蘋果於本周釋出了iOS 13.5、iPadOS 13.5及tvOS 13.4.5等作業系統更新,其中最受矚目的是iOS 13.5,除了它開始支援蘋果與Google所合作的暴露通知API(Exposure Notification API)之外,也改善了戴口罩的人臉辨識機制。
此一API只供通過審核的全球公共衛生機關使用,可用來存取使用者手機上所存放的接觸資料,儘管iOS 13.5已支援暴露通知API,但它在系統上處於待用狀態,只有在使用者已安裝了透過該API打造的程式時,才會被啟用。
有鑑於愈來愈多的人配戴口罩,iPhone的Face ID人臉辨識機制偵測到戴口罩的人臉時,通常需要花更長的時間來辨識,辨識失敗再進入密碼輸入階段,不過,蘋果在iOS 13.5中加速了這項流程,只要在鎖定畫面的底部往上滑動,就會即刻出現密碼輸入欄位,節省等待辨識的時間。
蘋果強調,新系統並未削弱Face ID的安全性,唯一的差別只在於密碼輸入選項更快出現而已。
臺灣資安廠商奧義智慧發現,知名NAS產品QNAP的軟體程式有多項漏洞,可為駭客串接起來發動遠端程式碼執行攻擊,進而影響數十萬QNAP NAS裝置。不過目前漏洞皆已修補。
這批漏洞出現在QNAP的線上相簿程式Photo Station及一些CGI程式中,包括CVE-2019–7192 、CVE-2019–7193、CVE-2019–7194及CVE-2019–7195,CVSS風險評分皆為重大(9.8),其中Photo Station包含3個重大漏洞。CVE-2019–7192為驗證前本機檔案曝露,可使攻擊者繞過登入驗證讀取伺服器上任意檔案,CVE-2019–7194允許攻擊者冒充合法使用者注入任意PHP程式碼,修改連線(session)。CVE-2019–7195則讓攻擊者將連線(session)內容寫入到伺服器任意位置。
奧義智慧研究人員Henry Huang指出,Photo Station上的三項漏洞皆可被駭客串起來進行驗證前根權限遠端程式碼執行(pre-auth root remote code execution)。例如使用第一項漏洞繞過身份驗證,以第二項漏洞透過SMTP電子郵件在PHP連線中,寫入PHP程式碼,或是結合第三項漏洞,將污染的PHP連線內容寫到Photo Station的網頁目錄以形成一個攻擊後門。由於在QNAP的設計下,網頁伺服器具備根權限,因此給了攻擊最高執行權限。
受影響的Photo Station版本包括6.0.3、5.2.11和5.4.9版。由於將近一半的QNAP NAS 產品啟動該應用程式,因此研究人員估計,當時全球可能有超過31萬臺QNAP NAS曝險。所幸去年6月在安全廠商通報後,QNAP已經在去年12月將4項漏洞全數修補。
重點新聞(2020/05/14~2020/05/20)
GCP平臺 資源不足 GPU運算服務
雲端資源不足問題這次輪到Google,用戶無法啟動多處雲端機房GPU服務
疫情於3月再全球迅速擴散時,導致雲端需求大增,陸續有雲端服務面臨資源不足的情況,如今再傳狀況,這次輪到Google。Google雲近期發生無足夠資源供用戶使用的情況,特別是GPU服務的VM實例,且影響範圍遍及全球多地的雲端機房。從5月11日開始,陸續有GCP平臺用戶於Google Issue Tracker或是Google Groups的討論版上,抱怨其於啟動GPU服務時,面臨資源不足的問題,包含Nvidia GPU Tesla K80、P4、P100等皆出現狀況。像是有一位用戶表示,使用位於美國地區搭載Nvidia Tesla K80的VM進行深度學習訓練時,卻得到了錯誤訊息,內容為,「沒有足夠資源可滿足請求。」更有多名用戶表示,嘗試了多個雲端地區的可用區域也都面臨同樣的問題,而一直到18日為止,仍然有用戶抱怨,資源不足的情況尚未完全解除。(詳全文)
Azure 競價型VM 運算資源
微軟正式推出競價型VM
微軟正式推出競價型(Spot)VM,提供企業以較低的價格,存取未使用的Azure運算容量,來降低雲端租用費用。該類型VM與其他按需取用VM功能相同,但是,使用競價型運算資源的期間,微軟如果需要這些資源,會收回這些被占用的VM。因此,該類型VM的使用情境有限,像是批次處理作業,以及可從中斷狀態恢復的工作,還有開發、測試工作和擴展無狀態應用程式等,上述這些使用情境較不會受影響。
另外,微軟會依照資源運用的尖峰、離峰情況,動態調整價格。微軟表示,價格雖會變動,但會緩慢調整,盡量保持穩定,方便用戶管理預算。企業可以從Azure Portal看到當前競價型VM的價格,以決定使用該VM的地區以及容量,且無論是單一VM還是VM規模集(Virtual Machine Scale Sets),都可選用競價型的定價模式。因應使用該類型VM隨時可能面臨運算資源被收回的情況,用戶可透過訂閱事件,在運算收回前30秒獲得通知。(詳全文)
GCP平臺 VMware 搬遷
Google推出VMware Engine,企業可將自家VMware環境搬上GCP平臺
Google進一步強化對VMware的支援,近日推出第一方整合服務Google Cloud VMware Engine,可支援企業端到端搬遷自有VMware環境至Google雲執行。Google Cloud VMware Engine提供了全託管VMware Cloud Foundation堆疊,包含了vSphere、vCenter、vSAN、NSX-T和HCX,企業可直接從Google雲的控制臺連接到專屬的VMware環境。Google表示,只要幾分鐘的時間,企業就能將本地工作負載遷移或擴展到Google雲,且不需要重構應用程式,也可用跟本地環境相同的環境執行工作負載。此外,企業還可以使用現有的工具、政策和流程來管理雲端及本地端的工作負載,來降低管理成本,以及改寫應用人力需求。
Google聲稱,企業也可在數分鐘內於Google雲上,建立VMware SDDC環境。這意謂著企業能按需求把關鍵應用程式擴展至雲端,滿足業務需求。新服務已通過VMware Cloud驗證,可確保本地端和雲端環境之間的相容性和操作連續性。Google將先於美國地區推出該服務,並在下半年拓展其至全球其他自家雲端地區。(詳全文)
Azure 印度 服務中斷
Azure印度中部地區因電力事故,導致服務中斷逾20小時
微軟Azure印度中部雲端地區,於當地時間5月18日晚上6點左右,發生服務中斷事件,主因是該區域出現電力問題。故障期間,多項Azure服務都出現了儲存或連線的問題,且持續長達逾20個小時。微軟於事故後發布了一份調查報告,說明事件的起因。微軟表示,當地的電力供應商出現電力供應問題,儘管,資料中心已即時轉向採用發電機的電力,但因2個內部區域有數個空氣處理單元出現異常,造成內部溫度超過運轉容許值,而觸發了警報,使得網路和儲存資源被自動關閉,以保護資料。
為排除故障,資料中心現場的工程師先隔離了異常的空氣處理單元和恢復電力,使溫度回到正常值,再手動恢復儲存和網路資源,讓受影響的Azure服務回歸正常。這已經不是Azure近期第一次因電力事故,導致服務中斷了,3月中旬時,Azure美國中西部地區也因斷電,導致服務中斷持續逾4小時。 (詳全文)
微軟 醫療照護業 雲端服務
微軟推出第一個產業專屬雲服務,首先瞄準醫療照護產業需求
微軟於今年度的Build 大會上宣布,將為醫療照護產業推出第一個產業專屬的雲端方案Microsoft Cloud for Healthcare,現階段以公開預覽版上線。受武漢肺炎(COVID-19)疫情影響,許多國家的醫療單位必須採遠距問診或是以連網醫療裝置,為隔離病房患者量測體溫等健康資訊。這個雲端方案整合了Microsoft 365、Dynamics、Power Platform 及 Azure產品,提供醫療院所發展醫病互動、組織協作、程式開發或資料標準格式交換等數位作業。西雅圖最大非營利機構Swedish Health Services已用此服務來開發追蹤重要備品的應用程式,另外,芝加哥衛生部門和當地醫院也使用該方案的Azure FHIR 服務進行資料交換。微軟預告接下來還會推出其他產業的專屬雲端服務。(詳全文)
蘋果 雲端 徵才
新徵才資訊透端倪,蘋果將為雲端服務打造新的基礎架構
近期蘋果的幾則招聘資訊透漏了兩項雲端事業的動向,其中一則提及「打造下一代平臺基礎架構」,而意外地提早曝光了iCloud的新動向,蘋果正著手為其打造新的基礎架構。該工程主管職位的招聘訊息更進一步提到,其將處理支援蘋果雲端服務,包含CloudKit、Drive、Photos和Backup的數個關鍵系統。除了找尋新基礎架構建置計畫的工程主管,蘋果也正在招聘產品經理,因而有外媒推測,蘋果正計畫推出更多雲端服務。不過,蘋果尚未公開證實此消息。(詳全文)
微軟 電信市場 併購
積極布局電信市場再出招,微軟買下雲端通訊服務供應商Metaswitch
繼3月份買下雲端電信基礎架構業者Affirmed Networks後,微軟近日再宣布,收購雲端通訊服務供應商Metaswitch,展現其搶攻5G電信市場的企圖。Metaswitch主要開發在公有雲、私有雲及混合雲架構上執行的各種雲端虛擬網路功能軟體及解決方案,可支援通訊服務供應商和網路設備供應商的語音、數據及通訊服務,迄今已有超過1千家服務供應商採用。微軟將整合Metaswitch技術進Azure。
負責Azure Networking的微軟企業副總裁Yousef Khalidi表示,雲端與通訊網路的結合將替微軟帶來新的機會,且Metaswitch與Affirmed相互互補,透過特製的軟體於Azure上提供虛擬化的通訊功能、應用及網路,可提供全球電信營運商使用,他進一步道,隨產業進展入5G時代,電信營運商將可藉此虛擬化核心網路,發展雲端原生架構。(詳全文)
圖片來源/微軟、Google雲端
更多Cloud動態
1. 臺灣AI雲將技轉一半運算資源與軟體服務,成一家新創公司供業界租用,另一半則由國網中心供學研界使用(詳全文)
2. Google網頁應用程式防火牆Cloud Armor現支援混合部署,橫跨本地端或是跨多雲供應商的應用程式也可用(詳全文)
3. Gartner:受疫情影響,今年公有雲服務支出增加19%,而雲端會議服務支出則成長逾2成(詳全文)
4. AWS開源可用程式語言定義K8s應用程式的工具cdk8s,使用者可在K8s叢集中更簡單地進行建置和維護工作(詳全文)
5. 微軟釋出Cosmos DB Cassandra API原生殼層CQLSH,企業不需維護自身CQLSH版本,就能操作Cassandra API (詳全文)
資料來源:iThome整理,2020年5月
Google Cloud本周宣布,與美國國防部的國防創新部門(Defense Innovation Unit,DIU)簽署一項合作協議,將為其建置一個安全雲端管理解決方案,以協助偵測、對抗及回應來自全球的網路威脅。
根據Google的說明,此一解決方案是奠基在混合/多雲應用平臺Anthos,另也整合了來自Istio與Netskope的安全技術。其中,Anthos允許DIU可同時在Google Cloud、AWS及Microsoft Azure上執行網路服務或應用,只是由Google Cloud控制臺集中管理,可帶來即時的網路監控、存取控制,以及完整的稽核軌跡,讓DIU得以維持其嚴格的雲端安全立場,而不損及速度及可靠性。至於Istio負責的是安全的服務通訊,Netskope則為雲端安全服務供應商。
DIU是在2015年才成立的單位,主要是替國防部尋找新興商用技術,也被稱為國防部的創新實驗。
Google並未參與國防部另一競標案JEDI,理由是無法確定JEDI是否符合該公司的AI準則,再加上並未持有履行該合約所需的所有政府認證,因而決定放棄。JEDI得標者微軟將替國防部現代化其IT架構,預算高達100億美元,合約可能長達10年,但這項專案目前因為Amazon提出的標案不公訴訟,而無法正式執行。
英特爾(Intel)本周宣布,買下在遊戲界知名的Killer遊戲網卡製造商Rivet Networks,打算將包括Killer在內的Rivet Networks產品,納入英特爾的PC Wi-Fi產品線中。
Killer為Rivet Networks最知名的Wi-Fi晶片品牌,標榜其技術可最大化Wi-Fi 頻寬,同時最佳化PC上的網路連結,這些特點對遊戲玩家,或是其它需要穩定高頻寬的應用來說異常重要。
Rivet Networks雖然是英特爾的競爭對手,但雙方也曾在2018年攜手打造Killer Wireless-AC 1550,此次英特爾則直接把Rivet Networks納入麾下,該團隊將加入英特爾的客戶運算部門(Client Computing Group),Killer等產品則會整合到英特爾的PC Wi-Fi產品線中,外界預期未來相關的產品,將會現身於遊戲筆電或高階筆電。
英特爾表示,現在全球平均每戶使用11個支援Wi-Fi 的裝置,而且就算是使用手機上網,也有超過7成是透過Wi-Fi 網路,顯現Wi-Fi 傳輸的重要性,之後將會授權Rivet Networks的軟體予客戶,也會打造全新的PC連網解決方案。
繼於上周二(5/12)的例行性更新後,Adobe本周緊急修補4個安全漏洞,其中被列為重大(Critical)等級的CVE-2020-9586,藏匿在Adobe Character Animator動畫製作工具中。
Adobe Character Animator可捕捉人類的表情與動作,並將它們嵌在虛擬人物上,曾在2019年獲頒技術工程艾美獎。Adobe表示,該軟體含有一個緩衝區溢位漏洞,將允許駭客自遠端執行任意程式,波及2020 3.2及之前的版本,且同時影響Windows與macOS平臺。
發現該漏洞的Zero Day Initiative(ZDI)團隊表示,使用者只要開啟一個惡意的檔案,或是造訪惡意網頁就能觸發該漏洞。
本周Adobe還修補了位於Adobe Premiere Pro(CVE-2020-9616)、Adobe Audition(CVE-2020-9618)及Adobe Premiere Rush(CVE-2020-9617)的安全漏洞,但它們都只被列為重要(Important)漏洞,可能造成資訊揭露意外,也都是由趨勢科技的ZDI團隊所提報。
Microsoft Teams因疫情而促使需求大增,也是Build 2020的重點產品。微軟公布多項新功能,包括讓Power家族產品進一步和Teams連結,也強化Teams的產業適用性,以及對外通訊協同。
名為Power Virtual Agents的聊天機器人簡易開發平臺,加入到Teams應用程式商店,提供開發範本,加速用戶端開發作業。微軟也簡化聊天機器人部署到Teams的過程。設計給一般用戶開發的Power Apps加入「Add to Teams」按鍵,可一鍵發布到Teams App商店。另外,Power BI製作的報表,可透過「Share to Teams」鍵分享給其他協作者。流程自動化工具Power Automate,也加入專為Teams設計的流程範本,還新增Shift action,讓開發人員蒐集需求或排程等事項設計,客製化工作流程。
微軟也為Teams整合了Bookings App,方便使用者安排線上面試或遠距會診。
微軟在產業專屬雲計畫中,也為Teams加入為不同垂直產業設計的範本,企業不必自行開發,例如危機應變、醫院病房、銀行分行等等。
其他功能還包括透過Visual Studio及Visual Studio Code分別針對Teams釋出的擴充程式,開發人員可以在Teams進行開發專案架構、建立package manifest及出版。Visual Studio擴充程式即將推出。
最後,Teams也加入廣播用硬體Skype TX相容及NDI(New Device Interface)支援,方便使用者進行更大規模的多人展演活動。NDI for Microsoft Teams可以將Teams的影片轉成影片來源檔,整合常見的直播串流軟體如OBS、Wirecast、Xsplit、StreamLabs,而用於公開廣播內容上。
金管會 黃天牧
黃天牧接掌金管會主委,揭露金融政策四大方向與三作法
金管會新任主委黃天牧在5月20日這天正式接掌金管會。黃天牧在金管會新舊主委交接儀式上表示,將延續前主委顧立雄任內推動的金融政策,包括促進優質公司治理、發展金融科技、強化金融消費者保護與穩定金融市場等。黃天牧更提出四大金融目標,即強化金融韌性、推動創新金融、發展永續金融、落實普惠金融。
而為了達到這四大目標,黃天牧更提出三大作法,一是金融監理政策的規劃與執行,除了短期的監理需求與目標外,應有長期的規劃,金融業經營亦是如此;二是金融業的監理規範要接軌國際,同時考慮市場現況循序漸進;三是金融監理應符合比例原則。
黃天牧的金融資歷深厚,從基層做起一步步走上高位,曾任財政部金融局科長、專門委員、副組長、組長、主任秘書,一路到副局長。在金管會則做過主任秘書,陸續擔任過保險局局長、證券期貨局局長,以及金管會副主委。
此外,高等檢察署檢察官,同時也是行政院洗錢防制辦公室執行秘書許永欽,則卸下多年檢察官身分,轉戰金管會擔任新任副主委。
金管會新任副主委許永欽。(攝影/李靜宜)
開放銀行 資料共享 SIX
SIX集團推出開放銀行平臺b.Link,初步鎖定介接企金用戶資料
瑞士負責金融服務基礎設施的SIX集團,在5月19日宣布推出一個金融機構和第三方服務提供商(Third-party Providers, TPPs)之間數據標準化共享的集中化平臺b.Link。由SIX打造平臺基礎架構,並且訂定相關規範,而第三方服務提供商要連接到平臺前,SIX也會進行測試驗證,確保該參與者能安全地處理敏感的金融數據,通過驗證後第三方服務提供商即可於平臺,在用戶授權情況下,以API介接金融機構資料。
SIX指出,b.Link平臺起初會先提供2個應用,主要聚焦在企金用戶的資料。一是帳戶資訊服務,第三方服務提供商能夠在企業用戶的同意下,從銀行端獲取用戶詳細的帳戶與交易資訊,並把這些資訊利用在會計核對。二是匯款提交服務,第三方服務提供商能夠藉此服務,自動替企業用戶在銀行為客戶預定匯款,用戶只要在他們的企業網銀或行動App允許匯款即可。
SIX表示,他們已與瑞士信貸(Credit Suisse)、瑞銀集團(UBS)、Neue Aargauer銀行、瑞士軟體供應商Klara共同通過試點測試階段,現在正將b.Link推出市場,重點將聚焦讓更多銀行與TPP加入該平臺。目前得知,蘇黎世州銀行(Zürcher Kantonalbank)也預計在今年9月加入該平臺。
.jpg)
純網銀 樂天銀行
樂天國際銀行正式成立公司,系統建置如期拼今年第三季上線
樂天國際商業銀行在5月18日獲准成立公司,代表臺灣三家純網銀皆已就位,下一階段就要拼開業。相較於另兩家純網銀,樂天銀行的股東結構較為單純,由日本樂天銀行持股50%、日本樂天信用卡持股1%、國票金控持股49%,董監事名單也僅有8名,由第一金控前總經理簡明仁出任董事長,4席董事分別是日本樂天銀行社長兼董事長永井啟之、樂天國際商業銀行總經理佐伯和彥、國票金控董事長魏啟林、臺灣樂天信用卡總經理石井英治。
監察人分別是前國票金控副董事長王東和,以及東林知隆與內山洋之。樂天銀行指出,東林知隆是日本樂天欲在臺灣爭取開立純網銀的專案負責人,對成立純網銀的始末非常了解,而東林知隆目前是日本樂天集團海外事業營運暨法遵長。樂天銀行表示,純網銀相關規劃與系統建置等,目前都按照原定時間表進行,預計今年第三季開業。開業時會達到100名員工數,目前已有7成到8成的人力,並持續招募當中。(更多內容)
.jpg)
中國信託銀行 Yahoo奇摩
中信銀聯手Yahoo奇摩發展場景金融,在理財、房地產頻道各推基金導流申購與房貸試算
中國信託銀行近期與Yahoo奇摩合作,提供兩項新服務,要將金融服務帶進民眾生活場景,包括在Yahoo奇摩理財頻道,新增基金導流申購功能,並在Yahoo奇摩房地產頻道提供房貸試算工具,讓在這兩個頻道瀏覽的民眾,在該頁面即可點選買基金、試算房貸。
雙方的合作之一,是在Yahoo奇摩理財頻道新增基金導流申購功能,透過基金導流申購功能,持有中國信託網路銀行存款帳戶的民眾,可在登入該行網銀後,在Yahoo奇摩理財頻道按下基金申購,就可直接帶入中信銀網銀快速下單,讓客戶在瀏覽市場資訊或基金表現時就能即時投資,不用再到其他下單平臺重新搜尋該基金名稱,而錯失投資時機。
此外,中信銀行也在Yahoo奇摩房地產頻道,提供房貸試算工具,用戶可依照房屋特徵、周遭環境、政府公開資訊等內容,透過大數據分析,作為參考估價,也可以讓客戶自行輸入財務資訊包含擁有的自備款、每月收入開銷與預計貸款年限,來精準評估合適自己的房屋價格暨貸款方案。
.jpg)
玉山銀行 大數據 演算法
玉山銀行運用大數據與演算法自建基金理財認知偏好模型,推個人基金選擇服務
玉山銀行運用大數據分析、演算法等新興技術,加上市場專家觀點,自行建立基金理財認知偏好模型,推出基金e指選服務,以大數據找基金服務。玉山銀行指出,顧客透過手機登入行動銀行,最快10秒就可快速找到合適的5檔國內外基金。
玉山銀行提到,基金e指選應用了運算系統從各項變數中進行分析,同時挖掘變數之間關聯性的特性,綜合評估每一檔基金的屬性與特色,分析每一檔基金的相似度與關聯性,再根據顧客的風險承受等級評估、交易記錄或其他資訊等,歸納出顧客的理財習性,找出適合顧客的基金標的。
.jpg)
BEC詐騙 挪威國家投資銀行
挪威國家投資基金遭BEC詐騙,駭客蟄伏數月盜走1千萬美元
挪威的國家投資基金Norfund坦承遭遇商業電子郵件詐騙(BEC),損失1千萬美元。Norfund為挪威議會建立的私募基金,直屬挪威外交部,資金來自於國家預算。調查初步顯示Norfund是先發生資料外洩事件,使得駭客得以長期觀察基金與柬埔寨一家小額信貸公司之間的郵件往來,並學習其間的架構、內容及所使用的語言,再偽造文件與支付細節。
根據外電報導,駭客早在數月前就入侵了Norfund基金的通訊,只是一直蟄伏在系統內直到有機可趁。在3月16日當天誘導Norfund把1千萬美元匯入與該小額信貸公司同名的帳號,並很快將資金轉移到墨西哥。
駭客在得手後,仍持續操縱Norfund與該小額信貸公司之間的通訊,使得雙方從未發覺有異,一直到駭客企圖在4月30日時故技重施,才讓此一詐騙案曝光。(更多內容)
淡馬錫控股 Libra
新加坡淡馬錫控股加入支援Libra專案,另有2家投資公司也參與
臉書偕同其他20多家公司推動的Libra貨幣專案,歷經連番挫敗及修正後,近期宣布新加坡政府持有的淡馬錫控股加入為會員。淡馬錫控股是新加坡主權基金的一部分,由該國財政部持有100%股權,管理超過3,300億美元資金。其投資對象除了新加坡公司外,也投資阿里巴巴、馬來西亞電信、澳洲Optus電信、並曾支援Dell收購EMC等。
淡馬錫官方表示,期待Libra釋放其發揮區塊鏈為基礎的數位貨幣的潛力,並協助建立受政府規範的全球網路,實現更具成本效益的零售支付。而除了淡馬錫控股,Libra專案還宣布Paradigm和Slow兩家投資公司的加入。(更多內容)
圖片來源/SIX Group、Norfund;攝影/李靜宜、洪政偉
責任編輯/李靜宜
金融科技近期新聞
1. 台新銀行與全家便利商店合作推線上繳費服務,非台新用戶也能利用全家App繳電信費、信用卡費與停車費
資料來源:iThome整理,2020年5月
去年微軟擴展程式碼導師IntelliCode功能,讓開發團隊可以訓練自定義程式碼完成模型,但由於一直要以手動更新,才能讓模型維持在更新狀態,這個操作過於繁瑣,因此現在微軟讓IntelliCode的模型更新操作,可以透過GitHub Action的自動化功能來進行。
微軟在Build 2018大會上首次推出了IntelliCode,這是IntelliSense的增強功能,能夠在Visual Studio中的自動完成功能,提供經人工智慧計算的推薦排序結果,且在去年底,微軟還使用人工智慧研究機構OpenAI超強的GPT-2文字產生模型,強化IntelliCode的推薦結果;過去GPT模型架構是用來解決自然語言處理的問題,而現在被微軟拿來用在程式碼完成推薦上,微軟使用了3,000多個GitHub上的頂級專案程式碼,訓練IntelliCode的基本模型,以訓練模型學會程式語言和程式碼模式。
即便用了這麼豐富的程式碼來訓練模型,但由於GitHub存儲庫中的程式碼,不會有企業開發團隊自己所定義的類型,因此為了讓IntelliCode能夠提供有用的建議,需要讓IntelliCode模型適應開發原始碼中不常用的特殊類型和特定領域的API,因此在今年2月的時候,微軟再次釋出了IntelliCode更新,讓開發團隊能夠利用私有程式碼儲存庫,來訓練程式碼完成模型。
微軟為了簡化自定義模型更新的程序,讓開發團隊可以利用GitHub Action來自動化這個過程。GitHub Action是一項讓使用者建立各種動作,自動化工作流程的服務,除了可以執行像是傳遞通知這樣簡單的任務,還能用來建置完整的持續整合工作流程。
現在IntelliCode的用戶,可以透過配置GitHub Action的持續整合流程,讓Visual Studio IntelliCode自動訓練團隊完成模型,根據私有的C#和C++類型提供完成建議,自動完成功能可依程式碼提交而改變,使得團隊中的每個開發人員,都可以簡單地掌握並跟上最新的專案開發進度。
關於近期總統府遭駭客鎖定與利用的事件,現在有了一些調查結果,近日警政署刑事警察局說明其中一起案例,是5月20日傍晚有立法委員辦公室的電子郵件信箱,收到冒稱總統府發出的電子郵件。根據刑事局科技犯罪防制中心科技在5月21日公布的調查,說明經刑事警察局偵九大隊及科技研發科的分析,證實該郵件是從外部郵件主機寄發,郵件內容則是包含惡意連結,連至惡意網站的用戶若不慎從網站下載並開啟檔案,恐遭安裝木馬程式。
對於詳細的郵件冒用情形,我們詢問刑事局科技犯罪防制中心,該單位股長黃翰文說明,攻擊者所假冒從總統府發出的電子郵件,其實是將電子郵件顯示的寄件人名稱,設為
,再強調一次,這只是顯示的寄件人名稱,並非完整電子郵件信箱帳號,而郵件本身並非從真實的總統府電子郵件信箱發送,在郵件內容上,則是騙稱要收信者填寫會議議程表,並提供一個網站連結要使用者下載一個ZIP壓縮檔。
科技犯罪防制中心表示,一旦連至該惡意連結並下載,將檔案解壓縮後會看到一個假冒成DOC文件格式的執行檔(conference-2020.docx.exe),經他們研判就是惡意程式。
同時,刑事警察局也已追查攻擊來源,目前得知釣魚網站主機係位於烏克蘭的雲端服務公司,只是受害範圍仍在釐清追查中。
由於上述這起事件,與日前另一起國內多家媒體記者接獲不明來源電子郵件,內容是假稱「蔡英文陰謀」的會議紀錄形式文件,如同寄發黑函的行徑,兩起事件時間相近,發生在520前後,又與總統府有關,因此格外受到臺灣民眾注目。黃翰文表示,兩者手法截然不同,目前研判應是並無關連。
此外,對於這類透過電子郵件管道的身分冒用行為,刑事警察局也特別呼籲民眾都要重視。首先,就是要知道駭客可能透過這方式來攻擊,這類偽冒來源信件,通常目的就是誘使收信者點擊釣魚網站連結或開啟惡意附件,而對於偽冒來源的手法也要能夠多認識,像是這次事件就是偽造電子郵件的寄件人名稱,讓收信一方,在看到寄件者名稱時就誤以為是完整的電子郵件信箱。由於這類偽造手法容易且多變,因此,除了部署郵件安全防護方案來攔截或警告這類郵件,在使用者方面,也應對竄改電子郵件帳號這類冒用身分的假冒與混淆手法,要能有些概念,才比較容易發現異常。
對於釣魚網站網站所夾藏的惡意程式conference-2020.docx.exe),刑事警察局也提供VirusTotal的搜尋結果,指出該檔案確實就是惡意程式。(圖片來源:刑事警察局)
將近20年的第一代Xbox OS及Windows NT 3.5原始碼最近被人公布於網路上,微軟已經展開調查。
遭到公布的Xbox OS還包括開發環境、Xbox 開發工具、測試用的模擬器及一些內部文件。The Verge報導指出,這批原始碼之前已經在科技愛好人士圈私下流傳好一陣子,經分析後研判為真
微軟於2001年11月推出第一代Xbox遊戲機,以x86機器的思維來開發,其核心的Xbox OS為Windows 2000加入DirectX 8支援及其他客製化而成。
微軟的Xbox及Xbox 360使用專屬模擬器,此後許多廠商嘗試推出模擬器軟體以便用戶可打懷舊遊戲,但是都無法有效模擬正牌的Xbox OS。迄今只有40套遊戲可使用非官方模擬器,遠不如使用原廠Xbox模擬器的900套遊戲。
除了Xbox OS外,被貼上網路的還有Windows NT 3.5版,研判是將近最後一版。這批原始碼包括所有必要的開發工具。由於微軟已在2001年終止NT 3.5支援,目前也只有極少系統仍在使用,因此絕大多數用戶及Windows 機器應不致受影響。
即使曾有開源陣營大佬如Richard Stallman呼籲微軟開源Windows,但除了捐出1980年代的MS-DOS 1.1、2.0版及Word 1.1程式碼,微軟始終嚴守其核心資產,也因此有任何Windows程式碼外洩都是大新聞。例如2014年Windows 2000及NT 4曾經有部份程式碼,被張貼到網路上。2017年也有人把高達32TB的Windows 10程式碼,上傳到網路論壇。
不少用戶安裝編號KB4556799的Windows 10更新後,引發無法安裝、藍色死亡螢幕、電腦失聲等大小問題,微軟已經著手調查。
KB4556799是微軟上周透過Patch Tuesday,針對Windows 1903及1909版釋出的累積更新。陸續有用戶透過微軟討論區反映無法安裝、安裝到一半卡住,另有多人抱怨安裝KB4556799版更新後遭遇藍色死亡螢幕(Blue Screen of Death, BSoD),少數人通報螢幕閃爍、遊戲無法啟動、電腦沒有聲音等。Windows Latest及Forbes報導,其他問題還有Outlook搜尋失靈、預設字體改變以及PC被轉為S Mode,還有人電腦檔案被刪光。
原本對媒體表示沒有接到投訴的微軟,周四改口說接獲通報,已著手調查。
由於疫情的關係,許多企業都暫時切換到遠距工作模式,臉書、Google及微軟也宣布允許員工在家工作直至今年底。臉書創辦人暨執行長祖克柏(Mark Zuckerberg)本周進一步表示,在未來的5到10年間,可讓50%員工在遠端工作。
祖克柏說,遠距工作有許多優點,像是得以取得大城市以外的科技人才,也可平衡全美或全球的經濟機會,或是因減少通勤而改善環境,以及推動各種臉書技術的進步,像是即時傳訊程式、視訊聊天、Workplace、Portal與擴增實境等。
根據臉書統計,那些在家工作的員工中,有超過一半表示他們的生產力跟在公司一樣,有40%對全面執行遠距工作有興趣。而那些想要全面遠端工作的員工中,有高達75%是因為想搬到其它城市。
只是,遠端工作並非毫無缺點,除了工作與生活會變得更難區隔之外,祖克柏也擔心這會削弱員工之間的社交連結,可能降低創造力,各種懸而未決的問題都尚待日後克服。
祖克柏指出,臉書朝向遠距工作的第一步將聚焦於遠距招聘,他們準備招聘距既有工程辦公室4小時車程範圍內的有經驗的工程師,包括費城、匹茲堡、波特蘭與聖地牙哥,同時也會在亞特蘭大、達拉斯與丹佛設立新的辦公室。他說,美國過去幾十年的經濟成長集中在特定的大都會,這讓企業失去許多未居住在這些城市的優秀人才。
如果員工願意,祖克柏希望許多員工都能變成長期的遠距工作者,但他會謹慎的實施這項計畫。
儘管如此,依然還是有部分員工很想回到辦公室,臉書將優先通融那些在家相對缺乏生產力的員工回到公司,例如硬體工程師、內容審核員、資料中心技術員,或是其它特定的角色等,同時確保他們在辦公室的工作空間是安全的,估計今年只會有25%的員工回到公司辦公。
不只是臉書,Twitter以及行動支付平臺Square執行長Jack Dorsey也讓遠距辦公成為公司新常態,電子商務平臺Shopify也宣布,員工可以無限期地在遠端工作。目前臉書的全球員工數約有4.8萬名,Twitter為4,600名,Square為3,800名,Shopify則有超過5,000名員工。
一名位於荷蘭的母親日前控告孩子的祖母,要求祖母刪除她上傳到臉書與Pinterest上的孫子照片,荷蘭法院在本月公布了判決結果,認為祖母的行為違反了歐盟的《通用資料保護規則》(General Data Protection Regulation,GDPR),必須在這些社交平台上刪除孫子的照片,否則就得罰款。
專門蒐集GDPR案例的GDPRhub公布了此一案例,顯示原告曾經多次寄信要求祖母刪除上傳到社交平台上的孫子照片,因為她的小孩尚未成年,且祖母並未取得她或她前夫的同意,但都遭祖母拒絕,於是告上法院。
其實GDPR雖然是用來保障個人資料,但它並不適用於個人或家庭活動,然而,法官認為,除了不清楚被告如何保護她的臉書或Pinterest帳號之外,也不確定能否藉由搜尋引擎找到這些照片,此外,若在臉書上張貼照片,無法排除這些照片最終落到第三方手上的結果,使得此案無法純粹被列為家庭活動,而是落到了GDPR的保護範圍中。
法院要求祖母必須立即刪除其孫子照片,否則每天都會被判罰50歐元,最高可罰到1,000歐元,且之後也不得再上傳孫子照片。
曾經電腦重灌,再安裝回所有App的Windows用戶一定知道過程有多麻煩。微軟在Build 2020大會上宣布Windows Package Manger預覽版,將可望大幅省下用戶的時間。
當用戶重灌或新灌Windows後,往往必須到不同網站上分別下載想要的App或工具。照理說,Windows Store應該成為用戶下載App的資源網站,但是早期因為微軟主推UWP(Universal Windows Platform),因此許多未轉成UWP的Win32應用程式和工具皆未收錄在Windows Store上。隨後使用者漸漸揚棄Windows Store App而改用第三方package manager,如Chocolatey、Ninite、OneGet等來協助App安裝。現在微軟決定自己也來推package manger工具。
Windows Package Manger是一個開源的指令行工具軟體。用戶只要輸入一行指令「winget 」即可執行搜尋、安裝、升級、移除或設定Windows 10電腦上的App。例如輸入winget install Steam,最新版的遊戲App Steam即立刻安裝到Windows 10電腦上。有些受歡迎的App,如Zoom、WinRAR、Logitech Harmony Remote甚至Windows Store上都還找不到,但已可透過這項工具下載。
用戶必須加入Windows Insider以取得Windows Package Manager,或是加入Windows Package Manger Insider測試方案,winget工具包含Windows App Installer預覽版當中。微軟預計2021年5月,釋出第1版Windows Package Manager。
Windows Package Manager及winget工具目前都是預覽版,微軟提醒功能可能不完整,未來也可能大幅修改。
行動網路分析業者Opensignal發表兩份5G量化報告,一是在8個已部署5G網路的國家中,其連線速度與4G及Wi-Fi網路的比較,另一個則是測量10家電信營運商的5G網路效能,顯示目前Verizon在美國所提供的5G下載速度最快,每秒下載量可達506.1Mb。
目前全球至少有8個國家已部署5G網路,若以5G平均下載速度進行排行,則依序是沙烏地阿拉伯(291.2Mbps)、南韓(224.0Mbps)、瑞士(201.9Mbps)、科威特(185.1Mbps)、澳洲(163.9Mbps)、西班牙(146.8Mbps)、英國(138.1Mbps)及美國(52.3Mbps)。美國之外的上述7個國家,5G下載速度都明顯高於4G與Wi-Fi。而美國的5G下載速度雖然高於4G,但輸給Wi-Fi(59.8Mbps)。
另一份報告則是比較10家電信業者所提供的5G下載速度,包括美國的Verizon、Sprint、AT&T與T-Mobile,南韓的LG U+、SK Telecom與KT,澳洲的Telstra,以及英國的EE與Vodafone。顯示Verizon提供的5G速度最快,可達506.1Mbps,居次的LG U+為238.7Mbps,最慢的則是T-Mobile的47Mbps。
這些業者都同時提供5G與4G網路,且5G下載速度也明顯高過4G,當中最快的4G網路為SK Telecom的63.7Mbps。
值得注意的是,目前上述電信業者的5G覆蓋率並不高,使得就算是使用5G手機的使用者,所執行的網路仍然是以4G為主,其中,5G覆蓋率最高的業者為T-Mobile,但也只有19.8%的5G手機用戶上網時可以採用5G網路,其它絕大多數仍是仰賴4G網路。居次的是SK Telecom的15.4%,而就算Verizon提供最快的5G網路,但它的5G手機用戶連網時,只有0.5%可以用到5G網路,在5G可得性上位居末位。
在4月底緊急修補被開採的Sophos XG Firewall產品漏洞後,Sophos指出,駭客在該公司釋出修補程式之後的幾個小時,就改變了攻擊策略,而且企圖透過同一個漏洞來散布勒索軟體,但已修補的系統將可逃過一劫。
當初現身於Sophos XG Firewall中的漏洞,是個資料隱碼(SQL injection)遠端程式執行漏洞,將允許駭客竊取防火牆資料,包括防火牆的授權與序號,防火牆管理員及使用者的電子郵件帳號,防火牆用戶的姓名、使用者名稱與加密密碼,以及可使用該防火牆執行SSL VPN通訊的使用者帳號等。且這也是駭客最早的攻擊目的,企圖藉由該漏洞植入Asnarök木馬程式。
Sophos除了關閉該漏洞之外,也移除了駭客所植入的惡意程式及腳本程式,且不必重新啟動防火牆。但駭客後來針對Sophos的修補執行了新一波的攻擊行動,且這次變本加厲的企圖於目標系統上部署勒索軟體。
此次駭客利用美國中情局的EternalBlue與DoublePulsar攻擊程式,來滲透受害者網路,並嘗試部署Ragnarok勒索軟體,幸好Sophos原先的修補亦能有效地防範最新攻擊。不過,研究人員提醒,駭客不只使用較少見的Ragnarok勒索軟體,在攻擊行動中也罕見地利用Linux ELF,來散布惡意程式,
Sophos XG Firewall的安裝預設值為自動更新,若曾變更該設定,則應儘速進行手動更新。
微軟宣布於GitHub上開源GW-BASIC,官方提到,自從去年他們在GitHub上開放MS-DOS 1.25和2.0的原始碼之後,社群有不少人要求一起公開GW-BASIC原始碼,因此現在微軟開源1983年2月10日的8088組合語言版本,作為歷史參照和教育用途,並且不再接受修改原始碼的拉取請求。不過,微軟表示,他們無法開源808x之外的處理器實作。
GW-BASIC是高階程式設計語言BASIC的一個方言版本,是從IBM的Advanced BASIC/BASICA衍伸而來的BASIC直譯器,為微軟的BASIC端口,微軟中有各種不同的BASIC實作,來源可以追溯到Bill Gates和Paul Allen在微軟中的第一個產品Altair 8800的BASIC直譯器,而到了70和80年代後期,微軟的BASIC被移植到了許多OEM平臺上,像是8088、6502、6809和Z80等。
跟當時許多軟體一樣,GW-BASIC的原始碼全部都是以組合語言開發,微軟解釋,雖然那時有FORTRAN、LISP、COBOL、RPG、CPL/BCPL以及C等高階語言可以選擇,但是這類語言的編譯器難以產生高效能的機器碼,而且也不適用於那時運算資源不足的個人電腦,由於在當時的時空背景,編寫軟體每個位元組和指令都需要斤斤計較,所以開發人員通常完全使用組合語言撰寫程式碼,讓他們可以調整軟體以適用當時的記憶體,並存取電腦資源以及其內部運作。
去年1月17日,成立Have I Been Pwned網站的資安專家Troy Hunt,在部落格揭露一起宣稱是史上最大規模的資料外洩事件,並命名為Collection #1,當中涉及逾7.7億個電子郵件信箱帳號,但是,這些資料的來源究竟為何?烏克蘭國家安全局(Security Service of Ukraine,SBU)在5月19日,於伊凡-法蘭科夫(Ivano-Frankivsk),宣布逮捕名為Sanix(又稱Sanixer)的駭客,並指出他就是在去年1月,因為於網路討論版兜售一個電子郵件帳密資料庫,而引發全球資安專家關注的人。
SBU的專員指出,當時事件出現的87GB帳密資料,僅是Sanix持有的一小部分,他們發現Sanix擁有至少7個類似的資料庫,檔案容量接近1TB,涵蓋個人或是財務帳號,主要是來自於歐洲和美國。根據駭客使用Sanix這個名稱,SBU認為,駭客很可能就是住在伊凡-法蘭科夫的當地居民,因而展開追查,該單位也串連出整起事件之間的關連,他們在嫌犯住處查封電腦設備,內有2TB遭洩個資,並且起出19萬元烏克蘭格里夫納幣(UAH),以及3千美元,分別相當於新臺幣21萬元和9萬元。
在Collection #1案發當時,不少資安專家調查此事,並且提供進一步資訊。例如,當時資安公司Hold Security技術長Alex Holden,就向資安部落格Kreb On Security表示,Sanix並非實際下手竊取資料的駭客,他應該只是掮客,從駭客收集到資料並加以整理後販售。Kreb On Security也聯繫上這名駭客,證實這項說法,Sanix也透露,這些在當時都是超過一年以上的舊資料。
雖然SBU逮捕他的名義與Collection #1有關,但根據威脅情資公司Intel 471告訴Kreb On Security,Sanix被逮捕的原因,恐怕和他現在正忙於販售各式帳密資料,讓客戶能遠端存取大型組織的遭駭資源有關。例如,這名掮客就在本月初兜售全球近50間大學存取資料,還有美國聖貝納迪諾政府的VPN帳號等。
近日正逢懷舊電玩小精靈(Pac-man)問世40周年,Nvidia也發表了最新的對抗生成網路(GAN)研究成果GameGAN,可利用經典遊戲小精靈的玩家影片,在四天內就產出一套栩栩如生的小精靈遊戲(如下圖),不僅能讓使用者動手玩,遊戲中的規則、畫面等細節更不需任何程式碼來撰寫設計,等於不需要傳統的遊戲引擎支援,憑著GameGAN視覺學習就能完成。
近年來,Nvidia深耕GAN,在去年先後發表了如假包換的臉部生成網路StyleGAN,以及能將隨手塗鴉轉換成藝術大作的GauGAN。今年,Nvidia再度秀出新成果GameGAN,能靠視覺學習產生遊戲環境,比如小精靈遊戲的場景、規則等。
打造能視覺學習的模擬器
這款GameGAN由Nvidia、多倫多大學、加拿大AI研究院和麻省理工學院(MIT)聯手打造,他們在論文中指出,模擬(Simulation)是機器人系統的核心,但要打造出好用的模擬器,還需撰寫複雜的環境規則,比如,動態代理人該如何表現、代理人行為如何影響其他代理等。
為解決撰寫複雜規則的問題,團隊想出一個方法,要透過觀察代理與環境的互動,來打造模擬器。團隊首先從遊戲下手,利用8個月時間,開發出一套生成式模型GameGAN;這套模擬器,將動畫遊戲視為現實世界的環境,可透過玩遊戲的影片和鍵盤操作,來訓練、模擬出一套遊戲,甚至產生新的關卡。
進一步來說,GameGAN由三大部分組成,首先是一個動態引擎,來維持內部更新的變數,再來是一個外部記憶模組,來記住模型所產生的畫面,保持一致性。也就是說,當遊戲中代理人按一個按鍵,GameGAN就會渲染(Render)、產生下一個螢幕畫面,而記憶模組可建立環境內部地圖,因此當代理人回到之前經過的地方時,畫面就能保持一致。最後一部分則是渲染引擎,可在每個時間實體(Instance)中,對輸出的影像進行解碼。
用4天4個GPU來學習5萬支影片
接著,團隊利用5萬支小精靈的遊戲影片,以及Nvidia DGX系統來訓練GameGAN。這些影片共有上百萬個畫面,內容包括了玩家操控小精靈的畫面,而GameGAN就觀看這些影片,從中學習遊戲規則,比如精靈吃到大力丸時,幽靈會變色、反向逃跑等。這個方法,不需要傳統的遊戲引擎支援,也能建立一套完整的遊戲。
此外,在訓練過程中,GameGAN的渲染引擎還會學習從動態元件中(如吐火的幽靈),拆分出靜態元件(如背景或藍色的牆)。這個作法,還可讓開發者替換背景,比如和馬力歐玩小精靈,或是在自己喜歡的場景中玩遊戲。
Nvidia多倫多研究實驗室主任Sanja Fidler提到,團隊開發完GameGAN後,只用了4天和4個GPU,就成功訓練出小精靈遊戲,還能讓使用者動手玩。此外,她也分享了開發過程中的趣事,「一些訓練影片來自很厲害的亞洲玩家,所以最初GameGAN產生的小精靈,幾乎都不會輸。」
但她也坦言,GameGAN產生的小精靈,還沒辦法模擬原版小精靈的音效。
下一步:開發機器人模擬系統,加速自動化發展
「模擬器是訓練機器人系統的核心,但開發模擬器非常耗時。」Sanja Fidler解釋,模擬器可用來開發夾取物件的倉庫機器人、自駕車、送貨機器人等,讓機器人在其中學習現實世界的物理定律。但也因為這樣,開發者要寫許多規則來打造模擬器,比如物體如何互動、光線如何表現等。
她認為,GameGAN可望解決這個問題,透過觀察代理人與環境的互動,來模仿代理人行為,開發者不必再撰寫複雜的規則,來開發模擬器。文◎王若樸
.JPG)