LJUBLJANA – Kriminalisti ljubljanske policijske uprave so zaradi suma kaznivega dejanja napada na informacijski sistem izvedli hišno preiskavo pri 25-letnem študentu Dejanu Ornigu. Ta je razkril varnostne ranljivosti komunikacijskega sistema policije Tetra ter o svojih odkritjih policijo tudi obveščal, poroča portal Podcrto.si.
Kriminalisti so v torek pri Ornigu opravili hišno preiskavo in mu med drugim zasegli računalnik, več USB-ključev, zunanji disk in spominski kartici.
Ornig je z analizo ugotovil, da komunikacija vojaške policije v sistemu Tetra do začetka letošnjega leta ni bila šifrirana, čeprav so bili v vojski po njihovih pojasnilih prepričani, da komunikacija je šifrirana. Nešifrirana komunikacija je omogočala prisluškovanje vojaškim pogovorom, kar bi lahko resno ogrozilo varnost države.
Šifriranje pogovorov policije pa je bilo izvedeno tako slabo, da je neznanemu napadalcu konec lanskega leta uspelo vdreti v komunikacijo policije in prisluškovati pogovorom policistov. Za ta napad policisti zdaj krivijo Orniga, še navaja portal.
Sodeloval
Ornig je policijo o svojih ugotovitvah prvič obvestil že septembra 2013, nato pa prek strokovnjaka za informacijsko varnost na inštitutu Jožefa Stefana Mateja Kovačiča še leta 2014.
Orniga so kot osumljenca vdora v Tetro policisti zaslišali že 7. aprila letos. Ta jim je ob tem prostovoljno izročil opremo, s katero je poslušal nešifrirane pogovore vojaške policije in nekaterih drugih organov v sistemu Tetra.
Na zaslišanju je med drugim poudaril, da je pripravljen odgovorne na policiji seznaniti z vsemi svojimi ugotovitvami glede varnostnih ranljivosti Tetre.
»Čeprav sem bil dvakrat na oddelku za računalniško preiskovanje Policijske uprave Ljubljana, jim predal vso dokumentacijo in zaupal še druge ugotovljene varnostne ranljivosti v Tetri, ki bi lahko povzročile celo sesutje celotnega omrežja, so se raje kot za sodelovanje odločili za izvedbo hišne preiskave,« je za portal povedal Ornig.
Pri tem pojasnjuje, da so v odredbi za hišno preiskavo uporabili njegove trditve, ki jih je večkrat izrekel na oddelku za računalniško preiskovanje Policijske uprave Ljubljana, namreč da je Tetra kritična infrastruktura in da varnostne ranljivosti, ki jih je odkril, ogrožajo nacionalno varnost države.
Brez šifriranja
Ornig je sicer pojasnil, da si prizadeva, da bi odkrite ranljivosti odpravili v sodelovanju s policijo. Na nedavni varnostni konferenci Hek.si v Ljubljani pa je predstavil tudi podrobno analizo komunikacijskega omrežja Tetra, ki ga za komunikacijo uporabljata tudi policija in vojska.
Analiza, ki jo med letoma 2012 in 2014 izvedel v sklopu študija, je razkrila številne varnostne pomanjkljivosti. Glavna je bila ta, da veliko število radijskih terminalov, tudi policijskih, ni imelo vključenega preverjanja istovetnosti. Poleg tega so pogovori med policisti pogosto potekali v nešifriranem načinu – v začetku leta 2013 je bilo takih po besedah Orniga okoli 30 odstotkov.
Kot je na konferenci poudaril študent mariborske fakultete za varnostne vede, se je za izvedbo analize odločil, ker je želel ugotoviti, kako varno je slovensko omrežje Tetra in ali je uporabnikom na voljo taka stopnja varnosti, kot je bila zahtevana z javnimi razpisi. Ugotovitve je policiji posredoval septembra 2013, a ker odziva ni bilo, se je odločil, da nekatere ranljivosti javno predstavi.
Ugotovil bistveno resnejše varnostne ranljivosti
»Zanimivo je bilo, kako hitro so uredili zadeve, potem ko je bila zgodba objavljena v medijih,« je poudaril na konferenci. »Policija ta sistem uporablja in kot državljani nikoli ne vemo, kdaj jih bomo potrebovali. Kot davkoplačevalci pa smo za sistem dovolj plačali in prav je, da deluje tako, kot je treba.«
Kot je dejal, so bile med analizo ugotovljene tudi bistveno resnejše varnostne ranljivosti, ki bi napadalcu na primer omogočale »zrušitev celotnega komunikacijskega omrežja«. Teh javnosti ni predstavil, saj bi lahko prišlo do ogrožanja nacionalne varnosti. Prizadeva si, da bi ranljivosti skupaj s policijo čim prej odpravili.
Na policiji sicer poudarjajo, da sistem Tetra zaradi pomanjkanja sredstev ni dokončan, tako da na tretjini ozemlja komunikacije potekajo na 25 let starih analognih radijskih zvezah, ki so z vidika varnosti še mnogo bolj izpostavljene kot nešifrirane komunikacije v digitalnem sistemu Tetra.
V infrastrukturo sistema Tetra je bilo doslej vloženih 12,9 milijona evrov, večina med letoma 2003 in 2007. Leta 2008 je izgradnja zastala, tako da omrežje po dvanajstih letih še ni dokončano. Stroški delovanja omrežja za vse uporabnike – omrežje poleg policije uporabljajo še vojska, Sova in drugi državni organi – so lani znašali 2,45 milijona evrov.
