Hackers: radiocommunicatie van cruciale diensten gevoelig voor inbraak
De communicatiesystemen van cruciale diensten blijken gevoelig voor hacks. Nederlandse onderzoekers ontdekten dat de beveiliging van het veelgebruikte radiosysteem Tetra makkelijk is te omzeilen. Kwaadwillenden zouden daardoor kunnen meeluisteren met Schiphol, de Rotterdamse haven, energiebedrijven of hulpdiensten.
Tetra werd in de jaren 90 ontwikkeld om de digitale communicatie van professionele gebruikers te stroomlijnen. Het is bedoeld om sneller, betrouwbaarder en veiliger te zijn dan andere digitale communicatienetwerken, zoals gsm, dat de basis vormt voor mobiele telefonie.
Experts van het beveiligingsbedrijf Midnight Blue ontdekten dat communicatie via dit systeem valt af te luisteren en terug te halen. Dat zou het voor criminelen bijvoorbeeld eenvoudig maken om de bewegingen van politiediensten na te gaan of juist de onderlinge communicatie te verstoren.
Daarnaast zouden er gevaarlijke situaties kunnen ontstaan als de kwetsbaarheden worden uitgebuit om cruciale infrastructuur te ontregelen. Het is volgens de onderzoekers niet onmogelijk stroomnetwerken te laten uitvallen of treinverkeer te saboteren.
Achterdeurtje
De experts van Midnight Blue concluderen dat er expres een zwakke plek in de encryptie van het systeem is ingebouwd. Ze stellen dat dat 'achterdeurtje' is bedoeld om afluisteren door politie of inlichtingendiensten mogelijk te maken.
Doordat de gebruikte encryptie veel zwakker bleek dan beloofd, duurt het niet jaren om de versleuteling te breken. Met een gewone laptop is het al in enkele minuten te doen. Hier geldt net als voor reguliere wachtwoorden: hoe korter de encryptiesleutel, hoe minder mogelijke combinaties.
Midnight Blue heeft 2,5 jaar gewerkt aan een analyse van het Tetra-systeem. De onderzoekers hebben in december 2021 al het Nationaal Cyber Security Centrum ingelicht.
'Oude meuk'
ETSI, de Europese beheerder van Tetra, zegt in een reactie tegen de Volkskrant dat er geen gevallen bekend zijn van misbruik door criminelen. Daarbij moet wel worden aangetekend dat het traceren van misbruik moeilijk tot onmogelijk is.
ETSI ontkent dat er opdracht is gegeven expres een zwakke plek in te bouwen en verwijst naar exportregels die de lengte van encryptiesleutels beperkt. Gebruikers waren daarvan evenwel veelal niet op de hoogte.
Er is inmiddels een beveiligingsupdate beschikbaar, maar nog niet alle organisaties die Tetra gebruiken, hebben die al geïnstalleerd. Hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit oordeelt in de krant vernietigend over het systeem. "Dit is oude meuk en had allang vervangen moeten worden."