Lucas Lundgren, it-säkerhetskonsult, hittade tiotusentals servrar som skickar känslig information när han skannade internet efter MQTT, ett överföringsprotokoll i servrar som inte är särskilt säkert.
Varningssystem för strålningsmätare i kärnkraftverk, dörrar i fängelser och oljetryck i pipelines skickade information via servrar som låg helt öppna för att kunna läsa av – och att styra.
Under ett rutinuppdrag hos en kund upptäckte it-säkerhetskonsulten Lucas Lundgren på danska Fort Consult en typ av server han inte sett tidigare. Han bestämde sig för att undersöka saken närmare.
När han var klar hade han hittat tiotusentals liknande servrar, som hanterar data från fängelser, sjukhus och kärnkraftverk och som alla är uppkopplade mot internet på ett väldigt osäkert sätt.
Det kallas för MQTT och är ett överföringsprotokoll för uppkopplade system. Den första versionen kom redan 1999, när teknikvärlden såg ut på ett helt annat sätt än i dag.
– Det är ett effektivt och snabbt sätt att skicka information mellan uppkopplade system. Men är man inte uppmärksam blir det också väldigt osäkert, säger Lucas Lundgren.
Ett sätt att använda MQTT fel är att skicka verksamhetsdata via några av MQTT-servrarna, så kallade brokers, som egentligen bara är tänkta att användas i testsyfte. Och att göra det utan att kryptera informationen.
Den vägen lyckades Lucas Lundgren först hitta uppgifter om flygplans positioner, data som han sedan verifierade genom att jämföra med Flightradar.
– Då insåg jag att det verkligen är skarp information som skickas helt öppet på det här sättet, och bestämde mig för att gräva vidare.
I somras höll han en uppmärksammad presentation på it-säkerhetskonferensen Defcon i Las Vegas. Där visade han hur han hittat 57 000 MQTT-brokers när han under ett och ett halvt dygn letat efter dem på varje ip-adress som finns på internet.
– Jag hittade bland annat ett varningssystem som skickar information om sjukdomar och tsunamier, strålningsmätare i kärnkraftverk, dörrar i fängelser, oljetryck i pipelines och så vidare.
Inte all information är hemlig, men en del av det Lucas Lundgren hittade är definitivt sådant som företagen tänkt hålla för sig själva. Och även uppgifter som inte är hemliga i sig kan ställa till problem.
MQTT används inte bara för att samla in information från de anslutna systemen, utan också för att skicka styrkommandon till dem.
– Och eftersom det många gånger helt saknas funktioner för att kontrollera vem det är som skickar kommandot innebär det att det sannolikt går att styra många av de här systemen, säger Lucas Lundgren.
I några fall tog han kontakt med företagen vars system han hittade och fick deras godkännande att testa vad han kunde åstadkomma.
– De kunde verkligen inte tro att det var så här enkelt, säger Lucas Lundgren.
Intresset för hans upptäckt blev inte lika stor som han trodde att den skulle bli. Men Myndigheten för säkerhet och beredskap kontaktade honom och fick ta del av de MQTT-brokers som var anslutna med svenska ip-adresser.
MSB:s analys kunde åtminstone visa att de inte fanns hos några av de företag eller myndigheter som räknas till MSB:s ”prioriterade aktörer”.
Har du gjort om skanningen sedan i somras?
– Ja, och då hittade jag ännu fler brokers. Min gissning är att det bara är en tidsfråga innan någon skriver malware som utnyttjar MQTT, säger Lucas Lundgren.