El estudiante esloveno Dejan Ornig de 26 años, reportó de forma privada los errores de configuración del protocolo de cifrado de la radio llamado TETRA utilizado por la policía local, pero después de esperar 2 años a que lo arreglaran, lo publicó y obtuvo como recompensa: una sentencia de 15 meses de cárcel.





Dejan Ornig, un estudiante de 26 años de edad, en la Facultad de Justicia Penal y Seguridad en Maribor, Eslovenia, recibió esta semana una sentencia de prisión suspendida de 15 meses y no irá a la cárcel si no se repite su "crimen" en los próximos tres años. El "crimen "de Ornig, según el sitio de noticias locales Pod CrtO, fue que encontró y luego divulgó públicamente (después de esperar 2 años a que lo arreglaran) los problemas de seguridad en el protocolo de comunicaciones cifradas TETRA desarrollada por el estado.



Dejan Ornig dió a conocer las vulnerabilidades de forma privada a los funcionarios y las vulnerabilidades fueron arregladas, pero luego fue demandado y condenado por su trabajo y los dispositivos utilizados para la investigación fueron confiscados. En un proceso durante el cual los policías encontraron una "tarjeta de identificación de polocía falsa" y tabién tiene un cargo por impersonar a "oficiales".

TETA es el protocolo de comunicaciones de cifrado utilizado por las autoridades nacionales

TETRA es utilizado por la policía de Eslovenia, y también por algunas partes del ejército, el esloveno de inteligencia y la Agencia de Seguridad (SOVA), la administración de la prisión, e incluso algunas entidades financieras en los departamentos de administración.

El estudiante guardó silencio sobre los defectos de cifrado TETRA durante más de dos años

El estudiante comenzó su trabajo en la investigación de TETRA en el año 2012, como parte de un proyecto escolar con otros 25 colegas de la facultad. En septiembre de 2013, Ornig descubrió que las autoridades eslovenas no habían configurado correctamente el protocolo TETRA.

El protocolo, que fue diseñado para cifrar las comunicaciones sensibles, tenía un problema de configuración y es que alrdedor del 70% de del as comunicaciones no estaba siendo cifradas.



Siguiendo una práctica de una fuente responsable, el estudiante informó a la policía de sus hallazgos. Al ver cómo las autoridades no tomaban ninguna acción, Ornig hizo sus hallazgos y los público en marzo de 2015.

A pesar de las buenas intenciones obvias del estudiante y su cooperación con las autoridades, la policía afirmaron que Ornig debería haber solicitado un permiso oficial para llevar a cabo su investigación, que según ellos obstaculizaron la operación normal de algunas de sus estaciones de radio.

El hacking ético puede ser muy arriesgado, esta es la experiencia que ha tenido estudiante esloveno de 26 años de edad, llalmado Dejan Ornig, que tiene serios problemas después del descubrimiento de varios fallos en el Protocolo de comunicaciones de la policía.

Es increíble, pero si, las autoridades lo han condenando a una pena de prisión.

"En el Juicio a Ornig se le acusa del ataque al sistema de información, falsificación de documentos y grabación de audio indebida.", informa el sitio web de noticias eslovena Pod Crto.

Los hechos se remontan a 2012, cuando Ornig junto con 25 colegas comenzó a trabajar en la implementación de TETRA en el país, como parte de un proyecto escolar.

En septiembre de 2013, descubrió que las autoridades eslovenas habían configurado INcorrectamente el protocolo TETRA utilizado en el país.

El experto descubrió que la aplicación Tetra utilizado en el país no se cifra los datos que en la transmisión de alrededor de un 70 por ciento del tiempo, con lo que las consecuencias son más que obvias.

Divulgación responsable - Responsible disclosure

Ornig éticamente informó de su descubrimiento a las autoridades, pero no vió ninguna acción por parte del gobierno por lo que decidió darlo a conocer públicamente los temas en marzo de 2015.

Sólo un día después de la divulgación pública del fallo, las autoridades solucionaron los problemas en la aplicación TETRA pero entonces comenzaron los problemas para el joven estudiante. Ornig ha sido acusado de tratar de hackear la red de Gobierno en tres ocasiones separadas: concretamente en febrero, marzo y diciembre de 2014.

En abril de 2015, las autoridades allanaron la casa del estudiante y se apoderaron de su ordenador y un dispositivo personalizado de 25$ con la que fue capaz de interrumpir las comunicaciones TETRA. La policía también descubrió una placa de policía falsa, entonces la situación se hizo más compleja.

El análisis de la computadora de Ornig reveló la presencia de grabaciones ilegítimas su antiguo empleado como resultado, la policía presentó una tercera acusación contra el joven.

De acuerdo con las autoridades eslovenas, Ornig debería haber obtenido el permiso oficial para realizar las pruebas que le permitiría descubrir el problema en el protocolo Tetra.

El joven estudiante esta semana recibió una sentencia de cárcel de 15 meses, aunque las autoridades suspendieron la pena de prisión bajo la condición de que el hacker no se repita el mismo delito en los próximos tres años.

Lo que tenemos aquí es una red que se supone que cifra las comunicaciones sensibles, pero no lo está haciendo en el 70% de los casos. entonces tenemos un grupo de estudiantes la búsqueda de esta vulnerabilidad y la revelación de que alrededor de septiembre de 2013, pero las autoridades estatales no hicieron nada para solucionarlo, lo que provocó la divulgación completa en marzo de 2015,.

Estimada Eslovenia: ¿Así es como se debe tratar a los hackers y los estudiantes que tratan de ayudar?. Así es como se debe tratar a los delincuentes cibernéticos que le atacan. Por favor, despierta y date cuenta de que el beneficio de lo que el Sr. Ornig ha hecho para usted es mayor que cualquier negativa asociada con este caso.

Lo que se debe hacer es:

• Crear una política de divulgación de vulnerabilidades
• Crear y poner en marcha un programa de divulgación de vulnerabilidades
• Añadir incentivos en algún momento posterior si procede
• Comunicarse con y beneficiarse de los hackers que ayudará sin duda

El error que Eslovenia ha realizado aquí afecta a mucha gente, incluyendo el equipo detrás del proyecto OsmocomTETRA, un proyecto tratando de encontrar y corregir las vulnerabilidades en las redes TETRA.

El líder del proyecto y autor principal de las herramientas de este proyecto blogs sobre la experiencia aquí:
estudiante esloveno condenado para la detección de fallos TETRA utilizando OsmocomTET

• http://laforge.gnumonks.org/blog/20160522-slovenia-osmocom-tetra/

Fuentes:
http://securityaffairs.co/wordpress/47579/hacking/hacking-tetra-protocol.html
http://news.softpedia.com/news/student-who-found-flaws-in-police-communication-protocol-gets-prison-sentence-504333.shtml
https://www.peerlyst.com/posts/understanding-responsible-disclosure-is-hard-slovenia-sentenced-man-who-disclosed-tetra-vulns-guurhart