Geek proti sistemu
Dejan Ornig je tisti računalnikar, ki je policiji odgovorno razkril, da so njihove komunikacije varnostno prerešetane. Odgovorno, na način, da o tem ni obveščal javnosti. Pa je skupil hišno preiskavo, kazenski postopek in javno blatenje. Le nekaj dni po intervjuju mu je eno od zasebnih slovenskih telekomunikacijskih podjetij ponudilo službo. Končno nekdo s kančkom pameti.
Kakšno je trenutno stanje? Ti je policija že vrnila zaplenjeno opremo?
Ravno pred nekaj dnevi sem dal kriminalistom soglasje za preiskavo mojih elektronskih naprav. Trajalo bo kak mesec ali dva, da to pregledajo, potem pa bom vse skupaj najbrž dobil nazaj.
Septembra bo dve leti, kar si prvič prijazno potrkal na policiji in jih opozoril, da njihove komunikacije niso varne. Kdaj so jih potem končno pokrpali?
Šele marca letos, šele po objavi zgodbe v medijih, ko so dojeli, da bo vse skupaj postalo javno. Prej so se ukvarjali samo s tem, kako preganjati mene. Po mojih informacijah so se pol leta intenzivno ukvarjali s tem, kako me utišati.
Se pravi, so se, tipično, namesto problema lotili sla, ki prinaša slabo novico?
Ja.
Kaj bi pred letošnjim marcem človek potreboval, da bi lahko poslušal pogovore policije, vojske, Sove in ostalih?
Dostop do spleta, Osmocom prosto programsko opremo in še en sprejemnik USB DVB-T. To sestaviš, nato je treba še prenesti programsko kodo v Linux in jo malce predelati. To lahko naredi praktično vsak.
Pa misliš, da je kdo to počel?
Ja, jaz sem prepričan, da nisem najpametnejši človek v Sloveniji, zato je po vsej verjetnosti to že kdo ugotovil in poskusil poslušati.
Kaj počne Osmocom koda? Demodulira signal?
Da, s to kodo demoduliramo signal, z orodjem Wireshark pa dekodiramo prometne podatke. V svoji analizi sem pri slednjem sam napisal še nekaj dodatne kode, s katero sem lahko dekodiral še nekatere specifične prometne podatke.
Se pravi, s tem dobimo vse, kar potrebujemo – vsebino pogovora in spremljajoče prometne podatke?
Da.
Omenil si, da je skrbnik to omrežje postavil »šlampasto«. Kaj si mislil s tem?
Ključno je, da so postavili precej manj baznih postaj, kot bi jih moralo biti. Še bolj usodno pa je bilo, da se varnostni skrbnik tega omrežja, urad za informatiko in telekomunikacije, ni zavedal pomena varnih komunikacij v omrežju Tetra. V bistvu so bili prepričani, da za poslušanje potrebuješ precej drago strojno in programsko opremo. In se s tem sploh niso ukvarjali.
S »šlamparijo« sem pa meril na to, da v projekt ni bila vključena neka ekspertna skupina, ljudje, ki bi že od prej poznali tehnične podrobnosti tega sistema. Posamezniki, ki so to dejansko delali, po mojem prepričanju niso imeli nobenega poprejšnjega znanja o tem sistemu. To v bistvu pomeni, da so se vse učili na novo. Namesto da bi angažirali kakega tujega strokovnjaka, so se vsega lotili sami.
Med drugim si ugotovil, da so postavili premalo baznih postaj glede na geografske značilnosti našega ozemlja. So to take bazne postaje kot za mobilna omrežja, ki stanejo po 100 tisočakov za kos?
Ne, bazne postaje za sistem Tetra so precej dražje, kar po okoli 300.000 evrov. V bistvu matematična ocena na podlagi resnih študij govori o vsaj 300 baznih postajah, medtem ko jih je vladna strategija predvidela 150.
Koliko pa jih je dejansko postavljenih?
Trenutno jih je osemdeset. To pomeni, da sistem deluje povsem na meji. Ravno zato po mojem mnenju namerno nista bili vklopljeni funkciji šifriranja in avtentikacije, ker so na ta način umetno podaljševali domet baznih postaj. Če se namreč uporabljata šifriranje radijskega vmesnika in avtentikacija, se zato bistveno zmanjša domet bazne postaje. Ne poznam točnega podatka v decibelih, ampak gre za občutno zmanjšanje.
Pri obremenitvah pa sistem sam preide v nešifrirano stanje.
Ta možnost je bila tako nastavljena v nastavitvah. To je načelno spet ena od varnostnih vrzeli, ki bi jo lahko kdo zlorabil za vstop v omrežje, po standardih ETSI (European Telecommunications Standards Institute) pa ni mehanizma, s katerim bi lahko naknadno preverili, ali je neki kloniran radijski terminal vstopil v omrežje. Ne da se ga identificirati.
Kaj je v ozadju
V starih časih je lahko policiji prisluškoval vsakdo, ki je ulovil ustrezno kratkovalovno frekvenco. Prehod na digitalni sistem Tetra, ki so ga začeli uvajati leta 2000 in je zaživel štiri leta pozneje, pa je prinesel možnost šifriranja pogovora.
Vendar pa je, kot je razkril Dejan Ornig, ki je kupil ustrezen ključek DVB-T za 20 evrov in analiziral Tetro, od leta 2012 do konca leta 2014 večina prometa prek Tetre potekala v nešifriranem načinu. Vojaška policija, davčna uprava (zdaj FURS), DURS in zapori (uprava za izvrševanje kazenskih sankcij) so se pogovarjali tako, da jim je bilo mogoče enostavno prisluškovati. Njihove izjave kažejo, da se tega sploh niso zavedali. Policija je sicer komunicirala v šifriranem načinu, razen kadar je sistem zaradi preobremenitev klecnil, to pa ni bilo redko.
Šele letos se je začela nadgradnja sistema Tetra in sistem je trenutno v šifrirani obliki, ki ne omogoča prisluškovanja. Najverjetneje zaradi vdora - decembra 2014 so namreč neznanci vdrli v sistem Tetra. Vdor ni strl šifrirnih ključev, temveč je sistem prisilil k oddajanju v nešifriranem načinu. To je bilo mogoče zaradi pomanjkljive zaščite pri prijavi, registraciji in avtentikaciji.
Ornig je policijo o pomanjkljivostih sistema obvestil že leta 2013, kljub temu pa je pred kratkim doživel hišno preiskavo, ki jo je preiskovalni sodnik utemeljil z navedbo, da ogroža nacionalno varnost.
Meniš, da so naši organizirani kriminalci to vedeli? Morali so vedeti samo eno ID-številko nekega policijskega terminala in počakati, da se ta izključi iz omrežja?
V bistvu sploh ni potrebno, da se pravi terminal izključi, treba je le vpisati identifikacijsko številko originalnega radijskega terminala, in če je ta priključen na isto bazno postajo kot klon, je po mojem teoretičnem raziskovanju ključna napaka v standardu ETSI ta, da je mogoče zelo enostavno manipulirati sam signal. Treba je le počakati paketek bazne postaje s sporočilom: »The location update accept«. Kar pomeni, da bazna postaja originalnemu terminalu odobri gostovanje (angl. Roaming) oziroma avtentikcaijo. S klonom preprosto poslušamo bazno postajo, njen kontrolni kanal, in takoj ko zasledimo omenjeni paketek, je radijski terminal že povezan v omrežje. Ta ranljivost je, kot rečeno, problem ETSI in njihovih standardov, ki so nastali že leta 1995. Težava je, da te vrzeli ni še nihče odkril, oziroma če jo je, je vse skupaj ostalo tako tajno, da se nihče ni lotil iskanja rešitve.
Ali je policija že pristala, da skupaj z Matejem Kovačičem z Instituta Jožef Stefan izvedeš penetracijski test sistema?
Dogovarjali smo se, a zdaj pravijo, da tega ne moremo izpeljati, ker sem osumljen kaznivega dejanja vdora v informacijski sistem, po drugi strani pa dvomim, da so sploh imeli resne namene.
Midva s kolegom sva se potem pogovarjala o tej zadevi in sva nekako sklenila, da po vsem tem pa tega res ne nameravava napraviti brezplačno. Enostavno zato, ker sva jim na ta način ponujala roko že septembra lani, ko je bil Matej na prvem sestanku z gospodom Bračkom, direktorjem urada za informatiko in telekomunikacije, oni pa so se v bistvu ves ta čas v ozadju ukvarjali s tem, kako bi me onemogočili.
Ne nazadnje so take analize tudi v tujini zelo drage. Tudi analiza, ki sem jo sam opravil, je na neki način velika usluga policiji in državi, saj jim je omogočila, da so omrežje za silo pokrpali do te mere, da mu ni več mogoče prisluškovati s povsem trivialno opremo. Zato ne vidim nekega smisla, zakaj bi še enkrat sklonil glavo in šel nekaj delat pro bono.
Policija me je, denimo, na svoji spletni strani diskreditirala tudi tako, da so objavili, da z mojimi ugotovitvami sploh niso bili seznanjeni. Jaz pa sem pisno, prek elektronske pošte, o svojih analizah redno obveščal vodjo operativno-komunikacijskega centra Miho Rističa, tako da je bila policija o vseh mojih varnostnih ugotovitvah dosledno obveščena. Če urad trdi, da niso bili obveščeni, je to potem problem njihove interne komunikacije. Načelno pa sem zelo vesel, da je Fank (Marjan Fank, generalni direktor policije, op. p.) odredil notranji nadzor in komaj že čakam, kaj bo ta pokazal.
A policija sploh ima kader, ki bi lahko razumel sam problem?
Jaz mislim, da so se začeli zavedati tega, najbrž pa drži, da takega kadra nimajo. Zdi se mi, da nihče od ljudi, ki skrbijo za ta sistem, ne ve prav dobro, kaj sistem Tetra sploh je. Špekuliram, a glede na njihove odzive in njihovo delo lahko to rečem. Pa ne, da bi želel kogarkoli diskreditirati. Nikomur nisem želel izpodnesti stolčka, še več, jaz s tem sploh nisem želel iti v javnost.
Ko pa sem videl, da se zadeva namenoma pometa pod preprogo, in ko sem izvedel, da se pripravlja hišna preiskava pri meni, da me želijo utišati, sem zgodbo predal medijem, pač, da bi se zaščitil.
A te lahko še kot strokovnjaka vprašam, ali je bila cena za to naložbo – 13 milijonov, potem pa še vsak mesec okoli 100.000 evrov za vzdrževanje sistema – upravičena?
Jaz mislim, da ne. Problem sega v začetek postavljanja omrežja. Že leta 2001, 2002 so bile napravljene ključne napake. Kupili smo zastarelo opremo prek nekega italijanskega podjetja in ta je bila za potrebe javnih služb, kot sta vojska in policija, povsem neustrezna. Ko so se delali razpisi za nabavo tega jedrnega dela opreme, se niso upoštevale strokovne študije, zato sistem ni tak, kot bi moral biti. Kasneje se je seveda intenzivno vmešala še politika, zato imamo razvpito pogodbo s podjetjem Santera. Mimogrede še pred nekaj leti je bila ta pogodba vredna okoli 200.000 evrov mesečno in šele eni zadnjih vlad jo je uspelo približno prepoloviti. Kar pa je še vedno veliko preveč za eno zasebno podjetje, ki vzdržuje 80 baznih postaj – to se mi zdi nategovanje. Nisem se želel spuščati v politiko, jaz sem se stvari lotil strokovno analitično, ampak hočeš nočeš potem trčiš tudi ob to, ker je pač vse skuhala politika.
Je mogoče, da Tetra skriva še kako ranljivost?
Seveda je mogoče, zato sva z Matejem Kovačičem policiji ponudila izvedbo celovite varnostne analize, ki bi razkrila te vrzeli. Vprašanje je, koliko takih ranljivosti še obstaja neodkritih, še bolj pa, kdo te ranljivosti uporablja in zlorablja za bogsigavedikaj.