Četrtek, 30. 4. 2015, 14.22
8 let, 6 mesecev
Kako za 20 evrov prisluškovati slovenskim varnostnim organom (video)
Namesto da bi odpravili pomanjkljivosti omrežja Tetra, na katere je opozoril študent Dejan Ornig, je ta postal osumljenec kaznivega dejanja vdora v informacijski sistem.
"Hišna preiskava me je zelo presenetila, saj sem ves čas sodeloval s policisti in jim povedal vse, kar so želeli izvedeti. Predkazenski postopek, ki ga vodijo zoper mene, je dokaz, v kakšni državi živimo," je povedal študent Fakultete za elektrotehniko, računalništvo in informatiko Dejan Ornig.
Ornig se je leta 2013 lotil raziskovanja digitalnega radijskega omrežja Tetra. Pritegnil ga je zato, ker je v strokovnih krogih veljal za zelo varen komunikacijski sistem, ki onemogoča prisluškovanje oziroma poslušanje komunikacije uporabnikov.
Programsko ogrodje, pojasni, deluje na operacijskem sistemu Linux, zato je potrebno naprednejše znanje operacijskega sistema in programiranja, še posebej ker je bilo treba napisati dobršen del kode, ki je bila osnova njegovega raziskovanja varnosti omrežja Tetra.
Kodek za dekodiranje govornih prometnih podatkov je javno objavljen, saj gre za standard ETSI, zato ga je bilo treba le implementirati v ogrodje osmo-com, dodaja.
"Presenečen sem ugotovil, da sem lahko poslušal službe, ki uporabljajo digitalno omrežje Tetra. Jasno, začel sem iskati podrobnosti o našem, slovenskem omrežju Tetra. Javno dostopni so bili vsi javni razpisi o nabavi opreme, zato sem podrobno prebral vse, kar sem lahko našel na internetu," se spominja študent.
Ugotovil je, da omrežje uporabljajo različne službe, in sicer Policija, Slovenska obveščevalno-varnostna agencija, Slovenska vojska, Vojaška policija, Zavodi za prestajanje kazni zapora, Finančna uprava, Družba za avtoceste, Ljubljanski potniški promet, Redarske službe, protokol vlade in še kakšna se lahko najde.
Zato je bil še toliko bolj presenečen, ko je ugotovil, da večina uporabnikov sploh ni imela vklopljene avtentikacije radijskega terminala, "čeprav je MNZ v dokumentih in javnih razpisih večkrat napisalo, da vsi radijski terminali za dostop do omrežja uporabljajo avtentikacijo".
Zaradi očitnih varnostnih ranljivosti je septembra 2013 stopil v stik z Mihom Rističem s PU Ljubljana: "Predstavil sem mu vse svoje ugotovitve in mu v dokaz posredoval tudi nekaj posnetkov govornih komunikacij služb, ki bi morale imeti šifrirane komunikacije." Ristič je po Ornigovih besedah o njegovih ugotovitvah obvestil Urad za informatiko in telekomunikacije (UIT) na GPU, ki je tudi skrbnik omrežja Tetra.
UIT se je po tem, ko jim je Ristič predstavil Ornigove ključne ugotovitve, zavil v molk, ugotavlja sogovornik. "Njihov molk je trajal mesece in mesece in v tistem času se na omrežju ni spremenilo nič. Še vedno je bilo namreč mogoče poslušati govorne komunikacije uporabnikov, prav tako številni radijski terminali niso imeli vključene niti avtentikacije, da ne omenjam težav s šifrirnimi ključi," se spominja.
"Dogovorila sva se, da bo skušal stopiti v stik z odgovornimi, da bi predstavili moje ugotovitve o varnostnih ranljivosti omrežja ter po potrebi opravili dodatno pro bono varnostno analizo, s katero bi lahko ugotovili ranljivosti standardiziranih protokolov ETSI," pojasnjuje študent.
Po njegovih besedah se je Matej Kovačič oktobra 2014 dogovoril za sestanek z Andrejem Bračkom, direktorjem UIT GPU, na katerem mu je predal Ornigovo varnostno analizo. UIT je na tem sestanku izrazil interes, da bi sodeloval z Institutom Jožef Stefan, pravi študent.
"Kriminalisti so me 7. aprila 2015 v vlogi osumljenca zaradi suma storitve kaznivega dejanja napada na informacijski sistem vabili na zaslišanje. Na njihova vprašanja sem odgovarjal in jim pojasnil vse, kar jih je zanimalo," pravi sogovornik.
Kriminalisti pa so včeraj v njegovi odsotnosti opravili hišno preiskavo. Preiskali so stanovanje in med drugim odnesli računalniško opremo.