Computadores vazam segredos. Não apenas por meio de rastreamento invasivo de anúncios, malware para roubo de dados e compartilhamento imprudente nas redes sociais, mas por meio da física. Os movimentos dos componentes de um disco rígido, as teclas digitadas em um teclado e até mesmo a carga elétrica nos fios de um semicondutor produzem ondas de rádio, sons e vibrações que são transmitidas em todas as direções e podem – quando captadas por alguém com equipamento suficientemente sensível e capacidade de espionagem suficiente para decifrar esses sinais – revelar seus dados e atividades privadas.
Esta categoria de técnicas de espionagem, originalmente denominada TEMPEST pela Agência de Segurança Nacional, mas agora englobada no termo mais geral “ataques de canal lateral”, tem sido um problema conhecido na segurança informática há quase oito décadas, e é um problema que o governo dos Estados Unidos considera cuidadosamente ao proteger as suas próprias informações confidenciais. Agora, dois legisladores dos EUA estão a lançar uma investigação sobre o quão vulneráveis somos o resto de nós à vigilância do tipo TEMPEST – e se o governo dos EUA precisa de pressionar os fabricantes de dispositivos a fazerem mais para proteger os americanos.
Na quarta-feira, o senador Ron Wyden e o deputado Shontel Brown divulgaram uma carta que enviaram ao Government Accountability Office (GAO) exigindo uma investigação sobre a vulnerabilidade dos computadores modernos a ataques de canal lateral do tipo TEMPEST, a monitorização e decifração de emanações acidentais de PCs, telefones e outros dispositivos de computação para vigiar as suas operações. Na carta, Wyden e Brown escrevem que estas formas de espionagem “não representam apenas uma ameaça de contra-inteligência para o governo dos EUA, mas estes métodos também podem ser explorados por adversários contra o público americano, inclusive para roubar tecnologias estrategicamente importantes de empresas dos EUA”.
Juntamente com a carta, Wyden e Brown também encomendaram um relatório recém-lançado do Serviço de Pesquisa do Congresso sobre a história do TEMPEST e a ameaça contemporânea representada por ataques de canal lateral semelhantes. Ele descreve os esforços do governo dos EUA para proteger seus dispositivos contra essas técnicas de espionagem, incluindo o uso de espaços isolados e protegidos por rádio para acessar com segurança informações secretas, conhecidas como Instalações de Informações Compartimentadas Sensíveis, ou SCIF. Entretanto, o governo “não alertou o público sobre esta ameaça, nem impôs requisitos aos fabricantes de produtos eletrónicos de consumo, como smartphones, computadores e acessórios de computador, para incorporarem contramedidas técnicas nos seus produtos”, salientam Wyden e Brown na carta. “Como tal, o governo deixou o povo americano vulnerável e no escuro.”
A carta de Wyden e Brown termina instando o GAO a rever uma lista de questões relacionadas com TEMPEST: a escala da ameaça moderna à privacidade dos ataques de canal lateral, o “custo e viabilidade” da implementação de proteções contra eles em dispositivos modernos, e “opções políticas potenciais para mitigar esta ameaça contra o público, incluindo obrigar os fabricantes de dispositivos a adicionarem contramedidas aos seus produtos”, sugerindo que o Congresso poderia exercer pressão sobre as empresas de tecnologia para adicionarem mais defesas aos dispositivos que vendem.
O quão práticos são os ataques de canal lateral como o TEMPEST contra dispositivos de computação modernos – e com que frequência eles são realmente usados por hackers e espiões – ainda está longe de ser claro. Mas a possibilidade de tais ataques tem sido levada a sério pelo governo dos EUA desde a década de 1940, quando os Laboratórios Bell descobriram que máquinas que vendia aos militares dos EUA para encriptar mensagens produziam sinais legíveis num osciloscópio do outro lado do laboratório.
As máquinas do Bell Labs transmitiam pistas sobre o funcionamento interno da criptografia militar nas ondas de rádio criadas pela carga eletromagnética de seus componentes. Um relatório desclassificado da NSA de 1972 descreveu mais tarde o problema dos computadores confidenciais da agência transmitirem “radiofrequência ou energia acústica”. O relatório acrescenta: “Estas emissões, tal como pequenas emissões de rádio, podem irradiar-se através do espaço livre por distâncias consideráveis” de 800 metros ou mais se o sinal for conduzido através de materiais próximos, como linhas eléctricas ou canos de água.
