Популярность имеет свои минусы. Чем популярней язык программирования, тем выше его распространённость, а значит найдутся те кто поспешит воспользоваться этим.
С ростом популярности Python всё больше на PyPi появляется вредоносных пакетов. Трояны, стиллеры и доставщики более опасных вредоносов.
Команда PyPi постоянно мониторит подобные случаи но и их возможности достигли предела. В результате сервис временно закрывает возможность заливки новых пакетов и регистрации юзеров.
PyPI new user and new project registrations temporarily suspended
Возможно одной из причин большого наплыва вредоносов является резко возросшая доступность их создания. Сегодня любой, даже не программист, может попросить у ChatGPT написать необходимый код и все инструкции для атаки.
Основной тип атаки - рассчёт на опечатку в названии пакета. Если невнимательный программист случайно установит pilow или djangoo, считай что вредонос уже в системе.
Чтобы избежать подобных факапов я рекомендую:
▫️ Всегда работайте в виртуальном окружении, неизвестные проекты устанавливайте внутри контейнеров.
▫️ Используйте файл requirements.txt вместо ручной установки пакетов
▫️ Очень внимательно пишите названия пакетов, а после написания проверьте еще раз. Сверьте с названием из документации.
▫️ После успешных тестов всегда фиксируйте версию пакета. Бывали случаи когда опасный код добавляли в новые версии. К тому же и без этой опасности не рекомендуется ставить по умолчанию последнюю версию.
▫️ Используйте вспомогательные инструменты для проверки безопасности, например https://pyup.io/safety или https://github.com/PyCQA/bandit. Они помогут не только найти опасный код в чужих пакетах, но и ваш код проверит на уязвимости.
Будем надеяться что PyPi переосмыслит методы борьбы с вредоносами, например внедрит ИИ для проверки как симметричный шаг.
#offtop
Buen día! 🕵🏻️♀️👩🏻💻
Ayer, Tiempo Argentino publicó una nota sobre la ciberseguridad en Argentina🇦🇷, a partir de un taller que se realizó el 10 de septiembre, organizado por el Ministerio de Seguridad de la Nación, en el que participó un agente secreto retirado.
Según Iván Arce, especialista en seguridad informática, el gobierno actual "no sabe qué es lo que quiere hacer con la ciberseguridad". Cuenta que se creó un comité en el que participan los ministerios de Seguridad, Defensa y Modernización, y explica:
🗣 "La presencia del Ministerio de Seguridad refrenda la idea de una concepción punitiva, cuando la ciberseguridad es más amplia e implica investigación, desarrollo, relación con las universidades, generación de una industria para exportar, entre otras cosas. Tanto los organismos de Seguridad como los de Defensa piensan en términos de espionaje y en cómo controlar a las personas en redes sociales o de imponer penas y tipificar delitos relacionados con la tecnología, y en paralelo adquirir equipamiento. El modo en que siempre se refirió al tema el ministro Oscar Aguad revela la concepción de que la ciberseguridad se resuelve comprando aparatitos."
🗣 Por su parte, Leandro Ucciferri, de ADC, hace hincapié en que: "Pensar la ciberseguridad exclusivamente como un tema de Defensa o Seguridad Nacional es un error. Al fin y al cabo, cuando se habla de proteger infraestructuras críticas, como pueden ser plantas nucleares, la red eléctrica, de gas, o cualquier otro servicio básico, eso tiene un impacto social. Se trata de abrir más el espectro."
En la actualidad, la idea de ciberseguridad del gobierno argentino está directamente ligada al concepto de #vigilancia👁🗨
#tendencias#prospectiva#vigilancia
Amigos les comparto algo que viene en incremento hace 2 años, les recomiendo analizar si aplica para su modelo de negocios. 💡
BNPL “Comprar ahora, pagar más tarde". Estructura de pago que permite a los consumidores obtener un producto por adelantado, pero pagarlo gradualmente durante un período de tiempo determinado, a menudo con intereses adicionales. ¿Ya lo conocían? ¿Lo ven viable?…
Nos vemos 👋🏼
La productividad está en tiC 📲📈
Buen día! 👩🏻💻
Hace un poco más de 2️⃣ meses, estuvo en la Argentina 🇦🇷 el relator especial de la #ONU sobre el derecho a la #privacidad, Joseph Cannataci, y expresó preocupación por:
1️⃣ El alto número de escuchas 👂
2️⃣ El aumento y despliegue de la red de cámaras de #vigilancia📹
3️⃣ La implementación de tecnología de reconomiento facial 👀
Con respecto al sistema actual de escuchas, dijo: "El sistema actual genera un flujo de millones de CDs 💿 físicos que pueden caer fácilmente en manos indebidas."🙄 Como para que no sea fácil andar filtrando, ¿no?
Sobre las cámaras de vigilancia y la tecnología de reconomiento facial, dijo que su preocupación era que se estén implementando sin haber hecho una evaluación previa de su impacto en el derecho a la intimidad.
📝 El informe preliminar puede leerse acá: https://www.ohchr.org/SP/NewsEvents/Pages/DisplayNews.aspx?NewsID=24639&LangID=S
Buenas tardes! 🙋🏻♀️
¿Vieron que siempre que hablamos de #vigilancia suele aparecer 🇨🇳? Bueno, parece que en la Ciudad de Buenos Aires 🇦🇷 no se quieren quedar atrás, así que ayer anunciaron un sistema de reconocimiento facial en las calles para todxs lxs ciudadanxs (aprovechando el enorme despliegue de cámaras 📹 que hay en toda la ciudad🙄).
Cada vez menos #privacidad, todo siempre en nombre de la #seguridad (que NUNCA JAMÁS se resuelve porque el problema de fondo es otro).
Nuestro Sábado de Comunes,
con temas sobre #hackfeminismo, #cyborgfeministas , capitalismo digital, #vigilancia , producción abierta, #culturalibre
https://sursiendo.com/blog/2019/03/hay-un-sabado-de-comun-denominadores-330/