Kısa bir e-postada, NCSC sözcüsü Miral Scheffer, TETRA’yı “Hollanda ve dünya çapında görev açısından kritik iletişim için çok önemli bir temel” olarak nitelendirdi ve bu tür iletişimlerin “özellikle kriz durumlarında” her zaman güvenilir ve güvenli olması gerektiğini vurguladı. Güvenlik açıklarının, etkilenen radyoların yakınındaki bir saldırganın iletişimleri “kesmesine, manipüle etmesine veya rahatsız etmesine” izin vereceğini doğruladı ve NCSC’nin Almanya, Danimarka, Belçika ve İngiltere dahil olmak üzere çeşitli kuruluş ve hükümetleri bilgilendirdiğini ve onlara nasıl ilerlemeleri gerektiğini tavsiye ettiğini söyledi. DHS’nin Siber Güvenlik ve Altyapı Güvenliği Ajansı sözcüsü, güvenlik açıklarının farkında olduklarını ancak daha fazla yorum yapmayacaklarını söyledi.
Araştırmacılar, radyo teknolojilerini kullanan herkesin, cihazlarının TETRA kullanıp kullanmadığını ve hangi düzeltmelerin veya azaltmaların mevcut olduğunu belirlemek için üreticilerine danışması gerektiğini söylüyor.
Araştırmacılar bulgularını önümüzdeki ay Las Vegas’taki BlackHat güvenlik konferansında, ayrıntılı teknik analizlerin yanı sıra şimdiye kadar halka açık olmayan gizli TETRA şifreleme algoritmalarını yayınlayacakları zaman sunmayı planlıyorlar. Daha fazla uzmanlığa sahip başkalarının, başka sorunları bulup bulamayacaklarını görmek için algoritmaları araştıracağını umuyorlar.
TETRA, 90’larda Avrupa Telekomünikasyon Standartları Enstitüsü veya ETSI tarafından geliştirilmiştir. Standart, radyo üreticileri tarafından kullanım amaçlarına ve müşteriye bağlı olarak farklı ürünlerde kullanılabilen dört şifreleme algoritması (TEA1, TEA2, TEA3 ve TEA4) içerir. TEA1 ticari kullanım içindir; Avrupa ve dünyanın geri kalanındaki kritik altyapılarda kullanılan radyolar için, bir ETSI belgesine göre kamu güvenliği kurumları ve ordu tarafından da kullanılmak üzere tasarlandı ve araştırmacılar onu kullanan polis teşkilatlarını buldu.
TEA2’nin Avrupa’da polis, acil servisler, ordu ve istihbarat teşkilatları tarafından kullanımı kısıtlanmıştır. TEA3, Avrupa dışında—Meksika ve Hindistan gibi AB’ye “dost” sayılan ülkelerde; İran gibi dost sayılmayanların yalnızca TEA1 kullanma seçeneği vardı. Araştırmacılar, başka bir ticari algoritma olan TEA4’ün neredeyse hiç kullanılmadığını söylüyor.
Araştırmacılar, açık kaynak araştırması yürüttükten sonra, ABD dışındaki dünyadaki polis güçlerinin büyük çoğunluğunun TETRA tabanlı radyo teknolojisini kullandığını buldu. TETRA, Belçika ve İskandinav ülkelerinde, Sırbistan, Moldova, Bulgaristan ve Makedonya gibi Doğu Avrupa ülkelerinde ve Orta Doğu’da İran, Irak, Lübnan ve Suriye’de polis güçleri tarafından kullanılmaktadır.
Ayrıca Bulgaristan, Kazakistan ve Suriye’deki Savunma Bakanlıkları da kullanıyor. Polonya askeri karşı istihbarat teşkilatı, Finlandiya savunma kuvvetleri ve Lübnan ve Suudi Arabistan istihbarat servisi bunlardan sadece birkaçı gibi kullanıyor.
ABD ve diğer ülkelerdeki kritik altyapı, SCADA’da ve diğer endüstriyel kontrol sistemi ayarlarında makineler arası iletişim için TETRA’yı kullanır – özellikle kablolu ve hücresel iletişimin mevcut olmayabileceği geniş çapta dağıtılmış boru hatları, demiryolları ve elektrik şebekelerinde.
Standardın kendisi inceleme için halka açık olsa da, şifreleme algoritmaları yalnızca radyo üreticileri gibi güvenilir taraflar için imzalanmış bir NDA ile kullanılabilir. Satıcılar, herhangi birinin algoritmaları çıkarmasını ve analiz etmesini zorlaştırmak için ürünlerine korumalar eklemek zorundadır.