«Τρύπια» είναι η ασφάλεια των ασυρμάτων που χρησιμοποιεί η Ελληνική Αστυνομία, όπως αποκαλύπτει ρεπορτάζ του inside story. Σύμφωνα με το μέσο, εδώ και δύο χρόνια περίπου μελέτη τριμελούς ομάδας Ολλανδών ερευνητών κατέδειξε σημαντικά κενά ασφάλειας στους ασυρμάτους TETRA, που τους καθιστά ευάλωτους τόσο σε υποκλοπές των επικοινωνιών όσο και σε εισαγωγή ψευδών μηνυμάτων.
Οι Ολλανδοί ερευνητές γνωστοποίησαν εμπιστευτικά τα αποτελέσματα της μελέτης τους στο Εθνικό Κέντρο Κυβερνοασφαλείας National Cyber Security Centre (NCSC) του ολλανδικού υπουργείου Δικαιοσύνης και Ασφαλείας. Το NCSC ανέλαβε να ενημερώσει, μέσω των επίσημων καναλιών επικοινωνίας, όλες τις ευρωπαϊκές αρχές που χρησιμοποιούν αυτούς τους ασυρμάτους, ώστε να λάβουν τα μέτρα τους. Τα αποτελέσματα της έρευνας που αποκάλυψε τα τρωτά σημεία του TETRA δημοσιοποιήθηκαν στο ευρύ κοινό μετά από εύλογο χρονικό διάστημα, 1,5 χρόνο μετά, τον Ιούλιο του 2023.
Στην Ελλάδα το TETRA χρησιμοποιείται από την ΕΛΑΣ, ενώ υπηρεσίες συντήρησης και τεχνικής υποστήριξης, αξίας αρκετών εκατομμυρίων ευρώ της παρέχει από το 2018 η εταιρεία Krikel, συμφερόντων Γιάννη Λαβράνου, του επιχειρηματία με κεντρικό ρόλο στο σκάνδαλο των υποκλοπών. Μάλιστα, το 2022 – όταν δηλαδή είχε γίνει ήδη γνωστή η ευαλωτότητα του συστήματος– υλοποιήθηκε η νέα σύμβαση της Krikel με την Ελληνική Αστυνομία, για τον Έβρο και τις Ανατολικές Νήσους, αξίας άνω των 7 εκατ. ευρώ, όπως προκύπτει από τις οικονομικές καταστάσεις της εταιρείας.
Εκτός από την ΕΛΑΣ, οι ασύρματοι TETRA χρησιμοποιούνται εδώ και χρόνια σε διάφορες κρίσιμες υποδομές στην Ελλάδα, όπως τα τρένα, τα τραμ, το μετρό και το λιμάνι του Πειραιά. Το σύστημα είχε εγκατασταθεί το 2001 και στο αεροδρόμιο Ελευθέριος Βενιζέλος. Υπηρεσίες TETRA στην Ελλάδα προσφέρει και ο ΟΤΕ.
Στο inside story μίλησαν οι τρεις ερευνητές της ολλανδικής συμβουλευτικής εταιρείας που ειδικεύεται σε θέματα ασφάλειας Midnightblue, που ανέλυσαν τους αλγορίθμους κρυπτογράφησης του TETRA και εντόπισαν τα προβλήματα. Σύμφωνα με αυτούς, η εντύπωση που αποκόμισαν από την έρευνα που έχουν κάνει σε διάφορους ασυρμάτους TETRA διαφόρων προμηθευτών, είναι ότι η ασφάλεια που προσφέρουν είναι πολύ χειρότερη από αυτή ενός κινητού τηλεφώνου Android.
Η ΕΛΑΣ γνώριζε το πρόβλημα με τους ασυρμάτους της από τον Απρίλιο του 2022
Το μέσο απηύθυνε ερώτηση προς το NCSC για το πότε ενημέρωσε την Ελληνική Αστυνομία. «Δεν είχαμε απευθείας επικοινωνία με τις ελληνικές αρχές. Χρησιμοποιήσαμε τα ευρωπαϊκά/παγκόσμια κανάλια επικοινωνίας EGC (European Government CERTs), CSIRT-Network, και IWWN (Διεθνές Δίκτυο Παρακολούθησης και Προειδοποίησης) για να επικοινωνήσουμε τις πληροφορίες σχετικά με τα τρωτά σημεία του TETRA. Το πρώτο μήνυμα που μοιραστήκαμε μέσω αυτών των καναλιών ήταν την 1η Απριλίου 2022, ακολούθησαν μερικές ενημερώσεις από τότε μέχρι την ημερομηνία δημοσίευσης τον Αύγουστο».
Με βάση την απάντηση του NCSC, η ΕΛΑΣ γνώριζε για το πρόβλημα στις κρυπτογράφηση των ασυρμάτων της από τον Απρίλιο του 2022.
Ωστόσο, ούτε η ηγεσία της ΕΛΑΣ ούτε το υπουργείο Προστασίας του Πολίτη δεν απάντησαν σε αντίστοιχα ερωτήματα του μέσου.
Όπως αναφέρει το ρεπορτάζ, ούτε από την Krikel δόθηκαν επίσημες απαντήσεις, ωστόσο πηγή της εταιρείας ανέφερε στο inside story πως οι ασύρματοι που έχει η Ελληνική Αστυνομία δεν διατρέχουν κίνδυνο διότι έχουν κρυπτογράφηση ΤΕΑ2 και «χρησιμοποιούν το ύψιστο επίπεδο ασφαλείας που είναι το Security Class 3». Από την ολλανδική εταιρεία εξήγησαν όμως ότι και πάλι οι ασύρματοι της ΕΛΑΣ είναι ευάλωτοι στη λεγόμενη keystream recovery attack, που επιτρέπει ουσιαστικά την υποκλοπή των επικοινωνιών των αστυνομικών (σε δεύτερο χρόνο) και στη χαρτογράφηση των κινήσεων των δυνάμεων ασφαλείας που χρησιμοποιούν ασυρμάτους TETRA εντός ελληνικής επικράτειας.
Εντύπωση προκαλεί ότι η πηγή από την Krikel ανέφερε ότι πληροφορήθηκε από πρόσφατο δημοσίευμα για τα τρωτά σημεία που έχει εντοπίσει η ολλανδική εταιρεία στο σύστημα TETRA και υποβάθμισε την κρισιμότητά τους για το δίκτυο της Ελληνικής Αστυνομίας. Προς επίρρωση αυτού, επικαλέστηκε την τοποθέτηση των δυο διεθνών οργανισμών ETSI και TCCA αμέσως μετά τη ευρεία δημοσιοποίηση των τρωτών σημείων στις 24 Ιουλίου 2023. Βέβαια στην ανακοίνωσή τους οι δύο οργανισμοί δεν διαψεύδουν τα ευρήματα της Midnightblue, αντιθέτως τα επιβεβαιώνουν έμμεσα.
