Řada organizací spadajících pod pražský magistrát využívá komunikační síť Tetra. Je to běžný systém, který se používá i jinde ve světě. Problém je v tom, že například komunikace městské policie probíhá zcela bez šifrování.
Co do vysílačky policista řekne, slyší každý, kdo poslouchá. A slyšet může nejen jméno, adresu bydliště a rodné číslo majitele konkrétního automobilu zaparkovaného před konkrétním obchodním domem, ale teoreticky i mnohem zajímavější informace. V případě mimořádných událostí, jako jsou demonstrace, veřejné ohrožení a podobně, totiž s městskou policií postup koordinuje policie státní (samozřejmě šifrovaně). Z nevhodně sdílených informací městských strážníků ovšem může posluchač postup obou složek dopředu pohodlně zjistit.
K odposlechu si stačí pořídit obyčejný USB dongle k příjmu digitální televize a rozhlasu. Nestojí víc než 300 korun. A s touto malou investicí se lze dostat nejen ke komunikaci městské policie, ale do celého tzv. městského rádiového systému. Ten využívají i další organizace pražského magistrátu - třeba Technická správa komunikací, Dopravní podnik i krizový štáb. A stejný systém se využívá i k řízení dopravních informačních tabulí.
Asi byste čekali, že takový systém bude dobře zabezpečen. Ale opak je pravdou, jak nás přesvědčil Ondřej Profant, pražský zastupitel za Pirátskou stranu. Na problém narazil náhodou.
Ondřej Profant demonstruje odposlech komunikace Městského rádiového systému.
„Na jedné přednášce pořádané ČVUT, která se týkala rádiových sítí, jsem zaslechl, že Praha provozuje nezabezpečenou síť Tetra,“ vysvětlil svůj zájem.
Postupně si zjistil, kde je problém a ve spolupráci s odborníky sestavil i jednoduchý systém, kterým mohl síť Tetra odposlouchávat. Redakci Technet.iDNES.cz to i názorně ukázal.
Ukázka odposlechnuté zprávy pro dopravní informační tabuli (v červeném rámečku).
Mohli jsme si tak poslechnout hlášení policistů, že skončila demonstrace, nebo si přečíst zprávu určenou pro informační tabuli na pražském okruhu.
Přesně to může udělat kdokoliv a nebude jej to ani moc stát. Redakce má k dispozici přesný návod, jak si vše správně sestavit. Z pochopitelných důvodů jej zde neuvádíme.
V čem je největší problém?
Samotný fakt, že systém není šifrován, nemusí být přímo důvodem ke znepokojení. Nešifrovaný systém může být totiž výrazně levnější na pořízení i na provoz a může být i bezpečný. Jenže je v takovém případě potřeba dodržovat určitá pravidla pro komunikaci. Problém s možným odposloucháváním totiž není nijak nový. Řeší jej například některé dobrovolné hasičské sbory, které stále ještě komunikují na analogových frekvencích. Jejich odposlouchávání je velmi snadné a proto jsou všichni radiooperátoři proškoleni v tom, co mohou do vysílačky sdělovat a které informace už musí jít jinou cestou (například přes mobilní telefon).
V komunikaci městských strážníků však zaslechnete nejen jména, ale i rodná čísla a další osobní údaje o lidech, které strážnici právě prověřují. Důležité informace pak mohou útočníci jednoduše zneužít.
Lze podvrhnout informační tabule a značení na silnicích?
Odposlech sítě je velmi jednoduchý. Kromě hlasové komunikace je možné sledovat i údaje na informačních tabulích, což je však již trochu obtížnější. Pokud by však chtěl někdo tuto komunikaci podvrhnout nebo dokonce změnit údaje na tabulích například městského okruhu, měl by to ještě mnohem těžší.
Podle odborníka na radiové komunikace, jehož totožnost redakce zná, to v podstatě není možné. I když totiž systém nevyužívá takzvanou šifrovanou autentifikaci, informační cedule by podvrh poznaly a podstrčené informace by nepřijaly.
„Představte si, že s někým hovoříte po telefonu. Pokud by v tu chvíli někdo chtěl nepozorovaně vstoupit do vaší komunikace, bude to mít velmi těžké. Poznáte to. A podobně to vypadá při komunikaci mezi informační tabulí a dispečinkem. Do spojení nemůže vstoupit nikdo další, aniž by to systém nezaznamenal,“ vysvětluje expert. Stejné je to i při komunikaci mezi městskými policisty.
„Stoprocentní zabezpečení bezdrátové sítě neexistuje. Každý šifrovací systém je možné teoreticky zlomit a mezi výrobci systémů a útočníky existuje trvalý boj, což můžeme vidět i v jiných oblastech. Například wi-fi začalo s WEP autentizací, která se časem stala slabou, přešlo se na WPA, WPA2 a ukazuje se, že už to také nestačí,“ dodává odborník.
I tak je ale nešifrovaná komunikace v této síti, která začala v Praze vznikat již v roce 2000, nesprávně nastavená. „Podle mých informací síť jen omezeně využívá například záchranná služba, která má zkušenosti s tím, že se takto mohly dostat informace o výjezdu k VIP osobám do bulvárních novin,“ říká Profant.
Půl roku bez pokroku
Zastupitel za Pirátskou stranu se pokusil situaci řešit už letos v lednu, kdy se ptal na věc na bezpečnostním výboru. Dozvěděl se, že již od října 2015 je připraven materiál, který měl mimo jiné i částečně řešit problém zabezpečení prostřednictvím autentifikace. Magistrát tedy o problému věděl již delší dobu, ale výsledek to zatím nepřineslo.
Dnes (v úterý 13. září) se měl na pražském magistrátu sejít bezpečnostní výbor a za přítomnosti novinářů celý problém zveřejnit. Zasedání však bylo zrušeno pro nezájem zastupitelů.
Ke kauze do redakce MF DNES dorazilo vyjádření tiskového mluvčího pražského magistrátu: „Magistrát, jakožto provozovatel Městského rádiového systému („MRS“), si je vědom závažnosti týkající se zabezpečení provozu MRS. Je připraven materiál týkající se veřejné zakázky, jejíž předmětem je mimo jiné i zajištění autentifikace a šifrování provozu v MRS. Před jejím vyhlášením odbor bezpečnosti Magistrátu hlavního města Prahy zadal společnosti KPMG zpracovat studii, týkající se analýzy a koncepce rozvoje MRS. Tato studie je ve fázi před převzetím a potvrzuje správnost plánované investice. Předpokládá se, že návrh řešení – záměr na vyhlášení veřejné zakázky bude předložen RHMP do konce roku,“ odpověděl mluvčí Vít Hofman.
Magistrát tedy o problému ví. Otázkou zůstává, jak jej vyřešit. „Bez podrobné znalosti topologie systému je těžké odhadnout, jak bude případné zavedení šifrování náročné,“ vysvětluje expert na radiovou komunikaci. „Je totiž možné, že část terminálů nebo dokonce celá infrastruktura sítě šifrování neumožňuje a jedinou možností by pak bylo nahrazení stávajících terminálů nebo v krajním případě i změna celé infrastruktury. Může tedy jít o náklady v řádech stovek tisíc za pouhý nákup licencí na šifrovaní až po desítky milionů za novou síť,“ dodává odborník.
Aktualizováno: Doplnili jsme video
Další podrobnosti k problému nešifrované komunikace městských strážníků přinese středeční pražská příloha MF DNES.
