I pc trapelano segreti. Non solo attraverso il monitoraggio invasivo degli annunci, malware che rubano dati e la tua sconsiderata condivisione eccessiva sui social media, ma attraverso la fisica. I movimenti dei componenti di un disco rigido, i tasti premuti su una tastiera, persino la carica elettrica nei fili di un semiconduttore producono onde radio, suoni e vibrazioni che trasmettono in tutte le direzioni e possono, se rilevati da qualcuno con attrezzature sufficientemente sensibili e abbastanza capacità di spionaggio per decifrare quei segnali, rivelare i tuoi dati e le tue attività non-public.
Questa categoria di tecniche di spionaggio, originariamente denominata TEMPEST dalla Nationwide Safety Company ma ora compresa nel termine più generale “attacchi a canale laterale”, è un problema noto nella sicurezza informatica da quasi otto decenni, ed è un problema che il governo degli Stati Uniti considera attentamente nel proteggere le proprie informazioni riservate. Ora un paio di legislatori statunitensi stanno avviando un’indagine su quanto siamo vulnerabili tutti noi alla sorveglianza in stile TEMPEST e se il governo degli Stati Uniti debba spingere i produttori di dispositivi a fare di più per proteggere gli americani.
Mercoledì, il senatore Ron Wyden e il deputato Shontel Brown hanno pubblicato una lettera inviata al Authorities Accountability Workplace (GAO) chiedendo un’indagine sulla vulnerabilità dei pc moderni agli attacchi del canale laterale in stile TEMPEST, il monitoraggio e la decifrazione delle emanazioni accidentali da PC, telefoni e altri dispositivi informatici per sorvegliare le loro operazioni. Nella lettera, Wyden e Brown scrivono che queste forme di spionaggio “non rappresentano solo una minaccia di controspionaggio per il governo degli Stati Uniti, ma questi metodi possono anche essere sfruttati da avversari contro il pubblico americano, anche per rubare tecnologie strategicamente importanti alle aziende statunitensi”.
Insieme alla lettera, Wyden e Brown hanno anche commissionato un nuovo rapporto del Congressional Analysis Service sulla storia di TEMPEST e sulla minaccia contemporanea posta da simili attacchi sul canale laterale. Descrive gli sforzi del governo degli Stati Uniti per proteggere i propri dispositivi da tali tecniche di spionaggio, compreso l’uso di spazi isolati e schermati radio per l’accesso sicuro a informazioni segrete be aware come Delicate Compartmented Info Facility o SCIF. Nel frattempo, il governo “non ha né avvertito il pubblico di questa minaccia, né imposto requisiti ai produttori di elettronica di consumo, come smartphone, pc e accessori per pc, di integrare contromisure tecniche nei loro prodotti”, sottolineano Wyden e Brown nella lettera. “In quanto story, il governo ha lasciato il popolo americano vulnerabile e all’oscuro”.
La lettera di Wyden e Brown termina esortando il GAO a rivedere un elenco di questioni relative a TEMPEST: la portata della moderna minaccia alla privateness degli attacchi side-channel, il “costo e la fattibilità” dell’implementazione di protezioni contro di essi nei dispositivi moderni e “potenziali opzioni politiche per mitigare questa minaccia contro il pubblico, compreso l’obbligo per i produttori di dispositivi di aggiungere contromisure ai loro prodotti”, suggerendo che il Congresso potrebbe esercitare pressioni sulle aziende tecnologiche affinché aggiungano più difese ai dispositivi che vendono.
Non è ancora chiaro quanto siano pratici gli attacchi side-channel come TEMPEST contro i moderni dispositivi informatici e quanto spesso vengano effettivamente utilizzati da hacker e spie. Ma la possibilità di tali attacchi è stata presa sul serio dal governo degli Stati Uniti già negli anni ’40, quando i Bell Labs scoprirono che le macchine vendute all’esercito americano per crittografare i messaggi producevano segnali leggibili su un oscilloscopio dall’altra parte del laboratorio.
Le macchine dei Bell Labs trasmettevano indizi sul funzionamento interno della crittografia militare nelle onde radio create dalla carica elettromagnetica dei loro componenti. Un rapporto declassificato della NSA del 1972 descrisse successivamente il problema dei pc classificati dell’agenzia che trasmettevano “radiofrequenza o energia acustica”. Il rapporto aggiunge: “Queste emissioni, come minuscole trasmissioni radiofoniche, possono irradiarsi nello spazio libero per distanze considerevoli” di mezzo miglio o più se il segnale viene condotto attraverso materiali vicini come linee elettriche o condutture dell’acqua.
