Da quasi 80 anni, i governi e le agenzie di intelligence sanno che i computer trapelano segreti non solo attraverso l’hacking, ma attraverso la fisica stessa del loro funzionamento. Ora, una coppia bipartisan di legislatori statunitensi sta spingendo per un’indagine su quanto siano vulnerabili gli americani comuni a questa tecnica di spionaggio vecchia di decenni – nota come TEMPEST o attacchi a canale laterale – e se le aziende tecnologiche debbano essere costrette a rafforzare le loro difese.
La fisica dello spionaggio
I computer emettono onde radio, suoni e vibrazioni come sottoprodotto del normale funzionamento. Questi segnali, sebbene involontari, possono essere intercettati e decifrati da avversari esperti per rivelare dati privati. Non si tratta di una minaccia ipotetica: il governo americano ne è consapevole fin dagli anni ’40 e protegge attivamente le proprie informazioni classificate utilizzando strutture protette chiamate SCIF (Sensitive Compartmented Information Facilities).
La preoccupazione ora è che il pubblico rimane in gran parte non protetto. Il senatore Ron Wyden e il deputato Shontel Brown hanno recentemente inviato una lettera al Government Accountability Office (GAO) chiedendo una revisione della portata di questa minaccia, della fattibilità delle contromisure e delle potenziali opzioni politiche, tra cui obbligare i produttori a integrare la sicurezza nei loro prodotti.
Una debolezza nota da tempo
Il problema principale non è nuovo. I primi esperimenti ai Bell Labs hanno dimostrato che le macchine di crittografia irradiavano abbastanza energia elettromagnetica da far trapelare indizi crittografici a chiunque avesse l’attrezzatura giusta. Un rapporto declassificato della NSA del 1972 confermava che i computer classificati potevano trasmettere segnali rilevabili fino a mezzo miglio, esponendo potenzialmente dati sensibili.
Ricerche più recenti dimostrano che ciò rimane possibile anche oggi. I ricercatori hanno costruito dispositivi per meno di 300 dollari in grado di estrarre dati da computer nel raggio di pochi metri utilizzando emanazioni elettromagnetiche o persino di intercettare la pressione di tasti tramite vibrazioni acustiche captate da un telefono cellulare.
Perché questo è importante adesso
Mentre si discute sulla praticità degli attacchi diffusi attraverso i canali secondari, i legislatori sostengono che la minaccia è in crescita. Man mano che la tecnologia di sorveglianza migliora e diventa più economica, si diffonderà dalle agenzie di intelligence agli hacker sponsorizzati dallo stato, alle forze dell’ordine e, infine, ai criminali.
Wyden sottolinea specificamente che lo spionaggio industriale rappresenta un rischio significativo: le aziende che sviluppano tecnologie strategicamente importanti sono già obiettivi. La mancanza di consapevolezza pubblica o di requisiti da parte dei produttori lascia gli americani vulnerabili, potenzialmente per gli anni a venire, dato il tempo necessario per riprogettare i prodotti per una maggiore sicurezza.
È un rischio reale per la maggior parte delle persone?
Gli esperti non sono d’accordo su quanto sia urgente questa minaccia per l’utente medio. Anche se gli attacchi dal canale laterale sono possibili, sono tecnicamente impegnativi. I ricercatori sulla sicurezza della Electronic Frontier Foundation ritengono che siano principalmente una preoccupazione per il personale di sicurezza nazionale o per le aziende coinvolte nello spionaggio industriale ad alto rischio.
Inoltre, i dispositivi moderni stanno diventando più efficienti, riducendo le radiazioni involontarie. Il passaggio al cloud computing complica ulteriormente gli attacchi, poiché i data center sono più difficili da sorvegliare.
Tuttavia, l’aumento degli strumenti di intelligenza artificiale in grado di estrarre segnali dal rumore potrebbe rendere questi attacchi più facili. E i dispositivi “intelligenti” – altoparlanti, televisori, controlli industriali – potrebbero essere ancora vulnerabili.
Il percorso da seguire
Il governo degli Stati Uniti ha diverse leve per affrontare questo problema: la FCC potrebbe regolare le emissioni radio, la FTC potrebbe ritenere ingannevole la pubblicità ingannevole in termini di sicurezza e le agenzie potrebbero semplicemente condividere più informazioni. Fino ad allora, la portata delle nostre fughe di dati silenziose rimane incerta.
Il punto è che le tecniche di spionaggio vecchie di decenni rimangono un rischio potenziale, in particolare per obiettivi di alto valore. Il dibattito ora è se il governo debba intervenire per imporre misure di sicurezza migliori sui dispositivi consumer.
