- Senadores Ron Wyden e Shontel Brown pedem à GAO uma investigação sobre a vulnerabilidade de computadores modernos a ataques de “side-channel” inspirados no TEMPEST, que captam emissões acidentais como rádio, som e vibrações para revelar dados.
- O objetivo é entender o alcance desse tipo de espionagem, se fabricantes devem adotar contramedidas e quais políticas públicas poderiam ser adotadas para proteger o público.
- O relatório de Serviço de Pesquisa do Congresso (Congressional Research Service) indica que o governo já usa espaços isolados e blindados (SCIF) para informações sensíveis, mas não alertou o público nem exigiu medidas de fabricantes de eletrônicos de consumo.
- Wyden e Brown sugerem avaliar custos, viabilidade e opções políticas para reduzir o risco, incluindo possíveis exigências a fabricantes de dispositivos, como smartphones e computadores.
- Especialistas dizem que ataques desse tipo são tecnicamente desafiadores e menos prioritários para o dia a dia, mas que tecnologias futuras, IA e uma maior conectividade em dispositivos podem ampliar as possibilidades.
Dois congressistas dos EUA solicitaram uma investigação sobre a vulnerabilidade de computadores a técnicas de espionagem baseadas em vazamentos eletromagnéticos e acústicos. O tema, associado ao codinome TEMPEST pela NSA, envolve leitura de sinais emitidos por componentes de dispositivos como PCs e smartphones para acessar dados.
Os parlamentares Ron Wyden e Shontel Brown enviaram uma carta à Government Accountability Office (GAO) pedindo avaliação do risco atual dessas chamadas side-channel attacks. O estudo também busca entender o custo e a viabilidade de adotar proteções técnicas em dispositivos de consumo.
Contexto histórico e atualidade
Desde a década de 1940, pesquisas mostram que emissões de equipamentos de criptografia podem revelar informações sensíveis. A NSA descreveu em relatório de 1972 que radiações podem trafegar por distâncias significativas e expor chaves criptográficas.
A reportagem aponta casos de pesquisas recentes que demonstram técnicas que captam sinais a partir de emissões, às vezes com equipamentos simples. Estudos de 2015 mostraram dispositivos de espionagem embutidos em itens comuns para extrair chaves criptográficas.
Objetivos da pressão regulatória
Wyden e Brown defendem que o governo oriente fabricantes a incluir contramedidas em smartphones, computadores e acessórios. A carta sugere ainda que a GAO avalie opções políticas para mitigar o risco, inclusive possíveis exigências regulatórias.
A CRS, solicitada pela dupla, aborda históricos de proteção em ambientes com SCIFs e ressalta que o público não foi amplamente alertado sobre o tema. Pesquisadores ressaltam que ataques práticos permanecem complexos, porém ganham relevância com ferramentas modernas.
Visão de especialistas e futuro
Especialistas afirmam que, embora o risco exista, não deve ser uma preocupação central para a maioria dos usuários. Ainda assim, a disseminação de dispositivos conectados e a evolução de IA podem tornar as técnicas mais acessíveis a criminosos e competidores.
Analistas destacam que a maior parte da computação atual ocorre na nuvem e em centros de dados, o que dificulta a interceptação de emissões. Contudo, dispositivos de uso doméstico e sistemas industriais continuam sob vigilância quanto a vazamentos de dados por meio de sinais físicos.
Possíveis caminhos regulatórios
A CRS aponta opções como ações da FCC para exigir requisitos de segurança em equipamentos de rádio e ações da FTC contra empresas que anunciam proteções sem implementá-las. O relatório também menciona ampliar o compartilhamento de informações entre governo e indústria.
A carta de Wyden e Brown exige transparência adicional sobre o tema e reforça a necessidade de políticas que tornem os dispositivos menos vulneráveis a essa classe de ataques. O objetivo é reduzir potenciais ameaças a empresas e ao público.
Entre na conversa da comunidade