11:30
25/7/2023

Dziury w policyjnych radiotelefonach TETRA

Autor: redakcja | Tagi:  

TETRA to standard komunikacji, z którego korzystają służby i wojsko wielu krajów. W Polsce z TETRY korzysta m.in. policja. TETRA oferuje szyfrowanie transmisji, ale w jednym z algorytmów właśnie znaleziono błędy, które pozwalają na rozszyfrowanie komunikacji. Co jednak ciekawsze, badacze twierdzą, że rodzaj znalezionego przez nich błędu jasno wskazuje na to, że to celowy backdoor. I że był obecny od kilkudziesięciu lat…

Backdoora znaleziono tylko w algorytmie TEA1, a w ramach standardu TETRA algorytmów jest kilka. Do użytku służb przeznaczono algorytmy TEA2 i TEA3, a nie TEA1. Zgadnijcie, o jakie radiotelefony TETRA i z jakim algorytmem zawnioskowała i otrzymała Komenda Główna Policji w 2018? Rok później wnioskowano już o TEA2.

Jeśli właśnie zaczęliście krzyczeć z przerażenia, że dane obywateli przekazywane przez policyjne radiotelefony są zagrożone, to mamy dla Was smutną wiadomość. Krzyczeć z przerażenia powinniście już od lat, bo w Polsce służbom wciąż zbyt często zdarza się porozumiewać w sposób całkowicie nieszyfrowany. Nie pytajcie skąd wiemy ;)

Jeśli kogoś interesuje z jakich standardów radiowych korzystają polskie służby, nie tylko policja (i na jakich konkretnie częstotliwościach), to polecamy ten artykuł i i ten artykuł.

Co wiemy o backdoorze w TETRA?

Badacze swoje znalezisko przedstawią na sierpniowym BlackHacie, ale już teraz udostępnili stronę TETRA:BURST. Strona zwiera wynik analizy kupionej na eBay’u radiostacji. Analiza miała miejsce ponad dwa lata temu. Całość na jaw wychodzi dopiero teraz, bo przez ostatnie lata badacze o odkrytych błędach informowali służby, aby przygotować “rynek” na ujawnienie dziury.

A rynek jest spory… Przypomnijmy, że TETRA powstała jeszcze w latach 90-tych, a radiostacje, które z niej korzystają produkuje m.in. Motorola. Używają ich nie tylko mundurowi, ale też firmy prywatne. I tu należy wyjaśnić, że TETRA korzysta z wielu różnych protokołów (TEA1 do TEA4). Po części właśnie po to, aby inaczej traktować ruch ważny od mniej ważnego (z tego powodu, dla służb przeznaczone są TEA2 i TEA3). Ale wszystkie te protokoły łączy “zamkniętość“. A jak wiemy, “proprietary cryptography” rzadko kiedy dobrze się kończy.

Oto lista 4 odkrytych podatności, z czego dwie są krytyczne. Jedna z tych dwóch dotyczy algorytmu TEA1 i backdoora.

Okazuje się, że algorytm TEA1 używa 80-bitowego klucza, ale istnieje sposób na to, aby drastycznie zredukować entropię klucza. Dzięki temu transmisję można rozszyfrować w czasie rzeczywistym na zwykłym komputerze z prostym modułem SDR.

Interesuje Cię temat komunikacji radiowej? Chcesz nauczyć się obsługiwać moduł SDR, aby móc samodzielnie przechwycić i analizować transmisje okolicznych urządzeń? Weź udział w naszym jednodniowym, silnie praktycznym szkoleniuHackowanie z SDR (Bezpieczeństwo Radiokomunikacji)“.

Na tym szkoleniu pokażemy Ci konkretne narzędzia, dzięki którym nauczysz się nasłuchiwać i analizować komunikację radiową, a potem przygotować i wyemitować spreparowane sygnały, co pozwoli Ci na przetestowanie urządzeń pod kątem bezpieczeństwa. To szkolenie sama praktyka: na żywo “zaatakujesz” i przeanalizujesz różne urządzenia, nie tylko klasy IoT.

Kraków: 08 czerwca 2024r. — UWAGA: zostały tylko 2 wolne miejsca
Ostatnio ktoś zarejestrował się 23 kwietnia 2024r. → zarejestruj się na to szkolenie

    999 PLN netto (do 3 maja)
    1299 PLN netto (od 4 maja)

Wrocław: 22 czerwca 2024r. — UWAGA: zostały tylko 2 wolne miejsca
Ostatnio ktoś zarejestrował się 11 kwietnia 2024r. → zarejestruj się na to szkolenie

    999 PLN netto (do 3 maja)
    1299 PLN netto (od 4 maja)

Warszawa: 29 czerwca 2024r. — UWAGA: zostały tylko 4 wolne miejsca
Ostatnio ktoś zarejestrował się 11 kwietnia 2024r. → zarejestruj się na to szkolenie

    999 PLN netto (do 10 maja)
    1299 PLN netto (od 11 maja)

Z pełną agendą szkolenia zapoznasz się na tej stronie.

Kto korzysta z dziurawej TETRY?

Badaczom udało się ustalić, że TEA1 było wykorzystywane przez U.S. Africom. I w zasadzie żadnych innych jednostek policji lub wojska nie ujawniono, może dlatego, że badacze nie znają polskiego? Ale żarty na bok, zapytaliśmy KGP, czy dalej korzystają z tych zamówionych w 2018 roku radiotelefonów i dlaczego wnioskowali konkretnie o algorytm TEA1, choć dla służb przeznaczone są inne algorytmy? Kiedy otrzymamy odpowiedzi, opublikujemy je w aktualizacji do tego artykułu.

Warto jednak zauważyć, że nawet w przypadku korzystania z TEA2 czy TEA3, drugi z krytycznych błędów odnalezionych przez badaczy, dotyczący algorytmu AIE można wykorzystać niezależnie od tego, jaki szyfr TEA jest wykorzystywany do szyfrowanej części transmisji. Atakujący udaje stację bazową i emituje podsłuchany wcześniej, już nieaktualny time-stamp (na podstawie którego tworzony jest klucz szyfrujacy). Radiotelefon jest “głupi” i odpowie kluczem, który wygenerował dla poprzedniej komunikacji. W ten sposób nagraną historyczną komunikację da się rozszyfrować.

Ale czy to na pewno backdoor?

ETSI, czyli europejski instytut standaryzacji telekomunikacji, który współtworzył TETRĘ twierdzi, że nie. To co odkryli badacze, to wg jego reprezentanta, Claire Boyera, feature a nie bug ;)

“Standard TETRA został opracowany wspólnie z przedstawicielami agencji bezpieczeństwa i został tak zaprojektowany, aby spełniać wymogi kontroli eksportowej, która determinuje siłę szyfrowania”

Mówiąc wprost, TEA1 jest tak silny, jak chciano aby był silny. Celowe osłabianie algorytmu i tzw. “algorytmy eksportowe”, to nic nowego. Już w 2009 roku wspominaliśmy o protokołach szyfrujących w sieciach GSM, informując że niektóre z nich celowo były projektowane jako słabe i możliwe do złamania. Bo ktoś chciał mieć możliwość ich słuchania.

Smutny wniosek na koniec

Na koniec, nie umniejszając wagi tym odkryciom, podsumujmy znalezione błędy najprościej jak się da:

TETRA to zbiór kilku “sposobów” komunikacji. Badacze znaleźli 4 błędy. Te małogroźne dotyczą wszystkich użytkowników TETRA, ten najgroźniejszy tylko jednego z algorytmów, który przez żadną istotną służbę “ratunkową” nie powinien być wykorzystywany, bo jest algorytmem “eksportowym”, celowo osłabionym. O czym ETSI i sprzedawcy wiedzieli, ale czego publicznie nie komunikowali.

Morał na koniec, taki jak zawsze. Skrytość i zamkniętość protokołów szyfrowania kolejny raz potwierdza, że łamanie zasady Kerckhoffa w kryptografii nie prowadzi do niczego dobrego.

PS. Jeśli doczytałeś do końca i chciałbyś wejść mocniej w temat radiokomunikacji, a raczej przechwytywania, analizowania i modyfikowania sygnałów radiowych, które Cię otaczają (np. z różnej maści urządzeń IoT) to polecamy lekturę tego artykułu.

Aktualizacja 7.08.2023 g 15:00

Pisząc ten tekst skierowaliśmy pytania do Komendy Głównej Policji. Chcieliśmy wiedzieć m.in. czy polska policja korzysta wyłącznie TEA1? Dziś odpowiedział nam kom. Michał Gaweł z KGP przesyłając następujące oświadczenie.

Standard TETRA jest najczęściej na świecie używanym rozwiązaniem na potrzeby porządku publicznego i ratownictwa. Jest on opracowany i stale unowocześniany przez Europejski Instytut Norm Telekomunikacyjnych. Jak w przypadku wielu innych rozwiązań TI (takich jak systemy operacyjne, sieci bezprzewodowe i komórkowe oraz wiele innych) z czasem wykrywane są jego niedoskonałości. Jest to naturalny proces. Mając jednak na uwadze grono użytkowników i firm technologicznych zainteresowanych rozwojem tego standardu można założyć, że problem jest poddawany gruntownej analizie. Z informacji, którymi dysponuje Policja wynika, że luki zostały wykryte w ramach projektu dofinansowanego ze środków UE. Na tą chwilę Policja dysponuje już roboczymi informacjami o znacznym wyeliminowaniu luk, wynikającymi z działań producenta podjętych przed opublikowaniem informacji o wystąpieniu luk.  Sprawa ta będzie monitorowana i ewaluowana.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.
Niebezpiecznik

15 komentarzy

Dodaj komentarz
  1. vanitas 2023.07.25 15:27 | # | Reply

    Opcją w zamówieniu był upgrade do tea2 (co stało się przyczyną odwołania ze strony Motoroli, bo obrót a nawet upgrade do TEA2 wymaga koncesj…)

  2. Czesio 2023.07.25 21:56 | # | Reply

    Samozaoranie level master: wnioskuj o standard przeznaczony z definicji dla organizacji potencjalnie wrogich, ktore moze trzeba bedzie podsluchiwac w przyszlosci.
    Jak dla mnie to cos porownywalnego z odpaleniem katiuszy w WC AKA niekontrolowany odpal granatnika przez Komedianta Glownego.
    No chyba ze daza do standardow Policji IRANU.

    Powyzsze oparte na informacji angielskojezycznej:
    The standard includes four encryption algorithms—TEA1, TEA2, TEA3, and TEA4—that can be used by radio manufacturers in different products, depending on their intended use and customer. TEA1 is for commercial uses; for radios used in critical infrastructure in Europe and the rest of the world, though, it is also designed for use by public safety agencies and military, according to an ETSI document, and the researchers found police agencies that use it.
    TEA2 is restricted for use in Europe by police, emergency services, military, and intelligence agencies. TEA3 is available for police and emergency services outside Europe—in countries deemed “friendly” to the EU, such as Mexico and India; those not considered friendly—such as Iran—only had the option to use TEA1. TEA4, another commercial algorithm, is hardly used, the researchers say.

  3. a 2023.07.26 12:54 | # | Reply

    …. a w takim radio amatorstwie niby nawet nie wolno szyfrować, ehh. Ale opcja istnieje: https://m17project.org/

    • wbielak 2023.07.31 18:02 | # |

      Po pierwsze opcje zawsze istnieją.
      Choćby w DMR można bez problemu szyfrować ARS256.

      Po drugie RR ITU jest nieprecyzyjny mówiąc o łącznościach międzynarodowych.

      Po trzecie…. po co? W końcu szyfrowanie to zaprzeczenie idei służby amatorskieh.

    • j 2023.08.01 21:35 | # |

      Można szyfrować, brednie. Zapoznaj się z regulaminem ITU i krajowymi regulacjami.

  4. panzmoto 2023.07.26 13:10 | # | Reply

    to nie jest przypadkowa dziura, ona została tam wsadzona celowo. jak kupisz dżinsy z poprzecieranymi dziurami, to raczej nie masz potem prawa składać reklamacji, że twoje portki są dziurawe.

  5. fisz 2023.07.26 13:53 | # | Reply

    Nie chcę się czepiać, ale naprawdę macie ogromne zasięgi, ludzie Was czytają i szkoda żeby im się utrwalały błędy. Poprawnie jest: w latach 90.” :) https://pl.wikipedia.org/wiki/Pomoc:Powszechne_b%C5%82%C4%99dy_j%C4%99zykowe

  6. Józef 2023.07.26 18:29 | # | Reply

    To NA PEWNO backdoor! Ustawa USA z 1997 znosząca zakaz eksportu technologii kryptograficznych z kluczem większym niż 56 bit wymaga, jak to eufemistycznie nazywa: “możliwości odzyskania przez użytkownika dostępu do danych w przypadku zagubienia klucza lub hasła” (oczywiście dla dobra użytkownika…). Nie przeszkadza to USA opluwać Huawei, gdzie nigdy celowego backdoora nie znaleziono (za wyjątkiem sprzętu flashowanego przez amerykańskie CIA zanim Huawei wprowadził podpisywanie firmware).

  7. A. 2023.07.27 11:03 | # | Reply

    “błędu jasno wskazuje na to, że to celowy backdoor” – pierwsza rzecz, ktora mi przyszla do glowy po przeczytaniu tytulu artykulu. I prosze bardzo: mowcie mi jasnowidz. Znowu to samo. Znow ten sam cyrk pt. “dla waszego bezpieczenstwa i waszych dzieci”.

  8. janko 2023.07.28 13:24 | # | Reply

    Czy można uznać że skoro służby używają tetry to jeszcze raczkują? ( ͡° ͜ʖ ͡°)

  9. Obeserwator 2023.07.29 23:25 | # | Reply

    Państwo z dykty nie potrafi kupić do łączności hardware w którym zamawiający kontroluje system operacyjny, to potem takie są rezultaty.

    WB-Electronics robi radiostacje do AHS Krab, może mogliby uruchomić produkcję radiostacji dla Policji i Służb, zamiast Motoroli i innych zagranicznych szmaciarzy?

    Suwerenność cyfrowa to w dzisiejszych czasach kluczowa zasada, procesorów sami jeszcze nie robimy, ale systemy operacyjne da się zrobić.

    Pozdro

    • Józef 2023.07.31 14:17 | # |

      W państwie z dykty ambasada USA ustala listę leków refundowanych, redaguje ustawę o IPN, o mediach, o kopalinach, podatkową, o sądach itp., więc nie ma takiej możliwości, by pozwoliła armii z dykty kupować radiostacje w WB-Electronics zamiast w Motoroli… Przecież nie pozwoliła kupić Gripenów “bo żadne państwo NATO ich nie używa”… Czesi i Węgrzy mają do Gripenów kody źródłowe systemu kierowania ogniem a państwo z dykty do F-16 nie ma nawet pełnej dokumentacji EKSPLOATACYJNEJ (nie mówiąc o remontowej), więc plan lotu klepie przez 45 min w kabinie z klawiatury (bo USA do kartridża z oprogramowaniem nie dało dokumentacji), gdy w Su-22M4 za PRL wgrywało się z kart perforowanych a w Gripenie przez 45 minut 1 mechanik i 2 pomagierów z poboru jest w stanie w warunkach polowych wymienić silnik…

    • wbielak 2023.07.31 18:06 | # |

      Tylko po co.
      Moim zdaniem my nie potrzebujemy super power turbo (hehe trbo) łączności dla policji. Potrzebujemy przyswoitej łączności dla CAŁEJ policji. Jednolitej. Bezproblemowej. Pewnej. Możliwej do spięcia z innymi służbami.

      Wystarczyłby DMR z AESem.
      Standardy są otwarte. Chińczycy robią radia za $99 i w sumie moim zdaniem by wystarczyły

    • Andy 2023.08.01 08:01 | # |

      Kolejny świetny pomysł na zakup chińskich zabawek. gdzie dziś nawet lampki nocne i tostery sieją ruchem na wschodnie strony świata.

  10. c 2023.08.09 14:58 | # | Reply

    Jakby ktoś się chciał sam przekonać, to najnowsza wersja telive pokazuje jakie szyfrowanie jest używane przez sieć.

    I można się z niego dowiedzieć że te instytucje u nas które używały TEA1 teraz używają TEA3. Not great, not terrible :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: