Verräterische Reflexionen: Wie eine Teekanne Geheimnisse preisgeben
kann
Über Reflexionen in Teekannen, Kaffeetassen, Brillengläsern oder sogar
in den Augen eines PC-Benutzers kann man die Daten eines beliebigen
Bildschirms ausspionieren. Das haben Informatiker unter Leitung von
Prof. Dr. Michael Backes (Lehrstuhl für Informationssicherheit und
Kryptographie der Universität des Saarlandes) untersucht. Mit einer
speziell angepassten Teleskop-Ausstattung im Wert von rund tausend
Euro konnten die Saarbrücker Wissenschaftler noch in einer Entfernung
von über zehn Metern Informationen rekonstruieren, die in
verschiedenen Gegenständen gespiegelt wurden. Das Forscherteam geht
davon aus, dass man mit professionelleren Geräten mühelos aus größerer
Entfernung, etwa vom Fenster eines Nachbargebäudes aus, geheime Daten
auf diese Weise ablesen könnte. Die Forschungsergebnisse werden auf
der CeBIT 2008 vom 4. bis 9. März am saarländischen Forschungsstand
(Halle 9, Stand B 35) gezeigt.
Was sich wie eine Szene aus einem James-Bond-Film liest, könnten
findige Kriminelle nutzen, um Industriespionage zu betreiben,
Bankdaten zu erschnüffeln oder Politiker und Prominente zu beschatten.
Den Informatikern im Team von Prof. Backes ging es hingegen darum,
neue Sicherheitslücken frühzeitig aufzudecken und auf mögliche
Gefahren hinzuweisen. In früheren Studien hatten bereits andere
Forscher herausgefunden, dass Daten aus den Abstrahlungen des Kabels
eines LCD-Bildschirms abgelesen werden können oder über die elektro-
magnetische Abstrahlung eines Röhren-Bildschirms. Die Saarbrücker
Informatiker konzentrierten sich hingegen auf die Frage, wie die bloße
optische Abstrahlung eines LCD-Monitors genutzt werden kann, um auch
von einem Bildschirm, der vom neugierigen Betrachter abgewandt ist,
Informationen abzulesen.
Sie fanden heraus, dass sich die Daten eines LCD-Bildschirms auch auf
gekrümmten Oberflächen wie Teekannen oder Tassen gut widerspiegeln.
Diese verzerrten Spiegelbilder können dann auch über größere
Entfernungen von Teleskopen erfasst, fotografiert und mit
entsprechender Software entzerrt werden. Die besten Ergebnisse
erhielten die Forscher mit den Brillengläsern der PC-Nutzer und mit
einer Teekanne, die auf dem Schreibtisch neben dem Bildschirm stand.
Immer noch entzifferbare Daten lieferten die Reflexionen der Augen von
Personen, die direkt am Bildschirm saßen. Hier waren allerdings die
schnellen Bewegungen des Auges vor allem bei größeren Entfernungen ein
Hindernis. Nach Meinung der Wissenschaftler könnte dies jedoch schon
bald durch besseres Equipment und verfeinerte Algorithmen ausgeglichen
werden.
Insbesondere die guten Spiegelungen in den Brillengläsern der PC-
Benutzer stellen ein großes Sicherheitsproblem dar. Sie können nicht
vermieden werden, ohne den Benutzer stark einzuschränken, gleichzeitig
können durch die Reflexionen jedoch auf eine Entfernung von zehn
Metern noch Texte mit einer 12-Punkt-Schrift problemlos entziffert
werden. Auch auf den verschwommenen Bildern, die man über die
Reflexion des Auges erhält, kann man noch Überschriften und (mit
einigen Kenntnissen über das Umfeld) auch angezeigte Webseiten und
Diagramme ablesen. Für das Fotografieren einzelner Webseiten über das
Teleskop reichten Belichtungszeiten von einer Sekunde. Lediglich bei
den sich schnell bewegenden Augen mussten die Bilder in
Zehntelsekunden aufgenommen werden. Für Prof. Michael Backes zeigen
die Forschungsergebnisse, dass man beim Thema Informationssicherheit
von einer großen Phantasie der kriminellen Gegner ausgehen müsse. Wer
sich der beschriebenen Gefahren bewusst sei, könne sich im Moment nur
schützen, indem er beim Umgang mit sensiblen Daten Rollläden oder
Vorhänge schließe und nach versteckten Teleskopen Ausschau halte.
Das Forschungsteam von Prof. Michael Backes an der Universität des
Saarlandes wird seine Forschungsergebnisse auf der größten
internationalen Konferenz für Sicherheitsthemen, dem "IEEE Symposium
on Security and Privacy" in Oakland (USA) im Mai 2008 vorstellen. Für
die Konferenz wurden 249 wissenschaftliche Papiere eingereicht, davon
nur 28 genommen. Zwei der akzeptierten Forschungsergebnisse stammen
von Prof. Michael Backes. Außerdem wird das Team von Prof. Backes die
Ergebnisse auf der CeBIT 2008, am saarländischen Forschungsstand
(Halle 9, Stand B 35) vorstellen.