NewsEdit «Τρύπια» είναι η ασφάλεια των ασυρμάτων που χρησιμοποιεί η Ελληνική Αστυνομία, όπως αποκαλύπτει ρεπορτάζ του inside story. Σύμφωνα με το μέσο, εδώ και δύο χρόνια περίπου μελέτη τριμελούς ομάδας Ολλανδών ερευνητών κατέδειξε σημαντικά κενά ασφάλειας στους ασυρμάτους TETRA, που τους καθιστά ευάλωτους τόσο σε υποκλοπές των επικοινωνιών όσο και σε εισαγωγή ψευδών μηνυμάτων.
Οι Ολλανδοί ερευνητές γνωστοποίησαν εμπιστευτικά τα αποτελέσματα της μελέτης τους στο Εθνικό Κέντρο Κυβερνοασφαλείας National Cyber Security Centre (NCSC) του ολλανδικού υπουργείου Δικαιοσύνης και Ασφαλείας. Το NCSC ανέλαβε να ενημερώσει, μέσω των επίσημων καναλιών επικοινωνίας, όλες τις ευρωπαϊκές αρχές που χρησιμοποιούν αυτούς τους ασυρμάτους, ώστε να λάβουν τα μέτρα τους. Τα αποτελέσματα της έρευνας που αποκάλυψε τα τρωτά σημεία του TETRA δημοσιοποιήθηκαν στο ευρύ κοινό μετά από εύλογο χρονικό διάστημα, 1,5 χρόνο μετά, τον Ιούλιο του 2023.
Στην Ελλάδα το TETRA χρησιμοποιείται από την ΕΛΑΣ, ενώ υπηρεσίες συντήρησης και τεχνικής υποστήριξης, αξίας αρκετών εκατομμυρίων ευρώ της παρέχει από το 2018 η εταιρεία Krikel, συμφερόντων Γιάννη Λαβράνου, του επιχειρηματία με κεντρικό ρόλο στο σκάνδαλο των υποκλοπών. Μάλιστα, το 2022 – όταν δηλαδή είχε γίνει ήδη γνωστή η ευαλωτότητα του συστήματος– υλοποιήθηκε η νέα σύμβαση της Krikel με την Ελληνική Αστυνομία, για τον Έβρο και τις Ανατολικές Νήσους, αξίας άνω των 7 εκατ. ευρώ, όπως προκύπτει από τις οικονομικές καταστάσεις της εταιρείας.
Εκτός από την ΕΛΑΣ, οι ασύρματοι TETRA χρησιμοποιούνται εδώ και χρόνια σε διάφορες κρίσιμες υποδομές στην Ελλάδα, όπως τα τρένα, τα τραμ, το μετρό και το λιμάνι του Πειραιά. Το σύστημα είχε εγκατασταθεί το 2001 και στο αεροδρόμιο Ελευθέριος Βενιζέλος. Υπηρεσίες TETRA στην Ελλάδα προσφέρει και ο ΟΤΕ.
Στο inside story μίλησαν οι τρεις ερευνητές της ολλανδικής συμβουλευτικής εταιρείας που ειδικεύεται σε θέματα ασφάλειας Midnightblue, που ανέλυσαν τους αλγορίθμους κρυπτογράφησης του TETRA και εντόπισαν τα προβλήματα. Σύμφωνα με αυτούς, η εντύπωση που αποκόμισαν από την έρευνα που έχουν κάνει σε διάφορους ασυρμάτους TETRA διαφόρων προμηθευτών, είναι ότι η ασφάλεια που προσφέρουν είναι πολύ χειρότερη από αυτή ενός κινητού τηλεφώνου Android.
Η ΕΛΑΣ γνώριζε το πρόβλημα με τους ασυρμάτους της από τον Απρίλιο του 2022
Το μέσο απηύθυνε ερώτηση προς το NCSC για το πότε ενημέρωσε την Ελληνική Αστυνομία. «Δεν είχαμε απευθείας επικοινωνία με τις ελληνικές αρχές. Χρησιμοποιήσαμε τα ευρωπαϊκά/παγκόσμια κανάλια επικοινωνίας EGC (European Government CERTs), CSIRT-Network, και IWWN (Διεθνές Δίκτυο Παρακολούθησης και Προειδοποίησης) για να επικοινωνήσουμε τις πληροφορίες σχετικά με τα τρωτά σημεία του TETRA. Το πρώτο μήνυμα που μοιραστήκαμε μέσω αυτών των καναλιών ήταν την 1η Απριλίου 2022, ακολούθησαν μερικές ενημερώσεις από τότε μέχρι την ημερομηνία δημοσίευσης τον Αύγουστο».
Με βάση την απάντηση του NCSC, η ΕΛΑΣ γνώριζε για το πρόβλημα στις κρυπτογράφηση των ασυρμάτων της από τον Απρίλιο του 2022.
Ωστόσο, ούτε η ηγεσία της ΕΛΑΣ ούτε το υπουργείο Προστασίας του Πολίτη δεν απάντησαν σε αντίστοιχα ερωτήματα του μέσου.
Όπως αναφέρει το ρεπορτάζ, ούτε από την Krikel δόθηκαν επίσημες απαντήσεις, ωστόσο πηγή της εταιρείας ανέφερε στο inside story πως οι ασύρματοι που έχει η Ελληνική Αστυνομία δεν διατρέχουν κίνδυνο διότι έχουν κρυπτογράφηση ΤΕΑ2 και «χρησιμοποιούν το ύψιστο επίπεδο ασφαλείας που είναι το Security Class 3». Από την ολλανδική εταιρεία εξήγησαν όμως ότι και πάλι οι ασύρματοι της ΕΛΑΣ είναι ευάλωτοι στη λεγόμενη keystream recovery attack, που επιτρέπει ουσιαστικά την υποκλοπή των επικοινωνιών των αστυνομικών (σε δεύτερο χρόνο) και στη χαρτογράφηση των κινήσεων των δυνάμεων ασφαλείας που χρησιμοποιούν ασυρμάτους TETRA εντός ελληνικής επικράτειας.
Εντύπωση προκαλεί ότι η πηγή από την Krikel ανέφερε ότι πληροφορήθηκε από πρόσφατο δημοσίευμα για τα τρωτά σημεία που έχει εντοπίσει η ολλανδική εταιρεία στο σύστημα TETRA και υποβάθμισε την κρισιμότητά τους για το δίκτυο της Ελληνικής Αστυνομίας. Προς επίρρωση αυτού, επικαλέστηκε την τοποθέτηση των δυο διεθνών οργανισμών ETSI και TCCA αμέσως μετά τη ευρεία δημοσιοποίηση των τρωτών σημείων στις 24 Ιουλίου 2023. Βέβαια στην ανακοίνωσή τους οι δύο οργανισμοί δεν διαψεύδουν τα ευρήματα της Midnightblue, αντιθέτως τα επιβεβαιώνουν έμμεσα.
Η κατάσταση των τεχνικών προβλημάτων και τη μη εύρυθμης λειτουργίας του συστήματος αργοσέρνεται εδώ και πολλά χρόνια δίχως όμως να αλλάζει κάτι προς το καλύτερο και πιο ουσιαστικό. Ακόμα και τις «καλές ημέρες», όπως καταγγέλλουν αστυνομικές πηγές, το σύστημα είναι “κάτω” κάθε ώρα για αρκετά λεπτά.
Οι καταγγελίες αστυνομικών για τους «καινούργιους» ασυρμάτους της αστυνομίας είναι σχεδόν καθημερινό φαινόμενο καθώς η έλλειψη σήματος και τα προβλήματα με την μπαταρία των συσκευών τούς αναγκάζει να χρησιμοποιούν τα κινητά τους τηλέφωνα.
Είναι πάντως απορίας άξιο το ότι η ελληνική αστυνομία αναγκάζεται να χρησιμοποιεί απαρχαιωμένο εξοπλισμό, αυτό δηλαδή των αναλογικών ασυρμάτων, τη στιγμή που μπορούν να υποκλέψουν τις επικοινωνίες της οι πάντες, ακόμη και ιδιοκτήτες γραφείων τελετών για να μαθαίνουν από πρώτο χέρι τα θανατηφόρα τροχαία.
Σημειώνεται πως το σύστημα είχε πέσει ξανά στις αρχές Σεπτεμβρίου του 2020, όταν, σύμφωνα με ρεπορτάζ του astinomiko.gr, τεχνικοί της αντιπροσωπείας του συστήματος Sepura, που ήρθε να αντικαταστήσει το TETRA των Ολυμπιακών Αγώνων, επιχειρούσαν μια ακόμη αναβάθμιση των δύο «σέρβερ» που ελέγχουν την επικοινωνία του Κέντρου Επιχειρήσεων της ΓΑΔΑ με τους τερματικούς ασυρμάτους που έχουν μαζί τους οι αστυνομικοί στο δρόμο.
Το χρονικό
Το καλοκαίρι του 2014, όπως ανέφερε και παλαιότερο ρεπορτάζ του Documento, έληγε η δεκαετής συμφωνία για τη λειτουργία και συντήρηση του συστήματος επικοινωνιών Tetra, που χρησιμοποιούσαν όλες οι υπηρεσίες της Ελληνικής Αστυνομίας στην Αττική, την οποία είχε συνάψει το δημόσιο με την εταιρεία SAIC, με κύριο εκτελεστή τη Siemens.
Προφανώς έπρεπε να βρεθεί λύση για την ανανέωσή της ή τη σύναψη νέας. Το Tetra ήταν πλέον παρωχημένο και το διάδοχο σύστημα ήταν το Sepura, κατασκευής της ίδιας εταιρείας. Το παρασκήνιο είναι πάρα πολύ έντονο.
Στις 16 Δεκεμβρίου 2014 και ενώ στην ηγεσία του υπουργείου Προστασίας του Πολίτη βρίσκεται ο Βασίλης Κικίλιας, δημοσιεύεται το ΦΕΚ με αριθμό φύλλου 3379 με το οποίο η ελληνική κυβέρνηση αποδέχεται τη δωρεά του συστήματος μέσω μιας νεοϊδρυθείσας αμερικανικής εταιρείας.
Αποφασίστηκε η αποδοχή: «α) της δωρεάς ενός (1) τηλεπικοινωνιακού συστήματος “TETRA Sepura” κατασκευής της εταιρείας Sepura plc από την εταιρεία Lamas Pinto Consultants Corporation για την κάλυψη των επικοινωνιακών αναγκών της Ελληνικής Αστυνομίας στην περιοχή της Αττικής καθώς και β) της δωρεάν παροχής από την κατασκευάστρια εταιρεία Sepura plc του Εθνικού Κώδικα (κλειδιών κρυπτογράφησης), των αδειών χρήσης για τη συντήρηση και την υποστήριξη του ανωτέρω δωρούμενου συστήματος για ένα (1) χρόνο, εκτιμώμενης αξίας 25.000.000 ευρώ και 2.200.000 ευρώ αντίστοιχα κατ’ εκτίμηση της Ελληνικής Αστυνομίας».
Εταιρεία- φάντασμα
Η αποδοχή της δωρεάς σήμαινε αυτόματα και μη διεξαγωγή διαγωνισμού. Αυτό τον στόχο είχαν, όπως ανέφεραν σε σχετικό ρεπορτάζ τους τα «Νέα», πρόσωπα της βρετανικής εταιρείας ασφαλείας, καθώς «με τη συνεργασία παραγόντων του υπουργείου Προστασίας του Πολίτη στόχευαν να παρακάμψουν τις διαδικασίες διαγωνισμού για την προμήθεια του Tetra. Θα είχαν μεγαλύτερα οφέλη, με βάση το ετήσιο ποσοστό 10% επί του κόστους εγκατάστασης και διανομής, από την ετήσια συντήρηση –για δέκα χρόνια– του συστήματος επικοινωνιών την οποία θα έπαιρναν δικαιωματικά και επειδή θα είχαν τα “κλειδιά” του συστήματος».
Τα χρήματα δεν δόθηκαν ποτέ στο ελληνικό δημόσιο. Τα ίδια πρόσωπα λίγο προτού λήξει η συμφωνία του παλιού Tetra είχαν ρωτήσει αν θα εφαρμόζονταν οι ευρωπαϊκοί κανόνες περί δημόσιων συμβάσεων με επίκληση την ασφάλεια πληροφοριών. Εκεί έρχεται ως μάννα εξ ουρανού η αμερικανική εταιρεία με έδρα στη Φλόριντα των ΗΠΑ και γραφεία-φαντάσματα στη Νέα Υόρκη και πρακτικά παρακάμπτει τους κανόνες καθώς δεν διεξάχθηκε ποτέ διαγωνισμός.
Το κοινό πρόσωπο
Η υπόθεση του συστήματος ψηφιακής επικοινωνίας της ΕΛΑΣ γίνεται ακόμα πιο “ενδιαφέρουσα” καθώς, όπως είχε αποκαλύψει από τον περασμένο Φεβρουάριο η εφημερίδα Documento, φέρεται να εμπλέκεται το ίδιο πρόσωπο που εμφανιζόταν να… λύνει και να δένει στον περιβόητο διαγωνισμό για τις νέου τύπου ταυτότητες.
Υπενθυμίζεται ότι Υπουργείο Προστασίας του Πολίτη έδωσε αρκετές παρατάσεις στο διαγωνισμό για τις ταυτότητες “παρά τις σημαντικές αποκαλύψεις του Documento για «φωτογραφικές» διατάξεις και τις καταγγελίες για αδιαφανείς διαδικασίες.
Τελικώς, ο διαγωνισμός ως προς το κομμάτι της υποβολής των φακέλων συμμετοχής ολοκληρώθηκε, στις 2 Σεπτεμβρίου, ημερομηνία που είχε δοθεί ως καταληκτική στην τελευταία παράταση που έδωσε στον διαγωνισμό το υπουργείο Προστασίας του Πολίτη.
Όπως αναφέρει σε ρεπορτάζ του το ethnos.gr, οι κοινοπραξίες που υπέβαλαν φακέλους συμμετοχής είναι οι παρακάτω: Ένωση εταιρειών «Thales Dis France-Uni Systems», ένωση εταιρειών «Veridos Ματσούκης-ΟΤΕ-BYTE-INCM», ένωση εταιρειών «Zetes Industries-Zetes-Space Hellas-Any», ένωση εταιρειών «Idemia-Neurosoft» και η ένωση εταιρειών «Austria Card Plastikkarten Und Ausweissysteme Gesellschaft M.B.H., In Continu Et Services Societe Par Actions Simplifiee (SAS) και Inform Λύκος (ΕΛΛΑΣ) Μονοπρόσωπο Α.Ε.».