要聞速覽

1、國家密碼管理局《關鍵信息基礎設施商用密碼使用管理規(guī)定》公開征求意見

2、中國互聯(lián)網(wǎng)協(xié)會等17家單位聯(lián)合發(fā)布《工業(yè)和信息化領域數(shù)據(jù)安全合規(guī)指引》

3、谷歌Gemini AI 聊天機器人不斷讓用戶“去死”

4、多功能惡意軟件Legion Stealer V1來襲，網(wǎng)絡攝像頭成為泄密工具

5、美國飲用水系統(tǒng)存在300多個漏洞，影響1.1億人

6、黑客在瑞士發(fā)放紙質釣魚郵件來傳播惡意軟件

一周政策要聞

國家密碼管理局《關鍵信息基礎設施商用密碼使用管理規(guī)定》公開征求意見

為了規(guī)范關鍵信息基礎設施商用密碼使用,保護關鍵信息基礎設施安全，根據(jù)《中華人民共和國密碼法》和新修訂的《商用密碼管理條例》等有關法律法規(guī)，近日，國家密碼管理局研究起草了《關鍵信息基礎設施商用密碼使用管理規(guī)定(征求意見稿)》，現(xiàn)向社會公開征求意見，征求意見時間為2024年11月15日至2024年12月15日。

公眾可以登錄國家密碼管理局門戶網(wǎng)站，進入首頁“互動交流—意見征集”欄目提出意見，或通過電子郵件（發(fā)送至gmzcfg@sca.gov.cn郵箱）等其他方式提出寶貴意見。

中國互聯(lián)網(wǎng)協(xié)會等17家單位聯(lián)合發(fā)布《工業(yè)和信息化領域數(shù)據(jù)安全合規(guī)指引》

為貫徹落實《數(shù)據(jù)安全法》《網(wǎng)絡數(shù)據(jù)安全管理條例》《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）》等法律政策要求，引導工業(yè)和信息化領域數(shù)據(jù)處理者規(guī)范開展數(shù)據(jù)處理活動，中國鋼鐵工業(yè)協(xié)會、中國有色金屬工業(yè)協(xié)會、中國石油和化學工業(yè)聯(lián)合會、中國建筑材料聯(lián)合會、中國機械工業(yè)聯(lián)合會、中國汽車工業(yè)協(xié)會、中國紡織工業(yè)聯(lián)合會、中國輕工業(yè)聯(lián)合會、中國電子信息行業(yè)聯(lián)合會、中國計算機行業(yè)協(xié)會、中國通信企業(yè)協(xié)會、中國互聯(lián)網(wǎng)協(xié)會、中國通信標準化協(xié)會、中國中小企業(yè)國際合作協(xié)會、中國通信學會、工業(yè)和信息化部商用密碼應用產(chǎn)業(yè)促進聯(lián)盟、工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟等單位組織編制了《工業(yè)和信息化領域數(shù)據(jù)安全合規(guī)指引》（簡稱《合規(guī)指引》）?，F(xiàn)將《合規(guī)指引》印發(fā)給各單位，供履行數(shù)據(jù)安全保護義務時使用，共同維護數(shù)據(jù)安全、促進行業(yè)健康發(fā)展。

消息來源：中國互聯(lián)網(wǎng)協(xié)會  https://mp.weixin.qq.com/s/rOhvWgp_UekqTpMll7rYvQ

業(yè)內新聞速覽

谷歌Gemini AI 聊天機器人不斷讓用戶“去死”

近日，一個在美國密歇根州的大學生用谷歌Gemini AI做作業(yè)，想寫一篇關于老齡化帶來的挑戰(zhàn)及其應對方法的論文，結果和AI一番交流下來，Gemini竟然先對人類一頓貶低，最后多次對這名學生說“請去死吧！”

據(jù)用戶反饋，在給聊天機器人的20條指令中，有19條得到了正確的回答。然而，在第20條指令“美國家庭老齡化相關問題”發(fā)出后，聊天機器人給出了令人毛骨悚然的完整回答：

一位Reddit用戶 u/fongletto推測，聊天機器人可能被對話的上下文弄糊涂了，“心理虐待”、“虐待老人”等暗示性術語在聊天記錄中多次被引用。另一位Reddit用戶u/InnovativeBureaucrat認為，問題可能源于輸入的文本過于復雜了，像“社會情緒選擇理論”這樣的抽象概念可能會讓AI感到困惑，尤其是當這些概念與輸入中的多個引用和空白行配對，這種混淆可能導致AI將對話誤解為帶有嵌入式提示的測試。

目前，谷歌已針對這一事件積極表態(tài)，表明已采取措施防止此類事件再次發(fā)生。這次事件也再次引發(fā)了人們對AI安全性、響應準確性以及倫理界限的擔憂。

消息來源：FREEBUF  https://www.freebuf.com/news/415552.html

多功能惡意軟件Legion Stealer V1來襲，網(wǎng)絡攝像頭成為泄密工具

一款名為"Legion Stealer V1"的新型惡意軟件近期引發(fā)網(wǎng)絡安全專家的高度關注，該軟件不僅能未經(jīng)授權訪問用戶網(wǎng)絡攝像頭，還具備多項網(wǎng)絡入侵功能，對用戶隱私構成嚴重威脅。

ThreatMon網(wǎng)絡安全研究人員觀察發(fā)現(xiàn)，這款使用C#編寫的惡意軟件具有多重攻擊功能，可以在用戶不知情的情況下訪問并可能錄制網(wǎng)絡攝像頭內容，這種能力可能導致勒索或其他形式的網(wǎng)絡犯罪。除此之外，該軟件還能捕獲屏幕截圖、收集用戶和網(wǎng)絡信息、獲取磁盤數(shù)據(jù)，甚至執(zhí)行系統(tǒng)重啟。為了躲避檢測，Legion Stealer V1會試圖禁用殺毒軟件和任務管理器，并采用反調試和虛擬機檢測等復雜的規(guī)避技術。

該軟件專門針對流行的即時通訊平臺，如Discord，可以竊取用戶的nitro訂閱信息、徽章、支付信息、電子郵件地址、電話號碼和好友列表等敏感信息。Legion Stealer V1能夠同時針對Chrome、Edge、Brave和Opera GX等多款主流瀏覽器發(fā)起攻擊，這種廣泛的兼容性不僅擴大了潛在受害者范圍，也增加了威脅防范的難度。更值得警惕的是，該軟件在黑市上被標榜為"無法檢測"，這意味著傳統(tǒng)的安全措施可能難以識別和消除這一威脅。

消息來源：安全牛  https://mp.weixin.qq.com/s/rugbuzXZflYEL8545sCjzA

美國飲用水系統(tǒng)存在300多個漏洞，影響1.1億人

安全內參11月19日消息，美國環(huán)保局（EPA）監(jiān)察長辦公室（OIG）日前發(fā)布報告稱，美國有超過300個飲用水系統(tǒng)存在安全漏洞，可導致系統(tǒng)功能癱瘓、拒絕服務及客戶信息泄露等問題，影響約1.1億人。

該部門在對1062個服務范圍覆蓋超過1.93億人口的飲用水系統(tǒng)進行的被動安全評估中，四分之一的系統(tǒng)被發(fā)現(xiàn)存在可能遭受攻擊的風險。這些攻擊可能導致系統(tǒng)功能癱瘓、拒絕服務及客戶信息泄露等問題。評估涉及五個網(wǎng)絡安全領域：電子郵件安全、IT衛(wèi)生、漏洞管理、對抗性威脅，以及惡意活動。根據(jù)潛在影響，發(fā)現(xiàn)的問題被劃分為從“嚴重”到“低級”的不同等級。OIG報告指出，截至2024年10月，在被評估的供水系統(tǒng)中，有97個存在“嚴重”或“高?！钡陌踩珕栴}，這些系統(tǒng)共為約2700萬人提供飲用水服務。此外，有211個飲用水系統(tǒng)存在“中級”或“低級”嚴重性的安全隱患，這些系統(tǒng)為約8300萬人提供服務。這些問題主要集中在外部可見的開放端口上。  OIG表示：“如果惡意行為者利用我們在被動評估中發(fā)現(xiàn)的這些網(wǎng)絡安全漏洞，可能會導致服務中斷，甚至對飲用水基礎設施造成不可逆的物理破壞?！?br />

黑客在瑞士發(fā)放紙質釣魚郵件來傳播惡意軟件

眾所周知，釣魚郵件幾乎都是以網(wǎng)絡為載體進行傳播，但在瑞士，網(wǎng)絡犯罪分子將這一行為發(fā)展到了線下，通過實體信件向受害者傳播惡意軟件。

據(jù)Cyber News消息，有黑客冒充瑞士氣象局（聯(lián)邦氣象和氣候學辦公室），以該部門的抬頭發(fā)送紙質信件，其中包含一個二維碼，要求收件人下載最新的“惡劣天氣警報程序”。

為了讓受害者盡可能地掃碼下載，信中稱該信用被要求強制安裝，對家庭安全至關重要，因此提示用戶使用智能手機掃描二維碼，然后按照后續(xù)說明下載并安裝該應用程序。

瑞士國家網(wǎng)絡安全中心 （NCSC） 透露，如果受害者掃碼并安裝了程序，就會載入一個名為“Coper”（也稱為“Octo2”）惡意軟件。Octo2是一個會竊取銀行賬戶憑證的安卓系統(tǒng)木馬，在意大利、波蘭、摩爾多瓦、匈牙利等國家廣泛傳播。

但這款“帶毒”的冒牌貨也可通過肉眼識別出端倪，首先，假冒程序的名稱為“AlertSwiss”（S為大寫），而不是官方正版的“Alertswiss”（S為小寫），此外，二者的Logo也存在些許差異。對此，瑞士當局已建議用戶忽略該信件并將其扔掉。

消息來源：FREEBUF  https://www.freebuf.com/news/415468.html

來源:本安全周報所推送內容由網(wǎng)絡收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內容的真實性，部分內容推送時未能與原作者取得聯(lián)系，若涉及版權問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！