遠端指令執行（RCE）漏洞。

目前，Apache Tomcat官方網站上，在其安全更新的頁面上，針對版本9.x、8.x與7.x版，他們已經發布修補的新版本。

行政院：臺灣社交距離App擬4月底上線

隨著全球武漢肺炎（COVID-19）疫情加劇，各種科技防疫工具也紛紛出籠，尤其社區感染成了不可避免的風險後，不少國家或科技巨頭，開始打造社交距離偵測工具，如Google和Apple最近宣布聯手用藍牙打造接觸史追蹤技術，來減緩疫情的擴散，臺灣先前也利用科技手段，建立居家檢疫一條龍的防護流程，最近更要推出一款「臺灣社交距離App」，能用來提醒民眾是否接觸過確診或居家檢疫者，目前已經釋出Alpha測試版。

行政院表示，這款App的開發進程，從3月就開始與臺灣AI Labs合作開發，功能也已大致完成，正在進行內部測試。未來要將這款App用於防疫，並負責後續的系統維運。

下載臺灣社交距離App之後，用戶手機每15分鐘會自動生成一個Hashed ID，當藍牙偵測到附近幾公尺有其他人的手機時，雙方手機會記錄彼此的Hashed ID、接觸時間長度與距離，再儲存在各自的手機中。更多內容

陳昇瑋腦出血突然病逝！玉山金控痛失科技長

攝影／洪政瑋

臺灣人工智慧學校於4月13日發布了一則悼文，公布臺灣人工智慧學校執行長陳昇瑋，因腦出血意外陷入昏迷後過世的消息。

陳昇瑋在2014年創辦了臺灣資料科學愛好者年會，成了臺灣資料科學社群最重要的交流聚會，他從2017年開始大力推廣產業AI化，2018年更在中研院和多家企業支持下成立了臺灣人工智慧學校，2年來訓練了6千多位AI人才。

玉山金控在2018年找來陳昇瑋擔任科技長，陳昇瑋一手打造了玉山金控的智能金融處近百人的團隊，展開了近百項AI專案。更多內容

臺北市試辦實名制口罩自動販賣系統

攝影／蘇文彬

臺北市政府和衛福部、新創業者業安聯手試辦實名制口罩自動販賣系統，在臺北市信義區健康服務中心設置口罩販賣機，讓民眾可使用健保卡購買實名制口罩，這套系統接下來將擴大至12個行政區的健康服務中心。

這套自動販賣系統透過健保署開發的API介接實名制口罩系統，讓民眾在販賣機就能完成身分查核，確認可購買的口罩配額，再以行動支付或電子票證購買所需的口罩。更多內容

聯手抗疫，兩大手機OS將內建藍牙接觸史追蹤技術

圖片來源／Google

蘋果和Google共同宣布合作，將用藍牙技術，來打造一套可用來追蹤武漢肺炎接觸史的匿名追蹤技術，來對抗病毒的散播，5月先釋出API讓政府機構開發搭配的系統，後續會直接內建到iPhone和Android兩大手機OS中，讓全球數十億個裝置都能支援。從iOS 13或Android 6與以後的版本，都會在5月更新後支援。

Google和Apple如何設計匿名的接觸史比對技術？手機安裝了這個追蹤機制之後，每隔15分鐘就會產生一個亂數編號，就像是一張混亂塗鴉圖案的撲克牌，每張牌上還蓋了一個那隻手機亂數產生的一日限定戳章。更多內容

GitHub免費開放所有核心功能

在微軟買下GitHub之後，GitHub開始大動作祭出各種吸引使用者的作法，去年就推出了不少免費措施，今年更是積極佈局來搶攻開發者規模。最近，GitHub執行長Nat Friedman更宣布，所有核心功能皆免費對所有使用者開放，使用者將能更不受限制地進行協作開發。尤其，所有GitHub帳戶的私有儲存庫取消3人協作者的規定，不再有人數上限。更多內容

星展銀一年5千名應徵者靠AI篩選

臺灣星展銀行上線由新加坡總部開發的人工智能招募系統JIM，藉此提高HR部門人才招募的效率。

臺灣星展銀行人力資源處處長盧方傑指出，JIM會先篩檢應徵者投遞的履歷是否符合職缺要求，比如是否有3年工作經驗。接下來，會引導應徵者到自動化面談的關卡進行情境問答，回答職務相關問題，還會對應徵者進行心理測驗。

整合這三類資料後，JIM再來進行初步評估，以適任度來評分。銀行招募人員就可以直接依據這個評分，優先安排得分高者，先與業務單位主管進行面試，來決定是否聘用對方。

盧方傑強調，整合履歷、心理測驗結果，以及情境問答資料，多方面評估應徵者的能力，可以讓評估更為準確。更多內容

Google啟用加州通臺灣的海底電纜來因應爆量

谷歌獲得美國聯邦通訊委員會（FCC）的許可，未來6個月內，可啟用太平洋光纖網路（Pacific Light Cable Network）中，連接加州與臺灣的海底光纖電纜，以紓緩暴增的網路流量。

這條橫跨太平洋，長達8千英里的海底電纜，由Google和臉書共同投資，從2016年開始興建，不管是臺灣或是香港的部分其實都早已完工，但因監管疑慮，美國政府先前一直未同意啟用。更多內容

支援網頁NFC感應技術的Chrome 81來了

Google釋出Chrome 81，首度支援Web NFC標準。Web NFC是近場通訊（Near Field Communications，NFC）技術的網頁版標準，該技術允許距離10公分之內的裝置彼此通訊，而Web NFC則讓網站能夠在該距離內讀取及寫入NFC標籤。

目前Web NFC在Chrome 81中處於原始試用（Origin Trials）階段，這是Google在測試網路平臺新功能，還得兼顧實驗安全時所採行的方式。更多內容

VMware修補vCenter Server高風險漏洞

四月初VMware修補了一個與vCenter Server有關的安全漏洞，此一編號為CVE-2020-3952的安全漏洞位於vmdir中，在通用漏洞評分系統（CVSSv3）的風險程度，達到最高的10分，將允許駭客竊取機密資訊。更多內容

大型主機疫情期用量飆高，美國數州急徵COBOL人才

圖片來源／Erik Pitti on flickr (CC BY 2.0)

武漢肺炎重創美國經濟，也對政府IT形成另一項挑戰：運行數十年的大型主機系統，已欠缺維護人才。例如紐澤西州以及康乃狄克州的失業補助系統，都跑在40歲的大型主機上，近來武漢肺炎衝擊之下，許多企業倒閉或裁員，導致請領失業救濟補助的人數飆升，大量作業令年久失修的系統不堪負荷，政府也面臨找不到COBOL人才的問題，而對外求援。更多內容

有28個國家透過監控來抑制武漢肺炎疫情

Photo by Franck V. on Unsplash

科技部落格OneZero觀察全球的媒體報導，發現至少已有28個國家藉由加強對人民的監控，來抑制武漢肺炎疫情，對許多政府來說，這只是權宜之計，但不少人權組織都擔心，在疫情結束後，民眾隱私權將難以復原。更多內容

Hangouts視訊會議軟體更名為Google Meet

近日Google將視訊會議軟體Hangouts Meet，悄悄更名為Google Meet，不過，沒有特別說明原因。Google是在2017年，把Hangouts拆分為Hangouts Meet與Hangouts Chat兩個產品，前者為視訊會議工具，後者則著重於文字協作，隨後即把它們納入G Suite，但會根據G Suite提供不同等級的Hangouts Meet服務。更多內容

臺、德、美、澳公部門禁用視訊會議軟體Zoom

圖片來源／Australian Defence Force

視訊會議軟體Zoom因傳出隱私、安全與誇大加密等級等負面消息，而日益受到各國政府的關注。除了臺灣的行政院與教育部，已下令公務機關及各級學校不得使用Zoom之外，美國參議院、德國外交部，以及澳洲軍方，也都宣布了禁用Zoom的政策。更多內容

中國本土自製勒索軟體來襲

圖片來源／火絨安全

最近，在中國傳出許多使用者接連到多個網路論壇反應，他們的電腦中了WannaRen的勒索軟體病毒。資安廠商表示，這是當地原本從事挖礦攻擊的駭客組織，模仿WannaCry勒索軟體的事件，濫用了美國國安局開發的EternalBlue漏洞工具，並且透過軟體下載網站來散播勒索軟體病毒。

先前群創光電傳出電腦遭受攻擊之際，外界便有人猜測，極有可能是電腦感染了WannaRen。更多內容

Magecart鎖定小型電商網站攻擊

資安業者RiskIQ發現，1月下旬，有新的金融卡卡號側錄攻擊手法出現，已有19個中小企業網站受害。

從這波攻擊行動所採用的手法和特徵來看，因側錄交易資料的過程中，會於網站植入iframe，RiskIQ將駭客使用的金融卡側錄工具（Skimmer）命名為MakeFrame。

至於攻擊者的身分究竟為何人？該公司則根據MakeFrame的手法特性來判斷，認為是Magecart的第7組駭客所為，Magecart是以側錄線上交易資料而惡名昭彰的駭客組織，之前售票網站TicketMaster、英國航空遭駭事件，都是這個組織所為。更多內容

近期Amazon創辦人暨執行長貝佐斯（Jeff Bezos）給公司股東的公開信，當中描繪了Amazon應對武漢肺炎（COVID-19）的方式、如何維護消費者的權益、對環保的承諾、改善員工福利的措施，並宣布正在著手打造武漢肺炎病毒檢測實驗室，打算對全球的84萬名員工展開定期檢測。

貝佐斯表示，Amazon諮詢了衛生當局與醫學專家，在全球的物流中心分發口罩並替員工量體溫，展開全面的消毒工作，同時在工作期間導入了社交距離措施，保護員工的下一步應該是替所有Amazon員工進行定期檢測，包括沒有症狀的人，若能替所有產業進行定期檢測，還能恢復經濟活力。

然而，要對所有人展開定期檢測需要更多的檢測能力，因此，Amazon已開始建立增加檢測能力的作業。

現在Amazon已建立一個檢測專案團隊，召集了內部的研究科學家、專案經理、採購專家及軟體工程師，而且已開始組裝檢測實驗室所需的設備，希望能儘速開始替前線員工進行病毒檢測。

貝佐斯說，初期只能展開小規模的檢測，他並不知道這個專案能夠執行多久或有多大的成效，但此事值得一試。

另一方面，為了避免商家利用疫情來剝削消費者，Amazon宣布已移除站上超過50萬個溢價商品，關閉超過6千個違反該站公平訂價策略的商家帳號，並把這些商家資訊提供給美國42州的檢察官。另也替Alexa數位語音助理設計了新功能，讓它能夠回答與疫情相關的問題。

本周貝佐斯也公布Amazon的全球員工數已達84萬，是過去十年來全球擁有最多員工的企業，其中有59萬位於美國、11.5萬位於歐洲，還有9.5萬位於亞洲。

對於已在全球橫行的肺炎疫情，貝佐斯引用了美國知名作家蘇斯博士（Theodor Seuss Geisel）的名言：「壞事發生時你有三個選擇，你可以讓它左右你、讓它摧毀你，或者是讓它令你變得更強大。」他將樂觀看待文明社會的選擇。

微軟發表了一個人工智慧系統，可用少量的資訊精準分類臭蟲，該系統能夠以99％精確度區分安全性和非安全性軟體臭蟲，並以97％精確度辨識出高優先度安全性錯誤，且還能夠容忍資料存在雜訊。這個系統已經發表成論文，微軟提到，接下來他們會在GitHub上開源該系統，並提供範例模型以及相關資源。

應用程式總是存在不少臭蟲，因此開發人員需要篩選這些待處理的功能以及錯誤修正，優先處理緊急的項目，雖然這些過程有一些自動化工具幫助，但是微軟提到，工程師還是經常浪費時間在處理誤報的臭蟲回報上，反而遺漏真正重要的安全漏洞。

微軟總共有4.7萬名開發人員，當在正進行的專案有100多個，每個月會產生將近3萬多個錯誤，為了更精準地解決重要的臭蟲，省下浪費的時間，微軟要用機器學習技術，提升辨識與分類安全漏洞的能力。從2001年來，微軟已經收集了1,300萬個工作項目以及臭蟲，這些資料可被用來訓練機器學習模型，辨識與分類臭蟲。

過去也有類似的研究，利用機器學習來辨識安全漏洞，但都是基於所有臭蟲報告資訊，即使能用於機器學習模型訓練和評分工作的假設上，但是這樣的假設無疑與現實情況不符，在部分情況下，並不會有完整的臭蟲報告可以使用，像是錯誤報告可能包含密碼、個人身份資訊或是其他敏感資料，微軟提到，他們研究的其中一個重點，是希望可以使用較少的資訊，就能良好地辨識安全性臭蟲。

另外，臭蟲儲存庫中的條目，通常存在標籤錯誤的情況，安全性問題被歸類在非安全性問題中，而非安全性問題也可能被標記為安全性問題，原因很多，可能是開發團隊缺乏資訊安全專業知識，或是問題有其模糊的地方，可能該非安全性錯誤沒有直接的安全性問題，但在間接操作下，可能存在安全隱憂。

標籤錯誤還衍生出了一個嚴重的問題，資安專家必須要耗費時間手動檢查錯誤資料，這個過程花費的成本很大，因此微軟提到，在實作自動分類功能上，他們必須要解決用在機器學習模型的資料集，存在雜訊的這個問題，除了要了解雜訊影響分類器的情況，也要讓模型即便在資料集被雜訊污染下，仍可以強健地運作。

微軟利用了許多安全性與非安全性錯誤的資料集來訓練模型，讓模型可對未預先分類的臭蟲回報進行分類，這些資料由安全專家審查，確保訓練資料的品質。這個機器學習模型具有兩個步驟，第一個步驟，模型會分類出安全性與非安全性錯誤，第二步則是對安全性漏洞進行關鍵、重要和低影響排名。

微軟在這個研究中，證明了即便只利用臭蟲報告的標題資訊，也能夠精確地辨識安全性錯誤報告，微軟提到，還沒有類似的研究存在，過去的研究都需要使用完整的臭蟲報告，這對於具隱私資訊的臭蟲回報特別有用。微軟這個臭蟲分類模型能以99％的精確度，正確分類安全性漏洞與非安全性漏洞，並且能以97％的精確度，將安全性臭蟲辨識為重大與非重大安全性問題。