Kwetsbaarheden in radiosysteem Tetra zetten cruciale diensten op het spel

Gepubliceerd op 24/07/2023 16:00 in Binnenland

Communicatiesystemen van belangrijke diensten in Nederland blijken gevoelig te zijn voor hacks. Recent onderzoek heeft aangetoond dat het radiosysteem Tetra, dat veelvuldig wordt gebruikt, gemakkelijk kan worden omzeild. Als gevolg hiervan kunnen kwaadwillenden meeluisteren met de communicatie van onder andere Schiphol, de Rotterdamse haven, energiebedrijven en hulpdiensten.

Tetra werd in de jaren '90 ontwikkeld met als doel de digitale communicatie van professionele gebruikers te verbeteren. Het systeem zou sneller, betrouwbaarder en veiliger moeten zijn dan andere digitale communicatienetwerken, zoals gsm, dat de basis vormt voor mobiele telefonie.

Experts van het beveiligingsbedrijf Midnight Blue hebben ontdekt dat communicatie via het Tetra-systeem afgeluisterd en opgehaald kan worden. Dit maakt het bijvoorbeeld voor criminelen eenvoudig om het handelen van politiediensten te volgen of de onderlinge communicatie te verstoren. Daarnaast kunnen de kwetsbaarheden worden uitgebuit om cruciale infrastructuur te ontregelen, wat potentieel gevaarlijke situaties met zich meebrengt. Het is volgens de onderzoekers niet onmogelijk om stroomnetwerken te laten uitvallen of treinverkeer te saboteren.

De experts van Midnight Blue concluderen dat er bewust een zwakke plek in de encryptie van het systeem is ingebouwd. Ze stellen dat deze 'achterdeur' bedoeld is om het afluisteren door politie of inlichtingendiensten mogelijk te maken. Doordat de gebruikte encryptie veel zwakker bleek dan beloofd, kan de versleuteling in slechts enkele minuten worden gekraakt met een gewone laptop. Dit principe is vergelijkbaar met reguliere wachtwoorden: hoe korter de encryptiesleutel, hoe minder mogelijke combinaties er zijn.

Midnight Blue heeft 2,5 jaar gewerkt aan een analyse van het Tetra-systeem en heeft in december 2021 het Nationaal Cyber Security Centrum ingelicht over hun bevindingen.

In een reactie tegen de Volkskrant verklaarde ETSI, de Europese beheerder van Tetra, dat er geen bekende gevallen zijn van misbruik door criminelen. Echter, het is belangrijk om op te merken dat het opsporen van misbruik moeilijk tot onmogelijk is.

ETSI ontkent dat er opdracht is gegeven om bewust een zwakke plek in te bouwen en verwijst naar exportregels die de lengte van encryptiesleutels beperken. Desalniettemin waren gebruikers veelal niet op de hoogte van deze regels.

Er is inmiddels een beveiligingsupdate beschikbaar, maar nog niet alle organisaties die Tetra gebruiken, hebben deze al geïnstalleerd. Hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit is vernietigend in zijn oordeel over het systeem en verklaarde aan de krant: "Dit is oude meuk en had allang vervangen moeten worden."