I foråret 2022 fik journalisten på fagmediet Version2, Mads Lorenzen, en henvendelse fra en læser om noget, der berører de fleste mennesker: adgang til private hjem. Læseren havde opdaget en usikkerhed i en nøglebriktype, der blev brugt til mange lejligheder.
Gennem et halvt år havde læseren forsøgt at advare firmaet, der solgte nøglebrikslåsen. Men firmaet havde ikke taget det alvorligt, syntes læseren, der nu håbede, at Version2 kunne skabe opmærksomhed om sagen.
Mads Lorenzen sagde ja til at undersøge det. Han kalder læseren for en 'etisk hacker', en person, der tester it-systemer for at forbedre sikkerheden, ikke for at begå kriminalitet. Sammen satte de sig for at teste, om nøglebrikkens chip kunne scannes, kopieres og ændres.
Det kunne den.
Hvad er kryptering?
Kryptering er en kode, der fungerer som en slags elektronisk dør. Den beskytter information ved at gøre den ulæselig, indtil man anvender den rigtige nøgle (kode). Med den rigtige nøgle bliver det, der er krypteret, forståeligt igen.
Kryptering kan både anvendes til tekst, billeder og data generelt. En svag kryptering er nem at bryde. Det vil sige, at det er nemt og hurtigt at læse ellers ulæselige data. En stærk kryptering er svær og tidskrævende at bryde.
Når en kryptering er brudt, kan den ikke længere bruges til at låse information sikkert inde. Man siger, at krypteringen er kompromitteret.
Ændrede nemt kode til nøglebrik, så den kunne åbne alle lejligheder
– På min computer lavede jeg et par ændringer i koden, så nøglebrikken nu kunne åbne alle lejligheder, der havde låsesystemet, i stedet for kun at kunne åbne én. Jeg lagde den ændrede kode over på en chip på et rejsekort, men man kunne også have brugt en ny nøglebrik, fortæller Mads Lorenzen.
Han er stadig lidt i chok over, hvor nemt det var.
– Da jeg først havde fået det vist af den etiske hacker, kunne jeg selv gøre det uden at have en it-uddannelse, siger journalisten.
Nu var spørgsmålet, hvad han skulle stille op med sin nye viden.
– Jeg havde mange overvejelser om, hvorvidt det ville være forkert at fortælle om den usikre chip og scanningen i de artikler, jeg skrev. Skulle jeg fortælle, hvordan vi scannede og ændrede koden? Ville det inspirere nogle forbrydere? Men jeg ser sådan på det, at de slemme fyre allerede ved, hvordan man gør det her. Nu handler det om at få informeret alle andre, så vi kan stoppe det og højne sikkerheden, siger Mads Lorenzen.
Boligforeninger har forbedret sikkerhed med låse
Derfor kontaktede han en række af de boligforeninger og ejendomsforvaltere, der havde samme låsesystem. Med deres tilladelse kontaktede han beboerne. Nu skulle den ændrede kode testes.
– De fleste blev forfærdede, når jeg viste dem, at jeg kunne låse deres lejlighed op med mit rejsekort. De havde jo en illusion om, at deres hjem var sikkert. Nogle blev bange, når jeg ringede på, og jeg måtte bruge en del tid på at forklare, at jeg ikke var en svindler eller en indbrudstyv, husker Mads Lorenzen.
Videncentret Bolius har været i kontakt med forvalteren for nogle af de ejendomme, hvor Mads Lorenzen kunne åbne låsene med den ændrede nøglebrikkode. Ejendomsforvalteren ønsker ikke at stå frem med navn, men de bekræfter det forløb, Mads Lorenzen har beskrevet. Firmaet oplyser, at man har foretaget de nødvendige greb for at sikre bedre sikkerhed.
Mads Lorenzens elektroniske lås kan ikke hackes
For Mads Lorenzen selv har forløbet sat tanker i gang, både om hans eget hjem og om, hvordan vi som samfund bruger elektroniske låse.
– Jeg har faktisk selv en elektronisk lås derhjemme. Den kan ikke scannes, det har jeg tjekket. Den består både af en chip og en mekanisk nøgle, der er strømførende. Hvis man kun har chippen, kan man ikke åbne låsen, siger han.
De fleste blev forfærdede, når jeg viste dem, at jeg kunne låse deres lejlighed op med mit rejsekort.
Når den hackede nøglebrik virker så ubehagelig, tror Mads Lorenzen, at det blandt andet handler om, at den kan gøre indbrud usynlige, fordi et indbrud med en manipuleret nøglebrik ikke vil være tydeligt, som hvis der er smadret en rude.
– Hvis professionelle havde testet den nøglebrik, jeg ændrede, ville de have fundet bristen. Jeg kender mange, der kan lave denne slags angreb. Laver man et sikkerhedssystem med nøglebrikker, burde det testes af en etisk hacker som den, der kontaktede mig, siger han.
Elektroniske låse bør være mere sikre
Han tilføjer, at ingen låsesystemer er 100 procent sikre, men at sikkerheden skal passe til værdien af det, låsen beskytter:
– Der er ikke noget galt med at bruge en chip med svag kryptering til nøglebrikker, der for eksempel skal åbne et skraldeskur. Men når det er lejligheder, taler vi om værdier for millioner og om folks privatliv. Sikkerheden skal op, når det handler om folks ve, vel og ejendele, siger Mads Lorenzen og tilføjer, at man også selv kan gøre noget.
– Stil spørgsmål om låsesystemets svagheder. Alle it-systemer har svagheder, det er kun et spørgsmål om, hvordan man som leverandør håndterer dem, når de opdages.