av Mikael Winterkvist | mar 12, 2025 | Bluesky, Säkerhet, Threads, Twitter
Kort efter det att den sociala plattformen X drabbades av tekniska problem under måndagen så gjorde Elon Musk uttalanden där han pekade ut Ukraina som skyldiga till DDoS-attacken. Påståendet avfärdas nu av säkerhetsexperter som också pekar på att Elon Musks sociala plattform inte skyddat sina egna servrar tillräckligt.
Elon Musk påstod i en intervju med Fox Business att det fanns enheter med IP-nummer som härstammade från Ukraina och utifrån det så drog han slutsatsen att Ukraina låg bakom attacken. Sanningen är en helt annan – X har inte skyddat sina servrar tillräckligt och på ett korrekt sätt, trots att den sociala plattformen är kunder hos Cloudflare och rimligen borde kunna skydda sina system.
Sårbara
Säkerhetsforskaren Kevin Beaumont och andra analytiker har konstaterat att vissa X-servrar, som svarar på webbförfrågningar utifrån, inte var ordentligt skyddade bakom företagets Cloudflare DDoS-skydd utan de stod, sårbara, offentligt utanför skyddet. Attacken kunde därför sätts in direkt mot X servrar.
Wired
X har nu flyttat in de sårbara systemen bakom det skydd som de köper av Cloudflare.
Slutsats: Viktiga servrar har exponerats ut mot nätet på ett sätt som gjort dem sårbara för överbelastnings-attacker.
Det betyder också att det inte har krävts någon större kapacitet för att störa och slå ut den sociala plattformen. En DDoS-attack är tekniskt en enkelt form av attack som går ut på att skicka mer skräptrafik mot ett system än vad det mottagande systemet, offret, klarar av att hantera. I och med att Elon Musk och X inte skyddat alla sina system och flyttat in dem bakom Cloudflares DDoS-skydd så kunde attacken riktas mot just de servrarna.
Slutsats: Elon Musks påstående om att det var en stor, massiv attack med enorma resurser stämmer inte.
Avfärdar
Säkerhetsexeperter avfärdar också Elon Musks utpekande av Ukraina som rent nonsens.
– Med så många komprometterade konsumentenheter över hela internet kan angripare, tänkbart, välja vilket land de vill att all attacktrafik ska komma från, säger David Warburton, chef på F5 Labs, till CyberScoop.
Slutsats: Du kan inte utifrån inblandade IP-nummer dra några som helst slutsatser om var attacken kommer ifrån eller vem som ligger bakom.
Inte första gången
När Elon Musk skulle intervjua Donald Trump i augusti 2024, så drabbades X av tekniska problem och Elon Musk påstod att X utsatts för en attack.
X-anställda som The Verge pratat med avfärdade Elon Musks påståenden.
Länk
Elon Musk skyller DDoS-attacken mot X på Ukraina – helt utan bevis
av Mikael Winterkvist | mar 11, 2025 | Bluesky, Säkerhet, Threads
Över en miljon Windows-användare har infekterats med malware (farlig mjukvara) via illegala streamingwebbplatser och via Microsofts egen webbplats Github.
Den skadliga mjukvaran har använts för att stjäla information från drabbade och sårbara system. Kampanjen, identifierad av Microsoft, riktade sig mot både konsument- och företagsenheter inom en rad branscher och organisationer.
Attacken
Attacken upptäcktes av Microsoft Threat Intelligence (MTI) december förra året. De skadliga programmet distribuerades via illegala streamingwebbplatser, ett program som omdirigerade trafiken till Github (ägs av Microsoft). Angriparna använde Github som värd för de skadliga programmen. MTI hittade också program på Discord och på Dropbox.
”Den fullständiga omdirigeringskedjan bestod av fyra till fem lager”, skriver MTI i ett blogginlägg.
”Microsofts forskare fastställde att omdirigering av malvertising fanns i en iframe på illegala streamingwebbplatser. Filerna användes för att samla in systeminformation och för att ställa in ytterligare skadlig programvara och skript för att exfiltrera dokument och data från den komprometterade värden.”
Program
I attacken ingår flera redan kända destruktiva och farliga program såsom Lumma och en uppdaterad version av Doenerium. De arkiv och konton som lagrade de nu aktuella programmen har stängts ned och raderats.
Dark Reading
av Mikael Winterkvist | mar 11, 2025 | Bluesky, Säkerhet, Threads, Twitter
Elon Musk hävdar att den omfattande överbelastningsattacken mot den sociala plattformen X styrdes från Ukraina:
– Vi är inte säkra på exakt vad som hände, men det var en massiv cyberattack för att försöka få ner X-systemet, med IP-adresser från Ukrainaområdet, sa Elon Musk i en intervju med Fox Business på måndagseftermiddagen.
X drabbades av tekniska problem under måndagen med långa svarstider och periodvis så kunde tjänsten inte nås av ett stort antal användare.
Elon Musk antydde först att det kunde vara Ukraina, alternativt ukrainska IP-nummer som låg bakom attacken, alltså en statsunderstödd attack. Senare i en intervju med Fox Business News så pekade han ut Ukraina och hävdade att attacken kom ifrån landet. Nu ska tilläggas att när det gäller den här typen av överbelastningsattacker, DDoS, så är det vanskligt, för att inte säga mycket vanskligt att försöka att peka ut vissa enskilda länder som skyldiga.
Analyser
I det här fallet så visar analyser att en större del av trafiken gick via bland annat via Vietnam och Brasilien – vilket inte är detsamma som att attackerna startade eller styrdes från något av de länderna. Du kan helt enkelt inte göra en sådan tolkning eller dra sådana slutsatser vilket alla, som kan och vet något om DDoS-attacker också känner till.
Tänk dig att du har ett gigantiskt stort nätverk med datorer, kameror, routrar, switchar och andra uppkopplade prylar. Ett nät som du kontrollerar, kan styra, och vars trafik du kan rikta ut olika håll. Detta är ett så kallat botnet, ett nät bestående av botar, kapade enheter runt om i hela världen. Med mjukvara så skickar detta gigantiska nät all utgående trafik mot ett och samma håll – i det här fallet mot X servrar. Mängden trafik dränker till slut det drabbade systemet som inte klarar att hantera all inkommande trafik. Teknisk så är detta en enkel attack som bygger på matematik och mängder med data. Skicka mer data mot ett system än detta system klarar av att hantera så kommer det drabbade systemet att sluta att svara, att krascha och inte vara tillgängligt.
Finns det IP-nummer från vissa länder med i trafiken så tyder det snarare på att det finns kapade enheter i de länderna än att attacken skulle vara styrd från ett visst land.
Dark Storm Team
Check Point Research (CPR), en forskargrupp som studerar cyberhot, uppger för Newsweek att The Dark Storm Team, en pro-palestinsk cyberattackgrupp har tagit på sig ansvaret för attacken mot X. Gruppen är känd för att ha iscensatt liknande attacker riktade mot västerländska företag och organisationer, i USA, Ukraina, Förenade Arabemiraten och Israel bland andra. Gruppen tycks nu vara aktiv igen efter en längre periods tystnad.
The Dark Storm Team under den senaste månaden attackerat kritisk infrastruktur, inklusive Los Angeles International Airport (LAX), Haifa Port i Israel och Förenade Arabemiratens försvarsministerium med likande typ av attacker.
Via ett meddelande på Telegram, som nu har raderats, så har gruppen tagit på sig attacken riktad mot Elon Musks X.
Statsunderstödd
Det faktum att det handlar om en DDoS-attack talar mot att det skulle handla om en statsunderstödd attack som Elon Musk hävdar. Statsunderstödda hackare använder ytterst sällan överbelastningsattacker av den här typen därför att de är ute efter att antingen slå ut ett system permanent eller ta sig in för att komma över viktig information. DDoS-attacker används däremot mycket mera ofta av fristående grupper, så som The Dark Storm Team, vilket inte ska tolkas som en bekräftelse på att det verkligen är just denna grupp som ligger bakom attacken mot X. Det stämmer däremot bättre in, historiskt och erfarenhetsmässigt, för hur fristående grupper attackerar företag, organisationer, medier, politiska motståndare och så vidare. Målet är att skapa uppmärksamhet, det rakt motsatta mot vad statsunderstödda hackare önskar. De vill förbli oupptäckta så länge det går.
The Dark Storm Team har också, precis som hackargruppen Anonymous Sudan, lierat sig med ryska hackare. Anonymous Sudan gjorde sig kända för att med liknande attacker slå till mot en rad svenska företag, skolor, universitet och mediabolag under 2022 och 2023. I oktober 2024 slog polis till mot den gruppens infrastruktur (datorer och nätverk), flera av de ansvariga greps. Anonymous Sudan, som inte har någonting med gruppen Anonymous att göra, använde ryska botnet i sina attacker och samarbetade också med fristående ryska hackare.
Det finns fler likande grupper som agerar utifrån en pro-rysk agenda. Ett annat exempel är NoName057(16) som attackerade en rad svenska bolag, Skatteverket, Jernhusen, SJ, SL, PTS, Riksgälden, Finansinspektionen, Nyhetsbyrån, Försvarsmakten, riksdagen, SJ, och Trafikverket våren 2023.
Stämmer inte
Elon Musks påståenden stämmer helt enkelt inte med hur fristående hackaregrupper agerar i en jämnförelse med statsunderstödda hackare. Deras attackmetoder är helt olika liksom deras syften och mål. Enkelt uttryckt så vill de fristående grupper skapa uppmärksamhet medan de statsunderstödd grupperna vill det rakt motsatta. DDoS-attacker kan ses som en slags aktivism, avsedd för att skapa uppmärksamhet, för att synas.
Texten ovan bygger på mina egna erfarenheter efter att ha arbetat med data- och informationssäkerhet sedan slutet av 1980-talet. Den bygger också på samlade erfarenheter och rapporter som säkerhetsforskare har gjort samt på den samlade tekniska kunskap som finns när det gäller DDoS-attacker tillsammans med analyser och studier som gjorts av statsunderstödda hackargrupper. Texten ska inte ses som en bekräftelse eller som ett påstående om att en viss grupp ligger bakom attacken mot X men den ska ses som ett påstående om att mycket lite, för att säga ingenting, talar för att Elon Musk har rätt i sina påståenden.
av Mikael Winterkvist | mar 10, 2025 | Bluesky, Säkerhet, Threads
En varning – nu används brev från falska användare (phishing) för att försöka locka användare att logga in på falska hemsidor för att lämna ifrån sig kontouppgifter.
Likt tidigare så handlar det om Swish och påståenden om att du som, användare måste ligga in för att bekräfta dina uppgifter.
Inloggnikngen går till en falsk hemsida:
Avsändaren adressen är falsk även den:
Kasta brevet är rådet!
Tilläggas kan att vare sig Swish eller några seriösa tjänsteleverantörer kommer att behöva be dug att logga in för att bekräfta uppgifter som de rimligen redan har.
av Mikael Winterkvist | mar 10, 2025 | Bluesky, Säkerhet, Threads
Ett mikrochipset, ESP32, tillverkat av den kinesiska tillverkaren Espressif och som används av över 1 miljard enheter från och med 2023 innehåller odokumenterade kommandon som kan utnyttjas för attacker. Avslöjandet visar att kommandona kan användas föret som kallas för spoofing av betrodda enheter, obehörig dataåtkomst och för att ta över till andra enheter i nätverket.
Upptäckten har gjorts av de spanska forskarna Miguel Tarascó Acuña och Antonio Vázquez Blanco från Tarlogic Security, som presenterade sina resultat nyligen i samband med RootedCON i Madrid.
Bakdörr
”Tarlogic Security har upptäckt en bakdörr i ESP32, en mikrokontroller som möjliggör WiFi och Bluetooth-anslutning och som finns i miljontals IoT-enheter på massmarknaden”, säger Tarlogic i ett meddelande till BleepingComputer.
”Exploatering av denna bakdörr skulle göra det möjligt för fientliga aktörer att utföra imitationsattacker och permanent infektera känsliga enheter som mobiltelefoner, datorer, smarta lås eller medicinsk utrustning genom att kringgå kontroll av kodkontroll.”
Forskarna varnade för att ESP32 är ett av världens mest använda chips för Wi-Fi + Bluetooth-anslutning i IoT-enheter (Internet of Things), vilket gör säkerhetsrisken är betydande.
Nu ska tilläggas att de odokumenterade kommandona tekniskt inte är en bakdörr i traditionell mening men den praktiska användningen liknar mycket en dold, odokumenterad funktion för att ta över en enhet.
29 kommandon
Totalt hittade de 29 odokumenterade kommandon, gemensamt karakteriserade som en ”bakdörr”, som kunde användas för minnesmanipulation (läs/skriv RAM och Flash), MAC-adressförfalskning (enhetsidentifiering) och LMP/LLCP-paketinjektion.
Det allvarliga säkerhetsproblemet har fått beteckningen CVE-2025-27840.
av Mikael Winterkvist | mar 8, 2025 | Bluesky, Säkerhet, Threads
Du behöver ett program, en app och en tjänst för att hantera dina inloggningsuppgifter, alla dina konton. Låt oss fastslå det direkt så att vi kan biläga den diskussionen. Du ska också skap lösenord slumpmässigt om du vill ha säkra inloggningar – och du bör även ha det som kallas 2FA påslaget och aktiverat för att skydda dina konton. Så vilken av dessa lösenordshanterare är då bäst?
Idag har de flesta av oss en rad konton, inloggningsuppgifter med namn och lösenord att hålla reda på och det fungerar ett tag att lagra allt i dokument men det är vanskligt därför att du för eller senare kommer att glömma bort att skriva upp uppgifterna och ur säkerhetssynpunkt så är det förkastligt att lagra så känsliga uppgifter i klartext. Du behöver en app, ett program och en tjänst för att hålla reda på dina inloggningsuppgifter, lagra dem automatiskt och som ser till att dina lösenords väljs slumpmässigt.
Magasin Macken har plockat ut fyra program – LastPass, 1Password och Bitwarden som alla har mycket snarlika funktioner, som kan hantera dina uppgifter men som skiljer sig åt på några punkter. Alla de här programmen lagrar dina kontouppgifter skyddat och krypterat i det som brukas kallas för ett valv (vault). Detta valv kan synkroniseras mellan olika enheter så att du alltid har med dig dina lösenord.
KeyChain
Det här är Apples inbyggda lösenordshanterare. Den följer alltså med i iOS, iPadOS och macOS (och andra operativsystem). Lösenord kan synkroniseras mellan olika enheter om du aktiverar iCloud Keychain. Då funktionen är inbyggd i operativsystemet så finns inget tillägg, ingen plugin för webbläsare och ingen dedikerad app. Funktionerna finns som sagt i operativsystemet.
Omdöme:
Keychain kan tyckas vara det självklara och naturliga valet för de som använder Apples prylar men det finns vissa invändningar. Till att börja med så saknade Keychain funktioner och stöd för 2FA en lång tid vilket betyder att många användare har valt andra program för den funktionen. Keychain är inte heller lika enkelt, lika smidigt att hantera som flera av de andra programmen och fungerar inte alltid med andra webbläsare eller program (utom Apples egna).
LastPass
LastPass har alla de grundläggande funktionerna:
- Valv vars uppgifter kan synkroniseras
- Egen lagring av dina uppgifter
- Plugin/tillägg för de vanligaset webbläsarna
- Automatiska funktioner
Det är ett lättanvänt program/app som finns för iOS, iPadOS och macOS, allt det du kan behöva.
Omdöme:
LastPass var länge mångas favoritprogram och jag var nära att byta till LastPass några gånger. Det är snyggt designat, har utbyggd support och alla funktioner som du kan önska dig men LastPass har också, till skillnad från konkurrenterna, drabbats av flera allvarliga säkerhetsincidenter på senare år. Det handlar om intrång, krypteringsnycklar som hamnat i orätta händer och om att programmet innehåller crackers, funktioner som samlar in data om användarna.
1Password
Snyggt, elegant designat med alla de funkioner du kan förvänta dig och önska dig. 1Password fungerar utmärkt i en Apple-miljö med plugins, appar och program för alla dina enheter. Utmärkt support, familjeabonnemang och en stor samling med tips och dokumentation om programmet och tjänstens funktioner. 1Password kostar en slant men det är en klok investering om du vill ha ett program som verkligen fungerar – och som i alla fall hitllsl också har sett till att lagra alla dina data säkert.
Omdöme:
1Password är ett utmärkt val om du är på jakt efter en riktigt bra lösning. Alla apparna, programmen och tilläggen integreras snyggt och prydligt om du har en iPhone, en iPad och en Mac exempelvis.
Bitwarden
Gratis för privat bruk med en app för iOS/iPadOS, ett program för macOS och med stöd för Apple Watch. I stort samma funktioner, samma snygga integrering i en Apple-miljö men den skillnaden att Bitwarden inte riktigt är lika elegant och snyggt designad som 1Password. I övrigt har du allt – support, dokumentation och pålitlig lagring.
Omdöme:
Jag har valt Bitwarden, efter många år med 1Password och hade det hängt på utseendet så hade jag aldrig bytt program och app. Mitt val och mitt byte hänger ihop med en enda enskild detalj som sannolikt inte betyder något för dig – om du kör en enda lösenordshanterare (vilket rekommenderas). Jag kör både Keychain och ytterligare en lösenordshanterare (fråga inte varför) och då fungerar Bitwarden bättre.
Macken rekommenderar:
Bitwarden eller 1Password.
