Onderzoekers ontdekken beveiligingsproblemen in Tetra-communicatiesysteem

Gepubliceerd op 25/07/2023 06:00 in Tech

Nederlandse onderzoekers hebben geconstateerd dat de beveiliging van het Tetra-radiosysteem, dat veel wordt gebruikt door cruciale diensten, gemakkelijk te omzeilen is. Dit betekent dat kwaadwillenden kunnen meeluisteren met communicatie bij onder andere Schiphol, de Rotterdamse haven, energiebedrijven en hulpdiensten.

Tetra is een communicatiesysteem dat in de jaren 90 is ontwikkeld om de digitale communicatie van professionele gebruikers te verbeteren. Het is bedoeld om sneller, betrouwbaarder en veiliger te zijn dan andere digitale communicatienetwerken, zoals de gsm, die de basis vormt voor mobiele telefonie.

Experts van beveiligingsbedrijf Midnight Blue hebben ontdekt dat de communicatie via het Tetra-systeem afgeluisterd en opgevraagd kan worden. Dit maakt het bijvoorbeeld mogelijk voor criminelen om de bewegingen van politiediensten te volgen of om de onderlinge communicatie te verstoren.

Daarnaast kunnen er gevaarlijke situaties ontstaan als de kwetsbaarheden worden misbruikt om cruciale infrastructuur te ontregelen. De onderzoekers stellen dat het mogelijk is stroomnetwerken uit te schakelen of treinverkeer te saboteren.

Volgens de experts van Midnight Blue is er opzettelijk een zwakke plek in de encryptie van het Tetra-systeem ingebouwd. Ze beweren dat dit 'achterdeurtje' bedoeld is om afluisteren door politie of inlichtingendiensten mogelijk te maken.

De gebruikte encryptie bleek veel zwakker te zijn dan beloofd, waardoor het niet jaren maar slechts enkele minuten duurt om de versleuteling te kraken met een normale laptop. Dit geldt net als bij reguliere wachtwoorden: hoe korter de encryptiesleutel, hoe minder mogelijke combinaties er zijn.

Het onderzoeksteam van Midnight Blue heeft 2,5 jaar besteed aan een analyse van het Tetra-systeem en heeft in december 2021 het Nationaal Cyber Security Centrum op de hoogte gebracht.

De Europese beheerder van Tetra, ETSI, reageert op de bevindingen en verklaart dat er geen gevallen bekend zijn van misbruik door criminelen. Het is echter moeilijk, zo niet onmogelijk, om misbruik op te sporen.

ETSI ontkent dat er opdracht is gegeven om opzettelijk een zwakke plek in te bouwen en verwijst naar exportregels die de lengte van encryptiesleutels beperken. Het merendeel van de gebruikers was echter niet op de hoogte van deze beperkingen.

Er is inmiddels een beveiligingsupdate beschikbaar, maar nog niet alle organisaties die Tetra gebruiken, hebben deze update geïnstalleerd. Hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit is vernietigend in zijn oordeel over het systeem. Hij noemt het "oude meuk" en vindt dat het allang vervangen had moeten worden.

Lees meer nieuws in tech