Weblogbericht | 10-08-2023 | NCSC

Ethisch hacken, ofwel het zoeken naar kwetsbaarheden met als doel de veiligheid van software te vergroten, was vroeger tamelijk omstreden. Tegenwoordig wordt het werk van onderzoekers, zoals die van Midnight Blue op TETRA, juist gezien als een waardevolle aanvulling op het werk van cybersecurityorganisaties. Zo worden onderzoekers die ethisch hacken in Nederland ook niet strafrechtelijk vervolgd als zij conform het CVD-beleid van organisaties handelen. Het NCSC ondersteunt CVD-trajecten, omdat het onderzoeken en gecoördineerd openbaar maken van kwetsbaarheden bijdraagt aan de digitale veiligheid en weerbaarheid van organisaties en bedrijven in Nederland.

Net als andere cybersecurityorganisaties stimuleert het NCSC onderzoekers al jaren om het proces van Coordinated Vulnerability Disclosure te volgen als ze een kwetsbaarheid vinden. Sterker nog: het NCSC gelooft dat CVD een noodzakelijk onderdeel is van goed functionerend cybersecuritybeleid. Daarom publiceerde we in 2013 al de ‘guideline to come to a practice of responsible disclosure’ om onderzoekers te ondersteunen bij het op een verantwoorde manier openbaar maken van kwetsbaarheden. Deze publicatie werd in 2018 gevolgd door de een herijkte versie: de CVD Guideline.

De duizenden meldingen die het NCSC de afgelopen tien jaar van onderzoekers heeft ontvangen, illustreren het vertrouwen en de betrokkenheid van cyberonderzoekers, overheden, bedrijven en het NCSC om samen kwetsbaarheden in hard- en software te vinden en verhelpen. Soms gaat het om kleine kwetsbaarheden, soms om grote, zoals in het geval van TETRA. Bij deze casus werkten het NCSC en de onderzoekers al geruime tijd intensief samen.

Wat houdt de TETRA-kwetsbaarheid in?

De onderzoekers van Midnight Blue wezen het NCSC in december 2021 op kwetsbaarheden in de beveiliging van de internationale TETRA-standaard. De TETRA-standaard wordt gebruikt voor radiocommunicatie, zowel voor spraak als ook digitale berichtenuitwisseling tussen apparaten. TETRA bevat meerdere TETRA Encryption Algorithms (TEA), onder andere de versies TEA1 en TEA2. Licenties om TEA1 te mogen gebruiken worden verstrekt aan commerciële gebruikers. Gebruik van TEA2 is voorbehouden aan de hulpdiensten. De onderzoekers vonden vijf kwetsbaarheden, die ze gezamelijk TETRA noemen. 

De ernstigste kwetsbaarheid bevindt zich in TEA1. Hierbij kan een kwaadwillende op afstand, door de encryptie te breken, deelnemen aan het portofoonverkeer of passief afluisteren. Deze kwetsbaarheid is niet te mitigeren, echter zijn er wel compenserende maatregelen toe te passen. Verder zijn er kwetsbaarheden gevonden in producten die de TETRA-standaard gebruiken. De andere kritieke kwetsbaarheid, die relevant is ongeacht het gebruikte TEA algoritme, stelt een kwaadwillende op afstand in staat eerder opgenomen TETRA-communicatie te ontsleutelen. Leveranciers brengen updates uit om deze kwetsbaarheid te mitigeren.

De TETRA-standaard wordt in meer dan 100 landen wereldwijd gebruikt, waaronder Nederland. Transportsectoren, water- en energiebedrijven en alarmdiensten zijn voor hun communicatie allemaal afhankelijk van TETRA. Zo gebruikt de politie TETRA in het communicatiesysteem C2000.

De onderzoekers hebben hun bevindingen gepubliceerd op hun website.

Wat is de rol van het NCSC geweest bij het openbaar maken van de TETRA-kwetsbaarheid?

Het NCSC is eind 2021 door de onderzoekers in het kader van een Coordinated Vulnerability Disclosure-melding (CVD) geïnformeerd over de gevonden kwetsbaarheden in TETRA. Sindsdien heeft het NCSC proactief het proces tot publicatie van deze kwetsbaarheden gecoördineerd en begeleid. Het begeleiden van CVD-trajecten is een taak van het NCSC.  

Bij het voorbereiden van de publicatie heeft het NCSC ook een bemiddelende rol gehad tussen de onderzoekers van Midnight Blue, fabrikanten van apparaten waar de technologie in wordt gebruikt en de European Telecommunications Standards Institute (ETSI), verantwoordelijk voor het TETRA-beveiligingsprotocol. Het doel van deze bemiddeling was om bij te dragen aan de veiligheid van ICT-systemen door kennis over de gevonden kwetsbaarheden op een verantwoorde manier te delen met belanghebbende organisaties.

Bij CVD-trajecten maakt het NCSC op basis van de beschikbare informatie altijd een zorgvuldige afweging op welk moment, welke partijen geïnformeerd moeten worden. Dat doet het NCSC in goed overleg met leveranciers, (inter)nationale partners en de onderzoekers die de kwetsbaarheden hebben gemeld.  

Wat heeft het NCSC gedaan na de eerste melding van de TETRA-kwetsbaarheden?

Na de melding van de kwetsbaarheid, is het NCSC gestart met het CVD-traject.  Allereerst zijn de kwetsbaarheden uitvoerig besproken met de onderzoekers die deze hebben gemeld. In deze gesprekken probeerde het NCSC samen met de onderzoekers snel en grondig de ernst en de mogelijke impact van de kwetsbaarheid vast te stellen en wie de belangrijkste belanghebbenden zijn.

Vervolgens heeft het NCSC de belangrijkste belanghebbende organisaties ingelicht over de gevonden kwetsbaarheden. In het geval van TETRA waren dit de Politie, verantwoordelijk voor C2000, en European Telecommunications Standards Institute (ETSI), verantwoordelijk voor het TETRA-beveiligingsprotocol.

Daarna heeft het NCSC samen met de onderzoekers contact gelegd met (mogelijke) leveranciers van apparatuur die gebruik maken van TETRA. Omdat niet alle leveranciers bij het NCSC bekend waren, is aan diverse internationale (CERT-)organisaties gevraagd om andere leveranciers te vinden en te informeren. Ook zijn vergunninghouders voor TETRA-frequenties, dus vermoedelijke gebruikers van apparatuur van TETRA, geïnformeerd via de vergunningverlener van TETRA-frequenties. Hierbij gaat bijvoorbeeld het om haven-, luchthaven-, energie- en transportbedrijven.

Wat voor handelingsperspectief over TETRA kan het NCSC geven om misbruik te voorkomen?

De gevonden kwetsbaarheden zitten enerzijds in het protocol en anderzijds in de implementatie van het protocol. De kwetsbaarheden in het protocol zijn alleen op te lossen door het protocol te herzien en daarvan een nieuwe versie beschikbaar te stellen. De European Telecommunications Standards Institute (ETSI), de beheerder van het TETRA-protocol heeft los van het CVD-traject al gewerkt aan een actualisering van de TEA-standaarden. Het zal enige tijd duren voordat deze beschikbaar zijn in apparatuur die te koop is.

De kwetsbaarheden in de implementatie zitten in hardware en in software. De kwetsbaarheden in software zijn doorgaans op te lossen door middel van firmware updates die door de fabrikant beschikbaar gesteld moeten worden. De kwetsbaarheden in hardware zijn slechts te verhelpen door de onderdelen te vervangen door een verbeterde versie. Duidelijk is dat het verhelpen van de kwetsbaarheid complex is, omdat het hier gaat om een standaardtechnologie die in heel veel sectoren wereldwijd wordt gebruikt.

In samenspraak met de onderzoekers van Midnight Blue kan het NCSC een aantal maatregelen aanbevelen die de kans misbruik helpen verminderen, dan wel voorkomen.  

•  Getroffen organisaties door de TEA1 kwetsbaarheid worden geadviseerd over te stappen op TEA2 indien dit mogelijk is. Anders is het advies om TEA3 of end-to-end encryptie te gebruiken of andere compenserende maatregelen te implementeren.
• Organisatie die gebruik maken van TETRA wordt aangeraden een risicoanalyse te doen op hun spraak- en datacommunicatie (ook machine-to-machine). In het bijzonder voor systemen die worden gebruikt voor de operationele besturing. 
• Het installeren van firmware updates voor kwetsbaarheden in de implementatie van hard- en software, indien beschikbaar. Voor digitale communicatie is het in sommige gevallen ook mogelijk om aanvullende end-to-end-encryptie (E2EE) toe te passen.

Meer weten over TETRA

Onderzoekers gebruiken vaak de term TETRA:BURST om deze kwetsbaarheden aan te duiden. 

Volg de actuele stand van zaken op tetraburst.com/

TETRA op Blackhat en ONE Conference

De onderzoekers van Midnight Blue presenteren hun bevindingen tijdens de volgende cybersecurity conferenties, onder andere:

• BlackHat op 9 augustus van 11:20-12:00 in Las Vegas (20:20 - 21:00 NL tijd)
• en op ONE Conference op 3 en 4 oktober in Den Haag.

Kwetsbaarheid melden?

Hebt u een kwetsbaarheid gevonden? Bekijk hier hoe het NCSC daarbij kan helpen.