應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

RFID安全漏洞問(wèn)題成為行業(yè)關(guān)注新焦點(diǎn)

2007-04-16 08:24 RFID世界網(wǎng)
關(guān)鍵詞:RFID標(biāo)簽安全

導(dǎo)讀:最近,關(guān)于RFID存在安全漏洞的話題再次出現(xiàn)并成為各媒體的報(bào)道熱點(diǎn)。 但是它與那些需要企業(yè)IT部門給予及時(shí)處理的電子郵件病毒或者網(wǎng)絡(luò)蠕蟲不同,這個(gè)安全隱患還不屬于迫在眉睫的安全問(wèn)題,至少現(xiàn)在還沒(méi)到火燒眉毛的地步。

最近,關(guān)于RFID存在安全漏洞的話題再次出現(xiàn)并成為各媒體的報(bào)道熱點(diǎn)。 但是它與那些需要企業(yè)IT部門給予及時(shí)處理的電子郵件病毒或者網(wǎng)絡(luò)蠕蟲不同,這個(gè)安全隱患還不屬于迫在眉睫的安全問(wèn)題,至少現(xiàn)在還沒(méi)到火燒眉毛的地步。  

最近發(fā)生的一些事卻讓人們不得不重視RFID存在漏洞的這個(gè)事實(shí)。在3月初,業(yè)內(nèi)某安全專家破解了一張英國(guó)發(fā)行的、利用RFID來(lái)存儲(chǔ)個(gè)人信息的新型生物科技護(hù)照。 在2月舉行的2007年RSA安全大會(huì)上,一家名為IOActive的公司展示了一款RFID克隆器,這款設(shè)備可以通過(guò)復(fù)制信用卡來(lái)竊取密碼。IOActive公司原本打算在黑帽子安全大會(huì)上也進(jìn)行類似的展示,但是遭到RFID信用卡業(yè)界的一家領(lǐng)袖級(jí)廠商的強(qiáng)烈反對(duì)而被撤銷。該項(xiàng)展示引發(fā)了媒體對(duì)信用卡保密性的普遍關(guān)注,已經(jīng)超出了IOActive公司進(jìn)行展示的本意。再加上媒體的一系列相關(guān)報(bào)道:從去年美國(guó)國(guó)土安全部打算發(fā)行利用RFID芯片來(lái)保存?zhèn)€人信息的護(hù)照,到美國(guó)人權(quán)自由聯(lián)合會(huì)由于RFID可能會(huì)泄露個(gè)人信息而表示強(qiáng)烈反對(duì)。媒體報(bào)道還稱惡意犯罪分子可以開(kāi)發(fā)出RFID病毒。突然之間,這項(xiàng)技術(shù)的安全性似乎變得不堪一擊了,就好像利用網(wǎng)絡(luò)電子郵件來(lái)發(fā)送機(jī)密信息一樣不可取了。  

然而,它與那些網(wǎng)絡(luò)隱患不同,后者會(huì)影響到使用網(wǎng)絡(luò)的所有網(wǎng)民,而只有RFID芯片上保存有重要信息時(shí),它的安全漏洞才真正有危險(xiǎn)性。目前許多企業(yè)對(duì)RFID的應(yīng)用尚處于初期階段,因此它的安全漏洞的危險(xiǎn)性還不是很大。  

營(yíng)養(yǎng)產(chǎn)品廠商Schiff Nutrition在三個(gè)月前開(kāi)始利用RFID設(shè)備來(lái)給貨箱打標(biāo)簽,標(biāo)簽上的信息都是關(guān)于貨箱中產(chǎn)品的基本信息,包括其名稱、產(chǎn)地和種類等。公司業(yè)務(wù)分析經(jīng)理羅德·法里蒙說(shuō),他們并沒(méi)有考慮安全問(wèn)題,因?yàn)槟切?shù)據(jù)并沒(méi)有太大的價(jià)值。 他說(shuō):“我們使用這項(xiàng)技術(shù)就像使用條形碼一樣,就像人們可以偽造條形碼一樣,人們也可以偽造RFID,但問(wèn)題是,那么做有什么意義呢?”關(guān)于公司產(chǎn)品的所有重要信息都保存在受密碼保護(hù)的網(wǎng)絡(luò)服務(wù)器上,而RFID標(biāo)簽上的信息只能用來(lái)識(shí)別箱子中的產(chǎn)品。  

Gartner公司研究副總裁杰夫·伍茲說(shuō):“杞人憂天是毫無(wú)道理的,現(xiàn)在RFID大多應(yīng)用在一些普通信息儲(chǔ)存方面。”但是那并不是說(shuō)就可以忽視安全問(wèn)題了。從事RFID項(xiàng)目的企業(yè)必須為項(xiàng)目的實(shí)施配備專門的安全人員和標(biāo)準(zhǔn)安全機(jī)制。  

RFID技術(shù)存在安全漏洞是有原因的:  

● 標(biāo)簽很小,因此在技術(shù)上來(lái)說(shuō),很難給它們提供保護(hù)。伍茲說(shuō):“RFID標(biāo)簽非常小,上面不能存儲(chǔ)太多的數(shù)據(jù)?!?nbsp; 

● RFID標(biāo)簽是移動(dòng)的,因此可以接觸到它的人很多,而且大部分是未授權(quán)的用戶。  

● 標(biāo)簽上的信息并不總是敏感信息?;ㄙM(fèi)太多的時(shí)間和費(fèi)用成本去保證貨物RFID標(biāo)簽信息的安全性,對(duì)于貨主來(lái)說(shuō)是毫無(wú)意義的。 你是否會(huì)為了超市中的一罐汽水而采取RFID保密措施?SecureRF公司首席執(zhí)行官路易斯·帕克斯說(shuō):“也許在很長(zhǎng)的一段時(shí)間里,那種技術(shù)都將只被用于跟蹤和識(shí)別,但我是不會(huì)在那項(xiàng)技術(shù)上花錢的。”  

● 標(biāo)簽的用途非常廣,因此在其安全性問(wèn)題上很難做到標(biāo)準(zhǔn)化和量化。伍茲說(shuō),許多企業(yè)將RFID用于各種資產(chǎn)管理項(xiàng)目、支付項(xiàng)目、零售場(chǎng)地管理項(xiàng)目和供應(yīng)鏈管理項(xiàng)目。  

SecureRF公司的帕克斯補(bǔ)充說(shuō),它還可以應(yīng)用于法律事務(wù)所的文件標(biāo)簽,這樣就方便了那些文件的查找。此外還可以用于貴重商品的防偽標(biāo)簽等。他說(shuō),目前美國(guó)只有5000萬(wàn)人在使用RFID標(biāo)簽。  

Gartner的伍茲補(bǔ)充說(shuō):“如果確實(shí)有那種防偽標(biāo)簽的話,那么人們一定在里面加上了RFID?!?nbsp; 

到底企業(yè)應(yīng)該在RFID項(xiàng)目的安全性上花多大的精力和投入,要由企業(yè)對(duì)標(biāo)簽上儲(chǔ)存的那些信息的價(jià)值評(píng)估而定。如果信息是敏感信息(如個(gè)人客戶或者員工資料或者可能會(huì)被對(duì)手利用來(lái)?yè)p害公司利益),那么,安全性就是第一位的要求。  

Gartner公司RFID研究副總裁保羅·普洛科特說(shuō):“有些RFID技術(shù)的安全性是足以滿足那些需求的,但是仍然有些人認(rèn)為它們的安全性不夠。因?yàn)橐龅浇^對(duì)的安全是不可能的,因此,他們認(rèn)為你不應(yīng)該在護(hù)照、ID卡、信用卡以及其他任何包含個(gè)人敏感信息的地方使用RFID技術(shù)?!?nbsp; 


包括零售巨人沃爾瑪和美國(guó)國(guó)防部在內(nèi)的許多大型組織都在使用這項(xiàng)技術(shù)并要求它們的供應(yīng)商也那么做,這從一定程度上推動(dòng)了RFID技術(shù)的應(yīng)用,也引起了人們對(duì)RFID安全性的關(guān)注和擔(dān)憂。但是,與其他任何一種形式的技術(shù)一樣,在使用它之前必須明白它將用到什么地方并采取相應(yīng)的安全控制措施。  

美國(guó)國(guó)家標(biāo)準(zhǔn)與測(cè)試學(xué)會(huì)在去年九月份發(fā)行的一份刊物上寫道:“負(fù)責(zé)設(shè)計(jì)RFID系統(tǒng)的人應(yīng)該了解他所設(shè)計(jì)的RFID系統(tǒng)將支持何種應(yīng)用,這樣他們才可以選擇適當(dāng)?shù)陌踩刂拼胧?。各種組織必須評(píng)估它們面臨的隱患并選擇適當(dāng)?shù)墓芾?、運(yùn)作和技術(shù)保密控制措施?!泵绹?guó)國(guó)家標(biāo)準(zhǔn)與測(cè)試學(xué)會(huì)是美國(guó)貿(mào)易技術(shù)管理部下屬的一個(gè)非管理性聯(lián)邦機(jī)構(gòu),RFID系統(tǒng)的安全性也是其負(fù)責(zé)的項(xiàng)目之一。  

關(guān)于RFID隱患的相關(guān)報(bào)道  

這些頭條新聞報(bào)道顯示出了RFID的安全隱患  

■ 安全專家破解英國(guó)護(hù)照中的RFID芯片—2007/03/06  

為了打擊跨國(guó)犯罪和非法移民,英國(guó)政府發(fā)行了基于RFID芯片的新型生物科技護(hù)照,但是日前一位安全專家成功破解了那種護(hù)照中的RFID芯片。  

■ 立法機(jī)關(guān)加大禁用RFID門卡的力度—2007/02/28  

美國(guó)立法機(jī)關(guān)表示,政府應(yīng)該對(duì)關(guān)于使用RFID安全技術(shù)的問(wèn)題做進(jìn)一步的探討。  

■ 關(guān)于RFID芯片的爭(zhēng)論—2007/02/26  

保密卡廠商HID在華盛頓特區(qū)召開(kāi)的黑帽子聯(lián)邦安全大會(huì)上示范展示一款黑客工具,利用這款工具可以很方便地復(fù)制各種門卡。  

■ 業(yè)界組織發(fā)出警告 提醒慎用基于RFID技術(shù)的ID卡—2006/12/05  

政府打算在美國(guó)公民新型護(hù)照中使用RFID芯片的計(jì)劃遭到了許多業(yè)內(nèi)人士的強(qiáng)烈反對(duì)。