שני מחוקקים אמריקנים מבקשים לפתוח בחקירה רשמית שתבדוק עד כמה מחשבים, סמארטפונים ומכשירים דיגיטליים אחרים פגיעים לשיטת ריגול ותיקה המכונה TEMPEST. כך לפי דיווח במגזין WIRED. השיטה מבוססת על ניתוח קרינה אלקטרומגנטית, רעשים ורטט שמכשירים פולטים במהלך הפעולה - אותות שיכולים, בתנאים מסוימים, לחשוף מידע רגיש.
היוזמה מגיעה מצד הסנאטור רון ווידן וחברת הקונגרס שונטל בראון, שפנו למשרד הביקורת של הממשל האמריקני (GAO) בדרישה לבדוק את היקף הסיכון ואת האפשרות לחייב יצרניות טכנולוגיה לשלב הגנות מתאימות במוצרים שלהן.
ריגול דרך "דליפות" פיזיקליות
המחשבים שאנו משתמשים בהם פולטים באופן טבעי מגוון אותות - גלי רדיו, צלילים ורעידות, שנוצרים מפעילות רכיבים כמו המעבד, הכונן הקשיח או מקלדת המחשב. במקרים מסוימים ניתן לקלוט אותות אלו באמצעות ציוד רגיש ולנסות לפענח מהם מידע על הפעילות המתבצעת במכשיר. שיטות מסוג זה מכונות בעולם אבטחת המידע "מתקפות צד" (Side-Channel Attacks). הן אינן פורצות ישירות למערכת, אלא מנצלות תופעות פיזיקליות שנוצרות בעת פעולת המחשב כדי לשחזר מידע פנימי.
המונח TEMPEST הופיע כבר באמצע המאה ה-20 במסגרת מחקרים של הסוכנות לביטחון לאומי בארה"ב (NSA), שבחנו כיצד קרינה אלקטרומגנטית ממחשבים וממכשירי הצפנה עלולה לחשוף מידע סודי.
הבעיה ידועה כבר משנות ה-40
הנושא עלה לראשונה כבר בשנות ה-40, כאשר חוקרים במעבדות Bell Labs גילו כי מכונות הצפנה שנמכרו לצבא האמריקני פולטים אותות שניתן לראות על אוסצילוסקופ במעבדה סמוכה. לפי דוח של ה-NSA משנת 1972, מחשבים ומכשירי תקשורת עלולים לפלוט "אנרגיית רדיו או צליל" שיכולה להתפשט למרחקים ואף להיקלט דרך חומרים כמו קווי חשמל או צינורות מים. "במקרים קיצוניים", נכתב, "האותות יכולים להגיע למרחק של כחצי מייל".
מסיבה זו, מערכות ממשלתיות רגישות משתמשות לעיתים בחדרים מיוחדים ומבודדים מבחינה אלקטרומגנטית המכונים SCIF, המיועדים לטיפול במידע מסווג.
גם ציוד זול מספיק
בשנים האחרונות חוקרי אבטחה הציגו מספר ניסויים שמדגימים את הפוטנציאל של מתקפות מסוג זה. בשנת 2015, למשל, חוקרים מאוניברסיטת תל אביב פיתחו מכשיר ריגול קטן וזול שיכול לקלוט קרינה אלקטרומגנטית ממעבד מחשב ולחלץ ממנה מידע. המכשיר עלה פחות מ-300 דולר ואף הוסתר בניסוי בתוך פיתה. באותו מחקר הראו החוקרים גם שניתן להשתמש בסמארטפון רגיל כדי להקליט צלילים בתדר גבוה שמפיק מחשב ולנסות לשחזר מהם מפתחות הצפנה.
עם זאת, לניסויים הללו יש מגבלות משמעותיות - בדרך כלל יש צורך להציב את ציוד הקליטה במרחק קצר מהמטרה, וגם אז המידע שמתקבל אינו תמיד שלם.
האם הציבור באמת צריך לדאוג?
למרות הדאגה בקונגרס האמריקני, מומחי אבטחה טוענים כי הסיכון עבור רוב המשתמשים נמוך יחסית. מתקפות צד דורשות ציוד טכני מתקדם וידע רב כדי לפענח את האותות שנקלטים. לדברי חוקרים בתחום, מי שעלול להיות יעד ממשי לשיטות כאלה הם בעיקר גורמי ביטחון לאומי או חברות שמפתחות טכנולוגיות אסטרטגיות, שעשויות להיות מטרה לריגול תעשייתי.
בנוסף, מחשבים ומכשירים מודרניים נוטים להיות פחות "דליפים" מבחינה אלקטרומגנטית בהשוואה לעבר, בין היתר בגלל שיפורים ביעילות אנרגטית שמפחיתים את הקרינה שנוצרת בפעילותם.
החשש: טכנולוגיות חדשות
חלק מהמומחים מזהירים כי כלי בינה מלאכותית מתקדמים עשויים להקל בעתיד על ניתוח אותות חלשים ורועשים, ובכך להפוך מתקפות צד לפרקטיות יותר. בנוסף, העלייה במספר מכשירי ה-IoT (האינטרנט של הדברים הוא רשת של חפצים יומיומיים המחוברים לאינטרנט כדי לאסוף מידע, לתקשר איתנו ולבצע פעולות מרחוק, ש"ש) כמו רמקולים חכמים, טלוויזיות חכמות ומכשירים ביתיים מחוברים - עשויה ליצור נקודות חדשות שמהן ניתן לדלות מידע רגיש.
לכן המחוקקים מבקשים לבדוק האם יש צורך במדיניות חדשה שתדרוש מיצרניות מחשבים וסמארטפונים לשלב הגנות נגד מתקפות מסוג זה כבר בשלב התכנון.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו