Dansk sikkerhedsfirma slår alarm: "Jeg har fundet et atomkraftværk, hvor man kunne hæve strålingsniveauet og et fængsel, hvor fængselsdørene kan åbnes fra en server"

Dansk sikkerhedsfirma finder hidtil ukendt fejl, der kan udløse en katastrofe, hvis data havner i de forkerte hænder. Men der findes en løsning.

Artikel top billede

Hæveautomater, el-forsyning og trafiklys skulle helst gerne virke uden problemer i vores nuværende og fremtidige samfund.

Men det sikre fremtidssamfund sår en it-ekspert fra det danske sikkerhedsfirma FortConsult nu tvivl ved.

For han har fundet en grel fejl i en forbindelsesprotokol ved navn MQTT, der binder milliarder af enheder sammen i Internet of Things-netværket (IoT). 

Sikkerhedseksperten er svenske Lucas Lundgren fra FortConsult, og han siger, at fejlen snarere er opsætningen af MQTT end selve protokollen. 

Han forklarer til Computerworld, at MQTT-protokollen fra 1998 er en protokol til letvægter-kommunikationen.

Dermed er den ret god til at lade sensorer og andre små enheder kommunikere ubesværet over internetværket.

Det knap så gode er dog opsætningen af MQTT, som kan skabe enorme sårbarheder.

Sådan opstår katastrofen

Grundlæggende handler fejlopsætningen i MQTT ifølge Lucas Lundgren om, at kommunikationen kan opfanges, ændres og sendes videre til andre - eventuelt i en manipuleret form.

Det betyder altså, at milliarder af enheders kommunikation potentielt er sårbar, hvis kommunikationen bliver tilgået af onde sjæle.

"Fordi protokollen er udviklet med henblik på at være effektiv, og dermed har en lav båndbredde og lav CPU-kraft, er det meget nemt at manipulere med data og skabe katastrofer, hvis man ikke har beskyttet sig," fortæller Lucas Lundgren fra FortConsult, som er ejet af britiske NCC Group

Han forklarer, at alle med en computer under armen kan skabe katastrofale handlinger med opsætningsfejlen.

"Jeg fandt fejlen i slutningen af juni, fordi jeg har en stor interesse for Internet of Things og så for at hacke ting. Jeg læste derfor MQTT-manualen, hvor der står, at man ikke må bruge protokollen uden kryptering. 20 minutter efter jeg havde læst manualen, fandt jeg den første sårbare server uden kryptering," siger han.

Lucas Lundgren forklarer, at alle enheder - det vil sige alle 'things' i begrebet Internet of Things - typisk bliver styret af en server.

Og det er denne kommunikation mellem enheden og serveren, som er den farlige del af ligningen.

For hvis du eksempelvis opstiller et netværk med 100 gadelamper, der skal slukkes, når der ikke er mennesker på gaden, kan en ondsindet person tilgå serveren ved at udgive sig for at være en lampe.

"Når serveren er online, kan folk tro, at alt er godt og dejligt. Men de skal vide, at når serveren er online, kan enhver med den rette autentifikation også forbinde sig til serveren. Og når de først er forbundet, kan de læse og manipulere alle former for data, der er på den server," siger Lucas Lundgren.

Slip fængselsfangerne løs

Han fortæller, at manipulationen af data foregår ved, at man på ukrypterede servere abonnerer på datastrømmen ved at benytte hashtags. Herefter vil alle data til og fra serveren blive sendt i ens retning.

"Du kan kopiere data fra strømmen og ændre data, som det passer dig. I eksemplet fra før kan man tilkoble sig samme server som lamperne og sige til systemet, at der overhovedet ikke er mennesker på gaden. Så vil alle lamperne slukke på én gang. Men manipulation af gadelamper er altså et rosenrødt eksempel."

Lucas Lundgren forklarer, at han via Internet of Things-søgemaskinen Shodan på verdensplan har fundet 45.000 ukrypterede servere.

Hver af disse 45.000 servere kan have tusindvis af enheder tilkoblet til sig via port 1883.

"Jeg har set et atomkraftværk, hvor man kunne hæve strålingsniveauet og et fængsel, hvor fængselsdørene kan åbnes fra en server. Det er jo stærkt bekymrende, hvis der altså ikke er tale om test-cases. Der er så meget data derude, at det er svært at overskue," forklarer it-sikkerhedseksperten.

Han fortæller også, at han har set en direkte GPS-tracking af en bil, der kommunikerede med en satellit.

"Det lignede regeringsovervågning, da jeg så en kørende bil koblet op til en satellit i realtid, men jeg kan altså ikke gå i detaljer med den slags uden at komme i problemer," fortæller Lucas Lundgren.

Læs også: Efter fund af kæmpe IoT-fejl: Sådan beskytter du dine data på nettet

Kryptering er løsningen 

Hans fund er for nyligt blevet demonstreret på hackerkonferencen Defcon.

Her fandt svenskerens fund dog hverken bundklang hos de tilmeldte top-sikkerhedseksperter udi digitalisering eller hos it-pressefolkene på den store hackerkonference.

"Det undrer mig virkelig, for der er tale om et kæmpe problem med opsætningen," lyder det fra Lucas Lundgren.

Han siger dog, at alle disse sikkerhedshovedpiner kan løses ved at kryptere kommunikationen fra enheden - eksempelvis en gadelampe - og hjem til kontrolserveren.

For på den måde kan ingen opsnappe de legitimationsoplysninger, som enheden (gadelampen) sender til serveren for at komme ind for at modtage instrukser.

"Internet of Things-enhederne benytter ikke kun MQTT-protokollen, selvom den er stærkt udbredt. De andre protokoller har dog samme "høje" sikkerhedsniveau. Og ja, det var sarkastisk ment," siger Lucas Lundgren.

Han anbefaler derfor alle med IoT på menukortet om at benytte kryptering i kommunikationen mellem enheder og servere, hvis ikke de ønsker ubudne gæster, der vil have alt andet end kaffe.

Inden de næste fem års tid forventes det, at et sted mellem 50 og 100 milliarder enheder er koblet på internet of things. 

Læs også: 
Gør det selv-IoT: Sådan bygger du et smartere hjem med billig hardware

Læses lige nu

    Event: Platform X 2027: Forretning, teknologi og transformation

    It-løsninger |

    Mød verdens stærkeste og mest effektive platforme der driver den digitale transformation samlet i København - og dyk ned i den nyeste teknologi.

    27 maj 2027 | Gratis deltagelse

    Capgemini Danmark A/S

    AI Data Architect

    Københavnsområdet

    Green Power Denmark

    It-chef med udviklingsfokus

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Cyberdivisionen søger to sektionschefer til Systemafdelingen i Hvidovre

    Københavnsområdet

    Navnenyt fra it-Danmark

    Trafikstyrelsen har pr. 1. maj 2026 ansat Nihad Hodzic som IT og Digitaliseringschef. Han skal især beskæftige sig med med IT-projekter og digital transformation, herunder især det strategiske løft af Trafikstyrelsens digitale niveau. Han kommer fra en stilling som Kontorchef hos Udviklings og Forenklingsstyrelsen. Han er uddannet i statskundskab og har en lederuddannelse fra MIT Sloan, samt en igangværende Master i IT-Ledelse. Han har tidligere beskæftiget sig med IT-udvikling og større projekter på momsområdet, hvor han har ledet et projekt- og udviklingskontor. Nyt job

    Nihad Hodzic

    Trafikstyrelsen

    Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

    Lauren De Ventura

    emagine Expertise A/S

    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics