- Senadores dos Estados Unidos enviaram carta à GAO e solicitaram uma investigação sobre a vulnerabilidade de computadores modernos a ataques de “side-channel” inspirados no TEMPEST, que exploram emissões eletromagnéticas, sonoras e outras emanations para obter dados.
- O pedido acompanha um relatório do Congressional Research Service que revisita a história do TEMPEST e avalia as ameaças atuais, apontando que o governo não alertou o público nem impôs regras às fabricantes de eletrônicos de consumo.
- Os parlamentares sugerem avaliar o alcance dessas ameaças, o custo e a viabilidade de proteger dispositivos modernos e opções de políticas para exigir contramedidas nas empresas.
- Embora especialistas avaliem que ataques assim são técnicos e pouco comuns, a pesquisa destaca que avanços em IA podem facilitar a detecção de sinais úteis em dados ruidosos.
- O relatório também sugere possíveis ações regulatórias, como medidas da Comissão Federal de Comunicações e da Comissão Federal de Comércio, além de ampliar o compartilhamento de informações sobre o tema com o público.
O texto envolve um pedido de investigação sobre vulnerabilidade de computadores a ataques de “side-channel” inspirados no TEMPEST. Os senadores Ron Wyden e Shontel Brown enviaram uma carta à Government Accountability Office (GAO) na quarta-feira, solicitando apuração sobre a exposição de dispositivos modernos a esse tipo de espionagem. A abordagem foca em como ondas de rádio, sons e vibrações podem revelar dados sem invasão direta.
Além da carta, Wyden e Brown encomendaram um relatório do Congressional Research Service sobre a história do TEMPEST e o risco atual. O documento aponta que o governo já utiliza espaços isolados para operações sensíveis, chamados SCIF, mas não impõe exigências técnicas ao setor privado. A dupla afirma que consumidores podem ficar vulneráveis.
Contexto histórico e objetivo da investigação
Historicamente, o TEMPEST surgiu no âmbito da defesa para conter divulgações involuntárias de dados criptográficos. De acordo com relatórios da NSA, emissores de energia e radiações podem transmitir informações mesmo sem acesso direto ao dispositivo. A carta argumenta que o público não recebeu alertas adequados nem exigências de segurança aos fabricantes.
Pesquisas recentes mostram que ataques indiretos já foram demonstrados. Em 2015, pesquisadores israelenses mostraram como emanções eletromagnéticas de processadores, a poucos centímetros, podiam entregar informações. Em algumas experiências, até sons de funcionamento eram usados para extrair chaves criptográficas.
O que a reportagem aponta sobre riscos atuais
Os autores destacam que a prática não é comum no dia a dia, mas pode evoluir com avanços tecnológicos. O relatório do CRS indica que mais computação ocorre na nuvem e em data centers, o que pode dificultar a vigilância de emanções. Ainda assim, dispositivos domésticos e industriais podem apresentar sinais.
O estudo também sugere caminhos regulatórios: a FCC poderia impor requisitos de segurança para equipamentos de rádio; a FTC poderia enquadrar fabricantes que alegam proteção sem oferecer de fato defesas contra TEMPEST. O objetivo é reduzir vulnerabilidades ao público em geral.
Perspectivas e próximos passos
Wyden afirma que a proteção pública pode exigir mudanças no design de produtos por parte de fabricantes. Segundo ele, soluções levam tempo e dependem de avanços técnicos. Brown reforça que a investigação visa avaliar factos, custos e opções políticas para mitigar o risco.
Especialistas ouvidos pela reportagem destacam que ataques de side-channel são tecnicamente desafiadores, mas não impossíveis. Com isso, a atenção regulatória pode se concentrar em setores sensíveis, como tecnologia de defesa e infraestrutura crítica, sem alarmismo.
Conclusão informativa
O governo tem condições de ampliar a comunicação sobre o tema e considerar medidas para tornar dispositivos menos vulneráveis. A GAO deve revisar o alcance da ameaça, a viabilidade de proteções modernas e opções de políticas públicas para reduzir riscos aos consumidores.
Entre na conversa da comunidade