N.B. Het kan zijn dat elementen ontbreken aan deze printversie.
Drie Nederlandse onderzoekers van het beveiligingsbedrijf Midnight Blue hebben kwetsbaarheden ontdekt in Tetra, een belangrijke standaard voor radiocommunicatie. Dat melden RTL Nieuws en de Volkskrant maandag. De technologie wordt in meer dan honderd landen gebruikt om kritieke infrastructuur, zoals energienetwerken, gasleidingen en treinen, aan te sturen.
In Nederland maken onder meer de Rotterdamse haven, de openbaarvervoerbedrijven GVB, RET en HTM en verschillende luchthavens gebruik van Tetra. Ook C2000, het communicatiesysteem van de politie, brandweer, ambulancediensten en delen van het ministerie van Defensie, is op Tetra gebaseerd. Het communicatiesysteem wordt dagelijks door meer dan 80.000 hulpverleners gebruikt, bij dagelijks werk maar ook bij grote incidenten en rampen.
Jos Wetzels (33), Carlo Meijer (34) en Wouter Bokslag (35) deden ruim een jaar lang onderzoek naar de kwetsbaarheden in de technologie. Tijdens hun onderzoek slaagde het drietal erin radioverkeer te onderscheppen en mobilofoons van bijvoorbeeld de politie te identificeren.
Bewuste achterdeur
De onderzoekers vonden daarnaast een ‘achterdeur’ in één van de vier Tetra-algoritmen. De cryptografie bleek een stuk zwakker te zijn dan het leek, waardoor de versleuteling niet in een paar jaar, maar in een paar minuten gekraakt kan worden. Deze achterdeur werd gevonden in TEA1, dat wordt gebruikt door onder meer de Rotterdamse haven, hoogspanningsstations en gaspijpleidingen, maar ook door inlichtingendiensten en het leger in landen in Oost-Europa, Midden-Oosten en Azië. De onderzoekers gaan ervan uit dat de achterdeur expres is ingebouwd om afluisteren door politie- en inlichtingendiensten mogelijk te maken.
Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit, zegt tegen de Volkskrant dat Tetra „oude meuk” is en allang vervangen had moeten worden. Ook uit hij kritiek op de vitale partijen in Nederland, die volgens hem kritischer hadden moeten zijn in hun vertrouwen op apparatuur van Tetra.
Of hackers misbruik hebben gemaakt van de kwetsbaarheid is niet bekend. De kwetsbaarheden zijn in december 2021 door de onderzoekers gemeld bij het Nationaal Cyber Security Centrum (NCSC), die vervolgens de rijksoverheid en andere vitale organisaties heeft geïnformeerd en geadviseerd wat te doen tegen deze kwetsbaarheid. De NCSC was maandag niet bereikbaar voor commentaar.
Met medewerking van Rik Wassens.