RFID安全漏洞問題成為行業(yè)關注新焦點
2007-04-16 08:24 RFID世界網(wǎng)
導讀:最近,關于RFID存在安全漏洞的話題再次出現(xiàn)并成為各媒體的報道熱點��。 但是它與那些需要企業(yè)IT部門給予及時處理的電子郵件病毒或者網(wǎng)絡蠕蟲不同���,這個安全隱患還不屬于迫在眉睫的安全問題���,至少現(xiàn)在還沒到火燒眉毛的地步。
最近�,關于RFID存在安全漏洞的話題再次出現(xiàn)并成為各媒體的報道熱點。 但是它與那些需要企業(yè)IT部門給予及時處理的電子郵件病毒或者網(wǎng)絡蠕蟲不同����,這個安全隱患還不屬于迫在眉睫的安全問題,至少現(xiàn)在還沒到火燒眉毛的地步�。
最近發(fā)生的一些事卻讓人們不得不重視RFID存在漏洞的這個事實。在3月初����,業(yè)內(nèi)某安全專家破解了一張英國發(fā)行的、利用RFID來存儲個人信息的新型生物科技護照��。 在2月舉行的2007年RSA安全大會上,一家名為IOActive的公司展示了一款RFID克隆器�,這款設備可以通過復制信用卡來竊取密碼。IOActive公司原本打算在黑帽子安全大會上也進行類似的展示����,但是遭到RFID信用卡業(yè)界的一家領袖級廠商的強烈反對而被撤銷。該項展示引發(fā)了媒體對信用卡保密性的普遍關注����,已經(jīng)超出了IOActive公司進行展示的本意��。再加上媒體的一系列相關報道:從去年美國國土安全部打算發(fā)行利用RFID芯片來保存?zhèn)€人信息的護照��,到美國人權自由聯(lián)合會由于RFID可能會泄露個人信息而表示強烈反對���。媒體報道還稱惡意犯罪分子可以開發(fā)出RFID病毒�����。突然之間���,這項技術的安全性似乎變得不堪一擊了,就好像利用網(wǎng)絡電子郵件來發(fā)送機密信息一樣不可取了����。
然而�����,它與那些網(wǎng)絡隱患不同�����,后者會影響到使用網(wǎng)絡的所有網(wǎng)民�,而只有RFID芯片上保存有重要信息時�,它的安全漏洞才真正有危險性。目前許多企業(yè)對RFID的應用尚處于初期階段��,因此它的安全漏洞的危險性還不是很大�。
營養(yǎng)產(chǎn)品廠商Schiff Nutrition在三個月前開始利用RFID設備來給貨箱打標簽,標簽上的信息都是關于貨箱中產(chǎn)品的基本信息����,包括其名稱、產(chǎn)地和種類等����。公司業(yè)務分析經(jīng)理羅德·法里蒙說,他們并沒有考慮安全問題�,因為那些數(shù)據(jù)并沒有太大的價值。 他說:“我們使用這項技術就像使用條形碼一樣,就像人們可以偽造條形碼一樣��,人們也可以偽造RFID�����,但問題是���,那么做有什么意義呢����?”關于公司產(chǎn)品的所有重要信息都保存在受密碼保護的網(wǎng)絡服務器上���,而RFID標簽上的信息只能用來識別箱子中的產(chǎn)品。
Gartner公司研究副總裁杰夫·伍茲說:“杞人憂天是毫無道理的�,現(xiàn)在RFID大多應用在一些普通信息儲存方面?����!钡悄遣⒉皇钦f就可以忽視安全問題了���。從事RFID項目的企業(yè)必須為項目的實施配備專門的安全人員和標準安全機制�����。
RFID技術存在安全漏洞是有原因的:
● 標簽很小���,因此在技術上來說��,很難給它們提供保護���。伍茲說:“RFID標簽非常小,上面不能存儲太多的數(shù)據(jù)��?���!?nbsp;
● RFID標簽是移動的,因此可以接觸到它的人很多�����,而且大部分是未授權的用戶�����。
● 標簽上的信息并不總是敏感信息�?���;ㄙM太多的時間和費用成本去保證貨物RFID標簽信息的安全性�����,對于貨主來說是毫無意義的�����。 你是否會為了超市中的一罐汽水而采取RFID保密措施���?SecureRF公司首席執(zhí)行官路易斯·帕克斯說:“也許在很長的一段時間里���,那種技術都將只被用于跟蹤和識別,但我是不會在那項技術上花錢的��?!?nbsp;
● 標簽的用途非常廣���,因此在其安全性問題上很難做到標準化和量化�����。伍茲說��,許多企業(yè)將RFID用于各種資產(chǎn)管理項目��、支付項目��、零售場地管理項目和供應鏈管理項目�。
SecureRF公司的帕克斯補充說,它還可以應用于法律事務所的文件標簽����,這樣就方便了那些文件的查找。此外還可以用于貴重商品的防偽標簽等��。他說�����,目前美國只有5000萬人在使用RFID標簽���。
Gartner的伍茲補充說:“如果確實有那種防偽標簽的話�,那么人們一定在里面加上了RFID�。”
到底企業(yè)應該在RFID項目的安全性上花多大的精力和投入��,要由企業(yè)對標簽上儲存的那些信息的價值評估而定。如果信息是敏感信息(如個人客戶或者員工資料或者可能會被對手利用來損害公司利益)���,那么���,安全性就是第一位的要求。
Gartner公司RFID研究副總裁保羅·普洛科特說:“有些RFID技術的安全性是足以滿足那些需求的���,但是仍然有些人認為它們的安全性不夠�。因為要做到絕對的安全是不可能的����,因此,他們認為你不應該在護照��、ID卡����、信用卡以及其他任何包含個人敏感信息的地方使用RFID技術?�!?nbsp;
包括零售巨人沃爾瑪和美國國防部在內(nèi)的許多大型組織都在使用這項技術并要求它們的供應商也那么做����,這從一定程度上推動了RFID技術的應用,也引起了人們對RFID安全性的關注和擔憂����。但是,與其他任何一種形式的技術一樣�����,在使用它之前必須明白它將用到什么地方并采取相應的安全控制措施���。
美國國家標準與測試學會在去年九月份發(fā)行的一份刊物上寫道:“負責設計RFID系統(tǒng)的人應該了解他所設計的RFID系統(tǒng)將支持何種應用���,這樣他們才可以選擇適當?shù)陌踩刂拼胧8鞣N組織必須評估它們面臨的隱患并選擇適當?shù)墓芾?�、運作和技術保密控制措施����。”美國國家標準與測試學會是美國貿(mào)易技術管理部下屬的一個非管理性聯(lián)邦機構(gòu)��,RFID系統(tǒng)的安全性也是其負責的項目之一����。
關于RFID隱患的相關報道
這些頭條新聞報道顯示出了RFID的安全隱患
■ 安全專家破解英國護照中的RFID芯片—2007/03/06
為了打擊跨國犯罪和非法移民�,英國政府發(fā)行了基于RFID芯片的新型生物科技護照��,但是日前一位安全專家成功破解了那種護照中的RFID芯片��。
■ 立法機關加大禁用RFID門卡的力度—2007/02/28
美國立法機關表示�,政府應該對關于使用RFID安全技術的問題做進一步的探討。
■ 關于RFID芯片的爭論—2007/02/26
保密卡廠商HID在華盛頓特區(qū)召開的黑帽子聯(lián)邦安全大會上示范展示一款黑客工具��,利用這款工具可以很方便地復制各種門卡�。
■ 業(yè)界組織發(fā)出警告 提醒慎用基于RFID技術的ID卡—2006/12/05
政府打算在美國公民新型護照中使用RFID芯片的計劃遭到了許多業(yè)內(nèi)人士的強烈反對。
