Afluisteren
Alles over afluisteren
woensdag, 11 november 2009 18:45 | Geschreven door Argentijn |
  
Inleiding Wie een blik werpt op de 'aftapmarkt' kan vrij snel constateren dat er weinig terecht is gekomen van deze aanbeveling van de Commissie van Traa. De eeuwige wens van de politie om direct woningen te mogen afluisteren wordt begin 2000 vervuld. Ook de voor de hand liggende eis dat een verdachte zelf aan een gesprek deel moet nemen is uit de wet geschrapt. Verder mag bij een ontdekking op heterdaad de officier van justitie alle gegevens opvragen over het telecommunicatieverkeer van een verdachte in het verleden. Als er een verdenking is dat een groep een ernstig misdrijf voorbereidt, mag justitie personen die deel uitmaken van die groep in de gaten houden. Ook voor de inlichtingendiensten staat er een wetswijziging op stapel. De Binnenlandse Veiligheidsdienst en de Militaire Inlichtingendienst mogen elke vorm van telecommunicatie aftappen, opnemen en afluisteren. Iedereen wordt verplicht met de inlichtingendiensten mee te werken om eventuele versleuteling ongedaan te maken. Deze verplichting geldt ook voor degene die zelf een bericht of bestand versleuteld heeft. Op het moment van het verschijnen van dit boek ligt er een Nota van Wijzigingen van de Wet op de Inlichtingendiensten in de Tweede Kamer. Op het eerste gezicht krijgen de inlichtingendiensten nog meer bevoegdheden op het gebied van afluisteren. Het gaat onder meer om het mogelijk maken van het zogenaamde searchen (verkennen van telecommunicatie aan de hand van frequenties). Wisselende frequenties worden dan afgezocht op zoek naar berichtenverkeer van een bepaalde persoon of organisatie. Daarbij moet het nummer waarvan de betrokkene gebruik maakt nog via searchen worden vastgesteld. Duidelijk is dat deze bevoegdheid vooral wordt gegeven om GSM's met pre-paid cards af te kunnen luisteren. Ook opent deze wijziging de optie om aan de hand van trefwoorden niet-kabelgebonden telecommunicatie af te luisteren. Net als bij het Amerikaanse Echelon-netwerk krijgen de Nederlandse inlichtingendiensten hiermee de mogelijkheid om heel erg veel telecommunicatie af te luisteren. Deze nationale ontwikkelingen worden nog eens geflankeerd door afstemming in Europa. Politie- en justitiesamenwerking is een hot item de komende jaren. In verschillende werkgroepen wordt er druk onderhandelt over de afstemming van opsporingsmethodes, gerechtelijke procedures, uitlevering van verdachten en samenwerking van politieteams. Er is veel aandacht voor zogenaamde cybercriminaliteit en in de werkgroepen overheerst de angst dat criminelen door het gebruik van versleutelde berichten grensoverschrijdend te werk kunnen gaan. De tendens om encryptie te willen verbieden en de afluisterbevoegdheden uit te breiden is dan ook zeer sterk in Europa.
Afluisteren in Nederland Wetten en Regels - Inbreuk op communicatie mag alleen nog maar plaatsvinden met toestemming van een rechter. Eén grote uitzondering blijft echter bestaan: veiligheidsdiensten zoals bijvoorbeeld de BVD hoeven geen toestemming aan een rechter te vragen, zij kunnen volstaan met toestemming van één minister. - Ook gegevens óver de communicatie worden onschendbaar. Data over wie wanneer met wie heeft gebeld worden dus ook geheim. - Er moeten regels opgesteld worden over de geheimhouding. Dit deel is toegevoegd met de privatisering van de post- en telecommunicatiemarkt in het achterhoofd. - Het slachtoffer van afluisterpraktijken moet op een gegeven moment in kennis worden gesteld dat er afgeluisterd is, of dat er brieven zijn geopend (notificatieplicht). Ook dit geldt overigens niet voor de inlichtingendiensten: die hoeven nooit te vertellen wat ze gedaan hebben. Het is echter onduidelijk of deze uitzondering blijft bestaan. Het Ministerie van Binnenlandse Zaken heeft inmiddels laten weten dat er, naar aanleiding van de kritiek uit de Tweede Kamer, waarschijnlijk ook een notificatieplicht voor inlichtingendiensten komt. Om de voortgang rond deze wetswijziging verder te begeleiden heeft de minister van Binnenlandse Zaken in december 1998 een commissie "Grondrechten in het digitale tijdperk" ingesteld, die in februari 1999 aan het werk is gegaan. Deze commissie moet de Grondwet millenium-proof maken, door er voor te zorgen dat er niet bij elke nieuwe uitvinding nieuwe wetten hoeven te worden geschreven. Naast het bijstellen van artikel 13 zal de commissie ook onderzoek doen naar de vrijheid van meningsuiting en het recht op privacy (artikelen 7 en 10 van de Grondwet). Het eerste gevolg van het instellen van de commissie is dat het bovengenoemde voorstel voor een nieuw artikel 13 op 28 maart 1999 door de minister van Binnenlandse Zaken is ingetrokken. De minister verwacht dat door het instellen van de commissie een nieuw, meer omvattend wetsvoorstel zal worden ingediend en is van plan om dit aan het begin van de volgende regeerperiode (rond 2002) door het parlement aan te laten nemen. Afluisteren over de grensen Politie- en veiligheidsdiensten zijn technisch tot heel wat in staat als het afluisteren betreft. De vraag is of alles wat kan, ook mag. Politie en justitie proberen de wettelijke basis voor de afluisterpraktijken steeds verder op te rekken. In toenemende mate vindt afstemming van de wettelijke mogelijkheden op internationaal niveau plaats. ILETS De benadering van de telecommunicatieindustrie Samenwerking en afstemming Internet en encryptie Problemen bij grensoverschrijdend aftappen De bestrijding van high-tech criminaliteit Ten slotte is het werk in de Raad van Europa van belang. Inlichtingennaalden in de telecommunicatie hooiberg De National Security Agency Echelon De koekjes van de priester en de levensechte fictie De Artificiële-intelligentiedeskundige versus de ex-hacker. Sabotage en gecontroleerd actievoeren Besluit Mobiele telefoons Het ontstaan De GSM-telefoon Het netwerk Plaatsbepaling SIM IMEI Authentificatie De COMP-128 hack Versleuteling van gesprekken Afluisteren De IMSI-catcher Alles even op een rijtje: ISDN In 1985 was het British Telecom die ISDN, ofwel Integrated Services Digital Network, als eerste aanbood. Met ISDN kunnen alle soorten gegevens -spraak, beeld, geluid of computerdata- met hoge snelheid digitaal verzonden worden. Vooral door de komst van Internet en de behoefte aan snellere verbindingen nam het gebruik van ISDN een hoge vlucht. Maar ook faxen, video-conferencing, thuiswerken met toegang tot het computernetwerk op je werk, apparatuurbediening op afstand (bruggen, drukpersen) of het verbinden van computernetwerken zijn toepassingen waarbij veel van ISDN gebruik gemaakt wordt. En natuurlijk wordt ISDN gebruikt voor telefonie. Bij analoge telefonie worden er spraaksignalen op de lijn gezet. In de telefooncentrales van de KPN, die in Nederland al enige tijd digitaal zijn, worden deze geluidssignalen gedigitaliseerd (in enen en nullen omgezet). Met een ISDN-aansluiting wordt het gesprek al digitaal aan de telefooncentrale doorgegeven. Je hebt daardoor veel minder last van interferentie en ruis. ISDN vertegenwoordigt een complete netwerkarchitectuur. Die architectuur betreft de protocollen, standaards, apparatuurkoppelingen, toegang tot het netwerk en overdrachtsmedia. Zo kan een ISDN-verbinding via koper- of glasvezelkabel lopen, maar ook via allerlei draadloze media gaan zoals radio, satelliet, laser, infrarood of microgolf. Aanvankelijk was het een probleem dat bij ISDN in de VS iets andere standaards gebruikt werden dan in de rest van de wereld en er per land op sommige uitvoeringsniveaus verschillen bestonden. Maar de koppelingen tussen willekeurig welke ISDN-systemen in de wereld leveren tegenwoordig geen enkel probleem meer op. Net als bij analoge telefonie gaat het bij ISDN om dial-up verbindingen. Dat wil zeggen dat een verbinding pas gemaakt wordt als er daadwerkelijk gegevens uitgewisseld moeten worden en dat de verbinding weer verbroken wordt als de gegevensuitwisseling weer beëindigd is. Het opbouwen van een ISDN-verbinding gaat in minder dan twee seconden. Ter vergelijking: bij het gewone telefoonnet kan een modem daar dertig tot zestig seconden over doen. B-kanalen en D-kanaalHet minimale standaardpakket heet ISDN-2 (Dit wordt ook wel Basic Rate Interface (BRI) genoemd). In Europa bestaat dit uit twee B-kanalen van 64 kbps en een D-kanaal van 16 kbps. Sommige grotere bedrijven en Internetproviders hebben één of meerdere ISDN-30 aansluitingen, bestaande uit dertig 64 kbps B-kanalen en een D-kanaal (Dit wordt een Primary Rate Interface (PRI) genoemd). Breedband ISDN (B-ISDN) dat snelheden aan kan van 150 Mbps, is nog in ontwikkeling en zal een volledig glasvezelkabelnetwerk zijn. De B-kanalen worden meestal gebruikt voor telefonie, Internet, video of fax. Zeg maar voor directe communicatie tussen mensen. Het D-kanaal helpt bij de opbouw en verdere besturing van een verbinding, maar heeft ook andere mogelijke toepassingen. Zo wordt het D-kanaal ook wel gebruikt voor het versturen van pincode-informatie, het op afstand bedienen van bewakingscamera's of voor het versturen van informatie van sensoren en alarmapparatuur naar een meldkamer. Daarvoor moet men zich op speciale diensten van KPN Telecom abonneren als Digi-Access PIN of Digi-Access Alarm. Het is mogelijk de twee B-kanalen van ISDN-2 gelijktijdig voor twee verschillende functies te gebruiken. Je kunt dan bijvoorbeeld bellen naar je familie in het buitenland en tegelijkertijd een fax versturen. Je kunt ook de twee B-kanalen bundelen zodat je een 128 kbps verbinding kunt leggen. Dit is handig bij een verbinding met Internet. ANALOGE- EN ISDN-APPARATUURWie overstapt naar ISDN-2 moet een aansluiting aanvragen bij de KPN of een aan haar gelieerd bedrijf. Wat betreft je oude (analoge) apparatuur, deze moet je óf vervangen door digitale varianten óf je schaft een A/B-adapter aan. Een A/B-adapter kan analoge signalen, zoals spraak, omzetten naar een digitaal signaal. Met een A/B-adapter zou je zelfs je analoge modem voor de verbinding naar het Internet kunnen blijven gebruiken, maar dan moet je wel een snel modem hebben anders maak je verre van optimaal gebruik van de mogelijke bandbreedte van ISDN. Een apparaat met meerdere aansluitingen voor analoge apparaten heet ook wel A/B-centrale of ISDN-centrale. Je kunt ook de oude analoge telefoon, fax en modem verkopen en digitale varianten daarvan aanschaffen. In plaats van modem heb je dan een ISDN-adapter. In Europa en Japan is het standaard mogelijk acht ISDN-apparaten aan te sluiten op één ISDN-2 aansluiting. In een bedrijfsomgeving worden vaak ISDN-routers gebruikt. Een router is een apparaat dat binnenkomende data-stromen bekijkt en doorstuurt naar verschillende bestemmingen in een netwerk. Hiermee wordt het mogelijk alle computers die deel uitmaken van een netwerk via één ISDN- verbinding Internet toegang te verschaffen, een inbelfaciliteit te creëren voor tele- en thuiswerkers of computernetwerken op verschillende lokaties met elkaar te verbinden. Alle ISDN-apparatuur moet altijd het D-kanaal besturingsprotocol ondersteunen dat in de lokale KPN centrales wordt gebruikt (In Nederland heet dit DSS1, E-DSS1, ETSI of Euro-ISDN). APPARATEN AANSLUITENWanneer de KPN ISDN-2 komt aanleggen wordt de oude telefoonstekkerdoos in de muur vervangen door een andere, de zogenaamde NT1 (Network Terminator 1). Deze NT1 blijft eigendom van de KPN en bevindt zich daar waar ISDN het huis binnenkomt. Dit is het scheidingspunt tussen de KPN-infrastructuur en de randapparatuur van de gebruiker zelf. De bedrading vanaf de KPN-centrale tot de NT1 heet de U-bus. Bij een ISDN-2 aansluiting is de U-bus, net als bij analoge lijnen, gewoon tweedraads koper. De ISDN bekabeling is na de NT1 binnenshuis vierdraads en wordt de S-bus genoemd. Hierop worden ISDN-apparaten aangesloten. Daartoe leg je een busstructuur-netwerk aan met gewoon telefoondraad, RJ-45 pluggen en ISDN-contactstekkers, waar het aansluitsnoer van de ISDN-apparatuur wordt ingeprikt. In onderstaande figuur zie je een voorbeeld van een S-bus met een analoge telefoon en drie ISDN-telefoons. ISDN-CENTRALESISDN-centrales zijn er in diverse soorten. In haar simpelste vorm is het niet meer dan een apparaat met meerdere A/B-aansluitingen voor analoge apparatuur. De aanschaf van zo'n ISDN-centrale is de moeite waard als je meerdere analoge apparaten hebt. Zo'n huiscentrale met voldoende A/B poorten en MSN's (Multiple Sunbscriber Network), maakt dat de analoge telefoontoestellen op de slaapkamer, huiskamer, werkkamer, de modem, de fax en het antwoordapparaat op een eigen nummer kunnen reageren. MSN is de mogelijkheid om meerdere aanroepnummers, standaard tot maximaal acht, op één ISDN-aansluiting te hebben.Je zou op deze wijze bijvoorbeeld ook een eigen nummer kunnen toekennen aan elke bewoner van een studentenhuis. Een oproep van buiten, bijvoorbeeld een binnenkomende gespreksaanvraag, wordt via het D-kanaal bekendgemaakt. Analoge apparaten weten via de programmering van de A/B-poort op welk nummer ze moeten reageren: ISDN apparaten moeten zelf zijn geprogrammeerd om op het juiste nummer te reageren. Het programmeren van een ISDN centrale gaat meestal via een computer die door de seriële poort aan de centrale is gekoppeld. Er bestaan centrales met alleen A/B-poorten, met ook ISDN-poorten, alsmede centrales met een extra, ingebouwde S-bus waardoor het mogelijk wordt om meer dan acht ISDN-apparaten aan te sluiten. Bij dit laatste type gaat het meestal niet meer om een kleine huiscentrale maar om een bedrijfscentrale. ***** Afbeelding invoegen Afhankelijk van de door de fabrikant ingebouwde functionaliteit, kunnen de diverse merken en types ISDN-centrales meer of minder mogelijkheden van ISDN ondersteunen. Mogelijkheden van ISDNAfstandbediening De wat grotere bedrijfscentarles hebben meestal de mogelijkheid om op afstand bediend te worden. AOC (Advice of Charge). Met deze aanvullende dienst ziet de beller de kosten van het gesprek op het display van het telefoontoestel. MSN (Multiple Subscriber Network) oftewel de mogelijkheid om meerdere, tot maximaal acht, telefoonnummers op die ene ISDN-aansluiting te hebben. Niet gratis. CONFERENCE CALL Driegesprek. Als een tweede gesprek is opgebouwd of als er een tweede oproep is beantwoord, kunnen de twee tot stand gebrachte gesprekken worden gecombineerd tot een gesprek met drie personen. CALL HOLD / CALL WAITING Call Hold of Wisselgesprek. De gebruiker kan op een ISDN-telefoon een indicatie ontvangen dat er nog een inkomend gesprek is terwijl alle B-kanalen reeds zijn bezet. Met wachtstand (Call Waiting) kan een lopend gesprek even worden "geparkeerd", zodat het nieuwe binnenkomende gesprek aangenomen kan worden. Deze dienst is minder interessant bij ISDN dan bij analoge lijnen, omdat een ISDN-lijn toch al twee gesprekken aankan. Het zou dan hoogstens om een derde gesprek gaan (of een tweede gesprek indien er bijvoorbeeld vanaf een PC ook een Internet verbinding loopt). Wisselgesprek, Wachtstand en Direct Doorschakelen worden tesamen ook wel Dienst Bereikbaarheid genoemd. De ISDN-dienst wisselgesprek moet apart worden aangevraagd. CALL FORWARDING UNCONDITIONAL Direct doorschakelen. Met deze faciliteit kan een nummer naar elders worden doorgeschakeld. Bij ISDN kan dit per MSN en per type verbinding (spraak, data) worden gekozen: alle oproepen (*210), alleen spraak/audio (*211), alleen 64k data (*212). Sommige ISDN telefooncentrales kunnen ook zelf doorschakelen naar externe nummers. Zij gebruiken hiervoor simpelweg een ander vrij B-kanaal. CALL FORWARDING NO REPONSE Doorschakelen bij geen gehoor. Met deze faciliteit kan een nummer naar elders worden doorgeschakeld. KPN's VoiceMail maakt van deze dienst gebruik. CALL BUMPING Als beide communicatiekanalen (B-kanalen) in gebruik zijn ten behoeve van een 128K-verbinding kun je niet meer bereikt worden. Mensen die je proberen te bereiken krijgen de ingesprektoon. Als de apparatuur echter ondersteuning voor Call Bumping heeft, kan door de signalering via het D-kanaal een B-kanaal worden vrijgemaakt voor een gesprek. De data-verbinding wordt hierdoor teruggebracht tot 64 kbps. CLIP Calling Line Identification Presentation, CallerID of nummeridentificatie. Indien vanaf een ISDN-aansluiting naar een andere ISDN-aansluiting wordt gebeld, kan daar het telefoonnummer van de opbellende partij worden getoond. Dit is een gratis dienst, en zit standaard bij alle ISDN-lijnen. CLIR Calling Line Identification Restriction. De bellende partij kan verbieden dat zijn nummer zichtbaar wordt aan de andere kant (tegenhanger van CLIP). CCBS (Call Completion on Busy Subscriber). Deze dienst wordt spoedig geïntroduceerd. Als je iemand niet kunt bereiken omdat die persoon in gesprek is kun je door het indrukken van de 5 op je toestel deze dienst inschakelen. Je wordt dan teruggebeld door de centrale in het ISDN-netwerk van KPN Telecom zodra die persoon weer bereikbaar is. Neem je dan de telefoon op dan hoor je bij die persoon de telefoon overgaan. COLP Connected Line Identification Presentation. Het bereikte nummer wordt weergegeven. Dit kan een ander nummer zijn dan het gekozen nummer, bijvoorbeeld doordat er werd doorverbonden. COLR Connected Line Identification Restriction. Hiermee kan de gebelde partij voorkomen dat de bellende partij zijn nummer op het display ziet, of het nummer waarmee hij is doorverbonden. MCID Malicious Call Identification. Deze dienst dient ter identificatie van kwaadwillige oproepen. Dit is te vergelijken met de plaaggevallen-regeling in het analoge net. OCB Outgoing Call Barring. Met deze aanvullende dienst is het mogelijk om een bepaalde categorie nummers te blokkeren. UUS User to User signalling. De mogelijkheid om in het D-kanaal gegevens te versturen tussen gebruikers. Binnenkort zal deze dienst door KPN Telecom geïntroduceerd worden. SUB Sub Adressering. Met deze aanvullende dienst kan de beller achter het te bellen telefoonnummer een regel van twintig tekens meegeven. Deze regel komt bij de ontvangende partij terecht waarna deze besluit het gesprek wel of niet te accepteren. Voor wachtwoorden, PIN-codes en networkmanagementberichtjes. Afluistermogelijkheden bij ISDNWilde je vroeger een telefoonlijn afluisteren dan ging het er om een stukje hardware met twee klemmetjes op de juiste draadjes te zetten. Met gedigitaliseerde data is het niet meer zo simpel. Over de twee koperdraadjes gaan alle bits van de B-kanalen en het D-kanaal. Dat kan data van verschillende soorten verbindingen zijn (telefonie, video, fax) en bovendien de benodigde sturing-signalen van het D-kanaal. De apparatuur die bij de gebruiker staat is steeds geavanceerder en de oorspronkelijke communicatie wordt pas na bewerking via diverse combinaties van protocollen digitaal op de lijn gezet. Over die protocollen alleen al zijn hele bibliotheken te vullen. Wil je ISDN afluisteren, dan moet je dus de bits die over de twee koperdraadjes gaan en van diverse type overdrachten kunnen komen of D-kanaal communicatie betreffen, weer terug herleiden tot zinvolle data, geluid of video. Daarmee is het afluisteren van ISDN een stuk complexer en duurder geworden dan het afluisteren van de analoge telefoon. Dat betekent uiteraard niet dat het niet gebeurt. Toch is het veiligheidsbewustzijn zodra het om ISDN gaat, ver te zoeken. Controle checks of specifieke beveiliging blijken eerder uitzondering dan regel. Voor een afluisteraar is de eerste stap een protocol-analyser. Zo'n apparaat plus bijbehorende software is voor iets meer dan twintigduizend gulden vrij op de markt verkrijgbaar. Het gaat dan niet eens om specifieke afluisterapparatuur, maar om testapparatuur. Een protocol-analyser laat zich gemakkelijk in het ISDN-netwerk koppelen, is niet traceerbaar, op afstand te bedienen via een PC en kent alle bekende protocollen. Ze is te verstoppen bij je thuis in dubbele plafonds, kelders of andere plekken, maar ook in schakelkasten of in de KPN-centrales. Het enige wat nodig is, is fysieke toegang tot het ISDN-net. Zo'n protocol-analyser kopieert de bits, analyseert de data en detecteert de gebruikte protocollen. Als eenmaal de protocollen geïdentificeerd zijn is de tweede stap voor een afluisteraar de bitrij met behulp van diezelfde gedetecteerde protocollen weer terug te vertalen naar betekenisvolle gegevens. Voor fax-data kun je daartoe een fax gebruiken, voor modemverkeer een modem en voor een telefoongesprek een telefoon. Het is niet moeilijk voorstelbaar dat er een apparaat bestaat dat beide bovenstaande stappen kan nemen en bijvoorbeeld bij de KPN-centrale staat om met jouw communicatie mee te luisteren. De enige beveiliging hiertegen is het versleutelen van de gegevens. Hiertoe zijn specifieke apparaten te koop die spraak, fax, video of dataverkeer kunnen versleutelen. Het nadeel is alleen dat vaak niet controleerbaar is hoe goed ze zijn omdat de gebruikte crypto-algoritmen geheim zijn en nooit met zekerheid te zeggen is of de fabrikant geen achterdeurtjes heeft ingebouwd. Ook softwarematig is versleuteling te verwezenlijken. D-Kanaal Manipulaties
Het D-kanaal is een potentieel zwakke schakel vanuit het oogpunt van beveiliging. Over dit kanaal gaan in ieder geval de sturingssignalen die een communicatie tot stand laten komen of beëindigen, maar het kan ook bitcombinaties bevatten die op afstand bepaalde functies van aangesloten apparaten inschakelen of de informatie van de sensoren van je inbraakbeveiliging. En dit D-kanaal is standaard niet beveiligd. In theorie is het mogelijk op afstand bedienbare ISDN-apparaten te manipuleren via het D-kanaal, vanaf elk punt in het ISDN-netwerk waar ook ter wereld. Stel je hebt een antwoordapparaat met afstandsbediening of een ISDN-telefoon met babyfoon-functie. Deze handige features waarmee apparatuur dikwijls aangeprezen wordt, maken het mogelijk de microfoon softwarematig in te schakelen terwijl de hoorn op de haak ligt. Zonder dat je er weet van hebt kunnen de gesprekken in de ruimte waar het apparaat zich bevindt meegeluisterd worden. Ook vóór het ISDN-tijdperk kon bij telefoons via f requency-flooding (1) de microfoon van het toestel op afstand ingeschakeld worden, terwijl de hoorn gewoon op de haak lag. Bij ISDN-telefoons is een vergelijkbare truc in veel gevallen dus nog eenvoudiger. Als enige bescherming kan de eindgebruiker een viercijferige pincode gebruiken. Om de afluisteraar nog enig werk te geven moet dan op z'n minst die code regelmatig veranderd worden. In sommige landen bestaan voorschriften waar apparatuur aan moet voldoen als de babyfoon-functie wordt ingeschakeld. De apparatuur moet een waarschuwingstoon uitzenden. De toonhoogte en duur van het signaal kunnen echter nogal verschillen en bijvoorbeeld een kort signaal van tien khz is nauwelijks waarneembaar. Andere D-kanaal manipulaties Veel bedrijven vinden de configuratie van hun uitgebreide ISDN-centrale te ingewikkeld en hebben dit via onderhoudscontracten uitbesteed aan de leverancier of een andere dienstverlener. Bijna al die grote en middelgrote ISDN-centrales zijn op afstand te bedienen. Het bedrijf dat de centrale onderhoudt kan zo de software-upgrades voor de centrale of monitoring van voorkomende problemen op afstand uitvoeren. Voor de afstandsbediening moet een wachtwoord gegeven worden. Kwaadwillenden bij zulke onderhoudsbedrijven zouden normale functies, zoals het driegesprek, ongemerkt kunnen inschakelen en zo een gesprek kunnen meeluisteren. Als de code die het mogelijk maakt de apparatuur op afstand te bedienen zwak is, is dat ook weer een interessante uitdaging voor andere partijen. De fabrikanten die ISDN centrales verkopen vertellen het altijd mooi en er worden voorbeeldige veiligheidsmaatregelen voorgehouden. Zij praten bijvoorbeeld over lange codes voor afstandsbediening die random gemaakt worden en versleuteld worden opgeslagen, en over centrales die alarm slaan na een beperkt aantal verkeerde inlog-pogingen. In de praktijk blijkt het echter niet zelden standaardcodes te betreffen die bij vele technici in het bedrijf van de fabrikant en/of het onderhoudsbedrijf bekend zijn en soms zelfs ook daarbuiten. Van wat oudere Philips Octopus centrales, die nu niet meer verkocht worden maar nog wel bij diverse klanten kunnen staan, is ontdekt dat bepaalde configuratiemogelijkheden via het D-kanaal mogelijk waren zonder dat om een afstandsbedieningscode werd gevraagd en zonder dat het alarm afging dat de centrale tegen ongeoorloofde D-kanaal manipulaties moest beschermen. De centrale accepteerde bepaalde opdrachten via de interne S-bus. Philips vervangt overigens deze centrales kosteloos tegen nieuwere modellen. Een inbraak op de centrale via de afstandsbedieningsmogelijkheid is relatief gezien gemakkelijk omdat deze zonder ingrijpen op het fysieke net kan plaatsvinden. Wie eenmaal binnen is kan de centrale naar believen herconfigureren. Een indringer kan daarbij andere doeleinden hebben dan afluisteren en bijvoorbeeld bepaalde diensten blokkeren of telefoonnummers van bellers achterhalen. Een andere optie is het via de centrale doorschakelen van een telefoonnummer naar een ander nummer in het buitenland. Vergelijkbaar met *21, maar dan op afstand te activeren en bovendien ook naar het buitenland of dure 0900-nummers door te schakelen. De inbreker draait het lokale nummer en wordt verbonden met tante Beb in Nieuw Zeeland. De lange afstandskosten zijn dan uiteraard voor het gedupeerde bedrijf. D-Kanaal beveiliging
Veiligheidsmaatregelen voor ISDN-centrales en apparatuur
Openbare telefoons Wat doe je als je denkt dat je telefoon afgeluisterd wordt? Juist, onopvallend naar een telefooncel gaan. Toch zijn er ook bij deze ogenschijnlijk anonieme communicatievorm wel de nodige kanttekeningen te plaatsen. Dat het niet zo slim is om met je persoonlijke chipknip of creditcard te bellen zullen de meeste mensen zelf wel bedenken. Maar ook de wegwerpkaarten van vijf of tien gulden die de sigarenboer verkoopt, blijken een serienummer te hebben. Weliswaar niet per stuk, maar in series van tien of honderd stuks. En omdat naast het serienummer van zo'n kaart bij een gesprek ook het huidige saldo bekend is, zijn de kaarten al heel snel individueel te traceren op de combinatie van nummer en saldo. Je hoeft dan ook maar één keer met zo'n kaart naar een "bekend" nummer te bellen, en er kan een elektronische tap op dit serienummer worden gezet. Stel bijvoorbeeld dat je anoniem met zo'n kaart telefonisch de verantwoordelijkheid opeist voor een politieke aktie. Een paar weken later bel je je moeder eens met dezelfde kaart, om haar te feliciteren. Op dat moment gaan er bij de centrale allerlei bellen rinkelen, en binnen enkele minuten wordt de telefooncel omringd door politie. Vergezocht? Er is al minstens één persoon in Nederland op exact deze wijze opgepakt... In tegenstelling tot buitenlandse telefoonmaatschappijen wil de PTT niet prijsgeven onder welk nummer een bepaalde telefooncel te bereiken is. Maar de meeste cellen hebben wel degelijk een eigen nummer, en dus kun je in principe van de ene telefooncel naar de andere bellen. Op de site van Klaphek, www.klaphek.nl, staat een uitgebreide lijst van zo'n duizend cellen in Nederland waarvan het nummer bekend is. Nu zijn er sinds kort in Nederland weer cellen te vinden die gewoon op muntjes werken. Helaas zijn deze Telfort-cellen alleen op stations aan te treffen. Bij de huidige camera-dichtheid is het een redelijk veilige veronderstelling dat er geen een van deze cellen buiten het bereik van een beveiligings-camera staat. Daarnaast zijn er vele andere mogelijkheden om gebruikers van telefooncellen op te sporen: vingerafdrukken, haren, huidschilfers en andere DNA-bronnen worden allemaal al in de praktijk toegepast. Weliswaar niet zo vaak, maar het ligt er maar net aan hoe graag men wil weten wie je bent. Spraakanalyse is ook een geliefd speeltje van technische rechercheurs. Al deze methoden zijn des te kansrijker naar gelang men sneller weet vanaf welke cel je belt, en deze tijd is bij een telefoongesprek naar "bekende" nummers eerder in seconden dan minuten uit te drukken. De acoustic couplerHéél lang geleden, in een land ver weg van hier.... bestonden er nog geen gestandaardiseerde stekkertjes om je modem in een telefoonaansluiting te pluggen. De eerste modems voor privé-gebruik in dit grijze verleden (zeg zo'n twintig jaar terug, een halve eeuwigheid binnen de technologie) maakten dan ook gebruik van een zogenaamde acoustic coupler. Dit vernuftige apparaatje bestond uit twee "schelpen" met een microfoontje en een luidsprekertje erin, waarin je dan de hoorn van je telefoon moest leggen. Het luidsprekertje piepte in het mondstuk van de hoorn, en het microfoontje luisterde aandachtig naar de piepjes die uit het oor-gedeelte kwamen... Op deze manier konden dataverbindingen gelegd worden met een snelheid van wel driehonderd bits per seconde. Tegenwoordig is er een moderne variant te krijgen, die hogere snelheden aankan. En er zijn een hoop redenen waarom het erg handig kan zijn om hiermee te werken:
In de praktijk zijn er vaak verschillende redenen waarom je, ook in deze tijd van Internet en e-mail, toch gebruik wilt maken van een verouderd en uitermate simpel af te luisteren medium als fax:
In principe is het in beide gevallen voldoende om een bruikbare telefoon op te sporen, je laptopje open te klappen en het faxprogramma aan te zetten. Maar het kan voor voorbijgangers of camera's nogal opvallen als je met een laptop en een acoustic coupler staat te balanceren. Handiger is het dan ook om bijvoorbeeld gebruik te maken van een zogenaamde palmtop, zoals de Palmpilot. Dit apparaatje past samen met het bijpassende modem en de acoustic coupler in je binnenzak, en je hoeft niet eerst te wachten totdat Windows eindelijk is opgestart. Zodra je een telefoon hebt gevonden waar je even alleen de beschikking over hebt, kun je aan de slag. Hoorn pakken, de acoustic coupler door middel van de bijgeleverde klittebandsluiting stevig ertegenaan plakken en bellen maar. Over de opspoorbaarheid van communicatie per GSM, telefoonkaarten en dergelijke kun je elders alles vinden, zodat je enigszins kunt bepalen voor welke gevallen je welke voorzorgsmaatregelen moet nemen. De hamvraag is natuurlijk: werkt het? Wonder boven wonder, het werkt! Het bellen is niet zo comfortabel als met een standaard-telefoonaansluiting, maar het gaat wel. Als de verbinding tot stand gekomen is, gaat het datatransport verrassend goed: ik heb de acoustic coupler inmiddels uitgetest in diverse landen, en met een grote verscheidenheid aan telefoonmodellen. Over goede leidingen zijn snelheden tot 28k8 haalbaar, over een GSM maximaal 2400 baud wegens de gebruikte compressie. En natuurlijk kan het vanuit een telefooncel of gebouw: de acoustic coupler weegt weinig, heeft een eigen batterij en valt met enig geweld in elke gewenste vorm te buigen, waardoor hij zowel op onze vertrouwde PTT-hoorns past als op de postmoderne design-telefoons in een kantoorgebouw. Oproepsystemen Omdat tegenwoordig elke zichzelf respecterende burger een GSM heeft, lijkt het er op dat de oproepsystemen (de semafoons en andere piepers) een stille dood aan het sterven zijn. Dat is jammer, want semafoons zijn erghandige apparaten, zeker waar het anonieme communicatie betreft. Een pieper is namelijk alleen een ontvanger. Alle berichten zijn overal in het gehele netwerk te ontvangen, en het netwerk weet (in tegenstelling tot bijvoorbeeld GSM) niet waar de gebruikers zijn, en zelfs niet of ze het bericht wel ontvangen hebben. Er zijn verschillende oproepsystemen, in het kadertje staat een opsomming. Callmax biedt ruwweg dezelfde diensten als KPN. Het bedrijf noemt hun piepers maxers en het heeft geen Tone-Only maxers. De abonnee kan er naar wens (en tegen meerprijs) automatisch z'n e-mail op ontvangen, er zijn langere tekstberichten mogelijk (tot 240 tekens), en de abonnee kan ook berichten ontvangen in Groot-Brittannië, Zwitserland, Frankrijk, Duitsland en Italië, maar moet dan wel eerst via een telefoontje aangeven in welk land hij zich bevindt. Een abonnee kan zich ook aanmelden voor verschillende aanvullende informatiediensten: sportuitslagen, weerberichten, beurskoersen en vergelijkbare zaken kunnen automatisch op de maxer worden ontvangen. Er zijn zelfs hele goedkope maxers uitgegeven waarop de gebruiker reclame ontvangt die niet uitgezet kan worden. Pas op: ook al heeft de maxer geen abonnement, de verkoper wil om marketingredenen nog steeds heel graag weten wie je bent. Zorg dus voor een enigzins deugdelijke valse identiteit als je zo'n apparaat aanschaft. Heb je geen zin om over je identieit te jokken, dan kun je het beste een buzzer kopen bij de primafoon van KPN telecom. Ook de maxers gebruiken het POCSAG protocol om het bericht via de radio aan het apparaat te versturen. De Seiko Messagewatch is een vreemde eend in de bijt: de pieper zit in een horloge ingebouwd, het gebruikte protocol is geen POCSAG. Het signaal wordt in een zogenaamd sub-carrier signaal meegezonden met de radio omroepsignalen. Ook hier kan de gebruiker kiezen uit allerlei abonnementen en aanvullende informatiediensten. De Message-watches hebben geen eigen telefoonnummer: de oproeper belt een 06-nummer en toetst pas daarna in het menu het nummer van de Messagewatch in. De horloges doen het alleen in Nederland, en dan nog heeft het netwerk nogal wat "witte plekken" waar het omroep-radiosignaal te zwak is. ERMES is de naam van het radio-protocol dat gebruikt wordt voor het gelijknamige netwerk van oproepsystemen dat vooral in een groot aantal Europese landen in opkomst is. ERMES kan gebruik maken van zestien kanalen tussen de 169.4 en de 169.8 MHz. In de praktijk gebruikt elk land maar een klein aantal van deze kanalen. Zodra een gebruiker de grens over gaat zoekt het systeem zelf naar een signaal op een nieuwe frequentie. Door de hoge snelheid kunnen veel langere berichten worden verzonden. Iridium pagers maken gebruik van het satellietnetwerk dat ook gebruikt wordt voor de Iridium satelliet-telefoons. De pagers zijn volgens de documentatie echter alleen ontvangers: het netwerk weet dus niet waar ze zijn. De pagers werken echt overal ter wereld, maar zijn, weer volgens de eigen Iridium-documentatie, in grote gebouwen onbetrouwbaar. We hebben zelf nog niet met Iridium telefoons of pagers gespeeld. AfluisterenIn de ether wordt bij elke oproep uitgezonden voor wie het bericht bestemd is en wat er in staat. Deze uitzendingen zijn in klare taal: iedereen kan meeluisteren. Voor het meest gebruikte protocol POCSAG zijn gratis programma's beschikbaar, waarmee je de berichten met een simpele ontvanger en een computer zichtbaar kunt maken. Er zijn programma's die zelfs de informatie van drie kanalen tegelijk zichtbaar kunnen maken. Een gemodificeerde semafoon -openschroeven en rechtstreeks aan de computer koppelen- geeft betere resultaten dan een radioscanner. De berichten komen dan immers digitaal binnen. Zo'n koppeling tot stand brengen vergt echter wel enige technische kennis. Gebruikte Frequenties: POCSAG-Semafoons hebben een RIC, wat staat voor Receiver Identification Code, oftewel een uniek serienummer. Als iemand jouw semafoonnummer belt, en een bericht achterlaat zoekt de computer van de PTT het RIC nummer op dat bij jouw semafoon hoort, en plakt die twee samen in een bericht. Als er een aantal berichten bij de centrale is binnengekomen maakt hij er een pakket van en stuurt al deze oproepen via sterke zenders door de ether. Wie semafoonverkeer afluistert ziet op z'n computerscherm dingen voorbijkomen als : Alle semafoons binnen het netwerk ontvangen deze berichten, maar alleen de semafoon met RIC 0850625 zal gaan piepen en het bericht (4491600) in zijn schermpje laten zien. (NB: De meeste semafoons zijn bedoeld voor nummerberichten ; eigenaar en gebruikers komen van te voren dmv een codelijstje overeen welke betekenis aan de getallen wordt toebedeeld, 4491600 kan dus ook "Lot ik hou van jou !" betekenen.) Met de gratis meekijk-software kun je dagelijks duizenden van dit soort berichten voorbij zien komen. Deze software kun je vinden door het woord POCSAG in te typen op een search engine op Internet of door te kijken op de website die bij dit boek hoort En met een beetje inspanning kun je alle kanalen loggen, en zo geen semafoonbericht in heel Nederland meer overslaan. Daarna zou je op die log interessante patroonherkennings software los kunnen laten, en op je gemak eens kijken wie met wie berichten uitwisselt. Met de huidige wetgeving is een en ander overigens niet geheel legaal: je verricht waarschijnlijk een zogenaamde "bijzondere inspanning" in de zin van de Wet Computercriminaliteit (139c WvS). Maar als een beetje leek met een computer en wat geduld dit al voor elkaar kan krijgen, dan spreekt het voor zich dat opsporings- en inlichtingendiensten al jaren over POCSAG-software beschikken. Om het RIC bij een semafoonnummer te vinden kun je iemand als bericht een nietszeggend bericht sturen (bijvoorbeeld 8495). De persoon in kwestie zal het nummer dat op zijn schermpje verschijnt niet kunnen plaatsen, en zijn of haar schouders ophalen. Jij ziet echter op je log 1412345 : 8495 voorbijkomen , en weet nu dat de RIC 1412345 is. Voor buzzers hebben ze het nog veel makkelijker gemaakt: er is een rekensommetje om bij het telefoonnummer de RIC uit te rekenen (en andersom natuurlijk). Voor buzzers in de 0659xxxxxx serie is dat : tel 8402000 bij de RIC op, en je hebt het semafoonnummer. Dus RIC 1412345 geeft telefoonnummer 065 9814345. Net als bij mobiele telefoons geldt voor piepers dat anonimiteit betrekkelijk is. Alle oproepen naar een bepaalde pieper worden (compleet met het nummer waarvandaan gebeld is!) opgeslagen en zijn met elkaar in verband te brengen.Bel dus nooit vanuit je eigen huis, noch vanuit een plek waarvan de afluisteraar zeker weet dat jij er op dat moment was, en zorg ervoor dat de mensen met wie je in contact staat dat ook niet doen. Anders is je anoniemiteit gecompromitteerd. Gecodeerde berichtenSemafoons zijn te gebruiken voor low-tech veilige en anonieme communicatie. Dit vergt echter enige discipline. Een voorbeeld van zo'n versleuteling: 2 8 0 5 1 9 0 0 2 7 Bericht 9 6 3 1 4 8 9 1 8 0 Code bericht Let op: Als het getal in het codebericht kleiner is dan het getal in de sleutel moet je er een 1 voor denken (8 - 9 = 18 -9) Je ziet dat het decoderen iets moeilijker is dan het coderen. Je moet immers nadenken of je het bericht niet per ongeluk van de sleutel aftrekt in plaats van andersom. Om dit makkelijker te maken zou je voor elke codeersleutel een bijpassende decodeersleutel op kunnen schrijven. Het programma OTP (One Time Pad), dat ondermeer op onze website staat, maakt automatisch twee lijstjes met codeer- en decodeersleutels aan. De volgorde van de sleutels op beide lijstjes is precies omgekeerd. Doordat beide partijen bovenaan hun lijst beginnen met coderen en onderaan met decoderen werken ze naar elkaar toe. Als het lijstje bijna op is komen de partijen bij elkaar en printen ze een nieuw lijstje. Door deze procedure voorkom je dat dezelfde sleutel twee maal gebruikt zou worden als een van beide partijen een bericht mist. Bij het gebruik van One Time Pads is het belangrijk om te onthouden dat deze manier van coderen absoluut niet meer veilig is als een sleutel twee keer wordt gebruikt (daarom is het ook een one time pad!). Elke gebruikte sleutel, en het bijbehorende gecodeerde of gedecodeerde bericht, wordt zo snel mogelijk van het lijstje afgeknipt en opgegeten of anderszins vernietigd. Wie ondanks de broncode het programma OTP niet vertrouwt, kan dobbelstenen gebruiken. Wel moet je dan voor elk te verzenden bericht van tevoren veertien maal de dobbelsteen gooien. Probeer niet zelf willekeurige getallen te verzinnen. De mens is erg slecht in de absolute willekeur die hiervoor nodig is. Maak de berichten altijd 14 cijfers (de maximale lengte bij numerieke semafoons), om verkeers analyse moeilijker te maken. Een bericht van 4 cijfers is in de regel minder belangrijk dan een bericht van 12 cijfers. Vul je bericht dus altijd op met nullen. Een nul codeert makkelijk, je hoeft immers niks op te tellen. Naast de One Time Pad moeten de partijen die met elkaar communiceren ook een codeboek afspreken. Dit is het patroon waarin de berichten zijn opgesteld. Een patroon zou kunnen zijn: 0 HH XXXXXXXXX Waarbij de eerste nul dient om aan te geven dat het bericht goed is overgekomen. Dan volgt een uur van 00 tot 23 en een telefoonnummer (zonder nul) dat gebeld moet worden. Als beide partijen gebruik maken van steeds wisselende telefoons en er geen patroon in hun keuze van deze telefoons te ontdekken is wordt het heel erg moeilijk om hun communicatie nog af te luisteren. Wie te lui is om een codeboek te maken kan op zoek naar het boekje 'Buzzer tolk' (isbn 90 557 6062 5). Daarin staat een techniek om bijna alle denkbare boodschappen in een paar cijfers te proppen, het boek bevat ook een zeer uitgebriede woordenlijst. KlonenEr bestaat speciale software om de RIC's van semafoons te wijzigen. Daarvoor moet je een paar draadjes van de printerpoort tegen speciale contactjes in het batterijvakje van de semafoon aanhouden. Dit is niet voor alle semafoons mogelijk: de software die wij kennen doet alleen Motorola semafoons (dat is wel het populairste merk), en dan alleen als de semafoons niet bij het programmeren met een wachtwoord beveiligd zijn. In Nederland zijn we nog geen semafoons tegen gekomen die door de telecommunicatie diensten met een wachtwoord beveiligd zijn ; in het buitenland wel. Momenteel is er nog geen software die deze beveiliging kan omzeilen. Met deze techniek kun je dus met een hele groep mensen hetzelfde semafoonnummer delen door meerdere semafoons met hetzelfde RIC te programeren. Een oproep naar dit nummer laat dan bij iedereen de pieper afgaan. Om duidelijk te maken voor wie een bericht bestemd is moeten de eerste drie cijfers van je bericht nul zijn, waardoor je nog maar 11 cijfers over hebt om je informatie in te stoppen. 000 XXXXXXXXXXX De eerste drie cijfers van de code sleutel zijn nu identificatie code geworden. Je kijkt op de lijstjes van jouw contacten aan de juiste kant naar de drie begincijfers. Alleen als je deze cijfers ergens ziet staan is het bericht voor jou. Met een driecijferige begincode zal het in een van de duizend ontvangen berichten mis gaan: je denkt dat het bericht voor jou is, maar er komt volslagen onzin uit de rest van de decodeerberekening. Het is voor de afluisteraar heel moeilijk om met deze techniek uit te vinden wie er met wie communiceert, omdat er alleen maar 14 cijferige codes door de lucht gaan. Hoe meer verschillende mensen het groepsnummer delen, hoe moeilijker het voor de afluisteraar wordt om verbanden te ontdekken. Tempest Wat is Tempest?Elektrische apparaten, van keukenmachine tot zaktelefoon, stralen onbedoelde elektromagnetische straling uit. Vaak is deze straling alleen maar hinderlijk, omdat hij bijvoorbeeld de radio-ontvangst van je favoriete zender stoort. Maar in deze straling zit ook informatie verborgen die niet voor anderen bedoeld is. Computers en andere dataverwerkende apparaten zijn extra gevoelig op dit gebied, omdat de combinatie van de gebruikte signalen ( square waves ) waarmee computeronderdelen met elkaar communiceren en de hoge frequenties (tot honderden MHz) waarop dit plaatsvindt een buitengewoon rijk spectrum aan onbedoelde signalen oplevert, verdeeld over een groot deel van het elektromagnetische spectrum. Daardoor is het moeilijk deze apparatuur af te schermen, omdat maatregelen die een bepaald deel van het spectrum beveiligen vaak niet werken bij andere frequenties. TEMPEST is een codewoord van de Amerikaanse regering voor een aantal standaarden waaraan apparatuur moet voldoen om deze onbedoelde signalen te beperken. In de praktijk wordt het woord echter ook gebruikt als algehele omschrijving van diverse methodes om te spioneren met behulp van elektromagnetische 'lekstraling'. GeschiedenisVanaf de jaren vijftig werd het bij overheden duidelijk dat lekstraling ( emanations ) opgevangen en gereconstrueerd kon worden. Sinds die tijd werden er twee dingen steeds belangrijker: Voorkomen dat deze straling kon worden opgevangen door de vijand, en zelf proberen om de straling van vijandelijke computers op te vangen. Beroemd is het voorbeeld van Peter Wright in het boek Spycatcher , waarin beschreven wordt hoe de Engelse geheime dienst MI5 in 1960 zijn toevlucht nam tot Tempest-methoden om de Franse diplomatieke codeerapparatuur te omzeilen. Het was niet gelukt om de codering zelf te breken, en Engeland wilde erg graag weten hoe De Gaulle dacht over het toelaten van Engeland tot de EEG. Het gecodeerde signaal bleek een uiterst zwakke stoorcomponent te bevatten, waarin in klare taal de geheime boodschap naar buiten lekte. Vandaag de dag gebruiken overheden peperdure metalen afschermingen van computers, ruimtes of zelfs hele gebouwen. Zelfs binnen afgeschermde omgevingen wordt het "rood/zwart" scheidingsprincipe gebruikt, waarin de "rode" gevoelige apparatuur zoals computerterminals door filters en schermen wordt gescheiden van de "zwarte" delen zoals modems, die in verbinding met de buitenwereld staan. Tempest is altijd met een waas van geheimzinnigheid omgeven geweest. In Duitsland bijvoorbeeld is zelfs de naam van de beveiligingsstandaard voor diplomatieke computers een staatsgeheim. Toch is er in de loop der jaren het nodige bekend geworden. Voor een groter publiek werd het probleem van lekstraling pas bekend door een artikel uit 1985 van Wim van Eck. Hij demonstreerde daarin dat een (computer)beeldscherm op afstand kon worden afgeluisterd door gebruik te maken van goedkope apparatuur - een TV waarvan de synchronisatiepuls werd vervangen door handmatiger regelaars. Later werd duidelijk dat niet alleen een beeldscherm straling lekt: ook de signalen van een RS-232 kabel (modemkabel) kunnen worden afgeluisterd. Tevens kunnen signalen van de ene naar de andere kabel "overspringen": in een test kon data die over een netwerk verzonden werd gereconstrueerd worden vanuit een telefoonkabel, als deze telefoonkabel twee meter parallel liep aan de netwerkkabel. Maar ook voedings- en aardedraden van de stroomaansluiting kunnen als "antenne" functioneren en ongewenste signalen transporteren. Een van de luidruchtigste signalen bij computergebruik is die welke afkomstig is van het toetsenbord. Zowel via de toetsenbordkabel, als zeker ook van de controller (een klein stukje elektronica dat bepaalt welke toets wordt ingedrukt en vervolgens deze informatie naar de computer stuurt). Het afluisteren van deze signalen is al in de praktijk gedaan, is redelijk eenvoudig en goedkoop, en derhalve een groot risico. Hoe bedreigend is het?Op het eerste gezicht lijkt Tempest een droom voor snuffelaars en een nachtmerrie voor mensen die hun privacy waarderen: experts gaan er van uit dat inlichtingendiensten signalen tot op een kilometer afstand kunnen opvangen en ontcijferen, en zeer handige, enigszins kapitaalkrachtige amateurs tot op driehonderd meter. Daarvoor hoeven zij niet in te breken, geen sporen na te laten en veilig uit het zicht blijven. Maar zo eenvoudig als dit klinkt is het gelukkig ook niet. Tempest-ontvangers zijn duur en gevoelig, en werken lang niet altijd. Door de geheimzinnigheid waarmee alle overheden Tempest omgeven, is het lastig een concrete schatting te geven hoe vaak dit soort methoden worden ingezet. Er zijn een aantal aanwijzingen om serieus met Tempest-aanvallen rekening te houden:
Maar bedenk ook het volgende:
Zoals met de meeste veiligheidsrisico's blijft het een inschatting: hoeveel tijd, geld en moeite is de informatie die ik geheim wil houden de tegenstander waard? En zijn er andere methoden waarmee de tegenstander aan deze informatie kan komen? Vaak is het sneller en goedkoper een ouderwetse infiltrant in een organisatie te sluizen, of een onzorgvuldig gekozen password te breken, dan een Tempest-aanval uit te voeren..... Fabels en folkloreOver Tempest doen veel fabels de ronde: Soft TempestEen zeer interessant onderzoek werd in 1998 gepubliceerd door Markus Kuhn en Ross Anderson. Zij onderzochten of het mogelijk is de straling van beeldschermen en andere computeronderdelen via software te manipuleren. Het blijkt dat niet alle informatie op een beeldscherm even duidelijk af te luisteren is. Bepaalde lettertypes (fonts) geven betere resultaten dan andere, vooral als de afluisteraar weet welke fonts er gebruikt worden. Deze signalen zijn dan beter te herkennen temidden van de elektromagnetische "ruis". Maar informatie kan zelfs bewust worden versterkt door een "Tempest virus" binnen te sluizen. In een kleurenplaatje kan bijvoorbeeld een voor de gebruiker niet zichtbaar zwart-wit beeld worden verstopt, dat goed af te luisteren is. Zo zou bijvoorbeeld in het logo of de titelbalk van een programma het serienummer verwerkt kunnen worden, om software-piraterij op te sporen. De afluisterbaarheid van dergelijke verstopte boodschappen ligt vele malen hoger dan die van normale informatie, volgens de auteurs voldoende om deze signalen vanuit een mobiele opsporingswagen op te vangen. Dezelfde truc is ook uit te halen door bijvoorbeeld de stuursignalen voor de harde schijf te manipuleren, of door de processor op regelmatige intervallen bepaalde instructies te laten uitvoeren. Hierdoor ontstaat er een herkenbaar patroon in de brei van elektronische ruis die uitgezonden wordt. Zo'n patroon is veel makkelijker op te sporen, en door kleine variaties in dit patroon aan te brengen kun je informatie zoals passwords, serienummers en dergelijke hiermee 'verzenden'. In alle gevallen levert het feit dat de afluisteraars weten waarnaar zij moeten zoeken een veel hogere herkenningsgraad op. Maar software-manipulatie is ook te gebruiken als beveiliging: de auteurs hebben speciale fonts ontwikkeld die juist buitengewoon moeilijk af te luisteren zijn. Dit kan door de pixel-frequentie van de fonts af te vlakken. De letters zijn voor de gebruiker enigszins wazig, maar redelijk goed te lezen. Voor de afluisteraar is het verschil dramatisch: de tekst, die in een 'normaal' font goed zichtbaar is, verdwijnt geheel en al. Hier een link naar waar een testversie van deze fonts te downloaden zijn. Andere variantenEr bestaan nog diverse varianten op Tempest. NONSTOP is het codewoord voor lekstraling via radio-apparatuur zoals mobiele telefoons, draadloze telefoons, draadloze netwerken, pagers en mobilofoons die in de buurt van apparatuur worden gebruikt met gevoelige informatie. Er bestaan specifieke richtlijnen over het uitzetten van deze apparaten of het aanhouden van een minimale afstand tot de computer of printer. HIJACK is het codewoord voor spionage via digitale overdracht, in plaats van elektromagnetische straling. Hiervoor moet de tegenstander toegang hebben tot communicatielijnen (ook draadloze). Het schijnt erg duur en lastig te wezen. Interessant is ook een voorschrift van het Amerikaanse Department of Energy. Alle infrarood-poorten op laptops en dergelijke die gevoelige informatie verwerken moeten uitgeschakeld worden, hetzij door de poort met een goedgekeurd veiligheidszegel af te plakken hetzij door de infrarood-zender fysiek te verwijderen. Dit is voornamelijk bedoeld om er zeker van te zijn dat gebruikers niet per ongeluk deze infrarood-poorten aan hebben staan. Infrarood licht is namelijk mijlenver te zien en op te vangen. TegenmaatregelenHet is vrijwel niet mogelijk om tegen redelijke kosten een vast opgestelde computer geheel en al tegen Tempest-aanvallen te beschermen. De kosten-baten analyse zal voor de president van een groot land anders uitvallen dan voor anderen, maar je zult in alle gevallen uit moeten gaan van een realistische inschatting van de risico's, en hoeveel tijd, geld en moeite je wilt investeren om deze risico's tegen te gaan. Een Tempest-beveiligde computer is minstens dubbel zo duur als een gewone en bovendien voor normale stervelingen niet te koop. De beste verdediging bestaat uit het mobiel houden van gevoelige informatie. Wil je zeer explosieve teksten lezen of schrijven, dan kun je je het best met je laptop of Palmpilot terugtrekken op de wc van een openbare ruimte of café. Dat maakt elektromagnetisch afluisteren vrijwel onmogelijk, omdat een Tempest-ontvanger nu eenmaal niet in een aktenkoffertje past en ook niet zo snel werkend in een auto voor de deur is op te stellen. Wel oppassen voor de tegenwoordig op de raarste plekken geïnstalleerde beveiligingscamera's natuurlijk! Werk je op een vaste plek, dan is het nog steeds mogelijk om de risico's te beperken:
In oplopende graad van paranoia kun je ook nog het volgende proberen. Maar bedenk: volledige veiligheid is er niet en er geldt een soort wet van afnemende effectiviteit: je moet steeds meer investeren om steeds minder "extra" veiligheid te krijgen. Meer iets voor de hobbyisten dus.
Laatst aangepast (zaterdag, 15 mei 2010 19:30) |