Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
Compliance Hub и Atameken Business International Services (ТОО Confidente) заключили меморандум о сотрудничестве и взаимодействии, в целях проведения мероприятий, направленных:
- на повышение осведомленности в области должной осмотрительности;
- на развитие инструментов надлежащей проверки клиентов и контрагентов, а также инструментов управления комплаенс-риском;
- на поддержание и становление антиотмывочной культуры в Республике Казахстан.
Ранее стороны также выступили партнёрами конференции fcbk 2024: Empowering Business.
Compliance Hub открыт для сотрудничества с организациями, которым не безразличны вопросы борьбы с коррупцией, мошенничеством и отмыванием денег, также развития института комплаенс в стране
#kyc#cpdd#cdd#amlcft#compliance
📌Следующие проблемы могут возникнуть при отслеживании активов в английском праве:
✅Перевод активов в оффшорные юрисдикции: Если злоумышленник переводит активы в оффшорные юрисдикции, то это может затруднить процесс их отслеживания, так как в этих юрисдикциях может действовать строгая конфиденциальность банковских операций и защита данных. Кроме того, в некоторых случаях может потребоваться сотрудничество с международными правоохранительными органами для сбора доказательств и отслеживания активов за границей.
✅Установление связи между злоумышленником и активами: Часто злоумышленник переводит активы на имена третьих лиц для того, чтобы скрыть связь между собой и активами. Однако, для того чтобы отследить активы, необходимо установить связь между злоумышленником и активами, что может быть трудно, особенно если активы были переданы через несколько промежуточных лиц.
✅Комплексные юридические и регуляторные рамки: В английском праве существует множество юридических и регуляторных рамок, которые могут предоставлять важные инструменты для отслеживания активов, но также могут создавать сложности в их использовании. Например, процедура банкротства может предоставить возможность восстановления активов, но процесс может быть сложным и требовать дополнительных ресурсов и времени. Кроме того, существуют также различные требования в отношении доказательств и процедур, которые необходимо соблюдать при отслеживании и восстановлении активов.
✅Практические препятствия: Отслеживание активов может также быть затруднено практическими вопросами, такими как географическое расстояние, языковые барьеры и культурные различия. Например, если активы находятся за границей, то может быть сложно собрать доказательства и взаимодействовать с местными властями. Кроме того, существуют также различные культурные и правовые нюансы, которые необходимо учитывать при работе с иностранными юрисдикциями.
✅Сложности связанные с технологическими инновациями: С появлением новых технологий, таких как криптовалюты и блокчейн, отслеживание активов может стать еще более сложным. Некоторые криптовалюты, например, могут обеспечить высокую конфиденциальность и анонимность, что может затруднить отслеживание их владельцев и использования в незаконных целях.
#assettracing#assetrecovery#financialinvestigation#fraudinvestigation#forensicaccounting#moneytracing#anti-moneylaundering #AMLcompliance#financialintelligence#financialcrime#investigativeaccounting#financialevidence#knowyourcustomer#KYC#customerduediligence#CDD#suspiciousactivityreporting#SAR#assetseizure#confiscation