比爾電腦工作室

臺大電機教授示範無線竄改悠遊卡金額

billwang — Thu, 02 Sep 2010 00:57:50 +0000

Mifare的晶片卡安全性遭到挑戰，除悠遊卡外，也有晶片卡專家揭露晶片金融卡使用Web ATM設計瑕疵帶來的風險，連超商的Kiosk機臺都可透過PDF漏洞入侵

重點
● 包括晶片金融卡、悠遊卡等安全產品的安全性遭質疑
● 網路ATM傳輸過程採明碼傳輸，徒增安全風險
● 駭客利用PDF漏洞入侵超商Kiosk機臺

在日前舉辦的第六屆臺灣駭客年會（HIT 2010）中，揭露許多採用NXP公司推出的Mifare卡的產品的安全性風險。

舉例而言，就像是臺大電機系團隊便將發表的論文，以錄影方式，實作如何將悠遊卡透過Sniffer-Based（監聽封包）的方式，竄改悠遊卡的資料。另外，也由於臺灣最普遍使用的晶片金融卡，進行網路ATM轉帳的過程並未加密，採用明碼傳輸，都讓相關產品的安全性遭遇極大的挑戰。

近期也有許多駭客都利用Flash的漏洞發動零時差攻擊（0 Day Attack），在臺灣駭客年會上，便有演講者分享如何透過Flash漏洞，入侵便利超商的Kiosk。

透過設備監聽方式，可竄改悠遊卡餘額
在2008年荷蘭曾有論文透過逆向工程的方式，破解NXP推出的、目前全球使用超過100萬張卡的Mifare晶片卡，臺灣大學電機系教授鄭振牟團隊則實作出Mifare的破解方式。

鄭振牟說，目前Mifare卡的攻擊方式，除了荷蘭論文提出的PCD-Based（非接觸式IC讀卡器）的攻擊手法，臺大團隊則使用改進過的Sniffer-Based（監聽封包）的攻擊手法攻擊Mifare卡。

他表示，透過從國外購得的Sniffer監聽設備，在悠遊卡與加值機進行資料讀取時，透過監聽封包取得相關的卡片資料，便可藉此進一步更改悠遊卡中的餘額資料。

在駭客年會中，臺大團隊則將一張實際的悠遊卡，從正100多元，將餘額更改成為負五百多元。

鄭振牟表示，目前這樣的Sniffer攻擊手法，因為可以即時讀取卡片和加值機的卡片資料，能夠在比較短的時間內，就完成更改悠遊卡的餘額。但他也說，這樣的攻擊手法前提，就是必須能夠監聽到悠遊卡的卡片資料，才能夠進行資料竄改。因此，目前這樣的攻擊手法，時間雖然較短，仍只能是單張的卡片資料竄改，而非大量的悠遊卡資料竄改。

鄭振牟表示，對於捷運公司而言，防護的方式很簡單，只要能夠在系統後端設備進行防堵措施，例如，偵測卡片是否有異常，資料讀取過程中，不要流洩出足夠的資訊可供人利用竄改，便可以確保悠遊卡的安全性。

晶片金融卡使用Web ATM時，採明碼傳輸
臺灣為了遏止詐騙集團複製並盜刷磁條的提款卡，自2003年9月15日開始發行晶片金融卡，並於2006年3月1日取消磁條金融卡跨行交易的服務，迄今臺灣晶片金融卡發行量已經超過4,400萬張，也是世界上晶片金融卡普及率最高的國家之一。

雖然晶片金融卡的設計是為了更安全的銀行交易，並採用點對點的安全設計，但是，全宏科技研發處系統安全部部經理倪萬昇表示，晶片金融卡在設計上有一些安全性的盲點，例如，晶片金融卡A卡或B卡的密碼長度只有48位元，相較於3DES的112或168位元密碼長度，或者是AES 128、192或256位元的長度，晶片金融卡的密碼只需要時間夠長就足以破解。

也因為晶片金融卡上儲存的資料包含：帳戶名稱、銀行帳號、使用者PIN碼、銀行認證碼，並支援DES、3DES的加密演算法，對於可確保交易的唯一性，防止重送攻擊（Replay Attack）的IC卡交易序號，其所產生的交易認證碼（Transaction Authentication Code，簡稱TAC），則可以進一步做到確保交易資訊的正確性，並能辨識來源為何；而相關的硬體設備，也都通過EAL 4+的安全性認證。

曾經揭露晶片金融卡在網路ATM轉帳交易上使用漏洞的竹科工程師Jim，他在臺灣駭客年會上也表示，晶片金融卡端末設備的驗證碼，雖然已經將過短的密碼改為8碼，他認為，根據銀行公會規範的14條晶片金融卡網路開發事項中，銀行認為只要網站採用SSL傳輸就夠安全，但事實上，晶片金融卡在元件應設計存取卡片的限定提款卡程式，才夠安全。至於支援熱插拔技術，主要是限制只能輸入一次密碼，但Jim表示，這其實可以透過虛擬設備，不需要熱插拔就可以直接略過這道認證手續。

倪萬昇指出，這些晶片金融卡在使用與傳輸資料的過程中，最大的風險就是認證使用者PIN碼時，其實是明碼傳輸的，當認證PIN碼後，則可產生多次的TAC，而後端銀行伺服器則沒有提供必要的資訊給晶片金融卡作為產生TAC之用。交易資訊雖然都由後端銀行伺服器決定，除了隨機性並具有唯一性，但是當駭客使用中間人攻擊（Man In The Middle，簡稱MITM）手法時，交易轉帳過程中的資料，都可能提前遭到駭客竄改。

目前晶片金融卡使用上最大的風險就是網路ATM的使用，倪萬昇認為，解決銀行使用晶片金融卡的風險，除了將整個ATM（尤其是Web ATM）的流程跟應用請專家檢視，並且所有的銀行都必須同步進行外，在Web ATM的應用應該加上雙重確認機制，例如簡訊OTP等密碼確認機制。他說，銀行轉帳都有10或17元的手續費，確認安全性的簡訊費用，相較而言並不多，這是做不做而不是花不花錢的問題。

由於Web ATM的漏洞有一半是因為ATM卡本身設計並不安全，在不安全的設備裝置上使用會有風險，另外一半則是銀行過度小看Web ATM造成的風險。倪萬昇表示，如果後端銀行伺服器沒有提供必要的資訊給晶片金融卡作為產生TAC，駭客攻擊只要能夠隨機增加一個亂數來確認交易資料的唯一性就可以了。

Jim指出，由於晶片金融卡傳輸中並沒有加密，因為設備不支援動態密碼，加上TAC機制有問題，一旦遇到一些Active X的漏洞，都可能增加資料傳輸時的風險。他建議，相關單位若能選擇較為安全的Fire & Forget的動態密碼，將可提升相關的安全性。

也因為目前悠遊卡的攻擊手法仍不是大規模的攻擊方式，側面得知，悠遊卡公司並不擔心悠遊卡的安全機制遭到破解，反而是，晶片金融卡在網路ATM的使用上，已經存在既有的設計瑕疵，銀行公會也積極探詢解決方式，降低因為系統設計帶來的持卡人風險。

PDF漏洞入侵便利商店Kiosk
此次駭客年會的重頭戲之一就是示範如何透過PDF的Flash漏洞，讓便利超商的Kiosk機器遭到攻擊。

主講者Zha0表示，由於便利超商現有的Kiosk都是微軟介面，機臺在設計上，都會隱藏微軟系統的開關機選項，讓人無法在機臺的螢幕上進行操作。看不到並不意味著功能不存在，加上部分超商允許使用USB隨身碟進行資料讀取和列印，只要隨身碟中的PDF文件，具有待修補的漏洞，駭客便可利用該漏洞，入侵該臺Kiosk系統。

透過主講者Zha0的示範，他在USB隨身碟中，存放一個具有漏洞的PDF文件，當他利用PDF的漏洞進入該臺Kiosk系統中並重新開機後，他取得該Kiosk機臺的主控權，並將原本機臺的顯示畫面置換成該隨身碟中的圖檔。

這個圖檔將原本機臺的螢幕畫面其中的一項服務顯示，修改成為「0 Day漏洞販賣」，這樣的示範也獲得現場熱烈掌聲。不過，Zha0表示，這樣的示範只是突顯出這類的Kiosk具有的風險，其實和一般的電腦是一樣的，相關的安全性控制與漏洞修補，都不可忽略。

根據記者實地勘查，由於多數超商的Kiosk都將金流部分交由當店的櫃臺服務人員，雖然無法迴避Kiosk原本就有的系統風險，但這樣的金流切割作法，則將金流的風險降到最低。文⊙黃彥棻

難度越來越高的Wargame比賽

每年都擔任Wargame關主的曾信田（Newbug）表示，今年比賽的無線網路沒有做安全性設限，整天都有參賽者進行ARP Spoofing，讓參賽者經常連不上Wargame伺服器。「但這種不穩定的比賽環境對於參賽者而言，也是一種實力的考驗。」曾信田說。

此次的Wargame出題，提高綜合題目（Misc）的考題數量，題數高達15題，除了有資訊隱藏考題，把超級瑪莉關卡重新設計，需熟悉模擬器操作才能過關；也有猜摩斯密碼的考題。另外，此次微軟題目題數降低，只有6題，除了考驗逆向參賽者工程能力的脫殼題，也有考記憶體修改的釣魚遊戲，也有考題就是考參賽者是否懂C++ Template語言的關卡。至於Unix的關卡，則考驗參賽者是否懂得緩衝區溢位（Buffer Overflow）的攻擊手法。

曾信田表示，要能突破Wargame設計的關卡，除了具備程式安全能力外，也必須具備寫程式（Coding）和解密的能力，對於TCP/IP的原理運作更必須嫻熟。

趨勢新版虛擬機器安全軟體與VMware整合

billwang — Thu, 02 Sep 2010 00:04:16 +0000

新版Deep Security 7.5可在不需要每台虛擬機器安裝防護軟體的情形下，以較少的資源提供惡意程式防護功能。

趨勢科技發表新版虛擬機器安全防護軟體Deep Security 7.5，整合VMware vShield Endpoint API，不需在虛擬機器安裝代理程式便能保護虛擬機器，降低硬體資源耗用。

Deep Security 7.5具備了防火牆、入侵偵測防禦、網站應用程式防護、監控及記錄檔檢查等功能，在虛擬機器安全防護上，新版軟體強化VMware虛擬機器保護功能，整合VMware vShield Endpoint API，不需在每台虛擬機器中安裝代理程式，可在背後提供惡意程式防護功能，降低資源的佔用。Deep Security 7.5預計於今年秋季推出，但台灣上市時間未定。

雖然強化對VMware虛擬機器的安全防護，但對於舊的ESX或微軟、Citrix等其他虛擬機器保護，與前代7.0軟體一樣仍然安裝代理程式提供保護。

另外，Deep Security 7.5也在防護功能上整合了趨勢的Smart Protection Network 雲端防毒技術，利用雲端上的病毒檔資料庫與分析比對提供病毒防護功能，也降低本地端資源的使用。

在此之前，趨勢在Dee Security 7.0開始，便已強化與VMware的整合提供虛擬機器安全保護，Dee Security 7.0整合了VMsafe功能，可在VMware vSphere或ESXi 4.0伺服器內設置一台虛擬設備，代替防護軟體提供保護。新版7.5進一步整合vShield Endpoint API強化防護管理的功能。趨勢表示，未來仍將與VMware緊密合作，整合更多虛擬機器的防護功能。

Deep Security 7.5可再搭配SecureCloud，對資料加密及金鑰進行管理，對企業發展私有雲、公有雲資料安全提供防護。

Brocade計劃9月中發表100GbE介面卡

billwang — Wed, 01 Sep 2010 00:02:06 +0000

Brocade計劃9月中發表100GbE產品，可用以擴充核心交換器效能，另外也會針對較小需求的企業推出40GbE產品。

Brocade積極擴大乙太網路產品線，將於9月中發表該公司首款100GbE乙太網路卡，未來可用於核心交換器，在有限空間擴充更高的資料交換效能。

Brocade香港、台灣、澳門區總經理周恒毅表示，目前10GbE的應用已逐漸成熟，Brocade計劃在9月中發表支援最新乙太網路標準100GbE介面卡，未來以插入Brocade核心交換器，可在有限的空間下擴充更多效能，適合電信業等等產業使用。

至於40GbE標準的介面卡Brocade雖然也會推出，但Brocade預期在市場將往更高效能發展下，10GbE介面卡用戶會對更高速的產品更有興趣，因此Brocade不會主推40GbE。周恒毅不願意透露100GbE介面卡售價，但強調售價會有競爭力以吸引企業採用。詳細產品功能、規格留待9月中發表時揭露。

為Brocade將來推出的100GbE產品預先作準備，Brocade已在上市前先與重要客戶協商，交換對於100GbE介面卡的採用意見，目前已獲得初期採用訂單。

在此之前，Juniper也積極進入100GbE市場，去年展示了首款用於T1600路由器的100GbE乙太網路卡，目前也有部份交換器產品可支援100GbE標準。此前，Alcatel-Lucent、Cisco等其他業者也展示相關100GbE產品。

台哥大推出7千元以下的Android手機T2

billwang — Wed, 01 Sep 2010 00:00:30 +0000

T2不到7千元的售價，為國內Android上市手機中售價最低的產品，價位已進入功能型手機市場，可能帶動Android手機進一步向下普及。

台灣大哥大推出第二款自有品牌Android手機TWM T2，2.8吋觸控螢幕搭配Android 2.1平台，以不到7千元空機價格，鎖定國內低階Android手機市場。

這款手機由中興代工製造，2.8吋觸控螢幕搭配600MHz處理器，配備256MB RAM，採用Android 2.1平台，可支援Google Calendar、Google Maps、Google Search、Android Market、YouTube等Google服務，手機內建320萬畫素相機、AGPS定位等功能。搭配台哥大資費，月租費600多元可免費獲得手機。

相較之下台哥大之前推出的T1，還有遠傳、中華電信推出的自有品牌Android手機，以及LG、Samsung、HTC等手機品牌推出入門款機型，價位多在9千元以上。台灣大哥大希望T2將Android普及至大眾市場。

台灣大哥大營運長賴弦五表示，Android手機今年在智慧型手機市佔可望達到3成，雖然成長狀況良好，但手機業者推出的Android手機大多為中高階產品，聚焦在1萬或1.5萬元以上較高的價位，未來Android手機市場要進一步成長，應推出低價位產品普及至大眾市場。

T2將入門款Android手機價位壓低後，賴弦五指出，空機售價在5千至1萬左右的Android手機將是成長最快的市場，明年下半年市場可望進一步下探到5千元以下，Android在智慧型手機市佔也可能拉高至5成。

至於未來是否會與PC、手機業者合作推出Android平板電腦，台灣大哥大表示依市場需求不排除推出產品，但目前依照對各業者平板電腦的測試、瞭解，Android平板電腦目前還不夠成熟。

賴弦五表示，目前已經有業者開發出Android平板電腦，但是依據產品的測試瞭解，Android 2.2（含）以前的平台對7吋或10吋平板電腦的螢幕解析度還不夠理想，因此要等未來新的Android平台出來才適合平板電腦採用。為了與iPad競爭，Android平板電腦售價也需具有競爭力，目前來看Android售價也還不夠到位，預期明年第一季才會看到功能、價格較接近台哥大理想的產品。

儘管台哥大對Android平板電腦保守以待，競爭對手遠傳、中華電信則相對積極，遠傳計劃年底前與業者合作推出4或5款Android平板電腦，中華電信也準備推出相關的平板電腦。在Android成功建立手機市場山頭後，未來可能進一步拓展市場至平板電腦，擴大與蘋果iOS的競爭關係。

Hotmail開放支援Exchange ActiveSync同步

billwang — Tue, 31 Aug 2010 12:33:03 +0000

微軟的Hotmail也是不少人使用的線上郵件服務，除了空間容量也逐漸提昇外，也跟著增加了部份的功能應用。先前微軟在Hotmail中加入即時通訊功能與附件影像預覽功能，而上週微軟也表示將開放Hotmail支援Exchange ActiveSync同步功能。

(圖／擷自Hotmail頁面)

根據上週微軟內部人員Dharmesh Mehta透露給CNet網站的訊息，微軟將在Hotmail服務中新增支援Exchange ActiveSync同步功能，讓使用者能在Hotmail、手機或其他可上網連線裝置之間同步郵件，使用者無論透過手機或電腦進行回覆、刪除等動作，最後所看見的郵件狀態都會是相同的。除了可同步郵件內容外，包含行事曆、通訊錄或待辦事項等內容均可同步。

目前這項服務已經正式上線，詳細可參考微軟官方瑣事出的影片說明：

而使用者無論是持有新版iPhone、iPad、Palm Pre，或者是即將上市的Windows Phone 7手機，都能夠使用新版的內容同步支援服務。而微軟也表示之後幾個月內也將再推出Hotmail新功能介面，請大家拭目以待。

Gmail再推新功能強化信件篩選功能

billwang — Tue, 31 Aug 2010 12:30:30 +0000

微軟本週開放讓Hotmail支援Exchange ActiveSync同步，Google在上週時候也在Gmail中加入Google Voice功能，而在本週則再釋出新beta測試介面「優先收件夾 (Priority Inbox)」，讓Gmail可根據個人使用習慣來自動標示重要的信件。

相信每個人所收取的電子郵件在起初並不多，但郵件總會隨著時間而大幅增加，可能是聯絡事項變多、訂閱的數位刊物增加，甚至可能是湧入大量的廣告或垃圾郵件，最後真正會選擇讀取的內容，也許在10封內僅有1封。

(圖／擷自YouTube影片內容)

Gmail本身就具備垃圾郵件篩選的功能，因此Google將這項功能逆向應用，改為用來判斷使用者平常讀取信件時的習慣，紀錄判斷什麼樣的信件會經常讀取，什麼類型的郵件會進行內容回覆，或者是什麼樣的信件幾乎甚少開啟 (本身並非垃圾郵件，但也許只是一般電子報內容，或購物網站文宣等)。之後，再根據這些紀錄自動將收到信件分類，項目將按照「重要 (important)」、「未讀取 (unread)」、「標示星號 (starred)」等分類，使用者也能自行針對分類項目定義，或者針對特定郵件標示星號，方便日後再進行讀取。

以下影片為Google官方所釋出之解說：

若郵件自動分類判斷有誤，使用者也能自行再作微調，Gmail將會在下次自動分類時作調整，換句話說，使用者越常協助調整之後，Gmail自動分類結果也就能越仔細。

(圖／擷自Google Gmail官方部落格)

目前這項功能尚未全面開放，Google將逐一開放給Gmail用戶作測試。詳細說明可以參考Google Gmail官方部落格解說，或參考Gmail「Priority Inbox」官方頁面。

NCC：WiMAX實際用戶不到1.4萬人

billwang — Mon, 30 Aug 2010 23:59:13 +0000

最新公佈的國內行動業務營運顯示，國內WiMAX用戶數合計不到1.4萬人，業者合計7月營收也不到450萬元。

NCC最新7月統計資料指出，國內WiMAX用戶數6家營運商合計不到1.4萬人，遠低於先前初估的1.9萬人；而七月平均營收每家更是未達90萬元。

這份資料出自NCC公佈的7月國內行動業務營運概況數據，該資料首次列入國內WBA（無線寬頻接取，在國內用於WiMAX服務）用戶數統計。資料顯示，到7月底為止，國內取得6張WBA執照的營運商總用戶數合計為13396人，合計7月營收才只有438.8萬元。

NCC公佈的數據按目前5家業者開通WiMAX服務來計算，平均每家業者用戶數不到2700人，7月業者平均營收不到90萬元。突顯了WiMAX營運狀況在國內用戶數未達規模，營收來源入不敷出的窘況。

在此之前，NCC曾先揭露國內WiMAX市場初估資料，估計WiMAX用戶總數為19308人，最大的業者用戶數約5千人，最小者只有1200人左右。如今7月正式營運資料下修WiMAX用戶數，較原先預期還少了約6千人。

這份資料是自各家業者蒐集統計而來，用戶數代表與業者簽約的付費用戶，如今WiMAX用戶數不到1.4萬人，NCC認為國內WiMAX未達規模，還在初步發展起飛的階段。

國內5家WiMAX營運商中，大同電信最早在去年4月以澎湖成為第一個開通WiMAX的營運商，至今先後開通了屏東、花蓮、高雄等地服務，之後遠傳於去年12月底開通台中市、全球一動、威邁思則在今年1月分別開通新竹市、台北市，最晚的威達雲端電訊則在4月開通台中、金門。營運商至今營運最長約1年半，最短約半年。

細究國內WiMAX用戶不多的原因除了可能與業者開通時間還不長有關外，另一個原因則與WiMAX網路涵蓋率不像3G涵蓋較廣有關，降低了用戶使用意願，無法吸引3G用戶改用WiMAX。

目前5家業者雖開通服務，每家業者實際上只有開通少數縣市，例如全球一動雖宣稱開通新竹市、台北市部份地區，但並非新竹市、台北市各地都可連網，其基地台建置主要集中在人口密集的商業區，例如新竹科學園區、台北內湖、南港園區等等。相較之下，3.5G沒有特定縣市限制，雖然頻寬較WiMAX小，但網路涵蓋率範圍涵蓋各縣市，沒有WiMAX南北、特定縣市開通服務的限制。

今年4月才開通台中、金門的威達雲端電訊認為WiMAX才剛起飛發展，威達雲端電訊總經理總經理黃彥男表示，6月威達雲端電訊的個人用戶就已超過5千，加計其他企業、學校及申請服務的用戶，未來將增加更多用戶數；除了目前的WiMAX單純的電腦上網，威達未來也會推出Vee TV、網路電話等視訊、語音服務開闢市場，單看NCC數據可能低估威達的經營發展，目前威達用戶數已突破5千戶，到今年底為止總用戶數目標上看5萬。

雙核心、四執行緒 Intel發表Atom N550

billwang — Sat, 28 Aug 2010 00:14:52 +0000

Android 2.2久等啦！ HTC Desire台灣升級釋出！

billwang — Sat, 28 Aug 2010 00:13:06 +0000

台灣地區久等了！在其他各國先後開放HTC Desire新版韌體升級後，目前台灣HTC也正式宣佈新版韌體升級，使用者將可把原本內建的Android 2.1更新至2.2版本！

(圖／擷自台灣HTC官方網站)

原本估計台灣地區可能要等到今年10月份才會釋出相關更新，目前台灣HTC則是在官網正式公告新版韌體升級的訊息，表示將會逐一透過手機訊息通知使用者，或者自行透過手機檢查更新項目。使用者可直接透過手機下載更新 (下載過程將需額外支付網路傳輸費用)，此次更新檔編號為1.20.751.5，更新完畢後的軟體號碼會顯示為「2.10.751.3」，內容則將是Android 2.2版本。

(圖／擷自台灣HTC官方網站)

正式下載安裝更新前，建議先做好手機資料備份，並選擇透過Wi-Fi或吃到飽方案無線上網門號進行更新。

根據Google的表示，升級至Android 2.2版本將有效提昇整體執行效率，同時也將支援App選擇安裝至記憶卡的功能，並新增共享網路頻寬資源等功能。另外如先前所推出的「Voice Actions」功能，目前也僅支援Android 2.2版本手機使用。

部落格修復完了

billwang — Sat, 28 Aug 2010 00:12:06 +0000

之前不知何原因，部落格上不去了花了好久的時間終於好了。

到目前原因不祥，不過算了能用就好了不是嗎?

台灣大電訊推出資安大管家服務

billwang — Mon, 16 Aug 2010 13:35:30 +0000

新資安服務由台灣大電訊資安監控中心提供資安監控、分析服務，最高階服務採用思科UTM設備，提供入侵偵測、防毒、網頁過濾等功能。

台灣大哥大推出企業資安服務「資安大管家」，其中高階服務與思科合作，利用思科的UTM設備提供入侵偵測、防毒、惡意程式偵測等功能。

資安大管家主要由台灣大電訊的資安監控中心（SOC）團隊負責，提供企業病毒郵件防護、安全事件監控分析/示警、弱點掃描等功能，資安監控中心標榜通過ISO 27001管理規劃，其中防毒資料庫採用賽門鐵克、卡巴斯基的病毒檔資料庫。

大管家服務按需求劃分為三級，包括基本型、豪華型與尊爵型。月租費介於888元至3400元之間。基本型服務提供基本的弱點掃描，以及受病毒、惡意程式感染的預警通報功能；而豪華版除了具備基本型的服務功能，還額外提供7x 24的安全監控，同網域下100個帳號的郵件防護功能。

至於最高級的尊爵服務則與思科合作，提供思科UTM設備SA520，由資安監控中心代建代管，提供防火牆、IPS入侵防護與網站防護功能，並透過雲端防護技術，從網路端偵測病毒、間諜程式、網頁過濾等等。

與台灣大電訊同樣鎖定資安市場，遠傳也在去年由旗下數聯資安團隊推出資安委外服務，但選擇與Juniper合作，使用Juniper的UTM提供防火牆、入侵偵測、防毒等功能，而中華電信則採用Fortinet的UTM設備推出資安艦隊服務。國內三家主要電信商均在IDC業務中提供資安加值服務。

Seagate與三星合作開發企業級SSD技術

billwang — Mon, 16 Aug 2010 13:34:01 +0000

合作協議將整合Seagate在企業儲存的技術與三星在快閃記憶體相關技術，研發提高存取性能、壽命、可靠性的SSD產品。

Seagate宣佈與三星合作，結合雙方技術與交叉授權研發企業用固態硬碟（SSD）控制器技術，未來研發成果將用於Seagate企業級SSD產品。

根據雙方的協議，將共同開發及交叉授權固態硬碟儲存裝置的相關控制器技術，以提供符合企業儲存所要求的高效能、可靠性，與耐用性。結合Seagate的企業儲存與三星的30奈米MLC快閃記憶體，開發的成果將用於Seagate的SSD產品上。

但因為SSD售價較傳統硬碟高，存取次數上也有限制，企業多對這類新型儲存裝置的採用存有疑盧，因此在企業儲存上並沒有普及，但SSD具有的省電、快速存取優勢仍有相當大的市場潛能。Seagate與三星合作，運用其快閃記憶體、控制器技術，未來致力於提昇企業級SSD效能與耐用度。

Seagate總裁兼執行長Steve Luczo表示，SSD將在未來的儲存產業扮演重要的角色，其中包括了企業儲存市場。跟三星的合作將為Seagate的SSD帶來效能、耐用與可靠性，以及成本、容量上的提昇，強化Seagate在SSD的策略。

目前Seagate已推出Pulsar系列固態硬碟產品，主要與OEM合作，將SSD用於刀鋒伺服器或通用伺服器應用上，容量50GB、100GB與200GB三種。除了Seagate外，另一家硬碟業者WD也進入SSD市場，此外，英特爾、IBM也都研發各自的企業用SSD產品。

華碩第四季要推出電子書、平板電腦

billwang — Mon, 16 Aug 2010 00:13:38 +0000

華碩規劃推出具有電子書、瀏覽與手寫功能的電子閱讀器，並推出Windows與非Windows系統的平板電腦。

華碩預計在第四季進軍電子書及平板電腦市場，10月將與內容業者合作推出電子書Eee Tablet，並於12月推出Windows系統Eee Pad平板電腦，明年3月再推出Android平板。

華碩今天舉行第二季法說會，對外說明第二季營運表現與未來產品策略，對於新興的電子書與平板電腦市場，華碩指出相關產品已在測試、研發中，其中電子書部份，10月將與內容業者聯手推出，至於平板電腦則將在12月至明年1月先推出Windows機種，明年3月再推出Android平板電腦。

今年Computex華碩對外發表電子書Eee Tablet與平板電腦Eee Pad，其中Eee Tablet採高達2450dpi高解析度8吋螢幕設計，搭配觸控手寫註記、塗鴨功能，而Eee Pad平板電腦則發表10吋螢幕內建ARM架構Nvidia處理器的Eee Pad EP101TC及12吋採用Windows系統的Eee Pad EP121。

華碩執行長沈振來表示，Eee Tablet目前已正在進行測試，包括不同身份的試用者瞭解產品的實用性，未來售價在199至299美元之間，10月將先在台灣、美國、中國上市，之後在德國、法國、英國推出。

至於平板電腦Eee Pad，華碩內部已調集PC、手機相關部門人力組成團隊進行研發，年底先推出售價為1千美元以上的Windows平板電腦，明年3月再推出399美元以下的Android平板電腦。

他認為明年蘋果iPad將取得5至6成市場，剩下4成左右市場則由PC與手機業者共同競爭，由於競爭者眾多，產品必需要有差異性，華碩Eee Pad在這方面有5項優勢，包括PC資源運用效益、Windows或Android的軟硬研發能力、華碩自己的內容與服務（指Vibe內容與WebStorage線上儲存），以及跟英特爾、微軟、Goolge的合作。沈振來表示，華碩希望在另外的4成平板電腦市場成為消費者最佳的選擇。

華碩分析平板電腦的設計依觸控與是否配備實體鍵盤，可分為內容消費、內容創造跟工作生產三種設計，華碩希望Eee Pad同時兼顧三種平板電腦使用需求。

目前宏碁、惠普、微星、戴爾等PC業者積極進入平板電腦市場，另外Motorola、三星、LG也傳出正在研發產品，PC與手機業者將在年底至明年搶食平板電腦市場。

Facebook再爆資料外洩臭蟲

billwang — Thu, 12 Aug 2010 23:38:07 +0000

研究人員認為，假設駭客擁有一串電子郵件名單，就可利用這個臭蟲，透過Facebook找出更多諸如真實姓名等相關的資訊，並藉以進行網釣攻擊。

Secfence Technologies研究人員Atul Agarwal周三（8/11）公布Facebook含有資料外洩臭蟲，並撰寫一概念性驗證程式以取得Facebook使用者名稱、電子郵件，與檔案照片。

Agarwal意外發現，當Facebook用戶輸入錯誤的密碼時，標示密碼錯誤的網頁會秀出他的姓氏及名字、電子郵件及檔案照片，於是他寫了一個概念性驗證程式進行測試，顯示就算使用者輸入的帳號及密碼不對，Facebook仍會揭露使用者資訊，要採集這些資訊輕而易舉。

因此，Agarwal認為，假設駭客擁有一串電子郵件名單，就可透過Facebook找出更多諸如真實姓名等相關的資訊，並藉以進行網釣攻擊。此外，若有人隨機取得一個電子郵件帳號，也能透過Facebook驗證該帳號是否存在。

Agarwal表示，他並未提報該臭蟲，因為他並不確定這究竟是功能、臭蟲，還是安全漏洞。

Facebook所引發的隱私問題層出不窮，早在今年4月就有資安業者發現駭客在網路上兜售150萬筆的Facebook帳號，雖然不知道這些帳號資訊是如何外流，但今年7月另一名研究人員Ron Bowes發現Facebook directory列出了所有開放搜尋的用戶名單，這些用戶允許使用者瀏覽其個人資訊，Bowes則利用程式蒐集了1億筆不重覆的Facebook用戶資訊。

雖然Facebook定位為社交網站，而且鼓勵使用者採用真實姓名及開放搜尋，以連繫全球的友人並擴大社交圈，然而，隱私權團體卻建議使用者關閉公開搜尋功能，此外，根據資安業者Sophos今年5月的調查，有6成的Facebook用戶因擔心隱私問題而考慮放棄使用Facebook服務。

ForeSee Results今年7月公布的消費者滿意度調查亦顯示，在社交網站類別中，MySpace及Facebook的滿意度分居倒數一、二名，使用者抱怨Facebook的部份包括隱私、安全性、動態消息功能、廣告、無預警介面更新、垃圾訊息、不斷跳出通知訊息的應用程式及功能性等

Hinet光纖上網用戶10月可望趕上ADSL

billwang — Thu, 12 Aug 2010 23:37:35 +0000

Hinet光纖用戶與ADSL用戶只差13萬左右，隨著每月約2、3萬的ADSL用戶昇級光纖，預計10月光纖用戶就會趕過ADSL。

Hinet旗下光纖用戶可望於10月超越ADSL，將領先整體市場反映ADSL轉向光纖上網的市場趨勢。

Hinet用戶現有總計353萬戶，佔國內ADSL、光纖上網總數432萬的81%。截至8月第一週為止，Hinet光纖上網用戶數已達到170萬，ADSL為183萬，兩者只差13萬戶左右。

中華電信數據分公司協理劉伴和表示，Hinet每月約有2.7萬ADSL用戶昇級光纖，按此成長速度來看，Hinet光纖用戶最快可能在10月趕上ADSL，領先國內整體市場。

為了吸引用戶使用穩定、高頻寬的光纖上網，Hinet強化KOD、iEN節能、千里眼等固網寬頻加值服務，以iEN環境能源控管服務為例，除了向企業推廣外，也將目標放在漁產養殖業，利用iEN監控養殖場溫度變化，再以手機簡訊方式通知養殖者，方便其隨時掌握狀況。

至於遠端監控的千里眼服務，現在也支援室外類比攝影機，將室內遠距監控擴大至室外，監控畫面透過Hinet伺服器處理、儲存1個月，千里眼用戶需要時可線上調閱畫面。

另一方面，NCC日前通過中華電信ADSL免費昇速案，Hinet 256K、1M、2M用戶將可免費昇級至512K、2M與3M，中華電信將趕在9/17以前完成調整，讓9成符合昇速條件的ADSL用戶昇級。

比爾 電腦工作室