Calculatorul tău șoptește secrete. De 80 de ani. Și nimeni nu te-a avertizat.
TEMPEST, tehnica de spionaj inventată pe vremea lui Stalin, funcționează și pe laptopul tău din 2026. Congresul american tocmai a descoperit că populația civilă e complet neprotejată.
Undeva în 1945, un inginer de la Bell Labs stătea la un osciloscop și urmărea niște semnale ciudate. Mașinile pe care compania le vindea armatei americane pentru criptarea comunicațiilor militare produceau, pe lângă mesajele codate, și altceva: un ecou electromagnetic care, dacă știai cum să-l citești, îți arăta exact ce era în mesajul original, necriptat. Inginerul a raportat problema. Armata a clasificat-o imediat. Și timp de aproape opt decenii, lumea civilă a continuat să folosească calculatoare, telefoane și tot felul de dispozitive electronice fără să știe că ele șoptesc constant, în toate direcțiile, fragmente din viața ta privată.
Acum, în 2026, doi legislatori americani, senatorul Ron Wyden și reprezentanta Shontel Brown, au trimis o scrisoare către Government Accountability Office cerând o investigație oficială. Vor să știe cât de vulnerabili sunt americanii obișnuiți la atacuri de tip TEMPEST, adică la interceptarea emisiilor electromagnetice accidentale ale dispozitivelor lor electronice. Răspunsul, dacă cineva va fi suficient de sincer să-l dea, e probabil neplăcut.
Ce este TEMPEST și de ce sună a film cu James Bond din 1962
TEMPEST e numele de cod dat de NSA unei categorii de tehnici de spionaj care nu au nevoie de malware, de phishing sau de vreun hacker cu glugă care tastează furios în întuneric. Principiul e mult mai simplu și, tocmai de aceea, mult mai greu de contracarat: orice dispozitiv electronic produce, ca efect secundar al funcționării sale, emisii electromagnetice, sunete, vibrații. Motorul unui hard drive se mișcă. Tastatura produce sunete distincte la fiecare tastă. Semiconductorii din procesor generează câmpuri electrice care variază în funcție de calculele pe care le efectuează. Toate astea se propagă prin aer, prin pereți, prin cabluri electrice, prin țevi de apă.
Un raport NSA declasificat din 1972, citat în documentele publicate recent de Wyden și Brown, descria problema cu o claritate dezarmantă: calculatoarele clasificate transmiteau "energie de radiofrecvență sau acustică" care, "ca niște emisiuni radio minuscule, se pot propaga prin spațiu liber pe distanțe considerabile", uneori de peste un kilometru și jumătate dacă semnalul era condus prin materiale conductoare precum linii electrice sau țevi de apă. Un kilometru și jumătate. Cu echipament din 1972.
Raportul concluziona, cu acea eleganță specifică birocrației militare americane, că mașina "ar putea radia informații care ar putea duce la reconstituirea variabilelor de cheie criptografică zilnice, ceea ce, din punct de vedere al securității comunicațiilor, este absolut cel mai rău lucru care ni se poate întâmpla". Cu alte cuvinte: echipamentul construit special pentru a păstra secrete le scurgea prin fizică, nu prin trădare. Nu aveai nevoie de un spion în interior. Aveai nevoie de o antenă afară.
Termenul TEMPEST a rămas clasificat mult timp. Astăzi, în jargonul academic și de securitate, aceste tehnici sunt grupate sub eticheta mai largă de "side-channel attacks", atacuri prin canal lateral. Sunt studiate serios în universități, prezentate la conferințe de securitate, documentate în sute de lucrări academice. Cercetătorii au demonstrat că pot extrage chei de criptare din sunetul produs de un calculator, că pot citi ce tastezi urmărind fluctuațiile de consum electric ale unui dispozitiv, că pot reconstitui imaginea de pe un monitor urmărind emisiile electromagnetice ale cablului HDMI. Totul fără să atingă vreodată dispozitivul țintă.
Statul știa. Și a tăcut.
Aici e partea care ar trebui să supere pe oricine, nu doar pe paranoicii profesioniști. Guvernul american a luat această problemă extrem de în serios pentru propriile sisteme. A construit camere speciale numite SCIF, Sensitive Compartmented Information Facility, niște cutii metalice practic, izolate electromagnetic, în care funcționarii cu acces la informații clasificate trebuie să-și desfășoare activitatea. A impus standarde stricte de blindare electromagnetică pentru echipamentele militare și de intelligence. A cheltuit, de-a lungul deceniilor, sume considerabile pentru a se asigura că propriile calculatoare nu șoptesc secrete în eter.
Și în tot acest timp, nu a spus nimic publicului larg. Wyden și Brown formulează asta direct în scrisoarea lor: guvernul "nu a avertizat publicul cu privire la această amenințare și nici nu a impus cerințe producătorilor de electronice de consum, precum smartphone-uri, calculatoare și accesorii, să integreze contramăsuri tehnice în produsele lor". Rezultatul: statul și-a blindat birourile, și-a protejat secretele, și a lăsat cetățenii să folosească dispozitive complet neprotejate, fără să le spună că problema există.
Nu e o conspirație în sensul dramatic al cuvântului. E ceva mai banal și, prin asta, mai deranjant: e logica instituțională a unui aparat de securitate care gândește în termeni de "noi" și "ei", unde "noi" suntem agențiile și "ei" sunt cetățenii. Informația despre vulnerabilitate era utilă pentru apărarea propriilor sisteme. Dezvăluirea ei publică ar fi putut complica relațiile cu industria tech, ar fi putut genera panică, ar fi putut reduce vânzările unor companii cu lobby puternic la Washington. Deci s-a tăcut. Elegant, sistematic, timp de opt decenii.
Cât de practic e, de fapt, un atac TEMPEST în 2026
Acum vine întrebarea pe care o au toți cei care nu vor să intre în panică inutilă: cât de realist e că cineva îți interceptează calculatorul prin unde electromagnetice? Răspunsul sincer e: depinde de cine ești și de cine te urmărește. Dacă ești un cetățean obișnuit și urmăritorul tău e un vecin cu prea mult timp liber, probabil că nu ești în pericol imediat. Dacă ești un inginer la o firmă de apărare, un avocat cu clienți sensibili, un jurnalist cu surse care nu vor să apară în nicio bază de date, sau un om de afaceri cu contracte pe care concurența ar plăti bine să le cunoască, atunci conversația devine mai serioasă.
Echipamentul necesar pentru atacuri TEMPEST de bază nu mai e apanajul exclusiv al agențiilor de intelligence cu bugete de miliarde. Cercetătorii academici au demonstrat atacuri funcționale cu hardware de câteva sute de dolari. Un receptor software-defined radio, ceva antene și cunoștințele potrivite pot transforma un laptop ieftin într-un instrument de interceptare electromagnetic. Nu e simplu. Nu e la îndemâna oricui. Dar nu mai e nici în categoria "misiune imposibilă" rezervată serviciilor secrete cu resurse nelimitate.
Cercetătorii israelieni de la Universitatea Ben-Gurion au publicat, de-a lungul anilor, o serie de lucrări care demonstrează atacuri side-channel din ce în ce mai creative: extragerea cheilor criptografice din sunetul unui calculator, transmiterea de date din rețele air-gapped prin modularea frecvenței ventilatoarelor, citirea ecranului prin analiza emisiilor electromagnetice ale cablurilor. Fiecare dintre aceste lucrări a primit acoperire academică, a generat discuții în comunitatea de securitate și a fost, în mare parte, ignorată de producătorii de dispozitive și de reglementatori.
Problema cu atacurile side-channel e că sunt, prin natura lor, greu de detectat și greu de apărat. Nu există un antivirus pentru fizică. Nu poți instala un patch care să oprească procesorul din a genera câmpuri electromagnetice. Soluțiile există, dar sunt costisitoare: blindaj electromagnetic al carcasei, filtre pe liniile de alimentare, generatoare de zgomot electromagnetic care maschează semnalele utile. Exact genul de soluții pe care statul le-a implementat în propriile facilități clasificate și pe care nu le-a cerut niciodată industriei de consum.
Industria tech și marea ei indiferență față de probleme pe care nu le-a creat ea
Wyden și Brown sugerează în scrisoarea lor că GAO ar trebui să analizeze și posibilitatea de a obliga producătorii de dispozitive să integreze contramăsuri în produsele lor. E o idee rezonabilă care va întâmpina rezistență pe mai multe fronturi, toate predictibile.
Primul front e costul. Blindajul electromagnetic adaugă greutate, complexitate și preț unui dispozitiv. Industria tech a petrecut ultimii douăzeci de ani optimizând obsesiv pentru subțire, ușor și ieftin. Un iPhone cu blindaj TEMPEST-grade ar arăta probabil ca un Nokia 3310 și ar costa cât un televizor. Nimeni nu vrea să cumpere asta. Sau, mai precis, nimeni nu vrea să cumpere asta până în momentul în care află că alternativa e ca datele lui să fie citite de cineva cu o antenă parcată în fața biroului.
Al doilea front e lobby-ul. Marii producători de electronice au birouri întregi la Washington dedicate exact acestui tip de situație: când un legislator bine intenționat propune o reglementare care ar adăuga costuri sau complexitate produselor lor. Argumentele sunt mereu aceleași: reglementarea va sufoca inovația, va dezavantaja companiile americane față de concurența chineză, va crește prețurile pentru consumatori, nu e clar că amenințarea e reală, mai bine așteptăm mai multe date. Între timp, calculatoarele continuă să emită.
Al treilea front e mai subtil: problema e că atacurile TEMPEST nu lasă urme. Nu există log-uri, nu există alerte de securitate, nu există notificări de breach. Dacă cineva îți interceptează calculatorul prin unde electromagnetice, nu vei ști niciodată. Și în absența unor victime vizibile și vocale, e greu să construiești presiune politică pentru reglementare. Recunoașterea facială cel puțin lasă o bază de date vizibilă. Emisiile electromagnetice nu lasă nimic.
De ce contează asta și pentru noi, cei de dincoace de Atlantic
Tentația, citind știri despre Congresul american și GAO și senatorul Wyden, e să tratezi asta ca pe o problemă americană, îndepărtată, relevantă pentru spionii și corporațiile lor, nu pentru noi. E o tentație greșită.
România e plină de companii care lucrează în domenii sensibile: IT, apărare, energie, telecomunicații. E plină de avocați, jurnaliști, activiști, oameni de afaceri care au informații pe care alții ar vrea să le știe. Folosim aceleași dispozitive, aceleași laptopuri Dell și HP și MacBook-uri, aceleași telefoane Samsung și iPhone, produse de aceleași companii care nu au integrat nicio contramăsură TEMPEST pentru că nimeni nu le-a cerut. Serviciile de intelligence ale unor state cu interese în regiune, și nu trebuie să fii paranoic ca să recunoști că astfel de state există, au cu siguranță capacități mai sofisticate decât un cercetător universitar cu un SDR de 300 de dolari.
Și, să fim sinceri, statul român nici nu a avut vreodată o tradiție de a avertiza cetățenii cu privire la amenințări de securitate pe care el însuși le cunoaște. Dacă SRI sau SIE știu ceva despre vulnerabilitățile TEMPEST ale dispozitivelor comerciale, informația rămâne acolo unde stă de obicei: în dosare clasificate, accesibile celor cu pile și relații potrivite, nu publicului care ar putea face ceva cu ea.
Inițiativa lui Wyden și Brown e, în cel mai bun caz, un prim pas. O investigație GAO va produce un raport. Raportul va fi citit de câteva sute de oameni. Poate va genera audiențe în Congres. Poate va duce la recomandări. Poate recomandările vor fi ignorate de industrie. Poate nu. Ciclul e familiar oricui a urmărit cum funcționează reglementarea tech la Washington: lent, contestat, insuficient și totuși, uneori, util.
Ce poți face tu, omul fără SCIF
Răspunsul practic pentru cetățeanul obișnuit e, ca de obicei, nesatisfăcător. Nu îți poți blinda apartamentul. Nu poți cumpăra un laptop cu certificare TEMPEST, nu există așa ceva pe piața de consum. Poți face câteva lucruri la margine: să fii conștient că dispozitivele tale nu sunt ermetice din punct de vedere informațional, să nu presupui că o conexiune criptată înseamnă că activitatea ta e complet invizibilă, să iei în serios separarea fizică a dispozitivelor pentru activități cu adevărat sensibile.
Dacă lucrezi în domenii unde confidențialitatea e cu adevărat critică, consultă un specialist în securitate fizică, nu doar în securitate cibernetică. Sunt oameni care știu să evalueze riscurile electromagnetice ale unui spațiu de lucru. Costă bani. Dar costă mai puțin decât să descoperi că concurența știe de șase luni ce contracte urmărești.
Cât despre restul: continuăm să folosim dispozitivele noastre șoptitoare, să ne facem griji pentru parolele furate prin phishing și pentru malware-ul clasic, și să ignorăm că fizica face o muncă de spionaj liniștită și neîntreruptă în fundal. Cel puțin acum știm că problema există. Opt decenii de tăcere instituțională s-au terminat cu o scrisoare către GAO. Nu e revoluție. Dar e un început.
Iar dacă ți se pare că toată povestea asta sună a paranoia de buncăr, reamintește-ți că oamenii care au construit buncărele știau de problemă din 1945 și au ales să nu te anunțe. Asta nu e paranoia. E doar lectură atentă a istoriei.
inspired by: How Vulnerable Are Comput... »
Editorialist cinic cu o furie reală față de mediocritate. Scrie despre putere, corupție și ipocrizie cu precizie chirurgicală.
Ai putea citi și
Anthropic dă în judecată Pentagonul. Și Pentagonul nici măcar nu comentează.
Compania care a refuzat să lase armata americană să facă ce vrea cu AI-ul ei a ajuns în instanță. Miza: sute de milioane de dolari, un precedent constituțional și întrebarea dacă o firmă tech mai are voie să spună nu.
Democrațiile Putrezesc. România a Putrezit de Mult.
Transparency International confirmă ce știam deja: democrațiile se descompun de la interior. SUA a căzut la minimul istoric, media globală a atins cel mai scăzut nivel din ultimul deceniu. România, cu 45 din 100, nu mai e excepția — e doar pioniera.
Dreptul tău de a-ți repara propriul router deranjează pe cineva. Ghici pe cine.
Colorado a dat cea mai ambițioasă lege din SUA privind dreptul la reparare. Acum Cisco și IBM vor s-o golească de conținut, invocând „infrastructura critică". Adică tot ce se conectează la internet.
