פרק 14 – קריפטואנליזה אקוסטית: האזנה לסודות שבין הצלילים

תקציר הפרק

קריפטואנליזה אקוסטית אינה כלי ריגול עממי, ואינה מהווה איום יומיומי עבור רוב המשתמשים. עם זאת, היא מדגימה אמת יסודית בעולם האבטחה המודרני: מידע דולף גם כאשר לא מתכוונים לכך.

קול, רעש וויברציה הם תוצרי לוואי בלתי נמנעים של פעולה טכנולוגית. בתנאים מסוימים, תוצרי לוואי אלה הופכים לערוץ מידע. עבור שוק אזרחי, מדובר בעיקר בתופעה מחקרית. עבור שוק מקצועי וממלכתי, זהו ערוץ צד משלים, שמצטרף לאמצעי איסוף אחרים.

ההגנה אינה מבוססת על פתרון יחיד, אלא על ניהול סיכונים, שבירת דפוסים והבנה מערכתית של הסביבה. פרק זה משלים את הדיון בהאזנות פיזיות, ב-TEMPEST ובמיגון שיחות, ומכין את הקרקע לפרקים הבאים העוסקים בשילוב בינה מלאכותית, אנליטיקה מתקדמת ועתיד האיסוף הטכנולוגי.

כשהקול מפסיק להיות תוכן – והופך למידע גולמי

התקפות ערוץ־צד אקוסטיות – בפרקים הקודמים נידונו האזנות אקוסטיות קלאסיות, מיקרופונים, מיסוך שיחות, TEMPEST ופליטות אלקטרומגנטיות. בכל אותם תחומים, נקודת המוצא הייתה דומה: קיים מקור מידע, קיימת טכנולוגיית איסוף, וקיים מאמץ להגן על התוכן עצמו.
Acoustic Cryptanalysis שייכת למשפחה שונה לחלוטין של איומים.

כאן לא מנסים “להאזין לשיחה”.
כאן מנצלים את הקול כתוצר לוואי פיזיקלי של פעולה אחרת.

ההנחה הבסיסית פשוטה אך מטרידה: כל פעולה מכנית או אלקטרומכנית מייצרת חתימה אקוסטית. מקלדת שמקלידה סיסמה, כונן קשיח שפועל, מדפסת שמדפיסה מסמך, ואפילו רכיבי מתח בלוח אלקטרוני – כולם משמיעים צלילים זעירים, לעיתים מתחת לסף הקשב האנושי. עבור אוזן אנושית, זהו “רעש רקע”. עבור אלגוריתם, זהו מידע.

הייחוד של תקיפות מהסוג הזה הוא בכך שאין בהן צורך בפריצה למערכת, בהשתלטות על רשת, או בהתקנת תוכנה זדונית. לעיתים אין גם צורך במיקרופון ייעודי המוצב בכוונה. די במכשיר הקלטה כלשהו שנמצא בסביבה – טלפון, רמקול חכם, מחשב נייד, או מיקרופון חיצוני מרוחק – כדי לאסוף חומר גלם שממנו ניתן, בתנאים מסוימים, לשחזר מידע רגיש.

זו אינה תאוריה עתידנית. זהו תחום מחקר פעיל, עם הדגמות מעשיות, מאמרים אקדמיים, והוכחות היתכנות שבוצעו כבר לפני יותר מעשור – והשתכללו משמעותית בעידן של למידת מכונה.

במובן זה, Acoustic Cryptanalysis היא חוליה ישירה בין עולם ההאזנות הפיזיות לבין עולם הסייבר המתקדם. היא אינה מחליפה האזנה קלאסית, אך היא עוקפת חלק גדול מהמיגונים שנועדו להתמודד איתה.

 עקרון צד־הערוץ: לא מה המערכת עושה – אלא איך היא נשמעת

כדי להבין את עומק האיום, יש לחזור לרעיון הבסיסי של Side-Channel Attacks. בפרקים קודמים דנו בפליטות אלקטרומגנטיות (TEMPEST), צריכת חשמל משתנה, ותזמון פעולות כערוצי מידע עקיפים. הקריפטואנליזה האקוסטית פועלת על אותו עיקרון, רק דרך האוויר.

מערכת ממוחשבת אינה פועלת בחלל סטרילי. רכיבים מתחממים, מתקררים, רוטטים, ומגיבים פיזית לפעולה לוגית. כל שינוי כזה מלווה, במקרים רבים, בגלי קול זעירים. כאשר הפעולה הפנימית תלויה בנתונים – למשל הקלדת תו מסוים, חישוב קריפטוגרפי, או תנועת ראש הדפסה – גם החתימה האקוסטית משתנה בהתאם.

במילים אחרות:
אם פעולה A ופעולה B נשמעות אחרת, ניתן עקרונית להבדיל ביניהן.

הקפיצה הגדולה של העשור האחרון אינה באקוסטיקה עצמה, אלא בעיבוד. אלגוריתמים מודרניים אינם זקוקים לאות “נקי”. הם מסוגלים לעבוד עם רעש, עם הקלטות מרוחקות, ועם דגימות חלקיות. מספיקות חזרות, סטטיסטיקה, וקורלציה בין אירועים – כדי להתחיל לבנות מודל.

וזהו לב הבעיה:
גם אם אין כאן “האזנה” במובן הקלאסי, עדיין מדובר בדליפת מידע.

הקלדה כמקור מודיעין: ניתוח אקוסטי של מקלדות

אחת הדוגמאות הידועות והנחקרות ביותר בתחום היא ניתוח אקוסטי של הקלדה. כבר בתחילת שנות ה-2000 הוצגו מחקרים שהדגימו אפשרות לשחזר תווים מוקלדים על סמך צליל הלחיצה בלבד. אז, הדיוק היה מוגבל. היום, התמונה שונה לחלוטין.

לכל מקש במקלדת קיימים מאפיינים פיזיים ייחודיים: מיקום יחסי, מנגנון קפיץ, זווית לחיצה, ומרחק מהמיקרופון. התוצאה היא שכל מקש מייצר חתימה אקוסטית מעט שונה. ההבדלים זעירים, אך עקביים.

כאשר משתמש מקליד סיסמה, קוד PIN או טקסט רגיש, נוצרת סדרת צלילים. אם הסדרה הזו מוקלטת – אפילו באופן אגבי – ניתן, בתנאים מסוימים, לבצע את השלבים הבאים:

תהליך השחזור כולל זיהוי אירועי לחיצה והפרדה בין לחיצה לשקט, חילוץ מאפיינים כגון תדרים דומיננטיים, משך ודעיכה, השוואה למודל שנבנה מראש על אותה מקלדת או על מקלדת דומה, שחזור הסתברותי שאינו מצביע על תו יחיד אלא על קבוצת מועמדים, ולבסוף צמצום מרחב החיפוש באמצעות ידע מוקדם כמו שפה, מבנה סיסמאות והקשר.

השלב הקריטי כאן הוא שלב המודל. תוקף שאינו מכיר את המקלדת הספציפית יתקשה. אך בעולם הארגוני והמקצועי, אחידות חומרה היא דווקא יתרון תפעולי – וחיסרון ביטחוני. כאשר עשרות עובדים משתמשים באותו דגם מקלדת, ניתן לבנות מודל כללי בעל ערך.

גם כאן קיימת הבחנה ברורה בין רמות איום. ברמה האזרחית, מדובר בעיקר בהדגמות מחקריות ובתרחישים קיצוניים. ברמה המקצועית, ובוודאי בממלכתית, מדובר בערוץ איסוף משלים, שאינו מחליף התקפה אחרת אך מוסיף שכבת מידע.

חשוב להדגיש: אין כאן “שחזור מושלם”. מדובר בהקטנת מרחב האפשרויות. אך בהקשר של סיסמאות, גם הקטנה כזו עלולה להספיק.

בעשור האחרון התרחבה משמעותית ההגדרה של “מיקרופון זמין”. מחקרים עדכניים הראו כי גם שיחות וידאו לגיטימיות, המתבצעות באמצעות מערכות ועידה נפוצות, עלולות לשמש כערוץ איסוף עקיף. כאשר משתמש מקליד בזמן שיחה פעילה, צלילי ההקלדה נקלטים ומועברים כחלק מזרם האודיו הרגיל, ללא צורך בהתקן הקלטה ייעודי או גישה פיזית לסביבה. תרחיש זה מדגים כיצד איום שבעבר דרש נוכחות פיזית הופך לאפשרי גם דרך אינטראקציה מקוונת שגרתית.

כוננים, מדפסות ומכונות – כשהמכשיר מדבר על מה שהוא עושה

מקלדות אינן המקור היחיד. כל רכיב אלקטרומכני שמבצע פעולה תלויה־נתונים עשוי להדליף מידע אקוסטי.

כוננים קשיחים מכניים, למשל, מפיקים צלילים שונים בהתאם לדפוסי קריאה וכתיבה. ראש הקריאה נע פיזית בין מסלולים, והמהירות, הכיוון והעומס משפיעים על הרעש המופק. כבר הוצגו מחקרים שהראו אפשרות להסיק סוגי פעולות, ולעיתים גם תוכן כללי, מתוך ניתוח כזה.

מדפסות לייזר ומדפסות דיו הן יעד קלאסי נוסף. תנועת ראש ההדפסה, סיבוב התוף, והפעלת מנגנוני הזנה מייצרים רצף צלילים שחוזר על עצמו בהתאם לאותיות, לרווחים ולמבנה הדף. כאן כבר לא מדובר בסיסמה קצרה, אלא במסמך שלם – עם פוטנציאל לשחזור מבני, ולעיתים גם טקסטואלי חלקי.

הרחבה מודרנית של עיקרון זה נוגעת למדפסות תלת־ממד. מחקרים מהשנים האחרונות הראו כי ניתוח אקוסטי של פעולת מנועי המדפסת מאפשר, בתנאים מסוימים, לשחזר את דפוסי ההדפסה ואף להסיק על מבנה הקובץ המודפס. בהקשר תעשייתי, מדובר באיום פוטנציאלי של גניבת קניין רוחני, גם כאשר אין גישה ויזואלית או דיגיטלית ישירה למוצר.

גם ציוד תעשייתי אינו חסין. בקרים, ממסרים, ושנאים פולטים רעשים בתדרים שונים בהתאם לעומס ולמצב. עבור מי שמכיר את המערכת, מדובר ב”צליל תקין”. עבור מי שמנתח – זהו מצב פעולה.

יש לציין כי בעשור האחרון חלה ירידה משמעותית ברלוונטיות של כוננים מכניים בסביבות עבודה אישיות, עם המעבר הנרחב לאחסון מבוסס SSD, המאופיין בפליטות אקוסטיות נמוכות בהרבה והוא נותר משמעותי בעיקר בחוות שרתים, מערכות ארכיון וסביבות תעשייתיות המבוססות על כוננים מכניים.

לפיכך, איומים מבוססי ניתוח קול של כוננים רלוונטיים כיום בעיקר לחוות שרתים, מערכות ארכיון וסביבות תעשייתיות שבהן עדיין נעשה שימוש בכוננים מכניים בהיקף רחב.

תפקיד הבינה המלאכותית: מה שהיה בלתי מעשי – הופך לאפשרי

נקודת המפנה האמיתית בתחום אינה פיזיקלית, אלא חישובית. בעבר, ניתוח אקוסטי דרש תנאים כמעט מושלמים: הקלטה נקייה, מיקרופון קרוב, וסביבה שקטה. היום, התנאים רופפים בהרבה.

למידת מכונה מאפשרת למידת מכונה מאפשרת עבודה עם הקלטות מרוחקות ורועשות, סינון אדפטיבי של רעשי רקע, התאמה למכשירים שונים, שיפור מודלים לאורך זמן ושילוב מקורות מידע משלימים כגון הקשר, תזמון ונתונים סביבתיים.

המשמעות המעשית היא שתקיפה שלא הייתה משתלמת בעבר, הופכת לכלכלית. לא בגלל דיוק מוחלט, אלא בגלל יחס עלות-תועלת.

וזו בדיוק הסיבה שתחום זה רלוונטי לספר הזה:
לא משום שכל משרד צריך לחשוש מקריפטואנליזה אקוסטית, אלא משום שמנהלי אבטחה, יועצים ואנשי TSCM חייבים להכיר את עצם קיומה.

מחקרים אקדמיים שנערכו כבר בעשור הקודם הדגימו כי גם פעולות קריפטוגרפיות, שאינן מפיקות קול במכוון ואינן כוללות רכיבים מכניים מובהקים, מלוות בחתימה אקוסטית עקיפה. חתימה זו, בתנאים מבוקרים ובשילוב ניתוח חישובי מתקדם, עשויה לשמש כערוץ צדדי להסקת מידע על אופי הפעולה המבוצעת – גם כאשר התוכן עצמו מוצפן ומוגן.

גבולות האיום והאשליה של “שקט מוחלט”

כמו בכל פרק בספר, חשוב לשרטט גבולות ברורים. Acoustic Cryptanalysis אינה כלי קסם. היא תלויה במשתנים רבים: מרחק, סביבה, חזרות, וידע מוקדם. ברוב הסביבות האזרחיות, הסיכון נמוך. ברוב הארגונים, מדובר באיום משני.

אך בדיוק משום כך הוא מסוכן:
הוא כמעט ואינו נלקח בחשבון.

מיגון קלאסי מתמקד בהצפנה, ברשת, ובמכשירים גלויים. מיסוך אקוסטי נועד להגן על שיחה. אך כאן אין “שיחה” להגן עליה. יש פעולת רקע, שנשמעת – גם כשלא מתכוונים לכך.

זיהוי רלוונטיות: מתי האיום קיים – ומתי הוא תיאורטי בלבד

אחת הטעויות הנפוצות בהתמודדות עם איומים מתקדמים היא יישום אחיד. קל מאוד להיבהל מקריאת מחקר, ולהסיק שכל סביבה נמצאת בסיכון. בפועל, קריפטואנליזה אקוסטית רלוונטית רק כאשר מתקיים צירוף תנאים מסוים. ללא צירוף זה, מדובר באיום תיאורטי, ולא בסיכון מעשי.

התנאי הראשון הוא ערך המידע. אין היגיון להשקיע משאבים בניתוח אקוסטי של הקלדות אם המידע המוקלד אינו בעל ערך מודיעיני. סיסמת Wi-Fi ביתית, טקסט כללי או תכתובת יומיומית אינם מצדיקים השקעה כזו. לעומת זאת, סיסמאות גישה למערכות ארגוניות, מפתחות הצפנה, או הקלדה חוזרת של קודים רגישים – כן.

התנאי השני הוא עקביות סביבתית. התקפות מהסוג הזה נשענות על חזרתיות. חדר קבוע, עמדת עבודה קבועה, ציוד קבוע והרגלי עבודה דומים. במשרד שבו העובדים נודדים בין עמדות, עובדים מהבית, או משתמשים בציוד משתנה – קשה מאוד לבנות מודל יציב. לעומת זאת, חדר הנהלה קבוע, עמדת כספים אחת, או עמדת בקרה תעשייתית – יוצרים תנאים נוחים בהרבה.

התנאי השלישי הוא יכולת איסוף לאורך זמן. התקפת Acoustic Cryptanalysis אינה אירוע חד־פעמי. היא תהליך. אם אין אפשרות להקליט לאורך זמן, לצבור דגימות ולשפר מודלים – הדיוק יישאר נמוך. כאן נכנסים לתמונה מיקרופונים “תמימים” בסביבה: מחשבים ניידים, טלפונים, רמקולים חכמים, מערכות ועידה או ציוד IoT שכבר נדון בפרקים קודמים.

כאשר שלושת התנאים מתקיימים יחד – ערך מידע, עקביות סביבתית ואיסוף מתמשך – האיום עובר מקטגוריה אקדמית לקטגוריה מבצעית.

השוק האזרחי: למה כמעט ואין כאן שימוש מעשי

בשוק האזרחי, Acoustic Cryptanalysis כמעט ואינה רלוונטית. לא משום שהטכנולוגיה אינה קיימת, אלא משום שיחס העלות־תועלת אינו מצדיק אותה. גורמים פליליים, חוקרים פרטיים או משתמשים פרטיים יעדיפו כמעט תמיד פתרונות פשוטים וזמינים יותר: תוכנות ריגול, התקני הקלטה, גישה לחשבונות, או הנדסה חברתית.

גם כאשר קיימת הקלטה אקוסטית מקרית – למשל טלפון שמונח ליד מקלדת – אין לרוב את המשאבים, הידע והזמן הנדרשים להפוך אותה למידע שימושי. יתרה מזו, בעולם האזרחי אין לרוב גישה למידע משלים שמאפשר לצמצם את מרחב האפשרויות: מבנה סיסמאות ידוע, פרוטוקולי עבודה קבועים או הקשרים ארגוניים ברורים.

חשוב להדגיש זאת כדי למנוע תחושת פרנויה מיותרת. רוב המשתמשים אינם יעד לאיום כזה. גם רוב העסקים הקטנים אינם.

השוק המקצועי: ערוץ צד משלים, לא תחליף

בתחום המקצועי – חוקרים, יועצי אבטחה, גופי TSCM ותאגידים – התמונה מורכבת יותר. כאן, Acoustic Cryptanalysis אינה עומדת לבדה, אלא משתלבת בתוך מארג רחב של איסוף וניתוח.

בתרחישים ריאליים, ניתוח אקוסטי משמש כ־Signal Weak: רמז, אינדיקציה, או חיזוק להשערה קיימת. לדוגמה, זיהוי זמני פעילות חריגים בעמדת מחשב, דפוסי הקלדה שמרמזים על הזנת סיסמאות, או פעילות מדפסת בשעות לא שגרתיות.

הערך כאן אינו בשחזור מלא של מידע, אלא בהסקת מסקנות: מתי מתבצעת פעולה רגישה, מי מבצע אותה, ובאיזה הקשר. מידע כזה, כאשר הוא משולב עם מקורות נוספים – לוגים, תצפית פיזית, או מידע דיגיטלי – יכול להפוך למשמעותי מאוד.

מנקודת מבט הגנתית, זו בדיוק הסיבה שארגונים רציניים צריכים להכיר את האיום, גם אם אינם מציבים אותו בראש סדר העדיפויות.

השוק הממלכתי: איסוף שקט בסביבות מבוקרות

ברמת מדינה, Acoustic Cryptanalysis מקבלת משמעות שונה לחלוטין. כאן, תנאי הסביבה ניתנים לשליטה, המשאבים קיימים, והזמן אינו מגבלה. האיסוף אינו מתבצע מתוך מיקרופון מקרי, אלא כחלק מתכנון כולל.

חדרים מסוימים, עמדות מסוימות וציוד מסוים הופכים למטרות לאורך זמן. ניתוח אקוסטי אינו מיועד “לפרוץ” מערכת, אלא להוסיף שכבת מידע למערך קיים. לעיתים, גם אינדיקציה חלקית מספיקה כדי להפעיל ערוץ איסוף אחר.

חשוב לומר בזהירות: רוב היכולות בתחום זה אינן פומביות. אך עצם קיומם של מחקרים גלויים, וההשקעה המתמשכת בתחום, מלמדים שהוא נחשב רלוונטי ברמות הגבוהות ביותר של מודיעין טכנולוגי.

זיהוי האיום בסביבה קיימת: מה בודקים ומה לא

עבור אנשי מקצוע, השאלה המרכזית אינה “האם אפשר”, אלא “האם זה רלוונטי כאן”. זיהוי נכון חוסך השקעות מיותרות.

בדיקה ראשונית מתמקדת בשלושה היבטים:

מיפוי מקורות קול – אילו רכיבים בסביבה מייצרים רעש תפעולי עקבי: מקלדות, מדפסות, ציוד תעשייתי, מערכות קירור, ספקי כוח.
מיפוי חיישנים – אילו מיקרופונים קיימים בפועל: גלויים, סמויים, או מובנים במכשירים חכמים. בשנים האחרונות התרחבה ההבנה כי גם חיישנים שאינם מיועדים להקלטת קול במובנם הקלאסי עשויים לשמש כערוץ צד אקוסטי. מחקרים הדגימו כי חיישני תנועה, כגון ג’ירוסקופ ומד תאוצה בסמארטפונים, מסוגלים לקלוט ויברציות זעירות הנוצרות מהקלדה או מפעולה מכנית על משטח משותף. ויברציות אלו ניתנות לניתוח ולתרגום למידע תפעולי, תוך עקיפת הרשאות גישה למיקרופון.

מיפוי הרגלים – מתי ואיך מתבצעות פעולות רגישות: הקלדת סיסמאות, הדפסת מסמכים, חישובים קריטיים.

רק כאשר שלושת המיפויים מצטלבים, יש טעם להעמיק.

מיגון: למה אין פתרון “אקוסטי” פשוט

כאן נדרש שינוי תפיסתי. Acoustic Cryptanalysis אינה נפתרת באמצעות “שיבוש קול”. רעש לבן, מיסוך אקוסטי ואמצעים שנדונו בפרק הקודם נועדו להגן על דיבור אנושי. הם כמעט ואינם רלוונטיים לפעולות מכניות שקטות.

הגנה אפקטיבית נשענת על ניהול סיכון, לא על חסימה מוחלטת.

במישור התפעולי, הפתרונות כוללים ההגנה נשענת על שבירת עקביות באמצעות שינוי עמדות עבודה, ציוד ומיקומים, צמצום חזרתיות בהקלדת סיסמאות רגישות באותה סביבה, הפרדת תהליכים כך שפעולות קריטיות יבוצעו בסביבה שונה מזו שבה מתבצע רוב העבודה, וניהול מודע של מכשירים חכמים תוך צמצום נוכחות מיקרופונים וחיישנים לא נחוצים.

במישור הטכנולוגי, קיימים פתרונות משלימים, אך אין “כסף קסם”. גם בידוד אקוסטי מתקדם אינו מבטל לחלוטין פליטות פנימיות. המטרה אינה שלמות, אלא העלאת רף הקושי.

קריפטו-אנליזה אקוסטית כמדד לבגרות אבטחתית

אולי התרומה החשובה ביותר של הפרק הזה אינה טכנולוגית, אלא תפיסתית. ארגון שמודע לאיום כזה – גם אם אינו מטפל בו ישירות – נמצא ברמת בגרות גבוהה יותר מארגון שמתעלם מקיומו.

ההבנה שלא כל דליפת מידע נראית כמו “האזנה”, ושלא כל איום מגיע דרך הרשת, משנה את אופן החשיבה על אבטחה. היא מחזקת גישה מערכתית, שמחברת בין פיזיקה, טכנולוגיה והתנהגות אנושית.

וזו בדיוק מטרתו של פרק זה בספר:
לא להזהיר מפני סכנה מיידית, אלא להרחיב את מפת האיומים.