Pred dobrim mesecem dni, natančneje, 15. marca, smo na podcrto.si objavili članek o varnostnih ranljivostih sistema Tetra, za katerega skrbi in ga poleg nekaterih drugih organov za komunikacijo uporablja policija. Članek med drugim razkriva, da je policija že leta 2013 izvedela za kritične varnostne ranljivosti sistema, a ni primerno ukrepala. Neprimerno ukrepanje pa je omogočilo vdore v policijsko omrežje, ki so se zgodili konec lanskega leta. Na vsa ta dejstva nas je opozoril in z dokazi podkrepil Dejan Ornig, ki je odkril varnostne ranljivosti v Tetri.

Več kot mesec dni po objavi članka se je na naše ugotovitve uradno, v sporočilu za javnost, odzvala tudi Policija. V njem poskuša zavreči nekatere trditve o slabi varnosti Tetre oziroma o neprimernih ukrepih policije. Vendar so navedbe v policijskem sporočilu za javnost po mnenju Dejana Orniga, ki je odkril varnostne ranljivosti v Tetri in nanje tudi opozoril policijo, zavajajoče. Spodaj objavljamo odziv Orniga na trditve policije:

Zadnji odziv policije na njihovi spletni strani je očiten primer izmikanja odgovornosti odgovornih, ki se čutijo z mojimi ugotovitvami o varnostnih ranljivostih omrežja TETRA verjetno osebno napadene.

V odzivu za javnost Policija v imenu njenega Urada za informatiko in telekomunikacije (UIT), ki skrbi za delovanje sistema Tetra, zatrjuje, da očitki o njihovi neodzivnosti na ugotovljene varnostne ranljivosti Tetre niso upravičeni, to pa utemeljujejo z dejstvom, da so zame slišali šele novembra 2014. 

UIT je del Policije. O svojih dotedanjih ugotovitvah sem septembra 2013 obvestil Miho Rističa, vodjo operaterjev na OKC Policijske uprave Ljubljana, kar dokazujem z elektronsko korespondenco. Zato ne drži, da policija o ranljivostih sistema Tetrani bila obveščena že prej – konkretno septembra 2013. Če drži, da pri UIT niso bili obveščeni o mojih ugotovitvah, je to problem interne komunikacije zaposlenih v policiji.

Poleg tega trdim, da se policija na moje ugotovitve o varnostnih ranljivostih Tetre leta 2013 ni pravilno odzvala. Vse do začetka 2015 je namreč v omrežju Tetra omogočala tudi nešifrirano komunikacijo, zaradi česar se je izpostavljala možnim vdorom v omrežje. Policija bi morala že takrat onemogočiti možnost pogovorov v nešifriranem načinu. To so storili šele v začetku 2015.

Policija nato v sporočilu za javnost zapiše: vstopanje (vdor) v nacionalno omrežje TETRA naj bi bilo možno z opremo v vrednosti 20 evrov.

Tega nisem nikoli dejal. Vstopanje v omrežje je aktivni napad na informacijski sistem, kar pa z opremo za 20 evrov ni mogoče, saj je oprema v vrednosti 20 evrov sprejemnik RTL SDR (DVB-T) in ne oddajnik. Za izvedbo varnostne analize slovenskega omrežja TETRA sem uporabil izključno napravo RTL-SDR in pasivno prestrezal prometne podatke iz smeri bazne postaje v smeri radijskih terminalov, torej tako imenovanega downlnika.

Njihov poziv, da jim demonstriram nekaj, česar nisem nikoli dejal, je skrajno nenavaden in žaljiv, saj je bil strokovnjak za informacijsko varnost dr. Matej Kovačič, s katerim sem delil svoje ugotovitve o ranljivostih Tetre, 15. aprila 2015 na sestanku pri direktorju UIT Andreju Bračku. Na sestanku sta se dogovarjala, da bom lahko sodeloval pri izvedbi celovite varnostne analize, ko se zaključi preiskava vdora v omrežje Tetra.

Policija v svoji izjavi za javnost tudi navaja, da uporabniki Tetre (razen policije) niso zahtevali šifriranja radijskega vmesnika zalgoritmomTEA1. Poleg policije Tetro med drugim uporabljajo še Slovensko obveščevalno varnostna agencija (SOVA), vojaška policija, finančna uprava, uprava za izvrševanje kazenskih sankcij, nekatere redarske službe in Dars.

To ne drži. V vseh javnih razpisih za nabavo terminalne opreme so zgornje službe jasno navedle, da morajo radijski terminali imeti algoritemTEA1, delovati v šifriranem načinu (znanem kot securityclass 3) in uporabljati avtentikacijo. Izjema je le Mestna občina Ljubljana, ki za redarsko službo ni zahtevala šifriranja radijskega vmesnika.

Prav tako je na spletni strani MNZ javno objavljen tudi dokument Javni poziv promotorjem k oddaji vloge o zainteresiranosti za zasedbo projekta javno-zasebnega partnerstva iz leta 2013. V njem je pri opisu trenutnega stanja omrežja jasno navedeno, navajam: »V omrežju je uporabljeno kriptiranje na radijskem vmesniku z dinamičnim ključem in algoritmom TEA1. Vsi radijski terminali uporabljajo avtentikacijski protokol za dostop do omrežja.«

Na podlagi analize javnih virov in dejanskega stanja omrežja sem ugotovil, da uporabnikom ni zagotovljena takšna stopnja varnosti, kot je bila zahtevana z javnimi razpisi in drugimi javno dostopnimi dokumenti, zato ne razumem, zakaj odgovorni ne priznajo svoje napake in zakaj ne prenehajo zavajati javnosti.

Njihov odziv na spletni strani je skrajno žaljiv, zato ne razumem,na kakšen način si vodstvo policije predstavlja nadaljnje sodelovanje. Če želiš z nekom sodelovati, ga pač ne moreš javno diskreditirati in izkrivljati resnice. Od policije tega res nisem pričakoval.

V Sloveniji je že praksa, da nikomur ni potrebno odgovarjati za napake, še več, dovoljeno je lagati in zavajati javnost ter ob tem diskreditirati tiste, ki opozorijo na nepravilnosti.

Vsekakor pa se tudi sam strinjam, da mora policija čim prej dobiti potrebna finančna sredstva za dokončanje izgradnje omrežja TETRA. Vlada se mora zavedati, da informacijska varnost ni nekaj samoumevnega. Ker TETRA spada med kritično infrastrukturo, je nujno, da se zagotovijo potrebna finančna sredstva za dokončanje izgradnje tega sistema.

Dejan Ornig