Wat is Tempest?
Elektrische apparaten, van keukenmachine tot zaktelefoon, stralen onbedoelde elektromagnetische straling uit. Vaak is deze straling alleen maar hinderlijk, omdat hij bijvoorbeeld de radio-ontvangst van je favoriete zender stoort. Maar in deze straling zit ook informatie verborgen die niet voor anderen bedoeld is.
Computers en andere dataverwerkende apparaten zijn extra gevoelig op dit gebied, omdat de combinatie van de gebruikte signalen (square waves) waarmee computeronderdelen met elkaar communiceren en de hoge frequenties (tot honderden MHz) waarop dit plaatsvindt een buitengewoon rijk spectrum aan onbedoelde signalen oplevert, verdeeld over een groot deel van het elektromagnetische spectrum. Daardoor is het moeilijk deze apparatuur af te schermen, omdat maatregelen die een bepaald deel van het spectrum beveiligen vaak niet werken bij andere frequenties.
TEMPEST is een codewoord van de Amerikaanse regering voor een aantal standaarden waaraan apparatuur moet voldoen om deze onbedoelde signalen te beperken. In de praktijk wordt het woord echter ook gebruikt als algehele omschrijving van diverse methodes om te spioneren met behulp van elektromagnetische ‘lekstraling’.
Geschiedenis
Vanaf de jaren vijftig werd het bij overheden duidelijk dat lekstraling (emanations) opgevangen en gereconstrueerd kon worden. Sinds die tijd werden er twee dingen steeds belangrijker: Voorkomen dat deze straling kon worden opgevangen door de vijand, en zelf proberen om de straling van vijandelijke computers op te vangen.
Beroemd is het voorbeeld van Peter Wright in het boek Spycatcher, waarin beschreven wordt hoe de Engelse geheime dienst MI5 in 1960 zijn toevlucht nam tot Tempest-methoden om de Franse diplomatieke codeerapparatuur te omzeilen. Het was niet gelukt om de codering zelf te breken, en Engeland wilde erg graag weten hoe De Gaulle dacht over het toelaten van Engeland tot de EEG. Het gecodeerde signaal bleek een uiterst zwakke stoorcomponent te bevatten, waarin in klare taal de geheime boodschap naar buiten lekte.
Vandaag de dag gebruiken overheden peperdure metalen afschermingen van computers, ruimtes of zelfs hele gebouwen. Zelfs binnen afgeschermde omgevingen wordt het “rood/zwart” scheidingsprincipe gebruikt, waarin de “rode” gevoelige apparatuur zoals computerterminals door filters en schermen wordt gescheiden van de “zwarte” delen zoals modems, die in verbinding met de buitenwereld staan.
Tempest is altijd met een waas van geheimzinnigheid omgeven geweest. In Duitsland bijvoorbeeld is zelfs de naam van de beveiligingsstandaard voor diplomatieke computers een staatsgeheim. Toch is er in de loop der jaren het nodige bekend geworden.
Voor een groter publiek werd het probleem van lekstraling pas bekend door een artikel uit 1985 van Wim van Eck. Hij demonstreerde daarin dat een (computer)beeldscherm op afstand kon worden afgeluisterd door gebruik te maken van goedkope apparatuur – een TV waarvan de synchronisatiepuls werd vervangen door handmatiger regelaars.
Later werd duidelijk dat niet alleen een beeldscherm straling lekt: ook de signalen van een RS-232 kabel (modemkabel) kunnen worden afgeluisterd. Tevens kunnen signalen van de ene naar de andere kabel “overspringen”: in een test kon data die over een netwerk verzonden werd gereconstrueerd worden vanuit een telefoonkabel, als deze telefoonkabel twee meter parallel liep aan de netwerkkabel. Maar ook voedings- en aardedraden van de stroomaansluiting kunnen als “antenne” functioneren en ongewenste signalen transporteren.
Een van de luidruchtigste signalen bij computergebruik is die welke afkomstig is van het toetsenbord. Zowel via de toetsenbordkabel, als zeker ook van de controller (een klein stukje elektronica dat bepaalt welke toets wordt ingedrukt en vervolgens deze informatie naar de computer stuurt). Het afluisteren van deze signalen is al in de praktijk gedaan, is redelijk eenvoudig en goedkoop, en derhalve een groot risico.
Hoe bedreigend is het?
Op het eerste gezicht lijkt Tempest een droom voor snuffelaars en een nachtmerrie voor mensen die hun privacy waarderen: experts gaan er van uit dat inlichtingendiensten signalen tot op een kilometer afstand kunnen opvangen en ontcijferen, en zeer handige, enigszins kapitaalkrachtige amateurs tot op driehonderd meter. Daarvoor hoeven zij niet in te breken, geen sporen na te laten en veilig uit het zicht blijven. Maar zo eenvoudig als dit klinkt is het gelukkig ook niet. Tempest-ontvangers zijn duur en gevoelig, en werken lang niet altijd. Door de geheimzinnigheid waarmee alle overheden Tempest omgeven, is het lastig een concrete schatting te geven hoe vaak dit soort methoden worden ingezet. Er zijn een aantal aanwijzingen om serieus met Tempest-aanvallen rekening te houden:
- De Tempest-industrie zet alleen in de VS per jaar al meer dan een miljard dollar om aan Tempest-proof apparatuur. Deze zijn verplicht voor veel overheidsinstellingen.
- Diverse militaire inlichtingendiensten berichten telkens weer dat vreemde mogendheden permanent proberen via Tempest-aanvallen informatie te vergaren.
- Ook voor het bedrijfsleven in strategisch belangrijke sectoren als de luchtvaart wordt Tempest-apparatuur aangeraden, om bedrijfsspionage tegen te gaan.
Maar bedenk ook het volgende:
- De meeste werkende tests zijn gedaan onder laboratorium-omstandigheden, met optimale omstandigheden.
- De apparatuur is erg duur, en je hebt veel tijd en geschoold personeel nodig om resultaten te krijgen. Het is geen kwestie van “inschakelen en meelezen”.
Zoals met de meeste veiligheidsrisico’s blijft het een inschatting: hoeveel tijd, geld en moeite is de informatie die ik geheim wil houden de tegenstander waard? En zijn er andere methoden waarmee de tegenstander aan deze informatie kan komen? Vaak is het sneller en goedkoper een ouderwetse infiltrant in een organisatie te sluizen, of een onzorgvuldig gekozen password te breken, dan een Tempest-aanval uit te voeren…..
Fabels en folklore
Over Tempest doen veel fabels de ronde:
– Voor een paar honderd gulden kun je een Tempest ontvanger in elkaar knutselen. Misschien hooguit voor een ouderwetse terminal, maar niet voor een moderne monitor. En zeker niet om serieus op afstand te meten, in de wolk van elektromagnetische ‘smog’ die tegenwoordig over een stad hangt.
– Een LCD beeldscherm kan niet afgeluisterd worden. Fout. De gebruikte techniek verlaagt het risico wel wat, maar niet helemaal. Bovendien wordt ook een LCD-scherm aangesproken door een videokaart met kabel, die alle informatie bevat en uitstraalt. Juist bepaalde laptops zijn bijzonder “luidruchtig”, doordat er veel kabels op een beperkte ruimte en zonder degelijk metalen omhulsel naast elkaar liggen. Bovendien kunnen moderne kleuren-LCD’s vaak beter worden afgeluisterd dan gewone monitoren, omdat elke transistor (elk “pixel” of puntje op het beeldscherm) apart wordt aangestuurd. Daarmee vervallen een hoop van de synchronisatieproblemen die ontstaan bij het afluisteren van gewone monitoren, omdat die per horizontale lijn worden aangestuurd. Helaas hebben wij hier in deel 1 niet voldoende rekening mee gehouden, en daardoor zelf meegedaan aan de verspreiding van de mythe….
– TEMPEST is een afkorting. Alhoewel er later verscheidene pogingen gedaan zijn er een zinvolle afkorting van te maken, zegt de officiële specificatie uitdrukkelijk dat het gewoon een codewoord is.
Soft Tempest
Een zeer interessant onderzoek werd in 1998 gepubliceerd door Markus Kuhn en Ross Anderson. Zij onderzochten of het mogelijk is de straling van beeldschermen en andere computeronderdelen via software te manipuleren.
Het blijkt dat niet alle informatie op een beeldscherm even duidelijk af te luisteren is. Bepaalde lettertypes (fonts) geven betere resultaten dan andere, vooral als de afluisteraar weet welke fonts er gebruikt worden. Deze signalen zijn dan beter te herkennen temidden van de elektromagnetische “ruis”.
Maar informatie kan zelfs bewust worden versterkt door een “Tempest virus” binnen te sluizen. In een kleurenplaatje kan bijvoorbeeld een voor de gebruiker niet zichtbaar zwart-wit beeld worden verstopt, dat goed af te luisteren is. Zo zou bijvoorbeeld in het logo of de titelbalk van een programma het serienummer verwerkt kunnen worden, om software-piraterij op te sporen. De afluisterbaarheid van dergelijke verstopte boodschappen ligt vele malen hoger dan die van normale informatie, volgens de auteurs voldoende om deze signalen vanuit een mobiele opsporingswagen op te vangen.
Dezelfde truc is ook uit te halen door bijvoorbeeld de stuursignalen voor de harde schijf te manipuleren, of door de processor op regelmatige intervallen bepaalde instructies te laten uitvoeren. Hierdoor ontstaat er een herkenbaar patroon in de brei van elektronische ruis die uitgezonden wordt. Zo’n patroon is veel makkelijker op te sporen, en door kleine variaties in dit patroon aan te brengen kun je informatie zoals passwords, serienummers en dergelijke hiermee ‘verzenden’. In alle gevallen levert het feit dat de afluisteraars weten waarnaar zij moeten zoeken een veel hogere herkenningsgraad op.
Maar software-manipulatie is ook te gebruiken als beveiliging: de auteurs hebben speciale fonts ontwikkeld die juist buitengewoon moeilijk af te luisteren zijn. Dit kan door de pixel-frequentie van de fonts af te vlakken. De letters zijn voor de gebruiker enigszins wazig, maar redelijk goed te lezen. Voor de afluisteraar is het verschil dramatisch: de tekst, die in een ‘normaal’ font goed zichtbaar is, verdwijnt geheel en al.
Hier een link naar waar een testversie van deze fonts te downloaden zijn.
Andere varianten
Er bestaan nog diverse varianten op Tempest.
NONSTOP is het codewoord voor lekstraling via radio-apparatuur zoals mobiele telefoons, draadloze telefoons, draadloze netwerken, pagers en mobilofoons die in de buurt van apparatuur worden gebruikt met gevoelige informatie. Er bestaan specifieke richtlijnen over het uitzetten van deze apparaten of het aanhouden van een minimale afstand tot de computer of printer.
HIJACK is het codewoord voor spionage via digitale overdracht, in plaats van elektromagnetische straling. Hiervoor moet de tegenstander toegang hebben tot communicatielijnen (ook draadloze). Het schijnt erg duur en lastig te wezen.
Interessant is ook een voorschrift van het Amerikaanse Department of Energy. Alle infrarood-poorten op laptops en dergelijke die gevoelige informatie verwerken moeten uitgeschakeld worden, hetzij door de poort met een goedgekeurd veiligheidszegel af te plakken hetzij door de infrarood-zender fysiek te verwijderen. Dit is voornamelijk bedoeld om er zeker van te zijn dat gebruikers niet per ongeluk deze infrarood-poorten aan hebben staan. Infrarood licht is namelijk mijlenver te zien en op te vangen.
Tegenmaatregelen
Het is vrijwel niet mogelijk om tegen redelijke kosten een vast opgestelde computer geheel en al tegen Tempest-aanvallen te beschermen. De kosten-baten analyse zal voor de president van een groot land anders uitvallen dan voor anderen, maar je zult in alle gevallen uit moeten gaan van een realistische inschatting van de risico’s, en hoeveel tijd, geld en moeite je wilt investeren om deze risico’s tegen te gaan. Een Tempest-beveiligde computer is minstens dubbel zo duur als een gewone en bovendien voor normale stervelingen niet te koop.
De beste verdediging bestaat uit het mobiel houden van gevoelige informatie. Wil je zeer explosieve teksten lezen of schrijven, dan kun je je het best met je laptop of Palmpilot terugtrekken op de wc van een openbare ruimte of café. Dat maakt elektromagnetisch afluisteren vrijwel onmogelijk, omdat een Tempest-ontvanger nu eenmaal niet in een aktenkoffertje past en ook niet zo snel werkend in een auto voor de deur is op te stellen. Wel oppassen voor de tegenwoordig op de raarste plekken geïnstalleerde beveiligingscamera’s natuurlijk!
Werk je op een vaste plek, dan is het nog steeds mogelijk om de risico’s te beperken:
- Gebruik de al eerder genoemde anti-tempest fonts
- Laat de metalen behuizing van de computer zoveel mogelijk intact. Sluit bijvoorbeeld ongebruikte uitbreidings-poorten met metaal af.
- Gebruik goede, geaarde kabels naar de printer, monitor, modem etc. Hou deze kabels zo kort mogelijk, en laat ze zo min mogelijk parallel aan telefoonkabels, netwerkkabels of elektriciteitsdraden lopen.
In oplopende graad van paranoia kun je ook nog het volgende proberen. Maar bedenk: volledige veiligheid is er niet en er geldt een soort wet van afnemende effectiviteit: je moet steeds meer investeren om steeds minder “extra” veiligheid te krijgen. Meer iets voor de hobbyisten dus.
- Bouw filters tegen ElectroMagnetic Interference (EMI) in in de voedingskabels. Deze zijn verkrijgbaar bij de betere elektronicazaken.
- Vooral de voedingskabels naar de computer en monitor zijn hierbij belangrijk.
- Er zijn ook speciale EMI filters voor de telefoonlijn.
- Je kunt kabels ook om een kern van ferriet wikkelen. Ferriet ‘absorbeert’ lekstraling door deze in warmte om te zetten. Denk hierbij ook aan de toetsenbord-, muis- en telefoonkabel.
- Idealiter gebruik je de computer in een kooi van Faraday: een gesloten metalen ruimte. Maar dat ideaal is niet makkelijk te halen: stroom, telefoon en andere kabels moeten naar buiten, jijzelf moet binnen kunnen komen en lucht om te ademen is ook prettig. Hierdoor zal de kooi niet perfect zijn en onverwachte lekstralingen naar buiten kunnen laten. We horen graag over gelukte pogingen hier een praktische en betaalbare oplossing voor te vinden…..
Meer informatie: vrijwel alles wat bekend is over Tempest is te bereiken via de The Complete, Unofficial TEMPEST Information Page.