Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederithome.com.tw
iThome
Get the latest updates from iThome directly as they happen.
Follow now 50 followers
Latest posts
Last updated about 22 hours ago
增設入門機型與基礎防禦授權,兆勤防火牆提供雲地組態整合
about 23 hours ago
繼2023年10月底發表USG Flex H系列防火牆,提供100H、100HP、200H、200HP、500H、700H等機型,兆勤科技(Zyxel Networks)今年4月宣布此系列產品升級的消息,綜合介紹近期推出的軟硬體與服務特色,包括:提供新機型50H與50HP、統一雲端管理與內部管理(cloud and on-premises convergence,雲地整合),以及增設入門防禦包(Entry Defense Pack)的授權選項。 以硬體設備而言,今年2月兆勤發表USG Flex入門級機型50H與50HP,內建5個GbE埠——50HP的第5個GbE埠額外支援乙太網路供電(PoE),防火牆、防惡意軟體與網路入侵的吞吐量效能,分別是2000 Mbps與600...
博通一封「支援到期通知信」引發熱議,只買永久授權但沒轉訂閱的企業直言是封「警告信」
2 days ago
新聞 近幾周,好幾家買了VMware永久授權但沒轉成訂閱制的企業,陸續在美國的網路論壇上抱怨連連,收到博通寄來的一封支援服務到期「通知信」,讓他們覺得警告意味濃厚,也公開了這封通知信,引發了社群的熱議。 一些曾購買VMware永久軟體授權的企業,最近在Reddit及專業論壇抱怨接到有警告意味的信件。這封信除了告知這些永久授權軟體的支援服務已於1月18日到期,像是安全更新,修補等都不再提供,也正式要求企業停用。若繼續使用更新將造成侵權,恐遭VMware求償或採取後續行動。 收到通知信的企業,包括了有一家購買永久授權沒有轉成訂閱制的企業,也有一家企業在VMware授權到期,改轉用競爭對手Proxmox產品後接到警告信。更有一家企業完全除役了VMware系統後,也收到了這封信。 根據科技媒體Ars Technica取得的服務到期通知信件,內容主要是陳述客戶授權已到期,且未見到客戶訂閱後續授權或支援服務,要立即停用所有和VMware有關的「支援服務」。信中列舉的支援服務包含維護更新、小型版本、主要版本/升級延伸、功能修補、bug fix或安全修補等。此外在授權日過期後,客戶也應移除除了高風險零時差漏洞修補程式以外的更新軟體。該公司指出,若客戶未能遵守過期後的要求,可能會有侵權情形,致使VMware行使稽核權利或其他法律或合約矯治行動。 圖片來源/Ars Technica 雖然VMware的信件看似出於提醒用意,但有用戶將之定義為「警告信」(cease-and-desist letter)。一家在Reddit上抱怨的企業提到,即使想聯絡VMware客服,但由於他們先前沒有購買授權,因此也無從找到聯絡窗口說明自己不再用VMware產品。不少企業,尤其是有不少中小企業在博通取消VMware永久授權後,紛紛選擇改用別家產品,如Proxmox、Ceph或微軟HyperV。 這是博通今年二度引發爭議。今年初一家VMware經銷商通知客戶,4月起VMware授權採購的最少CPU核心數量由16核心調漲到72核心,且計畫對不在截止日前完成續約的客戶罰款20%。不過在媒體報導及客戶抱怨下,博通又宣布取消了調漲計畫。同時,博通也低調釋出了免費版的ESXi...
降低老客戶線上訂購門檻,臺酒靠IT全力衝刺電商化發展
2 days ago
國內菸酒從日治時期實施專賣制度,歷經臺灣省專賣局、菸酒公賣局,因應世界貿易趨勢發展,2002年正式結束專賣制度,菸酒公賣局也從公務機關轉為公司化經營,成了如今的臺灣菸酒公司(簡稱臺酒),這家擁有超過百年歷史的老牌菸酒公司一路走來,不斷因應外在環境的變化,提高自己的競爭力。 開放中國菸酒商品,並廢除專賣制度,臺酒公司面臨國外菸酒商品的競爭,為提高競爭力,該公司以顧客為中心投入產品研發及行銷策略,近幾年為支援公司策略及業務發展,陸續強化資訊發展,以支援電商化業務發展。 目前代理資訊處長職務的臺灣菸酒資訊處副處長黃玉玫,一路參與臺酒公司30多年的資訊化發展。 黃玉玫表示:「以前的IT完全是校長兼撞鐘」,從系統開發、推展、維運管理到調整全部包辦。她解釋,臺酒公司很早便推動資訊化發展,早期資訊部門的工作量不輕鬆,當時分工不夠細膩,資訊人員往往一個人全包一套資訊系統,從系統需求訪談、規畫、設計到開發、維運、調整、問題支援都由一個人擔任系統負責人,其他同事協助支援工作,她自己就曾與同事前往第一線的工廠,協助新系統的安裝、上線及推展。 從自行開發到委外開發 隨著業務量增加,臺酒逐漸將系統委外開發,IT角色也從自行開發,轉為辦理採購及維運,然而,儘管從自行開發轉為委外,IT人員因此得以減輕工作壓力,但對當時的IT人員而言,光是維運管理就是不小的工作負擔。 早期的專賣制度,臺酒底下分為製造及銷售據點,以製造為例,臺酒在全國多地設有多個菸草、製酒工場,例如在阿里山、屏東、花蓮、埔里等地設有製酒工場,銷售據點更是幾乎遍布各地,涵蓋外島地區,銷售據點最多曾達到130多個,當時網路並不普及之下,據點之間、據點與總公司之間都是透過撥接網路傳送檔案,有的據點位於交通不便的地區,資訊人員需要長時間舟車勞頓親自到各地的製造、銷售據點協助安裝、維護、推展,對其工作帶來不小的負擔。 後來,隨著臺酒的資訊系統轉版,從原本使用的大型主機架構漸漸為PC及伺服器,漸漸通過遠端連線協助維運,才慢慢降低IT人員到各地出差的負擔。 當時資訊部門還有一項重要工作是匯整資料,將各地營業據點的銷售資料,以及製造據點的工廠物料管理資料,透過電傳上傳到總公司,臺酒的資訊部門內甚至有一支資料管理團隊,專門負責匯整資料、製作報表、核對報表。 這個資料匯整工作,相當仰賴人工處理,並非是高度自動化的作業。當時為了匯整各地的資料,黃玉玫回想那時的IT人員往往很晚才下班,需等各個分支單位上傳資料,上傳資料後再核對資料,分支單位的現場人員也因為配合對帳也得延後下班時間,當時的資???人員等待資料上傳、核對資料,加上與各單位間的聯絡電話,等到整個作業完畢,IT人員可能得等到晚上8、9點才下班。 而委外之後,臺酒IT的主要工作為辦理採購案、維運管理,開發完全依賴外部廠商,反而使得IT人員對於最新技術的掌握能力下滑,因此臺酒資訊部門鼓勵員工學習研究新的技術。 新技術的發展例如生成式AI的興起,可能對IT原本的工作帶來影響,黃玉玫認為,過去IT人員學習程式語言,要有很強的邏輯能力,未來IT人可能不需要很強的邏輯能力,或是學習程式語言,而是要學習提供業務上的相關知識,以對話的方式運用AI。臺酒IT團隊成員已開始培訓,學習新的AI技術例如大語言模型,作為未來可能導入智能客服作準備。...
資安團隊感的浮現
2 days ago
「一起」做好資安,這是一種從被動防禦思維,轉變為主動應變思維的關鍵一步。 今年的臺灣資安大會,充滿了濃濃的「大家都是同一邊」的資安團隊感。大家都是與攻擊者對立的另一邊,必須團結起來一起合作。不只是企業內部要有資安一體的合作,跨企業與產業之間,甚至是跨國家的聯手合作,更成了主流的資安發展的重要策略。 在資安長午宴時,我和幾位資安長在同一桌,他們來自大型電商平臺、支付平臺,也有傳統產業、老牌文化產業的數位部門主管等。資安長們在席間,熱烈討論到各自面臨的資安挑戰,從勒索軟體威脅到防詐打詐挑戰都有,但不論企業大小,或是產業型態,都紛紛提到,內部IT和非IT的團隊合作,甚至是跨企業,整個產業的團隊合作,才是對抗資安威脅最有效的做法。就有家零售業資安長很想要建議政府,仿效金融產業的金融資安資訊分享與分析中心(F-ISAC)做法,也設立一個零售業的情資共享機制,讓零售業者各自面臨的詐騙情資、資安攻擊事件情資也能共享來防治。 團隊資安(Team Cybersecurity)不只是今年臺灣資安大會的主題,更是參與企業共同的心聲。連續11年舉辦的臺灣資安大會,已經是臺灣最重要的資安經驗交流舞臺。今年超過300場演講,400個資安品牌參展,更有2萬名臺灣和海外多國資安人士參加,再次刷新紀錄。我們都在同一個團隊,透過交流和分享,來對抗各種資安的風險和攻擊。 總統賴清德第四次在臺灣資安大會致詞,宣示持續推動資安國產自主研發的政策決心,更分享國家資通安全戰略 2025三大目標,從全社會資安防禦韌性、豐富資安產業生態系,到構築新興科技防禦技術,這是國家未來3年的資安政策方向。 美國在臺協會處長谷立言也到場強調,臺美在資安領域已是緊密的合作夥伴關係,尤其他提到,美國國家標準與技術研究院(NIST)和臺灣經濟部標準檢驗局(BSMI)合作,完成了NIST資安框架2.0(Cybersecurity Framework 2.0)的正體中文翻譯,代表了雙方對「資安標準化」的重視,更反映出臺美在「供應鏈安全」及「風險管理模式」上的深度對接。 過去幾年熱門的資安韌性和零信任,依舊有不少企業出現分享實戰經驗,新興的生成式AI風險更是今年臺灣資安大會的熱門話題,多家資安業者和大型企業,都出來分享自己如何評估各種生成式AI風險,像是代理AI疑慮,或是自己如何對抗不同的LLM攻擊,也有企業開始嘗試用生成式AI技術,來優化繁複的資安維運工作。 也有不少新興技術和風險的議題,如地緣政治風暴的風險,後量子密碼的準備,或是衛星通訊普及而逐漸受重視的太空資安威脅議題,都成了今年的亮眼議題。...
每瓦效能表現出色,Dell推出2U單路Xeon 6伺服器
2 days ago
從去年下半開始,響應英特爾發表新一代伺服器處理器平臺Xeon 6 E-core,Dell陸續推出多款採用這款CPU的伺服器機型,包含1U、2路組態的R670,2U、2路組態的R770,1U、1路組態的R470,今年4月正式提供1U、2路組態的R570,Dell去年12月發表R470時,曾預告將於2025年問世,當時提到這款產品具有與R470相似特色,例如,採用OCP推動的資料中心模組化硬體系統(DC-MHS)設計,導入新一代的系統管理平臺iDRAC10、搭配144顆核心的Xeon 6處理器款式;運算核心數量可達到前代Xeon處理器的2.57倍、6倍(對比56顆核心與24顆核心),以及DDR5記憶體速度支援6400 MT/s,提升至上一代Dell伺服器的1.33倍、2.18倍(對比4800 MT/s、2193 MT/s,而且簡略預告R570具有額外的擴充性。 而在今年2月底英特爾發表Xeon 6 P-core處理器平臺之後,Dell於4月初宣布新一代伺服器、儲存系統、資料保護系統時,當中也順勢帶出R570上市消息,並以這款機型標榜能源使用效率高,可協助企業維持高效能工作負載,同時節省能源使用支出。 相較於其他採用英特爾Xeon處理器平臺的伺服器產品,Dell R570具有破紀錄的每瓦效能。根據SPECpower_ssj...
教育內容出版商Pearson遭網攻外洩客戶資料、程式原始碼
2 days ago
新聞 出版托福、雅思、GMAT等教材出版商Pearson近日遭駭,疑似被駭客竊走公司程式原始碼、財務、客戶資料。 Pearson本周公告系統遭駭,一名未授權人士存取公司部份系統。該公司說已採取行動遏止惡意活動,並調查哪些資料受影響。 這家教育出版商相信,被存取的多半是舊有資料,且此事件對公司業務運作沒有影響。 雖然Pearson輕描淡寫,不過資安媒體Bleeping Computer報導災情可能不小。媒體引述消息人士報導,事情出於今年1月Pearson開發環境的GitLab Personal Access Token (PAT)在一個公開的.Git/Config檔案外流。檔案內若包含存取令牌,落入攻擊者之手後可能讓內部程式庫遭非授權存取。 報導指出,Pearson外洩的PAT資訊允許攻擊者存取原始碼,當中包含了寫死的憑證和雲端驗證令牌。而後幾個月攻擊者又利用這些資訊從Pearson內部網路系統與AWS、Google Cloud、或Snowflake、Salesforce雲端系統竊取了數TB的資料。外洩的資料包括客戶資料、財務、支援工單及程式原始碼,影響數百萬人。...
【資安日報】5月9日,臺灣未來4年國家資通安全發展方案正式出爐,將從4大層面著手
2 days ago
新聞 在一個月前國家安全會議正式公布《國家資通安全戰略 2025——資安即國安》,數發部在昨日(5月8日)行政院召開的院會會議當中,報告了國家未來4年的國家資通安全發展方案,強調以4項策略來強化臺灣的資安韌性。 數發部資安署長蔡福隆也透露預期成果,首先提到培育儲備政府的資安人才,將在未來4年達到約1,500名。 【攻擊與威脅】 中國駭客MirrorFace鎖定臺灣、日本,散布惡意軟體RoamingMouse、Anel 隸屬於APT10旗下、匿稱為MirrorFace、Earth Kasha的中國駭客組織,長期鎖定日本企業組織發動攻擊,但傳出在去年8月針對中歐外交單位下手後,這些駭客近期也將目標轉向臺灣。 資安業者趨勢科技指出,他們看到這些駭客從今年3月開始從事新的攻擊行動,藉由網路釣魚攻擊散布後門程式Anel,針對臺灣及日本的政府機關、公共機構而來,主要目的可能是竊取機密資料。 針對駭客接觸受害者的過程,他們假借要求應徵,或是提供出國考察報告的名義寄送釣魚郵件,而這些郵件都來自遭到入侵的帳號,內容都嵌入OneDrive連結,一旦收信人點選,電腦就會下載帶有惡意Excel檔案的ZIP檔,研究人員將這批Excel檔稱為RoamingMouse。若是收信人依照指示啟用巨集,這些惡意Excel檔案會透過巨集,於受害電腦載入Anel的元件。 GeoVision物聯網裝置遭到鎖定,殭屍網路利用已知漏洞滲透 殭屍網路綁架老舊連網設備的情況層出不窮,原因是這些產品的供應商已經終止支援(EOL),即使研究人員發現漏洞,廠商往往不會修補,而成為攻擊者能持續利用的標的。...
Google在Chrome及搜尋中導入AI以避免用戶遭到詐騙
2 days ago
新聞 AI不僅用來改善性能,也被用來改善安全,Google本周即揭露該公司如何利用AI來預防搜尋引擎、桌面版Chrome及Android版Chrome上的詐騙行為。 Google於本周發表的「打擊搜尋詐騙」(Fighting Scams on Search)報告中說明,其分類器原本是利用機器學習演算法來辨識詐欺行為的模式、異常狀況及語言線索,然而,詐騙者不斷改進與變更,因此防禦者必須能夠了解新威脅並主動制定對策。 最近3年,Google不斷更新基於AI的反詐騙系統,AI與大型語言模型讓他們能夠分析大量文本,識別那些可能與協調詐騙或新興詐欺說法有關的微妙語言及主題連結,例如新系統得以辨識詐騙網站的互連網路,可以辨識各種不同語言的詐騙,在整合各種先進的AI模型之後,Google的詐騙偵測能力大增,可在詐騙網頁出現在搜尋結果之前,攔截20倍以上的詐騙頁面。 此外,Google也會在偵測到詐騙時迅速部署防護措施。例如當觀察到與航空公司客戶服務查詢有關的詐騙時,迅速實施防護,而讓相關詐騙攻擊減少逾80%;新系統也讓去年冒充簽證或其它政府服務的詐騙網頁減少了70%以上。 在Chrome瀏覽器上,Google替Android版Chrome打造了新的AI警告功能,它利用本機裝置上的機器學習模型來分析通知內容,此一模型是根據通知的文字內容進行訓練,包括標題、內容或操作按鈕文字,因此得以識別可能不需要或詐騙的通知,並跳出警告。當Chrome跳出警告時,會秀出發送通知的網站名稱,警告訊息,以及取消訂閱該站或查看內容的選項。 使用者也可以選擇取消所有傳送到Android上的Chrome通知,以節省資料用量及電池壽命。 至於桌面版Chrome的防詐功能主要是針對技術支援詐騙。Google表示,本周發表的Chrome 137將利用裝置上的Gemini...
中國駭客MirrorFace鎖定臺灣、日本,散布惡意軟體RoamingMouse、Anel
2 days ago
新聞 隸屬於APT10旗下、匿稱為MirrorFace、Earth Kasha的中國駭客組織,長期鎖定日本企業組織發動攻擊,但傳出在去年8月針對中歐外交單位下手後,這些駭客近期也將目標轉向臺灣。 資安業者趨勢科技指出,他們看到這些駭客從今年3月開始從事新的攻擊行動,藉由網路釣魚攻擊散布後門程式Anel,針對臺灣及日本的政府機關、公共機構而來,主要目的可能是竊取機密資料。 針對駭客接觸受害者的過程,他們假借要求應徵,或是提供出國考察報告的名義寄送釣魚郵件,而這些郵件都來自遭到入侵的帳號,內容都嵌入OneDrive連結,一旦收信人點選,電腦就會下載帶有惡意Excel檔案的ZIP檔,研究人員將這批Excel檔稱為RoamingMouse。若是收信人依照指示啟用巨集,這些惡意Excel檔案會透過巨集,於受害電腦載入Anel的元件。 研究人員指出,駭客的手法與去年有所不同,包含從Word檔案更換為Excel檔案,其惡意行為的觸發,也從必須透過滑鼠移動(MouseMove),改為要受害者點選,但為何如此調整,研究人員並未說明。 附帶一提的是,RoamingMouse若是在受害電腦偵測到McAfee防毒軟體,就會調整運作的模式,在啟動資料夾產生批次檔,並以特定參數執行檔案總管。 在成功於受害電腦植入Anel後,駭客便會下達命令截取螢幕畫面,並偵察受害環境,若是確認是想要下手的目標,他們才會部署第2階段的後門程式NoopDoor。而與先前攻擊行動出現的惡意軟體最顯著的差異,在於這次駭客於NoopDoor導入了DNS over HTTPS(DoH),使得後門與C2之間的通訊更為隱密。
資安臺灣隊大集結
2 days ago
專題故事 網路威脅態勢日益嚴峻,想要做好資安不能自掃門前雪,必須打破籓籬、強化跨企業、產業、國家的合作,建構更完善的Team Cybersecurity已是資安發展的共通願景,也是持續展現Taiwan can help, and Taiwan is helping!的重要機會
Matter 1.4.1版支援NFC輕觸配對、多裝置QR code
2 days ago
新聞 連接標準聯盟(Connectivity Standards Alliance,CSA)昨(8)日公布智慧家庭物聯網標準最新版Matter 1.4.1,包含支援NFC 輕觸配對及多裝置同時刷QR code等新方法,加速Matter產品初始化流程。 雖然Matter標準獲得大小廠的支援,有望普及智慧家庭連網願景,但是在使用流程上,對消費者來說仍十分不便。例如把新裝置加入Matter網路。使用者必須先下載手機App來掃QR code,取得初始化(Onboarding)資訊如Vendor ID (VID)、Product ID...
OpenAI延攬Instacart執行長Fidji Simo擔任應用執行長
2 days ago
新聞 OpenAI周三(5/7)宣布,已延攬現任Instacart執行長的Fidji Simo擔任OpenAI的應用執行長,預計於數月後上任。Simo未來將直接向Sam Altman彙報,Altman依然是OpenAI執行長,只是會更專注於研究、運算與安全領域。 根據Altman的描述,OpenAI將會成立一個新的應用部門,集結那些負責讓OpenAI研究成果可造福與觸及全球市場的業務及經營團隊,並由Simo領導;同時,Simo亦將致力於擴大OpenAI的「傳統」公司能力。 現年39歲的Simo曾主導臉書行動程式的開發,也曾擔任臉書廣告服務的副總裁,在2021年被北美市場的雜貨宅配服務供應商Instacart挖角,成為Instacart執行長,並成功帶領Instacart於2023年登上美國那斯達克股市。 因此,不管OpenAI是想要開發社交服務,或者是想要公開發行股票,Simo看起來都是個理想人選。 Simo則說,她會等到Instacart找到繼任人選並確保順利交接後才會離開,未來也會繼續擔任Instacart董事會主席。