-
Tc4dy
OPSEC Specialist | Free internet - Open Source ADV
▄︻デ══━一💥 SESSION HIJACKING RESMEN ÖLDÜ, BİTTİ
Google , Chrome 146'yı yayınladı ve sessiz sedasız DEVİR KAPATAN BİR ŞEYİ aktif etti: Device Bound Session Credentials (DBSC) Dünya Standartlarından Geçti.
Ne mi yapıyor? Artık session cookie'lerini TPM çipine şifreliyor, özel anahtar donanımdan asla çıkmıyor. Cookie'yi çalsan bile yeni cihazda çalışmıyor. Yani klasik cookie hijacking – resmen TARİH OLDU. Bu kadar basit.
Çaldığın cookie'nin hiçbir anlamı yok artık. Yeni cihazda "bu cookie bu bilgisayara ait değil" diye reddediliyor ve aynı zamanda büyük bir OPSEC engelcisi.
O ANLAMDA BENCE BÜYÜK BİR OLAY BU. BU BİR UYGULAMANIN SONU, AMA AYNI ZAMANDA YENİ BİR DÖNEMİN BAŞLANGICI. ŞİMDİ BU DURUM BİZİM İÇİN NE ANLAMA GELİYOR, BUNU MASAYA YATIRALIM SEVGİLİ SPY AİLESİ;
AMA EĞER "BEN BİR SİTENİN COOKIE'SİNİ ÇALIP BAŞKA BİLGİSAYARDAN GİRERİM" DİYORSAN – TAMAMEN BİTTİ.
Uzun lafın kısası: İşimiz zorlaştı, evet. Ama bitti mi? Hayır. Bitti diyenler ya pes etmiş ya da işin ehli değil. Biz işin ehliyiz. Gerekeni yapacağız. Bu duruma sinir olan ben değil miyim? Ama şimdi düşünüyorum da, bu aynı zamanda yeni kapılar da açıyor.
GEÇMİŞ OLSUN SAYIN SPYHACKERZ ÜYELERİ, BİR DEVİR KAPANDI.
Google , Chrome 146'yı yayınladı ve sessiz sedasız DEVİR KAPATAN BİR ŞEYİ aktif etti: Device Bound Session Credentials (DBSC) Dünya Standartlarından Geçti.
Ne mi yapıyor? Artık session cookie'lerini TPM çipine şifreliyor, özel anahtar donanımdan asla çıkmıyor. Cookie'yi çalsan bile yeni cihazda çalışmıyor. Yani klasik cookie hijacking – resmen TARİH OLDU. Bu kadar basit.
Çaldığın cookie'nin hiçbir anlamı yok artık. Yeni cihazda "bu cookie bu bilgisayara ait değil" diye reddediliyor ve aynı zamanda büyük bir OPSEC engelcisi.
O ANLAMDA BENCE BÜYÜK BİR OLAY BU. BU BİR UYGULAMANIN SONU, AMA AYNI ZAMANDA YENİ BİR DÖNEMİN BAŞLANGICI. ŞİMDİ BU DURUM BİZİM İÇİN NE ANLAMA GELİYOR, BUNU MASAYA YATIRALIM SEVGİLİ SPY AİLESİ;
💀 BU NE DEMEK? (TEKNİK OLARAK)
Kısacası, session cookie hijacking artık bir vektör değil. Artık satış yapamayacaksınız, hesap çalamayacaksınız, Çünkü işlemi şöyle:- Kullanıcı siteye login oluyor.
- Chrome hemen device-bound bir public-private key pair üretiyor.
- Private key TPM (Trusted Platform Module) içinde kalıyor ve asla dışarı çıkmıyor! Windows'un TPM'ini kullanıyor (macOS'ta Secure Enclave). Özel anahtar, işlemci çipinin donanım korumalı bölgesinde tutuluyor. Yani ANCAK FİZİKSEL OLARAK CİHAZA MÜDAHALE EDEBİLİRSEN ONA ERİŞEBİLİRSİN.
⚠️ SESSION HIJACKING'İN HER ÇEŞİDİ ÖLDÜ MÜ?
Hepsi değil. DBSC şu anda SADECE CHROME - WINDOWS'TA var. macOS, Linux geliyor ama mobil tarayıcılar (Chrome mobile dahil) ve diğer tarayıcılar (Edge, Firefox) için henüz yok. Site tabanlı dağıtılıyor, yani Google ve Okta gibi siteler aktif, ama intranet uygulamaları, küçük SaaS platformları henüz hazır değil. Ayrıca infostealer'lar (Redline vb.) artık sadece cookie değil, TPM key'lerini de hedeflemek zorunda.AMA EĞER "BEN BİR SİTENİN COOKIE'SİNİ ÇALIP BAŞKA BİLGİSAYARDAN GİRERİM" DİYORSAN – TAMAMEN BİTTİ.
🧠 PEKİ BUNDAN SONRA NE YAPACAĞIZ? (GELECEK STRATEJİSİ)
Bu işin sinir bozucu yanı klasik yöntemlerin işe yaramaması. Fakat şu an bunu aşmak için geliştirebileceğimiz yeni teknikler ve araçlar var. Bu, sektörün bir sonraki evrimi olacak.1. TPM SALDIRILARI (DONANIM SEVİYESİ)
- TPM Sniffing LPC bus sniffing: Dizüstü bilgisayarlarda, TPM ile CPU arasındaki LPC (Low Pin Count) bus'ı fiziksel olarak dinleyip (sniffing) anahtarı yakalayabilirsin. Stacksmashing'in Raspberry Pi Pico ile yaptığı BitLocker saldırısını hatırlıyorsundur: 10 dolarlık donanımla TPM-CPU arasındaki anahtarı 43 saniyede yakaladı. TPM chipset düzeyinde güvenlik açığı varsa (örneğin İsviçre'deki araştırmacıların AMD fTPM'de bulduğu gibi bir flaw), private key'i ele geçirebilirsin.
- TPM Sniffing LPC bus sniffing: laptop anakartında TPM CPU arasındaki düşük seviyeli veri yolunu fiziksel olarak dinleyip master key'i yakalayabilirsin. Bu yöntemle BitLocker bypass etmişlerdi.
2. SYSTEM-LEVEL MALWARE (REAL ENDPOINT TAKEOVER)
Kurbanın cihazını tamamen ele geçirirsen, zaten aktif session'ı kullanabilirsin. Yani TPM key'ine ihtiyacın yok. Sadece o an browser session'ını manipüle ederek işlem yapabilirsin. Bunun için:- Process hollowing ve remote DLL injection: Cihaza gömülü bir malware, browser process'ine sızarak onun yetkilerini kullanır.
- Browser profile cloning: User Data klasörünü (şifreli profil) çalıp Local State dosyasıyla birlikte kendi makinende import edersen, DBSC bu profilin farklı bir cihaza taşındığını anlamayabilir.
3. ZERO-DAY VECTORS
Google'ın uygulamasında doğrudan bypass olanağı sunan bug'lar bulabiliriz. Yakın zamanda Chrome'un App-Bound Encryption'ını atlatan araçlar çıktı zaten (ZeroCrumb, Chrome-App-Bound-Encryption-Bypass). Bunlar direct syscall-based reflective process hollowing ile şifreli cookie'leri çözüyor. DBSC için de benzer teknikler geliştirilebilir.4. PLATFORM FIRSATLARI
- DBSC sadece Windows'ta aktif (Chrome 146), macOS ve Linux için kesin bir takvim yok.
- Mobil tarayıcılar (Android, iOS) ve diğer browser'lar için hiçbir roadmap yok. Firefox'un bu sistemi uygulamaya niyeti dahi net değil.
- Her site DBSC'yi kullanmak zorunda değil. Zorunlu kılınmamışken bir çok intranet uygulaması, küçük SaaS platformu, eski web tabanlı sistem – TAMAMEN AÇIK.
Uzun lafın kısası: İşimiz zorlaştı, evet. Ama bitti mi? Hayır. Bitti diyenler ya pes etmiş ya da işin ehli değil. Biz işin ehliyiz. Gerekeni yapacağız. Bu duruma sinir olan ben değil miyim? Ama şimdi düşünüyorum da, bu aynı zamanda yeni kapılar da açıyor.
GEÇMİŞ OLSUN SAYIN SPYHACKERZ ÜYELERİ, BİR DEVİR KAPANDI.
Son düzenleme:
💬 SpyHackerz Telegram — Anlık tartışmalar ve duyurular için katıl
