TETRA:BURST – 5 kwetsbaarheden in de TETRA standaard
door Strict op di 25 jul 2023
Deze week kwam uitgebreid in het nieuws dat TETRA, de standaard voor professionele mobiele communicatie, kwetsbaarheden bevat. Deze standaard wordt o.a. gebruikt voor hulpdiensten en andere organisaties die gebruik maken van missiekritische communicatie. Wat betekenen deze kwetsbaarheden? In deze blog gaan Ken Klaver, Antoine van der Sijs en Peter Eppenga, experts op het gebied van missiekritische communicatie, hierop in.
Het onderzoek
Op 23 juli 2023 hebben drie Nederlandse onderzoekers bekend gemaakt dat zij een aantal kwetsbaarheden hebben aangetroffen in het TETRA protocol. TETRA is een wereldwijde (ETSI) standaard voor professionele mobiele communicatie en wordt door onder meer de hulpdiensten, defensie, industrie, (lucht)havens en openbaar vervoer gebruikt voor portofoonverkeer. Op 24 juli is door veel nieuwsmedia aandacht besteed aan de gevonden kwetsbaarheden in TETRA-communicatie en hun eventuele impact op de gebruikers hiervan.
In het meer dan 20-jarig bestaan van TETRA waren de authenticatie en encryptie algoritmen altijd geheim en is er geen publiek in-depth cybersecurityonderzoek naar gedaan. De onderzoekers hebben echter in 2,5 jaar reverse engineering en analyse voor het eerst de gebruikte algoritmen ontrafeld en daarbij 5 kwetsbaarheden ontdekt. Reeds in 2021 hebben de onderzoekers een zogenaamde responsible disclosure gedaan van hun bevindingen zodat leveranciers van TETRA netwerken en portofoons en mobilofoons in staat werden gesteld om mitigerende maatregelen te treffen zoals software updates van hun producten.
De onderzoekers hebben nog niet de technische details gedeeld, dit zal vanaf 9 augustus 2023 gaan gebeuren.
De onderzoekers hebben hun onderzoek uitgevoerd in samenwerking met het Nationaal Cybersecurity Center (NCSC). Het onderzoek is gefinancierd door de non-profit NLnet foundation als onderdeel van het NGI0 PET fonds van de Europese Commissie.
Wat heeft men ontdekt?
Het onderzoek heeft 5 kwetsbaarheden aan het licht gebracht. De impact van de kwetsbaarheden voor TETRA gebruikers hangt af van de use cases en de configuratie van het betreffende TETRA-netwerk. De 5 kwetsbaarheden hebben allemaal betrekking op de zogenaamde Air Interface van TETRA, die gestandaardiseerd is waardoor klanten op een TETRA netwerk gebruik kunnen maken van vele verschillende merken van TETRA randapparatuur (portofoons en mobilofoons). Van deze 5 kwetsbaarheden zijn er 2 aangemerkt als severity critical, 2 als high en 1 als low.
Wat is de impact voor gebruikers?
Zoals gezegd hangt de impact van de kwetsbaarheden voor TETRA gebruikers af van de specifieke use cases en de configuratie van het betreffende TETRA-netwerk. Zo zijn gebruikers die TEA1 (TETRA Encryption Algorithm 1) gebruiken kwetsbaar doordat de encryptiesleutel hiervan met de huidige rekenkracht snel te kraken blijkt te zijn. Hierdoor zou het in principe mogelijk worden een dergelijk TETRA netwerk af te luisteren.
Mitigerende maatregelen
Voor sommige van de genoemde kwetsbaarheden zijn software updates beschikbaar vanuit TETRA leveranciers, terwijl compenserende maatregelen beschikbaar zijn voor andere. In bepaalde gevallen kan overwogen worden om een alternatieve vorm van encryptie, namelijk end-to-end encryptie in de portofoons toe te passen, die als veilig beschouwd wordt. Daarnaast heeft ETSI TEA5, 6 en 7 geïntroduceerd als vervangers voor TEA1, 2 en TEA3 voor Air Interface Encryptie. Een gedetailleerd advies is verspreid onder relevante belanghebbenden via het Nationaal Cyber Security Centrum (NCSC). Dit zal door de onderzoekers openbaar worden gemaakt zodra het embargo op de technische details is opgeheven (9 augustus 2023).
Advies
Indien u vragen heeft naar aanleiding van bovenstaande of u zorgen maakt over de mobiele communicatie-infrastructuur van uw organisatie, dan kunt u contact opnemen met Strict voor nadere analyse van uw specifieke situatie en een risico inschatting.
Vul het formulier hieronder in en wij nemen zo snel mogelijk contact met u op.
Deze blog is geschreven door Ken Klaver, Antoine van der Sijs en Peter Eppenga.
- Technologie (134)
- Nieuws (70)
- 5G (67)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Klantcase (18)
- Webinar (18)
- Blog (16)
- Innovatie (13)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- AI (11)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- december 2024 (4)
- november 2024 (9)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (6)
- augustus 2018 (8)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- maart 2017 (9)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)