Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
#US Une voyageuse de 38 ans arrêtée à l'aéroport en Floride par #reconnaissance#faciale, les caméras ont détecté qu'elle ne ressemblait pas à la photo de la carte d'identité. Elle avait effectivement demandé à quelqu'un d'autre d'acheter son billet d'avion pour elle car sa carte d'id était expirée. L'enquête dit que la personne ayant prêté sa carte était en prison, et la voyageuse a été arrêtée pour "usage criminel d'informations personnelles".
Mais la partie importante pour moi c'est comment on traite toute la population comme des #criminels potentiels en imposant ces caméras de surveillance, puis de voir comment ce genre d'articles justifient leur flicage. Après, ce sera dans les trains? Le métro? https://www.travelpulse.com/news/airlines-airports/traveler-arrested-after-airport-facial-recognition-technology-catches-fake-id
La mémoire de nos souffrances : un devoir qui nous incombe*
Il est temps que nous, peuple noir et Africains, prenions pleinement conscience de l'importance de défendre et de reconnaître notre propre mémoire de la souffrance. Trop souvent, nous avons ignoré, minimisé, voire ridiculisé nos propres tragédies, nos martyrs, nos souffrances passées.
En ne reconnaissant pas et en ne défendant pas notre propre mémoire, nous ouvrons la porte à d'autres pour minimiser les atrocités et les crimes contre l'humanité que nous avons subis.
Exemples concrets : Combien de dirigeants africains en Afrique de l’Ouest, dans les anciennes colonies françaises, organisent chaque année une commémoration en février pour honorer les victimes de la colonisation, de la déportation et des crimes commis par la France ? Aucun. Et pourtant, les populations semblent indifférentes, ne réclament pas non plus cette reconnaissance.
Les capitales des pays africains portent encore des noms de personnes responsables de génocides, comme De Gaulle, Léopold II, et des rues, des lycées portent les noms de colonisateurs européens qui ont commis des actes de barbarie.
Même des personnalités européennes comme Napoléon ou De Gaulle sont célébrées chaque année dans nos pays, alors qu'ils ont participé à l'oppression et à la souffrance de nos ancêtres.
Il est temps que nous prenions conscience de notre propre histoire, que nous défendions la mémoire de nos ancêtres et que nous exigions la reconnaissance de leurs souffrances. C'est à nous de le faire, personne d'autre ne le fera à notre place.
#Mémoire#Souffrance#Reconnaissance#Responsabilité#Histoire#Afrique
Qu'en penses-tu ?
@egountchibehanzinTV
#python#blueteam#discovery#emails#information_gathering#osint#python#recon#reconnaissance#redteam#subdomain_enumeration
theHarvester is a free, easy-to-use tool that helps you gather public information about a domain, such as emails, subdomains, IPs, and URLs, from many online sources like search engines and databases. It is useful during security testing to understand a company’s external exposure and find potential vulnerabilities. You can run it with Python and it supports features like DNS brute forcing and taking screenshots of found subdomains. Using theHarvester helps you quickly collect valuable data for cybersecurity assessments, making your research more efficient and thorough.
https://github.com/laramies/theHarvester
#python#cli#cti#cybersecurity#forensics#hacktoberfest#information_gathering#infosec#linux#osint#pentesting#python#python3#reconnaissance#redteam#sherlock#tools
Sherlock is a powerful tool that helps you find social media accounts by username across over 400 networks. It's easy to use and works on many operating systems like macOS, Linux, and Windows. You can install it using methods like `pipx` or Docker, and then simply type the username you want to search for. Sherlock will show you where that username is used on different social media platforms. This tool is useful for gathering information quickly and can be run locally or even online through services like Apify. It saves time and effort in finding accounts across many platforms.
https://github.com/sherlock-project/sherlock