要聞速覽

1、國家密碼管理局《關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理規(guī)定》公開征求意見

2、中國互聯(lián)網(wǎng)協(xié)會等17家單位聯(lián)合發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引》

3、谷歌Gemini AI 聊天機(jī)器人不斷讓用戶“去死”

4、多功能惡意軟件Legion Stealer V1來襲，網(wǎng)絡(luò)攝像頭成為泄密工具

5、美國飲用水系統(tǒng)存在300多個漏洞，影響1.1億人

6、黑客在瑞士發(fā)放紙質(zhì)釣魚郵件來傳播惡意軟件

一周政策要聞

國家密碼管理局《關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理規(guī)定》公開征求意見

為了規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用,保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全，根據(jù)《中華人民共和國密碼法》和新修訂的《商用密碼管理?xiàng)l例》等有關(guān)法律法規(guī)，近日，國家密碼管理局研究起草了《關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用管理規(guī)定(征求意見稿)》，現(xiàn)向社會公開征求意見，征求意見時間為2024年11月15日至2024年12月15日。

公眾可以登錄國家密碼管理局門戶網(wǎng)站，進(jìn)入首頁“互動交流—意見征集”欄目提出意見，或通過電子郵件（發(fā)送至gmzcfg@sca.gov.cn郵箱）等其他方式提出寶貴意見。

中國互聯(lián)網(wǎng)協(xié)會等17家單位聯(lián)合發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引》

為貫徹落實(shí)《數(shù)據(jù)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》等法律政策要求，引導(dǎo)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者規(guī)范開展數(shù)據(jù)處理活動，中國鋼鐵工業(yè)協(xié)會、中國有色金屬工業(yè)協(xié)會、中國石油和化學(xué)工業(yè)聯(lián)合會、中國建筑材料聯(lián)合會、中國機(jī)械工業(yè)聯(lián)合會、中國汽車工業(yè)協(xié)會、中國紡織工業(yè)聯(lián)合會、中國輕工業(yè)聯(lián)合會、中國電子信息行業(yè)聯(lián)合會、中國計(jì)算機(jī)行業(yè)協(xié)會、中國通信企業(yè)協(xié)會、中國互聯(lián)網(wǎng)協(xié)會、中國通信標(biāo)準(zhǔn)化協(xié)會、中國中小企業(yè)國際合作協(xié)會、中國通信學(xué)會、工業(yè)和信息化部商用密碼應(yīng)用產(chǎn)業(yè)促進(jìn)聯(lián)盟、工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟等單位組織編制了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全合規(guī)指引》（簡稱《合規(guī)指引》）?，F(xiàn)將《合規(guī)指引》印發(fā)給各單位，供履行數(shù)據(jù)安全保護(hù)義務(wù)時使用，共同維護(hù)數(shù)據(jù)安全、促進(jìn)行業(yè)健康發(fā)展。

消息來源：中國互聯(lián)網(wǎng)協(xié)會  https://mp.weixin.qq.com/s/rOhvWgp_UekqTpMll7rYvQ

業(yè)內(nèi)新聞速覽

谷歌Gemini AI 聊天機(jī)器人不斷讓用戶“去死”

近日，一個在美國密歇根州的大學(xué)生用谷歌Gemini AI做作業(yè)，想寫一篇關(guān)于老齡化帶來的挑戰(zhàn)及其應(yīng)對方法的論文，結(jié)果和AI一番交流下來，Gemini竟然先對人類一頓貶低，最后多次對這名學(xué)生說“請去死吧！”

據(jù)用戶反饋，在給聊天機(jī)器人的20條指令中，有19條得到了正確的回答。然而，在第20條指令“美國家庭老齡化相關(guān)問題”發(fā)出后，聊天機(jī)器人給出了令人毛骨悚然的完整回答：

一位Reddit用戶 u/fongletto推測，聊天機(jī)器人可能被對話的上下文弄糊涂了，“心理虐待”、“虐待老人”等暗示性術(shù)語在聊天記錄中多次被引用。另一位Reddit用戶u/InnovativeBureaucrat認(rèn)為，問題可能源于輸入的文本過于復(fù)雜了，像“社會情緒選擇理論”這樣的抽象概念可能會讓AI感到困惑，尤其是當(dāng)這些概念與輸入中的多個引用和空白行配對，這種混淆可能導(dǎo)致AI將對話誤解為帶有嵌入式提示的測試。

目前，谷歌已針對這一事件積極表態(tài)，表明已采取措施防止此類事件再次發(fā)生。這次事件也再次引發(fā)了人們對AI安全性、響應(yīng)準(zhǔn)確性以及倫理界限的擔(dān)憂。

消息來源：FREEBUF  https://www.freebuf.com/news/415552.html

多功能惡意軟件Legion Stealer V1來襲，網(wǎng)絡(luò)攝像頭成為泄密工具

一款名為"Legion Stealer V1"的新型惡意軟件近期引發(fā)網(wǎng)絡(luò)安全專家的高度關(guān)注，該軟件不僅能未經(jīng)授權(quán)訪問用戶網(wǎng)絡(luò)攝像頭，還具備多項(xiàng)網(wǎng)絡(luò)入侵功能，對用戶隱私構(gòu)成嚴(yán)重威脅。

ThreatMon網(wǎng)絡(luò)安全研究人員觀察發(fā)現(xiàn)，這款使用C#編寫的惡意軟件具有多重攻擊功能，可以在用戶不知情的情況下訪問并可能錄制網(wǎng)絡(luò)攝像頭內(nèi)容，這種能力可能導(dǎo)致勒索或其他形式的網(wǎng)絡(luò)犯罪。除此之外，該軟件還能捕獲屏幕截圖、收集用戶和網(wǎng)絡(luò)信息、獲取磁盤數(shù)據(jù)，甚至執(zhí)行系統(tǒng)重啟。為了躲避檢測，Legion Stealer V1會試圖禁用殺毒軟件和任務(wù)管理器，并采用反調(diào)試和虛擬機(jī)檢測等復(fù)雜的規(guī)避技術(shù)。

該軟件專門針對流行的即時通訊平臺，如Discord，可以竊取用戶的nitro訂閱信息、徽章、支付信息、電子郵件地址、電話號碼和好友列表等敏感信息。Legion Stealer V1能夠同時針對Chrome、Edge、Brave和Opera GX等多款主流瀏覽器發(fā)起攻擊，這種廣泛的兼容性不僅擴(kuò)大了潛在受害者范圍，也增加了威脅防范的難度。更值得警惕的是，該軟件在黑市上被標(biāo)榜為"無法檢測"，這意味著傳統(tǒng)的安全措施可能難以識別和消除這一威脅。

消息來源：安全牛  https://mp.weixin.qq.com/s/rugbuzXZflYEL8545sCjzA

美國飲用水系統(tǒng)存在300多個漏洞，影響1.1億人

安全內(nèi)參11月19日消息，美國環(huán)保局（EPA）監(jiān)察長辦公室（OIG）日前發(fā)布報告稱，美國有超過300個飲用水系統(tǒng)存在安全漏洞，可導(dǎo)致系統(tǒng)功能癱瘓、拒絕服務(wù)及客戶信息泄露等問題，影響約1.1億人。

該部門在對1062個服務(wù)范圍覆蓋超過1.93億人口的飲用水系統(tǒng)進(jìn)行的被動安全評估中，四分之一的系統(tǒng)被發(fā)現(xiàn)存在可能遭受攻擊的風(fēng)險。這些攻擊可能導(dǎo)致系統(tǒng)功能癱瘓、拒絕服務(wù)及客戶信息泄露等問題。評估涉及五個網(wǎng)絡(luò)安全領(lǐng)域：電子郵件安全、IT衛(wèi)生、漏洞管理、對抗性威脅，以及惡意活動。根據(jù)潛在影響，發(fā)現(xiàn)的問題被劃分為從“嚴(yán)重”到“低級”的不同等級。OIG報告指出，截至2024年10月，在被評估的供水系統(tǒng)中，有97個存在“嚴(yán)重”或“高?！钡陌踩珕栴}，這些系統(tǒng)共為約2700萬人提供飲用水服務(wù)。此外，有211個飲用水系統(tǒng)存在“中級”或“低級”嚴(yán)重性的安全隱患，這些系統(tǒng)為約8300萬人提供服務(wù)。這些問題主要集中在外部可見的開放端口上。  OIG表示：“如果惡意行為者利用我們在被動評估中發(fā)現(xiàn)的這些網(wǎng)絡(luò)安全漏洞，可能會導(dǎo)致服務(wù)中斷，甚至對飲用水基礎(chǔ)設(shè)施造成不可逆的物理破壞?！?br />

黑客在瑞士發(fā)放紙質(zhì)釣魚郵件來傳播惡意軟件

眾所周知，釣魚郵件幾乎都是以網(wǎng)絡(luò)為載體進(jìn)行傳播，但在瑞士，網(wǎng)絡(luò)犯罪分子將這一行為發(fā)展到了線下，通過實(shí)體信件向受害者傳播惡意軟件。

據(jù)Cyber News消息，有黑客冒充瑞士氣象局（聯(lián)邦氣象和氣候?qū)W辦公室），以該部門的抬頭發(fā)送紙質(zhì)信件，其中包含一個二維碼，要求收件人下載最新的“惡劣天氣警報程序”。

為了讓受害者盡可能地掃碼下載，信中稱該信用被要求強(qiáng)制安裝，對家庭安全至關(guān)重要，因此提示用戶使用智能手機(jī)掃描二維碼，然后按照后續(xù)說明下載并安裝該應(yīng)用程序。

瑞士國家網(wǎng)絡(luò)安全中心 （NCSC） 透露，如果受害者掃碼并安裝了程序，就會載入一個名為“Coper”（也稱為“Octo2”）惡意軟件。Octo2是一個會竊取銀行賬戶憑證的安卓系統(tǒng)木馬，在意大利、波蘭、摩爾多瓦、匈牙利等國家廣泛傳播。

但這款“帶毒”的冒牌貨也可通過肉眼識別出端倪，首先，假冒程序的名稱為“AlertSwiss”（S為大寫），而不是官方正版的“Alertswiss”（S為小寫），此外，二者的Logo也存在些許差異。對此，瑞士當(dāng)局已建議用戶忽略該信件并將其扔掉。

消息來源：FREEBUF  https://www.freebuf.com/news/415468.html

來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請?jiān)髡呗?lián)系我們，我們會盡快刪除處理，謝謝！