Home » Posts tagged "us"

台美之間的租稅協定 (還在橋)

看到「因應美稅改 賴揆:加速洽簽台美租稅協定」這則消息,如果沒記錯的話,有不少服務都是美國公司出帳... (像是 AWSSlackGitHub 這類在公司裡很常用的服務)

參考「我國股利、利息及權利金扣繳率(%)一覽表」這邊的資料,應該有機會從 20% 降到 10%?也就是說實付 100 萬的金額本來要多繳 25 萬 (帳要做成 100 萬 / (1 - 0.2) = 125 萬,其中的 20% 是 25 萬萬稅,100 萬實際支付),現在只要繳 11.1 萬 (100 萬 / (1 - 0.1) = 111.1 萬)?

不過有些特殊情況本來就有更優惠的稅務方式 (像是使用國外平台提供服務 (e.g. AWS),而服務的對象也是境外使用者的情況),這些組合可以研究看看要怎麼搞...

IEEE P1735 漏洞,又是 Padding Oracle Attack...

在「IEEE P1735 Encryption Is Broken—Flaws Allow Intellectual Property Theft」這邊看到 US-CERT 發表的「IEEE P1735 implementations may have weak cryptographic protections」,裡面提到的主要漏洞:

The methods are flawed and, in the most egregious cases, enable attack vectors that allow recovery of the entire underlying plaintext IP.

主要應該是第一包:

CVE-2017-13091: improperly specified padding in CBC mode allows use of an EDA tool as a decryption oracle.

又是 CBCpadding oracle attack 啊... 看起來是標準沒有強制定義好造成的?

The main vulnerability (CVE-2017-13091) resides in the IEEE P1735 standard's use of AES-CBC mode.

Since the standard makes no recommendation for any specific padding scheme, the developers often choose the wrong scheme, making it possible for attackers to use a well-known classic padding-oracle attack (POA) technique to decrypt the system-on-chip blueprints without knowledge of the key.

去年 Cloudflare 寫的「Padding oracles and the decline of CBC-mode cipher suites」這邊有提到 padding oracle attack 的方式,比較一般性的解法是避開要自己決定 Encrypt-then-MAC (IPsec;也是數學上證明安全性) 或 Encrypt-and-MAC (SSH) 或是 MAC-then-Encrypt (SSL),而是用 AEAD 類的加密元件直接躲開 padding oracle attack 的某些必要條件 (像是 AES-GCM 或是 ChaCha20-Poly1305)。

不過這也是這幾年大家才了解這樣做的重要性,當年在訂規格的時候都比較沒在在意這些...

俄羅斯展現「錢要花在刀口上」的功力?

TechCrunch 這篇「Trump and Clinton spent $81M on US election Facebook ads, Russian agency $46K」講到 Facebook 目前階段所判斷出來,能夠識別是俄羅斯政府投入的資金,只有 USD$46K,相較於美國兩黨投入了 USD$81M 差了 1760 倍:

While there might have been other Russian disinformation groups, the IRA spent $46,000 on pre-election day Facebook ads compared to $81 million spent by Clinton and Trump together, discluding political action committees who could have spent even more than that on the campaigns’ behalf.

而俄羅斯投入的廣告散佈率超過 1.26 億的 Facebook 使用者,以及 2000 萬 Instagram 的使用者:

Facebook today said that the Russians still reached 126 million Facebook users, as well as 20 million Instagram users.

俄羅斯這團隊的水準真不賴... 只可惜大概沒辦法寫在 resume 上。

聽證會的資料可以從「Hearings」這邊看到。

美國政府暗中介入好萊塢的劇本,影響大眾對戰爭的看法

透過 Freedom of Information Act (FOIA) 取得的資料顯示美國政府 (包括了五角大廈、CIA、NSA) 如何介入好萊塢,影響大眾對於戰爭的看法:「EXCLUSIVE: Documents expose how Hollywood promotes war on behalf of the Pentagon, CIA and NSA」。

灰標「US military intelligence agencies have influenced over 1,800 movies and TV shows」可以看出影響的層面。

The documents reveal for the first time the vast scale of US government control in Hollywood, including the ability to manipulate scripts or even prevent films too critical of the Pentagon from being made — not to mention influencing some of the most popular film franchises in recent years.

從很意想不到的地方介入... 引用其中一個說明:


Jon Voight in Transformers — in this scene, just after American troops have been attacked by a Decepticon robot, Pentagon Hollywood liaison Phil Strub inserted the line ‘Bring em home’, granting the military a protective, paternalistic quality, when in reality the DOD does quite the opposite.

AWS 美東第二區開放

如同之前 AWS 的規劃,宣佈啟用美東第二區了 (us-east-2,在俄亥俄州):「Now Open – AWS US East (Ohio) Region」。看了一下 EC2 的價錢,與 us-east-1 是同一個級別的,其他的服務應該是都差不多...

另外因為跨州了 (而且跟 us-east-1 很近),所以官方也推薦拿來做異地服務:

With just 12 ms of round-trip latency between US East (Ohio) and US East (Northern Virginia), you can make good use of unique AWS features such as S3 Cross-Region Replication, Cross-Region Read Replicas for Amazon Aurora, Cross-Region Read Replicas for MySQL, and Cross-Region Read Replicas for PostgreSQL.

其中有個特別的地方在於 us-east-{1,2} 之間傳輸的費用會以 Inter-AZ 計費,而非以跨 region 計費。大概是希望讓大家有動力多放些東西過去,畢竟 us-east-1 實在太大,穩定性超有名的關係 XDDD:

Data transfer between the two Regions is priced at the Inter-AZ price ($0.01 per GB), making your cross-region use cases even more economical.

關於 Sully (薩利機長:哈德遜奇蹟) 的資料

薩利機長:哈德遜奇蹟》講的是「全美航空1549號班機事故」,有不少資料可以先看過再去看電影。(這部片要整個劇透透光後,去電影院刷個兩次會特別有感覺)

特別推薦看 IMAX 版,螢幕大感覺就是不一樣... 另外結尾的彩蛋有兩則,請不要看完第一則就跑掉了。(話說回來,上上星期五去長春國賓看的時候居然沒看到第二則就被工作人員告知已經結束,不知道是怎麼一回事...)

首先是維基百科的資料 (當作入口點):

中文版會容易看一些,不過英文版的資料比較豐富。

另外維基百科上面也有人從 FAA 所公開的資料中截出 New York TRACON 的錄音抓出對應的部份,並且將對話過程抄寫出來:「File:Flight 1549 FAA New York TRACON audio extract.ogg」,電影的確照實將這些對話演出來:

在「Flight 1549 3D Reconstruction, Hudson River Ditching Jan 15, 2009」這邊依照公開的錄音 (從在機場起飛開始) 以及所有公開的對話記錄 (黑盒子的記錄),配上模擬機上的畫面,也可以看一看:

包括機長對著哈德遜河樹旗的「uh what a view of the Hudson today」... 然後是另外一個角度,混入 LGA 的錄音記錄以及雷達記錄:

再來是在電影裡面提到的 35 秒延遲實驗,這可以在 NTSB 的官方報告裡面看到對應的說明 (取自「Loss of Thrust in Both Engines After Encountering a Flock of Birds and Subsequent Ditching on the Hudson River - US Airways Flight 1549 - Airbus A320‐214, N106US - Weehawken, New Jersey - January 15, 2009」這份 PDF):

Regarding the second flight scenario, 20 runs were performed in the engineering simulator from a preprogrammed point shortly before the loss of engine thrust in which pilots attempted to return to either runway 13 or 22 at LGA or runway 19 at TEB. Five of the 20 runs were discarded because of poor data or simulator malfunctions. Of the 15 remaining runs, in 6, the pilot attempted to land on runway 22 at LGA; in 7, the pilot attempted to land on runway 13 at LGA; and in 2, the pilot attempted to land on runway 19 at TEB. In eight of the 15 runs (53 percent), the pilot successfully landed after making an immediate turn to an airport after the loss of engine thrust. Specifically, two of the six runs to land on runway 22 at LGA, five of the seven runs to land on runway 13 at LGA, and one of the two runs to land on runway 19 at TEB immediately after the loss of engine thrust were successful. One run was made to return to an airport (runway 13 at LGA) after a 35-second delay, and the landing was not successful.

也就是做了 20 次的模擬,而有效的模擬有 15 次,其中 8 次成功降落回機場 (成功次數分別是 LGA 22 跑道 2/6、LGA 13 跑道 5/7,以及 TEB 19 跑道 1/2),這些都是鳥擊後馬上選擇回機場迫降。

而加上 35 秒的反應時間後的 LGA 13 跑道則做了一次,那次降落則是不成功。

在 NTSB 報告上,加上 35 秒後的測試只有一次有點怪,但電影裡機長 Sully 臨時要求把「人性」加進去的劇情剛好符合這個解釋。所以有可能就如同電影所演出的,是現場追加的測試?

最後,有幾部記錄片則是透過不同的角度來看這次事故,都很值得看:

  • TLC,特別節目,Brace For Impact。
  • 空中浩劫,第十季第五集,Hudson River Runway。
  • 國家地理頻道,特別節目,Miracle Landing On The Hudson。

這些在網路上找一下都有,這邊就不提供連結了。

Google Cloud Platform 美西機房

Google Cloud 在七月的時候開放了美西機房:「Introducing Cloud Natural Language API, Speech API open beta and our West Coast region expansion」,而且東京機房也快開了:

And as we announced in March, Tokyo will be coming online later this year and we will announce more than 10 additional regions in 2017.

看到「Why we moved from Amazon Web Services to Google Cloud Platform?」的時候去找資料才發現的。這篇讓我重新算了一次成本,如果不計算 Bandwidth Cost 的話,GCE 整體的 f1-micro 記憶體 + 20GB 比 DigitalOcean 多 (不過 DO 給的是 SSD 就是了),而且還比較便宜啊...

不過如果把頻寬成本算進去,Internet Egress (i.e. Outbound bandwidth) 一定要走 Google Network,這點就比較傷了... 有美西機房後,看起來可以開始考慮用看看就是了 :o

Google Cloud Platform 宣佈加開美西與日本

Google Cloud Platform 宣佈加開美西與日本:「Google Cloud Platform adds two new regions, 10 more to come」。

所以 Google 在這塊的經濟規模夠撐了?還是先投資?純粹猜測還蠻有可能是後者,因為新宣佈的這兩個機房的位置都比以前機房好:美西對於矽谷的幫助看起來會不少 (之前離矽谷最近的機房在美國中部),而日本則對於整個亞洲區還是極重要,因為一般 ISP 都是在日本、香港與新加坡交換,台灣一般來說需要調 routing 才能配合。

這看起來比較有得跟 AWS 打了?

Google 也放話到 2017 年會加更多機房:

These are the first two of more than 10 additional GCP regions we'll be adding to our network through 2017.

Archives