Er staan twee beeldschermen op tafel. De ene toont de homepage van de Fachhochschule Aachen (FHA). De andere toont hetzelfde beeld, een beetje flikkerend en verschuivend, maar goed leesbaar. Dit beeldscherm tapt het eerste af: de residustraling wordt opgevangen met een grote antenne, en met wat synchronisatie wordt het beeld gereproduceerd. Professor Moeller (FHA) demonstreert op Hacking In Progress de Van Eck-straling, genoemd naar de Nederlandse onderzoeker die in 1985 een artikel publiceerde over het opvangen van residustraling van computerschermen. Het fenomeen wordt ook wel aangeduid met TEMPEST, een Amerikaanse geheime standaard voor computerapparatuur die immuun is voor het opvangen van residustraling. De meeste computers voldoen bij lange na niet aan die standaard. Je kunt ze van vijf, tien, vijftig meter afstand reproduceren, door muren heen, als je de juiste apparatuur hebt. Een busje naast het kantoor kan het doen. Is dit de toekomst voor de politie nu het aftappen van telefoons steeds moeilijker wordt?
Het fenomeen van residustraling van beeldschermen bestaat al sinds de jaren vijftig, maar het kreeg pas grotere bekendheid toen Wim Van Eck, een onderzoeker bij PTT Research, in 1985 een artikel publiceerde in Computers & Security. Hierin gaf hij de resultaten weer van experimenten om een beeldscherm af te tappen. Hoewel hij opzettelijk geen volledige weergave van de proefopstelling gaf, bleken anderen in staat het experiment na te doen. Sindsdien is er wel het een en ander gebeurd op TEMPEST-gebied, maar het blijft een schimmig fenomeen. De overheid van de Verenigde Staten heeft alles rondom TEMPEST als geheim gerubriceerd, inclusief het artikel van Van Eck. De TEMPEST-standaard is geheim, zodat je moeilijk kunt bepalen of je computer genoeg residustraling heeft om een doelwit te zijn voor aftappers. TEMPEST-gecertificeerde apparatuur is alleen verkrijgbaar met toestemming van de VS-overheid.
De geheimzinnigheid en relatieve onbekendheid geven TEMPEST-aanvallers redelijke kans van slagen. De residustraling wordt veroorzaakt door het elektronenkanon in computer-beeldschermen, dat vele keren per seconde een straal elektronen afschiet op het scherm om de pixels te activeren. Daarbij komt een grote hoeveelheid elektromagnetische straling vrij, die de monitor aan allen kanten verlaat. Kabels en snoeren werken daarbij als antennes, zodat de straling nog verder reikt. Met de juiste apparatuur, die overigens goedkoop en vrij verkrijgbaar is, en een beetje technische kennis kun je van een behoorlijke afstand een beeld reproduceren. De kwaliteit hangt af van de gebruikte apparatuur: Moeller kan met zijn apparatuur letters op een modern beeldscherm lezen met tenminste 12-punts grootte. Hij werkt momenteel aan verfijndere, digitale apparatuur, die ook 10-punts letters kan lezen. Het blijkt daarbij overigens makkelijk om verschillende computers in dezelfde ruimte te onderscheiden: vrijwel elke computer is verschillend - alleen als alle onderdelen uit exact dezelfde productie-eenheid komen, wordt het lastig de straling te onderscheiden (dan kun je altijd nog een richtantenne proberen). Het aftappen van residustraling werkt evenwel niet (in elk geval niet in dezelfde mate) bij laptops, omdat die een andere schermtechnologie gebruiken.
In zijn lezing op Hacking In Progress, het internationale hackersfestival dat van 8 tot 10 augustus bij Almere werd gehouden, demonstreerde professor Moeller drie mogelijkheden om beeldschermen af te tappen. Een grote antenne kan de straling rechtstreeks van het beeldscherm opvangen. Een andere manier is om een apparaatje aan te sluiten op de elektriciteitskabel; deze geleidt ook voldoende straling om het scherm te kunnen reproduceren. Tot slot is het ook mogelijk om de straling op te vangen van het snoer tussen computer en beeldscherm. Volgens professor Moeller is het mogelijk om van enige tientallen meters beeldschermen af te tappen, bijvoorbeeld van een verdieping hoger of lager, een aangrenzend kantoor, of vanuit een busje geparkeerd naast de woning.
Tegen een TEMPEST-aanval is wel bescherming mogelijk, vooral door de computer of de ruimte
in te kapselen in genoeg metaal om de straling te blokkeren (een kooi van Faraday, bijvoorbeeld);
daarbij moeten ook alle kabels, snoeren en ramen worden afgeschermd. Moeller schat dat het
afschermen van een ruimte van 6x6x4 m3 zo'n 450.000 gulden kost. Dan is het apparaatje dat hij
heeft ontwikkeld goedkoper: zo'n 1100 gulden. Als je het naast de computer zet, zendt het min of
meer dezelfde straling uit als het beeldscherm, zodat door de interferentie de straling wordt
uitgedempt.
Niet strafbaar
Het aftappen van beeldschermen roept juridische vragen op. Is het strafbaar? Op het eerste gezicht zou je dat wel verwachten - het opnemen van gesprekken in een woning en het onderscheppen van telecommunicatie is immers ook strafbaar. Het lijkt mij echter niet mogelijk om TEMPEST-aftappen onder een strafbepaling te vatten. Het gaat bij beeldschermen immers niet om "gesprekken". En het aftappen van telecommunicatie is alleen strafbaar als dat plaatsvindt over de telecommunicatie-infrastructuur. De residustraling wordt echter niet getransporteerd over deze infrastructuur - hij vliegt vrij de ruimte in. Dan is er nog een bepaling die het opvangen van data die in een woning worden overgedragen via een computer strafbaar stelt. De residustraling wordt echter niet "overgedragen" (dat impliceert een doelbewuste richting), hij wordt uitgezonden, zonder richting of bestemming. Hoewel een creatieve rechter misschien anders zou oordelen, lijkt mij vooralsnog het aftappen van beeldschermen niet strafbaar. [maar zie het naschrift]
Een andere interessante vraag is of de politie TEMPEST zou mogen gebruiken als
opsporingsmethode. Dat is een actuele vraag, nu de politiek in de nasleep van de IRT-affaire
discussieert over opsporingsmethoden, en de Tweede Kamer zich binnenkort gaat buigen over
het wetsvoorstel Bijzondere opsporingsmethoden, dat Minister Sorgdrager in juni heeft
ingediend. Een van de nieuwe methoden die Sorgdrager voorstelt is "direct afluisteren" (zie
Kortom). Het aftappen van beeldschermen lijkt daar goed bij aan te sluiten.
Mag de politie het ook?
De bevoegdheden van de politie moeten nauw worden geïnterpreteerd: de politie mag in principe alleen iets doen waartoe zij expliciet door de wet bevoegd is. (De IRT-enquête heeft laten zien wat er gebeurt als de politie zelf bevoegdheden creëert of bestaande bevoegdheden oprekt.) Als de politie wil TEMPEST-aftappen, moet dat dus onder een wettelijke bevoegdheid vallen. De algemene bevoegdheid tot aftappen komt niet in aanmerking, omdat de straling niet over de telecommunicatie-infrastructuur plaatsvindt. Momenteel zijn er verder geen bevoegdheden die bij TEMPEST in de buurt komen.
Ook de voorgestelde "bijzondere" opsporingsbevoegdheden bieden niet veel houvast voor de politie. Er komt een bevoegdheid voor het "observeren met een technisch hulpmiddel"; het doel hiervan is het observeren van personen en goederen, waarbij overigens geen communicatie mag worden opgenomen. Het aftappen van beeldschermen lijkt niet in overeenstemming met het doel van deze nieuwe bevoegdheid, namelijk het volgen van personen en goederen (denk vooral aan plaatsbepalingsapparatuur). Datzelfde geldt voor de eveneens voorgestelde bevoegdheid om "plaatsen op te nemen", een eufemistische term voor de bekende "inkijkoperatie". Deze operaties zijn bedoeld om te kijken of een plaats illegale goederen of sporen bevat (zodat er besloten kan worden later een huiszoeking te houden). Dat is een vrij oppervlakkige, eenmalige operatie, terwijl het bij TEMPEST gaat om systematisch onderzoek.
De bevoegdheid die het meest in de buurt komt is het voorgestelde "direct afluisteren". Het gaat daarbij om het afluisteren en opnemen van vertrouwelijke communicatie. "Communicatie" wordt ruim opgevat: het omvat niet alleen gesprekken en andere vormen van gegevensuitwisseling tussen personen, maar ook het intypen van een tekst op een toetsenbord (als voorbeeld wordt genoemd het plaatsen van een "bug" in een toetsenbord of muis, zodat de toetsaanslagen en muisklikken worden geregistreerd). Wel moet het steeds gaan om de uitwisseling van berichten tussen tenminste twee personen. Het invoeren van gegevens voor eigen gebruik op een PC valt er niet onder; een PC zonder netwerkaansluiting mag dan ook niet worden afgetapt. Het aftappen van beeldschermen lijkt in het verlengde van direct afluisteren te liggen, hoewel je je kunt afvragen hoe de politie technisch onderscheid kan maken tussen eenzijdig persoonlijk en "communicatief" gebruik van een beeldscherm.
De Memorie van Toelichting spreekt echter in het hele wetsvoorstel nergens over TEMPEST of
het aftappen van residustraling. Bij direct afluisteren worden alleen taperecorders, scanners,
bugsen richtmicrofoons genoemd. Aangezien opsporingsbevoegdheden in principe nauw moeten
worden opgevat (of dat in de praktijk ook daadwerkelijk zal gebeuren, is een ander verhaal, maar
het is in elk geval het post-IRT uitgangspunt), lijkt mij de conclusie gerechtvaardigd dat de
politie geen bevoegdheid heeft om beeldschermen af te tappen, ook niet als het wetsvoorstel
bijzondere opsporingsmethoden wordt aangenomen.
Alternatief voor telefoontap
De bevoegdheid tot direct afluisteren wordt mede ingevoerd omdat cryptografie - het versleutelen van computerbestanden en telecommunicatie - het aftappen van telefoons en gegevensverkeer moeilijker maakt. Als er niets gebeurt, zal het aftappen binnen enkele jaren waarschijnlijk onmogelijk worden, omdat cryptografie dan ingebouwd wordt in allerlei besturings- en mailprogramma's. Het "direct" afluisteren, dat wil zeggen voordat het gesprek of de gegevens worden versleuteld (of nadat ze zijn ontsleuteld) is daarom een nuttige, misschien zelfs noodzakelijke aanvulling op de reguliere telefoontap, die, zo concludeerde een WODC-rapport vorig jaar, een effectief middel is, met name bij de opsporing van de georganiseerde misdaad. In dat licht bezien kan de politie alle middelen goed gebruiken die de plaats van de telefoontap kunnen overnemen. De nood is nu kennelijk hoog genoeg om bugs en richtmicrofoons toe te laten, ondanks hun privacy-bedreigende karakter.
Of daarnaast ook een bevoegdheid tot aftappen van beeldschermen moet worden ingevoerd, is een politieke afweging. Het kan een zinvolle aanvulling zijn op het politiële instrumentarium, nu cryptografie in toenemende mate de telefoontap lastig maakt. Aan de andere kant is het aftappen van beeldschermen ook privacy-bedreigend (Aldous Huxley ontleende zijn titel Brave New World in dit opzicht toepasselijk aan Shakespeare's The Tempest). De Minister heeft ervoor gekozen om direct afluisteren niet toe te staan in woningen; zo'n bepaling zou ook het privacy-bedreigende karakter van een TEMPEST-bevoegdheid kunnen inperken.
Het verschil tussen het aftappen van een toetsenbord (om de aanslagen te analyseren) door direct
afluisteren en het aftappen van een beeldscherm is niet bijzonder fundamenteel. Het lijkt mij
daarom zinvol als in de discussie over nieuwe opsporingsmethoden de Tweede Kamer ook zou
kijken naar TEMPEST. Het kan een beeldige opsporingsmethode zijn.
Drs. B.J. Koops is onderzoeker aan de Katholieke Universiteit Brabant en de Technische Universiteit Tilburg. E-mail: E.J.Koops@kub.nl.
E-mail: E.J.Koops@kub.nl
WWW: http://cwis.kub.nl/~frw/people/koops/ bertjaap.htm