Computer vulnerabili a una tecnica di spionaggio di 80 anni: Congresso chiede risposte

La questione della vulnerabilità dei dispositivi elettronici alle cosiddette "attacchi laterali" ha riacquistato rilevanza nel settore della sicurezza informatica, grazie all'azione di due senatori statunitensi, Ron Wyden e Shontel Brown, che hanno avviato un'indagine presso il Government Accountability Office (GAO) per valutare i rischi legati a tecniche di spionaggio basate su emissioni fisiche. Queste metodologie, originariamente denominate TEMPEST dall'agenzia di sicurezza nazionale (NSA) negli anni '40, sono state riprese e ampliate nel tempo, assumendo un ruolo centrale nella protezione delle informazioni classificate. Il focus del lavoro dei due politici è rivolto alla comprensione del rischio che queste tecnologie possano essere utilizzate non solo da agenzie governative, ma anche da soggetti esterni per sottrarre dati sensibili o tecnologie strategiche. La lettera inviata al GAO sottolinea come le emissioni accidentali di dispositivi come computer, smartphone o accessori periferici possano essere intercettate con strumenti sensibili, rivelando informazioni riservate o attività quotidiane. L'obiettivo dichiarato è spingere le aziende produttrici a integrare misure tecniche per mitigare tali vulnerabilità, un tema che ha suscitato preoccupazioni non solo nel settore privato, ma anche in ambito pubblico.

Le tecniche di attacco laterale si basano sulla capacità di rilevare segnali fisici emessi da dispositivi elettronici, come onde radio, vibrazioni o rumori, che possono trasmettere dati sensibili senza interagire direttamente con il sistema. L'origine del problema risale agli anni '40, quando la Bell Labs scoprì che le macchine utilizzate per criptare messaggi militari trasmettevano segnali leggibili su un oscilloscopio posto a distanza. Questo fenomeno, descritto in un rapporto declassificato del 1972, fu denominato TEMPEST e segnò l'inizio di un'attenzione costante da parte delle autorità per proteggere le informazioni sensibili. Le emissioni, come spiegato nel rapporto, potevano propagarsi attraverso materiali circostanti, come tubi idraulici o cavi elettrici, raggiungendo distanze di mezzo miglio. L'importanza di queste minacce si rafforza con esempi recenti: nel 2015, ricercatori della Tel Aviv University dimostrarono come un dispositivo radio potesse sottrarre dati da un computer a distanza di due metri, utilizzando le emissioni elettromagnetiche del processore. Altri studi mostrarono che l'ascolto di suoni emessi dai dispositivi poteva consentire di estrarre chiavi criptografiche, rendendo le tecniche sempre più accessibili.

Il contesto di questa indagine si colloca in un periodo in cui la tecnologia diventa sempre più integrata nella vita quotidiana, aumentando contemporaneamente i rischi di intercettazione. Il governo statunitense ha adottato misure specifiche per proteggere le informazioni sensibili, come l'uso di spazi isolati e radio-shielded chiamati SCIF (Sensitive Compartmented Information Facility), dove vengono gestite informazioni classificate. Tuttavia, non è stato mai stato comunicato al pubblico il rischio connesso a queste vulnerabilità, né sono state imposte norme obbligatorie ai produttori di dispositivi elettronici. Questo gap ha lasciato la popolazione esposta a minacce potenzialmente gravi, come il furto di tecnologie strategiche o informazioni riservate. Wyden e Brown evidenziano come la mancanza di interventi governativi abbia creato un vuoto di protezione, che potrebbe essere colmato solo con un'azione mirata a obbligare le aziende a implementare contromisure. La lettera inviata al GAO chiede un'analisi su scala nazionale, valutando l'effettiva portata del problema, la fattibilità di soluzioni tecnologiche e le opzioni politiche per mitigare il rischio.

L'analisi delle implicazioni di questa indagine rivela un dibattito tra sicurezza nazionale e accessibilità tecnologica. Se da un lato le tecniche di attacco laterale rappresentano un rischio reale per le aziende che sviluppano tecnologie strategiche, dall'altro la complessità tecnica e i costi di implementazione di contromisure ne limitano la diffusione. Secondo Cooper Quintin, ricercatore presso l'Electronic Frontier Foundation, la preoccupazione per queste minacce non dovrebbe essere prioritaria per il cittadino comune, poiché i costi di attuazione di misure di protezione sono elevati e richiederebbero modifiche radicali ai dispositivi. Al contrario, per chi opera in settori sensibili, come la difesa o le industrie tecnologiche, il rischio è concreto. Tuttavia, alcuni esperti sottolineano come le innovazioni tecnologiche, come l'ottimizzazione dell'efficienza energetica, possano ridurre le emissioni accidentali. Samy Kamkar, noto hacker, ha osservato che i dispositivi moderni, progettati per risparmiare energia, emettono meno radiazioni, rendendo alcuni tipi di attacco laterale meno pratici. Questo aspetto suggerisce che, sebbene il rischio non sia scomparso, potrebbe evolversi in modo diverso nel tempo.

La conclusione di questa indagine apre nuove prospettive su come il governo e il settore privato possano collaborare per affrontare le vulnerabilità emergenti. La richiesta di Wyden e Brown di obbligare i produttori a integrare contromisure tecniche rappresenta un passo importante verso una protezione più ampia, ma il dibattito sulle priorità rimane aperto. Mentre i ricercatori continuano a esplorare nuove metodologie di attacco, il settore industriale deve valutare se le soluzioni proposte siano realistiche e sostenibili. La questione della sicurezza informatica non si limita alle minacce tradizionali: le tecnologie emergenti, se non gestite con attenzione, potrebbero rivelarsi fonti di vulnerabilità impreviste. Il futuro di questa battaglia dipenderà da un equilibrio tra innovazione, regolamentazione e consapevolezza del rischio, elementi che dovranno essere affrontati con una strategia coordinata e a lungo termine.