Ringus successfully deployed OutSystems for TXC Corp. with CRM application delivery

With the deployment of OutSystems to TXC Corporation in Taiwan, TXC transforms the application development lifecycle from traditional coding to low code development for further fulfill the agile development process. Productivity and time-to-market rate has improved given with the comprehensiveness of an all-in-one platform on OutSystems for visualized development, release and version control, application monitoring, etc. According to Mr. Kevin Chen, Deputy General Manager of TXC, OutSystems has significantly resolved many pain points and technical debts while long term operation costs could be reduced. Meanwhile, the engagement with Ringus successfully launched the first application on OutSystems for customer relationship management to demonstrate the power and capabilities of low code. With only a team of three members, the application which consists of client management, leads and opportunity handling, sales forecast management, etc. could be completed within four months from user requirement collection to production launch.

For details, see OutSystems與Ringus聯手助攻，台灣晶技以低代碼加速IT賦能.

More Updates

在網路安全的領域中，零日攻擊（又名零差別攻擊，Zero-day attack）是一種難以防範的威脅。零日攻擊指的是攻擊者利用尚未被軟件開發者發現或修復的安全漏洞來進行攻擊，這種安全漏洞在被發現和利用之前，甚至連安全專家也不知道其存在。零日漏洞是軟件或系統中的安全缺陷，這些缺陷未被開發者或安全專家在產品發佈前發現，從而使攻擊者有機會透過惡意軟件或代碼實施攻擊，控制目標系統，盜取數據或造成其他破壞。 2017年的WannaCry勒索軟件事件是一個經典的零日攻擊案例。在該事件中，攻擊者利用Windows系統中的網路共享漏洞，迅速將攻擊在全球範圍內傳播，影響了包括醫院、銀行和政府機構在內的數萬個系統。該次攻擊不僅造成了巨大的經濟損失，還暴露了全球資訊安全體系中的重大漏洞。 零日攻擊的影響範圍非常廣泛，可以針對個人用戶的系統，企業的服務器甚至是國家級的基礎設施。而由於其未知性及複雜性，此攻擊往往能夠繞過一些傳統的安全防御措施，例如防火牆和殺毒軟件等等。而一旦被成功攻擊，不僅會有可能造成龐大的經濟損失，還可能會損害企業或者機構的聲譽，嚴重時甚至可以影響到國家安全。 雖然零日攻擊難以完全防範，但可以採取以下策略來減少被攻擊的風險：首先，軟件供應商應在發現安全漏洞後盡快推出補丁。因此，及時更新軟件和系統，保持其處於最新版本是防範攻擊的重要一步。其次，實施網路隔離和最小權限原則可以限制攻擊者在系統內的活動範圍，並確保即使系統被侵入，攻擊者也難以輕易獲取敏感資訊。再者，定期進行安全評估和滲透測試，通過模擬攻擊來檢測系統潛在的安全漏洞，以便提前發現並修復可能被零日攻擊利用的缺陷。最後，加強員工的安全意識，訓練他們識別釣魚郵件、惡意附件等常見的網路攻擊手法，可有效減少漏洞被利用的機會。面對零日攻擊的威脅，無論是個人還是企業，都應采取多層次、多角度的防禦措施。透過持續的技術更新、系統的安全檢測和員工培訓，可以有效提高對抗零日攻擊的能力，盡可能保護重要的敏感資訊。防範零日攻擊不是一次性的任務，而是一個持續的過程。隨著技術的發展及攻擊手法的不斷進化，防範策略也應不斷調整和更新。只有通過持續的努力和投入，才能在不斷變化的網路安全威脅面前保持堅強的防線。 尹展軒 Senior IT Consultant

2024資訊安全趨勢

科技的快速進步和演化為社會帶來了許多好處，但同時也帶來了更複雜的網路威脅。除了2023年人工智慧（AI）技術的迅速崛起及其帶來的風險外，許多權威組織、專家和學者也對2024年的資安趨勢進行了其他預測。首先，生成式AI仍然會因駭客的惡意使用而帶來更多的資安風險。隨著生成式AI的應用擴大，駭客可能通過讓機器學習錯誤的資料，入侵模型的資料儲存或流程架構，從而導致自然語言模型洩漏機密資料或使系統受到汙染而無法正常運作。這種情況被稱為「資料下毒」。此外，生成式AI還提高了詐騙能力，例如變種詐騙和網絡釣魚。未來，駭客有可能結合不同的AI工具，以更逼真的方式進行勒索活動。其次，預計供應鏈攻擊也會增加，其中一種名為供應鏈連鎖攻擊的攻擊方式成為駭客的主要手段之一。該攻擊方式是駭客首先獲取其中一個系統的存取權，然後利用該權限侵入與之相連接的其他系統。這種攻擊方式可以有效地避開堅固的防禦，利用互相連接、受信任但相對脆弱的目標中的漏洞，從而滲透到安全性更高的系統中。此外，生成式AI的普及還將導致雲端網路成為新的攻擊目標。由於運行這些模型的成本急劇上升，甚至達到數千萬美元。因此，駭客開始將目標轉向雲端，他們在雲端建立算力農場，以籌集資金來支持他們的行動。與數年前以加密挖礦為主要目標不同，未來雲端算力農場可能成為攻擊的焦點。此外，根據預測，雲端原生蠕蟲攻擊也可能大規模出現，駭客可以通過感染的雲端技術作為跳板，將感染擴散到其他地方。蠕蟲可以一次感染多個容器並進行大規模攻擊漏洞，實現偵查、攻擊和常駐等全部自動化。最後，私有區塊鏈也將成為駭客的攻擊目標。與公有區塊鏈不同，私有區塊鏈採用集中化的設計，並且不會經常在攻擊中不斷強化。未來，駭客可能針對這類區塊鏈開發基於勒索的全新商業模式。在這些勒索行動中，駭客可能使用竊取的金鑰故意在區塊鏈上插入惡意資料或篡改現有的交易記錄，然後向受害者勒索贖金作為封口費用。總結來說，2024年的資訊安全環境持續面臨著各種威脅與挑戰。我們需要關注人工智慧技術的應用與相應的風險，加強對雲端環境的保護並普及多重驗證機制。教育用戶建立防範意識以應對釣魚和勒索軟體攻擊。同時，區塊鏈技術的應用可以提供更安全的驗證方式。企業需要投資人才培訓並建立良好的資訊安全文化。我們也應該提高資訊安全意識，持續關注技術發展與相應風險，以確保我們的數字生活安全。 尹展軒Senior IT Consultant

Deepfake - AI的兩面效應

在2017年，Reddit這個知名的娛樂、社交及新聞網站中的一位名為"deepfakes"的會員發佈了一個由AI合成的名人偽造視頻，從此開始這種AI合成技術被稱為Deepfake。Deepfake一詞由"Deep Learning"和"Fake"組合而成，它是一種利用人工智能深度學習模型的技術。其原理是通過兩個神經網絡相互對抗，經過交替優化訓練後，生成的內容可以與真實人物難以區分。 最初，Deepfake技術主要用於宣傳和創意用途，並且在大多數影片中，作者都會聲明其影片是假的。此外，Deepfake甚至被用於彌補原本無法實現的事情，其中最著名的應用是在好萊塢電影《玩命關頭7》和《星際大戰》中的主角保羅·沃克。沃克在拍攝期間意外身亡，他的角色由他的弟弟代替完成，然後使用Deepfake技術連接電影中的場景，最終使電影完成並上映。 然而，儘管這種技術表面上看起來無害且有著良好的意圖，但它卻帶來了許多法律問題和信息風險。隨著技術的發展，任何人都可以輕易製作假影片或假聲音，其中可能包含不良意圖。由於Deepfake可以模仿任何人的外貌和聲音，這意味著任何人，尤其是知名人士，都可能被放置在虛假的情境中，從而造成名譽損害。此外，Deepfake技術可能被濫用於政治操作、偽造新聞和商業領域，這些都可能成為其負面影響的例子。而最接近普通人的可能就是由Deepfake技術產生的詐騙。 由Deepfake產生的詐騙主要可以分為三種。首先是電話詐騙，主要是模仿親朋好友的聲音，以此來騙取金錢和個人信息。詐騙者不僅模仿聲音，還能模仿說話的語調、斷句和口音。其次是視訊詐騙，由於Deepfake技術可以合成影片和語音，這意味著你可能會接到看似是你認識的人打來的視訊通話。第三種是恐嚇詐騙，主要是通過合成不雅照片或影片來恐嚇並勒索當事人。 在接下來難辦真相的網絡世界中，Deepfake只是當今科技社會所面臨的一個問題，法律和社會規範應該如何跟上這一步？如何解決其中涉及的著作權和倫理問題？這些都是需要進行深入討論和驗證的重要課題。 尹展軒 Senior IT Consultant