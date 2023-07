Meldkamer van de regio Rotterdam-Rijnmond, met uitzicht op de Erasmusbrug in Rotterdam. De meldkamer werkt met het communicatiesysteem C2000, dat gebruikmaakt van Tetra. Beeld ANP

Dat geldt ook voor het Nederlandse C2000-netwerk voor politie, brandweer en ambulance, vitale partijen als de Rotterdamse haven, Schiphol en defensie-onderdelen.

De onderzoekers van beveiligingsbedrijf Midnight Blue konden verschillende succesvolle aanvallen uitvoeren en zo radioverkeer onderscheppen en mobilofoons van bijvoorbeeld de politie identificeren. Ook vonden zij in één van de Tetra-algoritmes een ‘bewuste achterdeur’ – een verzwakking om afluisteren mogelijk te maken.

Joan Daemen, hoogleraar Digitale Veiligheid aan de Radboud Universiteit Nijmegen, noemt de ontdekking van de Nederlandse onderzoekers ‘belangrijk’. Daemen: ‘Een van de beveiligingsprotocollen van Tetra is moedwillig verzwakt met het idee dat inlichtingen- en opsporingsdiensten altijd bij de communicatie moeten kunnen.’ Een ‘naïeve en achterhaalde gedachte’ volgens Daemen. Hij wijst erop dat het protocol uit de jaren negentig stamt en is verouderd. ‘Als de goede jongens bij de communicatie kunnen, kunnen de foute jongens er ook bij.’

Het Nationaal Cyber Security Center (NCSC), dat sinds enige tijd op de hoogte is van de kwetsbaarheden, zegt dat maatregelen zijn getroffen. ‘Politie, Koninklijke Marechaussee, brandweer en ambulance zijn geïnformeerd over de te nemen stappen om een beveiligingsupdate te installeren.’ Ook heeft Nederland actief afstemming gezocht met andere landen ‘die voor missiekritische communicatie’ gebruikmaken van de Tetra-standaard, zoals Duitsland, Engeland en Denemarken.

Antenne op ambassade

Uit Amerikaanse overheidsdocumenten die gelekt zijn via WikiLeaks blijkt dat een Italiaanse fabrikant al in 2006 wist van de verzwakte encryptie. Volgens de fabrikant, die Tetra-radio’s wilde verkopen aan politiediensten in Iran, was Tetra vanwege de zwakke beveiliging niet geschikt voor ‘militair gebruik’ en gold voor Iran dus geen exportrestrictie.

Westerse afluisterdiensten zijn vanaf zeker 2007 in staat geweest om Tetra-verkeer te onderscheppen en af te luisteren. Dat gebeurde onder meer door Amerikaanse en Australische afluistereenheden tijdens de klimaattop op Bali in 2007. Zij onderschepten lokaal politieverkeer, zo staat in documenten die in 2013 door NSA-medewerker Edward Snowden werden meegenomen.

De Russische ambassade in Den Haag heeft een zogenoemde Yagi-antenne op het dak staan die het juiste frequentiebereik heeft om Tetra-verkeer op te ontvangen. Of dat ook betekent dat Rusland op die manier radioverkeer van politie, brandweer en ambulance in kaart brengt, is niet bekend.

Tetra werd in 1995 geïntroduceerd door het Europees Telecommunicatie en Standaardisatie Instituut (ETSI) als professioneel alternatief voor gsm, dat is bedoeld voor de consumentenmarkt. Tetra moest sneller, robuuster en veiliger zijn. Een oproep starten duurt daarom minder lang dan bij gsm – minder dan een halve seconde –, de geluidskwaliteit is beter, het systeem is betrouwbaarder en niet enkel afhankelijk van masten. De radiogolven kunnen tientallen kilometers overbruggen.

Tetra kan daarnaast datacommunicatie verwerken, wat het geschikt maakt voor olie- en gasbedrijven en fabrieksinstallaties. Politiediensten over de hele wereld gebruiken portofoon- en mobilofoonverkeer gebaseerd op Tetra, maar ook inlichtingendiensten in het Midden-Oosten, elektriciteitsbedrijven, Airbus en oliebedrijf Saudi-Aramco. Tetra kent vier algoritmen: TEA1 is voor commercieel gebruik en voor overheidsdiensten buiten Europa, TEA2 voor politiediensten, zoals ook C2000 in Nederland, TEA3 voor politie en militairen buiten Europa en TEA4 is amper in gebruik. TEA2 is in Nederland geheim verklaard.

Monnikenwerk

De drie specialisten van Midnight Blue – Jos Wetzels, Carlo Meijer en Wouter Bokslag – begonnen in 2021 met hun onderzoek. Daarvoor moesten ze een handigheidje bedenken: fabrikanten leveren niet aan consumenten. Op onlinemarktplaats eBay vond het trio radioapparatuur bij een handelaar in Spanje.

De Nederlanders ontleedden de radio, wat een monnikenwerk van maanden was. Uit de zogeheten signaalprocessor haalden ze de software en reconstrueerden vervolgens de cryptografie. Daarna konden ze vrij simpel – in minder dan drie minuten – een ‘de-anonimiseringsaanval’ uitvoeren, waarbij het mogelijk is om individuele apparaten te identificeren. Daarmee kan een aanvaller bijvoorbeeld zien of een arrestatieteam in de buurt is. Telecomexpert René Pluijmers, die de onderzoeksresultaten bestudeerde: ‘Je ziet dat de encryptie in Tetra sinds medio jaren negentig geen gelijke tred heeft gehouden met de stand van de techniek.’ Dat leidt volgens Pluijmers tot ‘ernstige kwetsbaarheden’.

Ook slaagden de drie onderzoekers erin om met een geavanceerde aanval een willekeurig deel van het berichtenverkeer terug te halen. Hiervoor overstemden zij het bestaande signaal met een eigen radiomast. Door dit trucje kregen ze een arbitrair stuk van de communicatie in handen. Niet realtime, maar achteraf. Stap voor stap konden ze vervolgens dat gedeelte ontsleutelen – ongeacht de gebruikte TEA-variant. Hoogleraar Daemen: ‘Best een ingewikkelde methode, maar voor afluisterdiensten zoals de Amerikaanse NSA of het Britse GCHQ is het een peuleschil.’ Hij vindt dat ‘snel moet worden ingegrepen’ om deze zwakheden in het protocol op te lossen.

Achterdeur

De laatste kwetsbaarheid die de onderzoekers vonden, is de meest serieuze. Ze zagen tot hun verbazing dat TEA1, gebruikt door vitale partijen zoals de Rotterdamse haven, hoogspanningsstations, gaspijpleidingen en spoorwegen maar ook inlichtingendiensten en het leger in landen in Oost-Europa, Midden-Oosten en Azië, een achterdeur bevat. De 80-bits-sleutel die de cryptografie zou hebben, is door een ‘geheime reductie’ in werkelijkheid slechts 32-bits. Dat betekent dat het in plaats van jaren slechts enkele minuten duurt om de versleuteling met een gewone laptop te kraken. Jos Wetzels, een van de onderzoekers: ‘Dit is zo triviaal, dat spot iedere bachelorstudent informatica direct.’ De drie onderzoekers gaan ervan uit dat de achterdeur moedwillig is ingebouwd om afluisteren door politie- en inlichtingendiensten mogelijk te maken.

ETSI, het Europese instituut dat verantwoordelijk is voor Tetra, zegt in een reactie dat van zo’n ‘moedwillige achterdeur’ in het TEA1-algoritme geen sprake is. Maar dat de verzwakte encryptie het gevolg is van de ‘specificaties van veiligheidsdiensten’ die middels ‘exportregulatie’ vaststellen hoe lang encryptiesleutels mogen zijn. De achterdeur zou dus op last van veiligheidsdiensten zijn toegevoegd. Het is niet waarschijnlijk dat gebruikers van TEA1 daarvan op de hoogte zijn. De onderzoekers hebben klanten gesproken die dachten dat ze met robuuste beveiliging te maken hadden.

Volgens de woordvoerder van ETSI zijn de overige kwetsbaarheden in Tetra aan het licht gekomen in een ‘labomgeving’ en zijn er geen gevallen bekend van gekraakte operationele netwerken. Dat is niet in overeenstemming met publieke informatie, zoals de Snowden-documenten. Daaruit blijkt wel degelijk dat westerse diensten al langer in staat zijn Tetra-communicatie te onderscheppen en af te luisteren.

‘Oude meuk’

Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit, is ‘zwaar onder de indruk’ van het werk van de onderzoekers van Midnight Blue. ‘Ze laten overtuigend zien wat de tekortkomingen in Tetra zijn. Dit is oude meuk en had allang vervangen moeten worden.’ Hij wijst erop dat Tetra de beveiliging altijd geheim heeft gehouden. Jacobs: ‘Dat kun je de Europese telecomorganisatie ETSI verwijten: dat ze het niet openbaar hebben gemaakt waardoor de tekortkomingen eerder aan het licht waren gekomen.’ Hij vindt ook dat vitale partijen, zoals de Rotterdamse haven, en overheidsorganisaties die vertrouwen op apparatuur van Tetra ‘kritischer’ hadden mogen zijn. ‘Waarom hebben zij nooit gedacht: wat kopen we eigenlijk?’

Een woordvoerder van het Nationaal Cyber Security Center zegt dat de Rijksoverheid en vitale organisaties zijn geïnformeerd. ‘Er is ook een impactanalyse gedaan en op basis daarvan zijn organisaties benaderd en eventueel nader geadviseerd over wat te doen tegen deze kwetsbaarheid’, zegt een woordvoerder.

De drie beveiligingsonderzoekers presenteren alle bevindingen over Tetra – die zij Tetra:Burst hebben gedoopt – in augustus op de beveiligingsconferentie Black Hat in Las Vegas.