RFID安全漏洞問題成為行業(yè)關(guān)注新焦點
2007-04-16 08:24 RFID世界網(wǎng)
導(dǎo)讀:最近,關(guān)于RFID存在安全漏洞的話題再次出現(xiàn)并成為各媒體的報道熱點。 但是它與那些需要企業(yè)IT部門給予及時處理的電子郵件病毒或者網(wǎng)絡(luò)蠕蟲不同,這個安全隱患還不屬于迫在眉睫的安全問題,至少現(xiàn)在還沒到火燒眉毛的地步。
最近,關(guān)于RFID存在安全漏洞的話題再次出現(xiàn)并成為各媒體的報道熱點。 但是它與那些需要企業(yè)IT部門給予及時處理的電子郵件病毒或者網(wǎng)絡(luò)蠕蟲不同,這個安全隱患還不屬于迫在眉睫的安全問題,至少現(xiàn)在還沒到火燒眉毛的地步。
最近發(fā)生的一些事卻讓人們不得不重視RFID存在漏洞的這個事實。在3月初,業(yè)內(nèi)某安全專家破解了一張英國發(fā)行的、利用RFID來存儲個人信息的新型生物科技護(hù)照。 在2月舉行的2007年RSA安全大會上,一家名為IOActive的公司展示了一款RFID克隆器,這款設(shè)備可以通過復(fù)制信用卡來竊取密碼。IOActive公司原本打算在黑帽子安全大會上也進(jìn)行類似的展示,但是遭到RFID信用卡業(yè)界的一家領(lǐng)袖級廠商的強(qiáng)烈反對而被撤銷。該項展示引發(fā)了媒體對信用卡保密性的普遍關(guān)注,已經(jīng)超出了IOActive公司進(jìn)行展示的本意。再加上媒體的一系列相關(guān)報道:從去年美國國土安全部打算發(fā)行利用RFID芯片來保存?zhèn)€人信息的護(hù)照,到美國人權(quán)自由聯(lián)合會由于RFID可能會泄露個人信息而表示強(qiáng)烈反對。媒體報道還稱惡意犯罪分子可以開發(fā)出RFID病毒。突然之間,這項技術(shù)的安全性似乎變得不堪一擊了,就好像利用網(wǎng)絡(luò)電子郵件來發(fā)送機(jī)密信息一樣不可取了。
然而,它與那些網(wǎng)絡(luò)隱患不同,后者會影響到使用網(wǎng)絡(luò)的所有網(wǎng)民,而只有RFID芯片上保存有重要信息時,它的安全漏洞才真正有危險性。目前許多企業(yè)對RFID的應(yīng)用尚處于初期階段,因此它的安全漏洞的危險性還不是很大。
營養(yǎng)產(chǎn)品廠商Schiff Nutrition在三個月前開始利用RFID設(shè)備來給貨箱打標(biāo)簽,標(biāo)簽上的信息都是關(guān)于貨箱中產(chǎn)品的基本信息,包括其名稱、產(chǎn)地和種類等。公司業(yè)務(wù)分析經(jīng)理羅德·法里蒙說,他們并沒有考慮安全問題,因為那些數(shù)據(jù)并沒有太大的價值。 他說:“我們使用這項技術(shù)就像使用條形碼一樣,就像人們可以偽造條形碼一樣,人們也可以偽造RFID,但問題是,那么做有什么意義呢?”關(guān)于公司產(chǎn)品的所有重要信息都保存在受密碼保護(hù)的網(wǎng)絡(luò)服務(wù)器上,而RFID標(biāo)簽上的信息只能用來識別箱子中的產(chǎn)品。
Gartner公司研究副總裁杰夫·伍茲說:“杞人憂天是毫無道理的,現(xiàn)在RFID大多應(yīng)用在一些普通信息儲存方面?!钡悄遣⒉皇钦f就可以忽視安全問題了。從事RFID項目的企業(yè)必須為項目的實施配備專門的安全人員和標(biāo)準(zhǔn)安全機(jī)制。
RFID技術(shù)存在安全漏洞是有原因的:
● 標(biāo)簽很小,因此在技術(shù)上來說,很難給它們提供保護(hù)。伍茲說:“RFID標(biāo)簽非常小,上面不能存儲太多的數(shù)據(jù)?!?nbsp;
● RFID標(biāo)簽是移動的,因此可以接觸到它的人很多,而且大部分是未授權(quán)的用戶。
● 標(biāo)簽上的信息并不總是敏感信息?;ㄙM太多的時間和費用成本去保證貨物RFID標(biāo)簽信息的安全性,對于貨主來說是毫無意義的。 你是否會為了超市中的一罐汽水而采取RFID保密措施?SecureRF公司首席執(zhí)行官路易斯·帕克斯說:“也許在很長的一段時間里,那種技術(shù)都將只被用于跟蹤和識別,但我是不會在那項技術(shù)上花錢的?!?nbsp;
● 標(biāo)簽的用途非常廣,因此在其安全性問題上很難做到標(biāo)準(zhǔn)化和量化。伍茲說,許多企業(yè)將RFID用于各種資產(chǎn)管理項目、支付項目、零售場地管理項目和供應(yīng)鏈管理項目。
SecureRF公司的帕克斯補(bǔ)充說,它還可以應(yīng)用于法律事務(wù)所的文件標(biāo)簽,這樣就方便了那些文件的查找。此外還可以用于貴重商品的防偽標(biāo)簽等。他說,目前美國只有5000萬人在使用RFID標(biāo)簽。
Gartner的伍茲補(bǔ)充說:“如果確實有那種防偽標(biāo)簽的話,那么人們一定在里面加上了RFID?!?nbsp;
到底企業(yè)應(yīng)該在RFID項目的安全性上花多大的精力和投入,要由企業(yè)對標(biāo)簽上儲存的那些信息的價值評估而定。如果信息是敏感信息(如個人客戶或者員工資料或者可能會被對手利用來損害公司利益),那么,安全性就是第一位的要求。
Gartner公司RFID研究副總裁保羅·普洛科特說:“有些RFID技術(shù)的安全性是足以滿足那些需求的,但是仍然有些人認(rèn)為它們的安全性不夠。因為要做到絕對的安全是不可能的,因此,他們認(rèn)為你不應(yīng)該在護(hù)照、ID卡、信用卡以及其他任何包含個人敏感信息的地方使用RFID技術(shù)?!?nbsp;
包括零售巨人沃爾瑪和美國國防部在內(nèi)的許多大型組織都在使用這項技術(shù)并要求它們的供應(yīng)商也那么做,這從一定程度上推動了RFID技術(shù)的應(yīng)用,也引起了人們對RFID安全性的關(guān)注和擔(dān)憂。但是,與其他任何一種形式的技術(shù)一樣,在使用它之前必須明白它將用到什么地方并采取相應(yīng)的安全控制措施。
美國國家標(biāo)準(zhǔn)與測試學(xué)會在去年九月份發(fā)行的一份刊物上寫道:“負(fù)責(zé)設(shè)計RFID系統(tǒng)的人應(yīng)該了解他所設(shè)計的RFID系統(tǒng)將支持何種應(yīng)用,這樣他們才可以選擇適當(dāng)?shù)陌踩刂拼胧?。各種組織必須評估它們面臨的隱患并選擇適當(dāng)?shù)墓芾?、運作和技術(shù)保密控制措施?!泵绹鴩覙?biāo)準(zhǔn)與測試學(xué)會是美國貿(mào)易技術(shù)管理部下屬的一個非管理性聯(lián)邦機(jī)構(gòu),RFID系統(tǒng)的安全性也是其負(fù)責(zé)的項目之一。
關(guān)于RFID隱患的相關(guān)報道
這些頭條新聞報道顯示出了RFID的安全隱患
■ 安全專家破解英國護(hù)照中的RFID芯片—2007/03/06
為了打擊跨國犯罪和非法移民,英國政府發(fā)行了基于RFID芯片的新型生物科技護(hù)照,但是日前一位安全專家成功破解了那種護(hù)照中的RFID芯片。
■ 立法機(jī)關(guān)加大禁用RFID門卡的力度—2007/02/28
美國立法機(jī)關(guān)表示,政府應(yīng)該對關(guān)于使用RFID安全技術(shù)的問題做進(jìn)一步的探討。
■ 關(guān)于RFID芯片的爭論—2007/02/26
保密卡廠商HID在華盛頓特區(qū)召開的黑帽子聯(lián)邦安全大會上示范展示一款黑客工具,利用這款工具可以很方便地復(fù)制各種門卡。
■ 業(yè)界組織發(fā)出警告 提醒慎用基于RFID技術(shù)的ID卡—2006/12/05
政府打算在美國公民新型護(hù)照中使用RFID芯片的計劃遭到了許多業(yè)內(nèi)人士的強(qiáng)烈反對。