Od prawie 80 lat rządy i agencje wywiadowcze wiedzą, że komputery ujawniają tajemnice nie tylko z powodu włamań, ale także ze względu na samą fizykę ich działania. Obecnie dwupartyjna grupa amerykańskich prawodawców nalega na zbadanie, jak bezbronni są zwykli obywatele wobec tej mającej od kilkudziesięciu lat techniki szpiegowskiej – znanej jako TEMPEST lub ataki boczne – oraz czy firmy technologiczne powinny być zmuszane do wzmacniania swojej obrony.
Fizyka szpiegostwa
Komputery emitują fale radiowe, dźwięki i wibracje jako produkt uboczny normalnego działania. Sygnały te, choć niezamierzone, mogą zostać przechwycone i odszyfrowane przez wykwalifikowanych przeciwników w celu ujawnienia wrażliwych danych. Nie jest to zagrożenie hipotetyczne: rząd USA był tego świadomy od lat czterdziestych XX wieku i aktywnie chroni swoje informacje niejawne, korzystając z bezpiecznych obiektów zwanych SCIF (ang. Sensitive Compartmented Information Facilities).
Obecnie niepokój polega na tym, że ogół społeczeństwa pozostaje w dużej mierze pozbawiony ochrony. Senator Ron Wyden i przedstawicielka Shontelle Brown wysłali niedawno list do Rządowego Biura Odpowiedzialności (GAO), żądając przeglądu zakresu tego zagrożenia, wykonalności środków zaradczych i możliwych opcji politycznych, w tym zmuszania producentów do wbudowywania zabezpieczeń w swoje produkty.
Od dawna znana słabość
Podstawowy problem nie jest nowy. Wczesne eksperymenty w Bell Labs wykazały, że maszyny szyfrujące emitują wystarczającą ilość energii elektromagnetycznej, aby przekazać wskazówki kryptograficzne każdemu, kto posiada odpowiedni sprzęt. Szczegółowy raport NSA z 1972 r. potwierdził, że tajne komputery mogą przesyłać wykrywalne sygnały na odległość do pół mili, potencjalnie ujawniając wrażliwe dane.
More recent research demonstrates that this is still possible today. Naukowcy stworzyli urządzenia za mniej niż 300 dolarów, które mogą wydobywać dane z komputerów z odległości kilku stóp za pomocą promieniowania elektromagnetycznego, a nawet podsłuchiwać naciśnięcia klawiszy za pomocą wibracji akustycznych wychwytywanych przez telefon komórkowy.
Dlaczego to ma teraz znaczenie
Choć praktyczność ataków z kanału bocznego na dużą skalę jest przedmiotem dyskusji, prawodawcy twierdzą, że zagrożenie rośnie. W miarę doskonalenia się technologii nadzoru i spadku jej kosztów, będzie ona spływać od agencji wywiadowczych, przez sponsorowanych przez państwo hakerów, po organy ścigania, a ostatecznie do przestępców.
Wyden wyraźnie zauważa, że szpiegostwo przemysłowe stwarza znaczne ryzyko: celem są już firmy opracowujące technologie o znaczeniu strategicznym. Brak świadomości społecznej lub wymagań producentów naraża Amerykanów na bezbronność, być może przez wiele lat, biorąc pod uwagę czas potrzebny na przeprojektowanie produktów w celu zwiększenia bezpieczeństwa.
Czy jest to realne ryzyko dla większości ludzi?
Eksperci nie są zgodni co do tego, jak pilne jest to zagrożenie dla przeciętnego użytkownika. Chociaż ataki z kanału bocznego są możliwe, są one technicznie trudne. Badacze bezpieczeństwa z Electronic Frontier Foundation uważają, że dotyczą one głównie urzędników bezpieczeństwa narodowego lub firm zaangażowanych w szpiegostwo przemysłowe o wysokiej stawce.
Ponadto nowoczesne urządzenia stają się coraz bardziej wydajne, redukując niezamierzone promieniowanie. Przejście na przetwarzanie w chmurze jeszcze bardziej utrudnia ataki, ponieważ centra danych są trudniejsze do kontrolowania.
Jednak pojawienie się narzędzi sztucznej inteligencji zdolnych do wydobywania sygnałów z szumu może ułatwić te ataki. A inteligentne urządzenia — głośniki, telewizory, sterowniki przemysłowe — nadal mogą być podatne na ataki.
Droga naprzód
Rząd Stanów Zjednoczonych ma kilka możliwości rozwiązania tego problemu: FCC może regulować emisję radiową, FTC może oznaczać luźne zabezpieczenia jako zwodniczą reklamę, a agencje mogą po prostu udostępniać więcej informacji. Na razie skala naszych cichych wycieków danych pozostaje niepewna.
Konkluzja: dziesięciolecia technik szpiegowskich nadal stanowią potencjalne ryzyko, zwłaszcza w przypadku celów o dużej wartości. Pytanie brzmi teraz, czy rząd powinien interweniować, aby wymusić lepsze zabezpieczenia urządzeń konsumenckich.
