Sensacional sua resposta meu caro! Só para entender: com o smartcard, eu criaria · filipedeschamps

Respondendo a "💡 Ótima ideia que você apresentou, Filipe! Seu..." dentro da publicação Canal Gameplayrj no YouTube foi Hackeado. Alguém sabe como isso funciona?

filipedeschamps

2 anos atrás

Sensacional sua resposta meu caro!

Só para entender: com o smartcard, eu criaria uma nova sessão para cada vez que fosse necessário usar o canal? E depois destruir a sessão.

To pensando aqui que isso também poderia deixar um overlap entre a sessão aberta e um ataque (até de zero-clicks) caso a pessoa faça alguma outra coisa no meio tempo como consultar o Google para uma resposta.

Dado a isso me veio uma ideia maluca que seria meio que criar um container executável do painel do YouTube (com Electron, por exemplo) para pelo menos a sessão ficar dentro daquele binário. Assim pelo menos há uma chance dos scripts do hacker não puxar os dados dos navegadores instalados e qualquer navegação que a pessoa fizer ficará fora desse container.

Faz sentido?

[edit] ou até dentro de uma VM

filipemoraes

2 anos atrás

A maioria dos ataques são sociais, por exemplo, hackers que se passam por funcionários de uma empresa que conseguem convencer a vítima de que se trata de um contato oficial. A partir daí é como abrir uma brecha no dique.

No caso de alguns ataques aos youtubers foi utilizado justamente essa técnica, inclusive em alguns casos os emails eram oficiais e solicitavam a instalação de um executável para ter acesso antecipado ao respectivo jogo. O hacker atacou primeiro um funcionário da empresa e a partir daí contatou os youtubers.

A conclusão que chego é que podemos ter o nível de segurança e retundância da aviação, mas haverá sempre o fator humano que irá desencadear os eventos.

Por enquanto a edução digital é a forma mais eficiênte de evitar problemas, as pessoas precisam se informar e aprender a trabalhar no mundo digital, desconfiar de tudo e verificar as fontes. A era digital não é diferente de outras transformações pelo qual passamos e como sempre precisamos nos adaptar a esse meio se queremos sobreviver.

gpoleszuk

2 anos atrás

Olá FilipeDeschamps!

Você tem razão, ideias beem🙃 malucas* e faz sentido sua dúvida/comentário. De qualquer forma sempre haverá uma possível janela para ataque com auxílio do fator humano! Há pouco a FláviaCarvalho publica novidades que até notificações de MFA por push podem ser comprometidas. Acredito que é factível, pois já exploram acesso remoto a dispositivos móveis. Encurto minha resposta referenciando as palavras do seu xará que foi direto ao ponto.

No fim, a solução de defesa fica tão complicada quanto uma partida de xadrez rss, jogada a 2 contra 1 (hacker+usuário x TI)! Boa discussão, que reviveu a história da engenharia desses ataques com evidências já publicadas lá em 2020.

* Ideia maluca: sandbox sobre VM sobre live session em RAM 100% volátil ou educar/substituir uma pecinha atrás do teclado.