De Europese standaardisatie-organisatie Etsi en de vereniging voor vitale communicatie TCCA ontkennen dat het veel gebruikte radiosysteem Tetra vatbaar is voor hacks, maar er zijn wel zwakke punten aangetroffen. Beide organisaties zeggen zich momenteel niet bewust te zijn van inbraken op Tetra-netwerken.
Etsi ging gedetailleerd in op bevindingen van de Amsterdamse securityconsultant Midnight Blue dat Tetra gemakkelijk valt te hacken. De NOS bracht het nieuws naar buiten dat Schiphol, de Rotterdamse haven, hulpdiensten en energiebedrijven daardoor niet veilig zouden zijn. Criminelen zouden politiediensten kunnen volgen en hun onderlinge communicatie kunnen verstoren, aldus Midnight Blue. Volgens dit securitybedrijf is de toegepaste versleuteling veel zwakker dan beloofd.
Herziene standaarden
Uit een uitvoerige reactie van Etsi blijkt dat Midnight Blue inderdaad onvolkomenheden in Tetra heeft blootgelegd, maar dat de reparatie daarvan in volle gang is. Voordat de Amsterdamse onderzoekers deze zaak aankaartten, was Etsi al bezig de standaarden te verbeteren. Vorig jaar oktober zijn herziene standaarden uitgebracht, mede na kritiek van Midnight Blue.
Etsi heeft de specificaties van de standaarden samen met nationale cybersecurity-organisaties opgesteld. Ze zijn terug te vinden in de exportregels die van toepassing zijn op versleutelingstechnieken. Etsi ontkent evenwel dat zoiets als een ‘backdoor’ is ingebouwd waardoor de politie of inlichtingendiensten gemakkelijker Tetra-gebruikers kunnen afluisteren.
Software patches
Volgens Etsi hebben onderzoekers geen zwakheden in de TEA2- en TEA3-algoritmes kunnen vinden. De zwakheden spitsen zich toe op TEA1, een algoritme voor algemeen gebruik. Ook zijn wat ‘algemene delen’ van het Tetra-protocol gevonden die kunnen worden verbeterd.
Daaraan is of wordt nog gesleuteld. Inmiddels zijn al afgelopen oktober al wat software patches uitgebracht. Bovendien is een migratie naar een verzameling nieuwe algoritmes op gang gekomen. Hierdoor is het systeem veiliger geworden. Gebruik van end-to-end encryptie verlicht de eerder genoemde zwakte in het TEA1-algoritme.
De auteur komt niet verder dan: “De NOS zegt …” en “Midnight Blue zegt …” en “Uit een uitvoerige reactie van ETSI blijkt dat …”. Graag had ik wat eigen graaf- en spitwerk van de journalist gelezen, zodat ik de geciteerde uitspraken beter kan duiden. Nu moet ik als lezer zelf maar uitzoeken wie en wat ik geloof.
De titel van het artikel, “Radiosysteem is Tetra minder veilig dan gedacht”, belooft dan ook meer dan het artikel waar maakt. Het artikel roept meer vragen op dan het beantwoordt.
Als Bart Jacobs net zoals in de NOS berichtgeving ook even geciteerd was, werd de kop weer een stuk logischer: Bart Jacobs van de Radboud Universiteit oordeelt in de krant vernietigend over het systeem. “Dit is oude meuk en had allang vervangen moeten worden.”
Wat ook wel even in het artikel vermeld had mogen worden over dit onderzoek: “This research was supported by the NLnet Foundation with financial support from the European Commission’s Next Generation Internet programme.”
TETRA is de standaard waar C2000 op gebaseerd is en wordt op termijn vervangen door 4/5G, aangeduid met het acroniem NOOVA (Nieuwe Openbare Orde en Veiligheidsarchitectuur), zie https://eu.eu-supply.com/ctm/Supplier/PublicPurchase/348468/ voor de laatste marktconsultatie.
Journalisten van Wired hebben een uitgebreider artikel met veel technische details geschreven: https://arstechnica.com/security/2023/07/researchers-find-deliberate-backdoor-in-police-radio-encryption-algorithm/. Hier staat veel meer achtergrond in.
Meer informatie van Midnight Blue is te vinden op: https://www.midnightblue.nl/tetraburst.
Zie ook: https://www.techzine.nl/blogs/security/527667/nederlandse-onderzoekers-ontrafelen-kwetsbaarheden-tetra-systeem/
Dat er een bewust ‘achterdeurtje’ in het TEA1 algoritme (CVE-2022-24402) gemaakt zou zijn, bedoeld om afluisteren door politie of inlichtingendiensten mogelijk te maken, dat komt nogal vreemd over. Deze versie wordt bijvoorbeeld voor het beheer van kritische infrastructuur in de EU gebruikt.
Ik vind dat niet zo vreemd. In het veiligheidsdenken rond de eeuwwisseling was dit niet ongebruikelijk. Anno nu denken we (enkelingen uitgezonderd) daar gelukkig anders over.