Computers lekken geheimen. Niet alleen door invasieve advertentietracking, malware die gegevens steelten jouw onverstandig te veel delen op sociale mediamaar via de natuurkunde. De bewegingen van de componenten van een harde schijf, toetsaanslagen op een toetsenbord en zelfs de elektrische lading in de draden van een halfgeleider produceren radiogolven, geluid en trillingen die in alle richtingen worden uitgezonden en die – wanneer ze worden opgepikt door iemand met voldoende gevoelige apparatuur en voldoende spionageapparatuur om die signalen te ontcijferen – uw privégegevens en activiteiten kunnen onthullen.
Deze categorie van spionagetechnieken, oorspronkelijk door de National Security Agency met de codenaam TEMPEST, maar nu omvat in de meer algemene term ‘zijkanaalaanvallen,’ is al bijna tachtig jaar een bekend probleem op het gebied van computerbeveiliging, en het is een probleem waar de Amerikaanse regering zorgvuldig rekening mee houdt bij het beveiligen van haar eigen geheime informatie. Nu starten een paar Amerikaanse wetgevers een onderzoek naar hoe kwetsbaar de rest van ons is voor surveillance in TEMPEST-stijl – en of de Amerikaanse regering apparaatfabrikanten ertoe moet aanzetten meer te doen om Amerikanen te beschermen.
Woensdag brachten senator Ron Wyden en vertegenwoordiger Shontel Brown een brief ze stuurden een bericht naar het Government Accountability Office (GAO) waarin ze een onderzoek eisten naar de kwetsbaarheid van moderne computers voor zijkanaalaanvallen in TEMPEST-stijl, het monitoren en ontcijferen van onbedoelde signalen van pc’s, telefoons en andere computerapparatuur om hun activiteiten te controleren. In de brief schrijven Wyden en Brown dat deze vormen van spionage “niet alleen een contraspionagebedreiging vormen voor de Amerikaanse regering, maar dat deze methoden ook kunnen worden uitgebuit door tegenstanders van het Amerikaanse publiek, onder meer om strategisch belangrijke technologieën van Amerikaanse bedrijven te stelen.”
Samen met de brief gaven Wyden en Brown ook opdracht voor een nieuw uitgebrachte Rapport van de Congressional Research Service over de geschiedenis van TEMPEST en de hedendaagse dreiging die uitgaat van soortgelijke zijkanaalaanvallen. Het beschrijft de inspanningen van de Amerikaanse overheid om haar apparaten tegen deze spionagetechnieken te beschermen, waaronder het gebruik van geïsoleerde, radio-afgeschermde ruimtes voor veilige toegang tot geheime informatie, bekend als een Sensitive Compartmented Information Facility (SCIF). Ondertussen heeft de regering “noch het publiek gewaarschuwd voor deze dreiging, noch eisen opgelegd aan de fabrikanten van consumentenelektronica, zoals smartphones, computers en computeraccessoires, om technische tegenmaatregelen in hun producten in te bouwen”, benadrukken Wyden en Brown in de brief. “Als zodanig heeft de regering het Amerikaanse volk kwetsbaar en in het ongewisse gelaten.”
De brief van Wyden en Brown eindigt met een dringend beroep op GAO om een lijst met TEMPEST-gerelateerde kwesties te herzien: de omvang van de moderne privacybedreiging van zijkanaalaanvallen, de “kosten en haalbaarheid” van het implementeren van bescherming hiertegen in moderne apparaten, en “potentiële beleidsopties om deze dreiging tegen het publiek te verzachten, inclusief het verplichten van apparaatfabrikanten om tegenmaatregelen aan hun producten toe te voegen”, wat suggereert dat het Congres druk zou kunnen uitoefenen op technologiebedrijven om meer verdediging toe te voegen aan de apparaten die ze verkopen.
Hoe praktisch zijkanaalaanvallen zoals TEMPEST zijn tegen moderne computerapparatuur – en hoe vaak ze daadwerkelijk in het wild worden gebruikt door hackers en spionnen – blijft verre van duidelijk. Maar de mogelijkheid van dergelijke aanvallen wordt door de Amerikaanse regering al in de jaren veertig serieus genomen, toen Bell Labs ontdekte dat machines die het aan het Amerikaanse leger verkocht voor het versleutelen van berichten leesbare signalen produceerden op een oscilloscoop aan de andere kant van het laboratorium.
De Bell Labs-machines zonden aanwijzingen uit over de interne werking van militaire cryptografie in de radiogolven die werden gecreëerd door de elektromagnetische lading van hun componenten. Een vrijgegeven NSA-rapport uit 1972 beschreef later het probleem van de geheime computers van de dienst die “radiofrequentie of akoestische energie” uitzonden. Het rapport voegde eraan toe: “Deze emissies kunnen, net als kleine radio-uitzendingen, over aanzienlijke afstanden” van een halve mijl of meer door de vrije ruimte uitstralen als het signaal door nabijgelegen materialen zoals elektriciteitsleidingen of waterleidingen wordt geleid.
