Tempest
Afluisteren via straling
Wat is Tempest?
Geschiedenis
Hoe bedreigend is het?
Fabels en folklore
Soft Tempest
Andere varianten
Tegenmaatregelen
Wat is Tempest?
Elektrische apparaten, van keukenmachine tot zaktelefoon, stralen onbedoelde
elektromagnetische straling uit. Vaak is deze straling alleen maar hinderlijk,
omdat hij bijvoorbeeld de radio-ontvangst van je favoriete zender stoort.
Maar in deze straling zit ook informatie verborgen die niet voor anderen
bedoeld is.
Computers en andere dataverwerkende apparaten zijn extra gevoelig op
dit gebied, omdat de combinatie van de gebruikte signalen (square waves)
waarmee computeronderdelen met elkaar communiceren en de hoge frequenties
(tot honderden MHz) waarop dit plaatsvindt een buitengewoon rijk spectrum
aan onbedoelde signalen oplevert, verdeeld over een groot deel van het
elektromagnetische spectrum. Daardoor is het moeilijk deze apparatuur af
te schermen, omdat maatregelen die een bepaald deel van het spectrum beveiligen
vaak niet werken bij andere frequenties.
TEMPEST is een codewoord van de Amerikaanse regering voor een aantal
standaarden waaraan apparatuur moet voldoen om deze onbedoelde signalen
te beperken. In de praktijk wordt het woord echter ook gebruikt als algehele
omschrijving van diverse methodes om te spioneren met behulp van elektromagnetische
'lekstraling'.
terug naar top
Geschiedenis
Vanaf de jaren vijftig werd het bij overheden duidelijk dat lekstraling
(emanations) opgevangen en gereconstrueerd kon worden. Sinds die
tijd werden er twee dingen steeds belangrijker: Voorkomen dat deze straling
kon worden opgevangen door de vijand, en zelf proberen om de straling van
vijandelijke computers op te vangen.
Beroemd is het voorbeeld van Peter Wright in het boek Spycatcher,
waarin beschreven wordt hoe de Engelse geheime dienst MI5 in 1960 zijn
toevlucht nam tot Tempest-methoden om de Franse diplomatieke codeerapparatuur
te omzeilen. Het was niet gelukt om de codering zelf te breken, en Engeland
wilde erg graag weten hoe De Gaulle dacht over het toelaten van Engeland
tot de EEG. Het gecodeerde signaal bleek een uiterst zwakke stoorcomponent
te bevatten, waarin in klare taal de geheime boodschap naar buiten lekte.
Vandaag de dag gebruiken overheden peperdure metalen afschermingen
van computers, ruimtes of zelfs hele gebouwen. Zelfs binnen afgeschermde
omgevingen wordt het "rood/zwart" scheidingsprincipe gebruikt, waarin de
"rode" gevoelige apparatuur zoals computerterminals door filters en schermen
wordt gescheiden van de "zwarte" delen zoals modems, die in verbinding
met de buitenwereld staan.
Tempest is altijd met een waas van geheimzinnigheid omgeven geweest.
In Duitsland bijvoorbeeld is zelfs de naam van de beveiligingsstandaard
voor diplomatieke computers een staatsgeheim. Toch is er in de loop der
jaren het nodige bekend geworden.
Voor een groter publiek werd het probleem van lekstraling pas bekend
door een artikel uit 1985 van Wim van Eck. Hij demonstreerde daarin dat
een (computer)beeldscherm op afstand kon worden afgeluisterd door gebruik
te maken van goedkope apparatuur - een TV waarvan de synchronisatiepuls
werd vervangen door handmatiger regelaars.
Later werd duidelijk dat niet alleen een beeldscherm straling lekt:
ook de signalen van een RS-232 kabel (modemkabel) kunnen worden afgeluisterd.
Tevens kunnen signalen van de ene naar de andere kabel "overspringen":
in een test kon data die over een netwerk verzonden werd gereconstrueerd
worden vanuit een telefoonkabel, als deze telefoonkabel twee meter parallel
liep aan de netwerkkabel. Maar ook voedings- en aardedraden van de stroomaansluiting
kunnen als "antenne" functioneren en ongewenste signalen transporteren.
Een van de luidruchtigste signalen bij computergebruik is die welke
afkomstig is van het toetsenbord. Zowel via de toetsenbordkabel, als zeker
ook van de controller (een klein stukje elektronica dat bepaalt welke toets
wordt ingedrukt en vervolgens deze informatie naar de computer stuurt).
Het afluisteren van deze signalen is al in de praktijk gedaan, is redelijk
eenvoudig en goedkoop, en derhalve een groot risico.
terug naar top
Hoe bedreigend is het?
Op het eerste gezicht lijkt Tempest een droom voor snuffelaars en een nachtmerrie
voor mensen die hun privacy waarderen: experts gaan er van uit dat inlichtingendiensten
signalen tot op een kilometer afstand kunnen opvangen en ontcijferen, en
zeer handige, enigszins kapitaalkrachtige amateurs tot op driehonderd meter.
Daarvoor hoeven zij niet in te breken, geen sporen na te laten en veilig
uit het zicht blijven. Maar zo eenvoudig als dit klinkt is het gelukkig
ook niet. Tempest-ontvangers zijn duur en gevoelig, en werken lang niet
altijd. Door de geheimzinnigheid waarmee alle overheden Tempest omgeven,
is het lastig een concrete schatting te geven hoe vaak dit soort methoden
worden ingezet. Er zijn een aantal aanwijzingen om serieus met Tempest-aanvallen
rekening te houden:
-
De Tempest-industrie zet alleen in de VS per jaar al meer dan een miljard
dollar om aan Tempest-proof apparatuur. Deze zijn verplicht voor veel overheidsinstellingen.
-
Diverse militaire inlichtingendiensten berichten telkens weer dat vreemde
mogendheden permanent proberen via Tempest-aanvallen informatie te vergaren.
-
Ook voor het bedrijfsleven in strategisch belangrijke sectoren als de luchtvaart
wordt Tempest-apparatuur aangeraden, om bedrijfsspionage tegen te gaan.
Maar bedenk ook het volgende:
-
De meeste werkende tests zijn gedaan onder laboratorium-omstandigheden,
met optimale omstandigheden.
-
De apparatuur is erg duur, en je hebt veel tijd en geschoold personeel
nodig om resultaten te krijgen. Het is geen kwestie van "inschakelen en
meelezen".
Zoals met de meeste veiligheidsrisico's blijft het een inschatting:
hoeveel tijd, geld en moeite is de informatie die ik geheim wil houden
de tegenstander waard? En zijn er andere methoden waarmee de tegenstander
aan deze informatie kan komen? Vaak is het sneller en goedkoper een ouderwetse
infiltrant in een organisatie te sluizen, of een onzorgvuldig gekozen password
te breken, dan een Tempest-aanval uit te voeren.....
terug naar top
Fabels en folklore
Over Tempest doen veel fabels de ronde:
- Voor een paar honderd gulden kun je een Tempest ontvanger in elkaar
knutselen. Misschien hooguit voor een ouderwetse terminal, maar niet voor
een moderne monitor. En zeker niet om serieus op afstand te meten, in de
wolk van elektromagnetische 'smog' die tegenwoordig over een stad hangt.
- Een LCD beeldscherm kan niet afgeluisterd worden. Fout. De gebruikte
techniek verlaagt het risico wel wat, maar niet helemaal. Bovendien wordt
ook een LCD-scherm aangesproken door een videokaart met kabel, die alle
informatie bevat en uitstraalt. Juist bepaalde laptops zijn bijzonder "luidruchtig",
doordat er veel kabels op een beperkte ruimte en zonder degelijk metalen
omhulsel naast elkaar liggen. Bovendien kunnen moderne kleuren-LCD's vaak
beter worden afgeluisterd dan gewone monitoren, omdat elke transistor (elk
"pixel" of puntje op het beeldscherm) apart wordt aangestuurd. Daarmee
vervallen een hoop van de synchronisatieproblemen die ontstaan bij het
afluisteren van gewone monitoren, omdat die per horizontale lijn worden
aangestuurd. Helaas hebben wij hier in deel 1 niet voldoende rekening mee
gehouden, en daardoor zelf meegedaan aan de verspreiding van de mythe....
- TEMPEST is een afkorting. Alhoewel er later verscheidene pogingen
gedaan zijn er een zinvolle afkorting van te maken, zegt de officiële
specificatie uitdrukkelijk dat het gewoon een codewoord is.
terug naar top
Soft Tempest
Een zeer interessant onderzoek werd in 1998 gepubliceerd door Markus Kuhn
en Ross Anderson. Zij onderzochten of het mogelijk is de straling van beeldschermen
en andere computeronderdelen via software te manipuleren.
Het blijkt dat niet alle informatie op een beeldscherm even duidelijk
af te luisteren is. Bepaalde lettertypes (fonts) geven betere resultaten
dan andere, vooral als de afluisteraar weet welke fonts er gebruikt worden.
Deze signalen zijn dan beter te herkennen temidden van de elektromagnetische
"ruis".
Maar informatie kan zelfs bewust worden versterkt door een "Tempest
virus" binnen te sluizen. In een kleurenplaatje kan bijvoorbeeld een voor
de gebruiker niet zichtbaar zwart-wit beeld worden verstopt, dat goed af
te luisteren is. Zo zou bijvoorbeeld in het logo of de titelbalk van een
programma het serienummer verwerkt kunnen worden, om software-piraterij
op te sporen. De afluisterbaarheid van dergelijke verstopte boodschappen
ligt vele malen hoger dan die van normale informatie, volgens de auteurs
voldoende om deze signalen vanuit een mobiele opsporingswagen op te vangen.
Dezelfde truc is ook uit te halen door bijvoorbeeld de stuursignalen
voor de harde schijf te manipuleren, of door de processor op regelmatige
intervallen bepaalde instructies te laten uitvoeren. Hierdoor ontstaat
er een herkenbaar patroon in de brei van elektronische ruis die uitgezonden
wordt. Zo'n patroon is veel makkelijker op te sporen, en door kleine variaties
in dit patroon aan te brengen kun je informatie zoals passwords, serienummers
en dergelijke hiermee 'verzenden'. In alle gevallen levert het feit dat
de afluisteraars weten waarnaar zij moeten zoeken een veel hogere herkenningsgraad
op.
Maar software-manipulatie is ook te gebruiken als beveiliging: de auteurs
hebben speciale fonts ontwikkeld die juist buitengewoon moeilijk af te
luisteren zijn. Dit kan door de pixel-frequentie van de fonts af te vlakken.
De letters zijn voor de gebruiker enigszins wazig, maar redelijk goed te
lezen. Voor de afluisteraar is het verschil dramatisch: de tekst, die in
een 'normaal' font goed zichtbaar is, verdwijnt geheel en al.
Hier een link naar waar
een testversie van deze fonts te downloaden zijn.
terug naar top
Andere varianten
Er bestaan nog diverse varianten op Tempest.
NONSTOP is het codewoord voor lekstraling via radio-apparatuur zoals
mobiele telefoons, draadloze telefoons, draadloze netwerken, pagers en
mobilofoons die in de buurt van apparatuur worden gebruikt met gevoelige
informatie. Er bestaan specifieke richtlijnen over het uitzetten van deze
apparaten of het aanhouden van een minimale afstand tot de computer of
printer.
HIJACK is het codewoord voor spionage via digitale overdracht, in plaats
van elektromagnetische straling. Hiervoor moet de tegenstander toegang
hebben tot communicatielijnen (ook draadloze). Het schijnt erg duur en
lastig te wezen.
Interessant is ook een voorschrift van het Amerikaanse Department of
Energy. Alle infrarood-poorten op laptops en dergelijke die gevoelige informatie
verwerken moeten uitgeschakeld worden, hetzij door de poort met een goedgekeurd
veiligheidszegel af te plakken hetzij door de infrarood-zender fysiek te
verwijderen. Dit is voornamelijk bedoeld om er zeker van te zijn dat gebruikers
niet per ongeluk deze infrarood-poorten aan hebben staan. Infrarood licht
is namelijk mijlenver te zien en op te vangen.
terug naar top
Tegenmaatregelen
Het is vrijwel niet mogelijk om tegen redelijke kosten een vast opgestelde
computer geheel en al tegen Tempest-aanvallen te beschermen. De kosten-baten
analyse zal voor de president van een groot land anders uitvallen dan voor
anderen, maar je zult in alle gevallen uit moeten gaan van een realistische
inschatting van de risico's, en hoeveel tijd, geld en moeite je wilt investeren
om deze risico's tegen te gaan. Een Tempest-beveiligde computer is minstens
dubbel zo duur als een gewone en bovendien voor normale stervelingen niet
te koop.
De beste verdediging bestaat uit het mobiel houden van gevoelige informatie.
Wil je zeer explosieve teksten lezen of schrijven, dan kun je je het best
met je laptop of Palmpilot terugtrekken op de wc van een openbare ruimte
of café. Dat maakt elektromagnetisch afluisteren vrijwel onmogelijk,
omdat een Tempest-ontvanger nu eenmaal niet in een aktenkoffertje past
en ook niet zo snel werkend in een auto voor de deur is op te stellen.
Wel oppassen voor de tegenwoordig op de raarste plekken geïnstalleerde
beveiligingscamera's natuurlijk!
Werk je op een vaste plek, dan is het nog steeds mogelijk om de risico's
te beperken:
-
Gebruik de al eerder genoemde anti-tempest fonts
-
Laat de metalen behuizing van de computer zoveel mogelijk intact. Sluit
bijvoorbeeld ongebruikte uitbreidings-poorten met metaal af.
-
Gebruik goede, geaarde kabels naar de printer, monitor, modem etc. Hou
deze kabels zo kort mogelijk, en laat ze zo min mogelijk parallel aan telefoonkabels,
netwerkkabels of elektriciteitsdraden lopen.
In oplopende graad van paranoia kun je ook nog het volgende proberen. Maar
bedenk: volledige veiligheid is er niet en er geldt een soort wet van afnemende
effectiviteit: je moet steeds meer investeren om steeds minder "extra"
veiligheid te krijgen. Meer iets voor de hobbyisten dus.
-
Bouw filters tegen ElectroMagnetic Interference (EMI) in in de voedingskabels.
Deze zijn verkrijgbaar bij de betere elektronicazaken.
-
Vooral de voedingskabels naar de computer en monitor zijn hierbij belangrijk.
-
Er zijn ook speciale EMI filters voor de telefoonlijn.
-
Je kunt kabels ook om een kern van ferriet wikkelen. Ferriet 'absorbeert'
lekstraling door deze in warmte om te zetten. Denk hierbij ook aan de toetsenbord-,
muis- en telefoonkabel.
-
Idealiter gebruik je de computer in een kooi van Faraday: een gesloten
metalen ruimte. Maar dat ideaal is niet makkelijk te halen: stroom, telefoon
en andere kabels moeten naar buiten, jijzelf moet binnen kunnen komen en
lucht om te ademen is ook prettig. Hierdoor zal de kooi niet perfect zijn
en onverwachte lekstralingen naar buiten kunnen laten. We horen graag over
gelukte pogingen hier een praktische en betaalbare oplossing voor te vinden.....
Meer informatie: vrijwel alles wat bekend is over Tempest is te
bereiken via de The
Complete, Unofficial TEMPEST Information Page.
terug naar top