慶典
電子標簽技術成黑客目標
安全亟待解決
目前全球RFID標簽的使用正日益普及,這種「電子標簽」可幫助企業跟蹤已出貨的商品。
目前全球RFID標簽的使用正日益普及,這種「電子標簽」可幫助企業跟蹤已出貨的商品。
或許電腦黑客們已經發現了下一個戰場。
可以設想一位黑客進入一家商店,購買了一個貼有「電子標簽」(RFID)的罐頭並將其帶回了家;
接著他撕下標簽並貼上另一個包含了惡意代碼的標簽;
他回到商店並讓收銀台重新掃描一下這件商品;這樣惡意代碼就進入了商店的電腦系統。
更改產品的價格和銷售數據,並創建一個登錄口允許外部訪問者進入商店的數據庫。
荷蘭阿姆斯特丹自由大學的計算機教授Andrew
Tanenbaum稱,這不是黑客的技術而是RFID本身的漏洞造成的。
3月15日他在一篇論文上闡述了為什麼確信會發生這種事情的原因。
然而RFID標簽、掃描儀和相關軟件的銷售商們,對Tanenbaum的末日審判迅速進行了反擊。
RFID設備生產商Symbol Technologies公司副總裁、RFID標簽業務部總經理Larry
Blue稱,這只是理論上的猜測在實際操作中幾乎是不可能的,因為在芯片設計和相關系統軟件開發上已經進行了嚴格的安全檢測。
目前全球RFID標簽的使用正日益普及,這種「電子標簽」可幫助企業跟蹤已出貨的商品。
微型電腦
但在操作系統研究上卓有成就的Tanenbaum稱,他帶的一位研究生只用了四個小時就編寫出一個可運行在他所在實驗室裝配的標准RFID設備上的病毒程序。
他表示,這為我們敲響了警鍾,現在到了該為加強RFID安全進行投資的時候了。
他已經向SAP和甲骨文等RFID數據庫銷售商們提出了他的意見。
Tanenbaum也不是唯一看到此問題的專家,其他的研究人員也發現很多RFID裝置,從貼在商品上的芯片到讀取標簽信息並將信息傳輸到數據庫的掃描儀都存在缺陷。
他們擔心未來數月內與RFID有關的病毒及黑客攻擊可能會快速上升。
管理安全服務商Counterpane Internet Security公司的首席技術官Bruce
Schneier表示,一塊RFID芯片就是一台微型電腦,只是沒有屏幕和鍵盤但可通過無線電與外界取得聯系;RFID也可能不會被黑,但如果是這樣的話它將是計算機曆史上第一種不會被黑的電腦。
但如果科學家們的擔心是成立的,那麼這種影響將不會僅僅是出現在住宅區的商店裏。
RFID可用於廣泛的領域,從尋找寵物到購買汽油,從沃爾瑪到美國國防部。
科技咨詢公司ABI Research的分析師Erik
Michielsen稱,今天全球使用的RFID標簽數以億計,7年後將數以百億計。
到那時RFID芯片的使用將超過其他所有類型的電腦,從PC到手機芯片的總和。
輕而易舉
對RFID黑客來說存在一個日益增長的金錢誘惑,因為在信用卡支付和其他金融交易中越來越多地使用了RFID標簽。
Counterpane公司的Schneier預計,它將成為一個很嚴重的問題。
如萬事達卡公司准備采用RFID技術推出一種無接觸支付手段。
這種PayPass卡只需在掃描儀上掠過就可完成交易,全球已經有25000家商店接受了這種支付方式。
而摩托羅拉等手機生產商也正在考慮將無接觸支付應用到主流手機上。
隨著RFID芯片的功能越來越複雜,它們受到攻擊的危險也越高。
約翰-霍普金斯大學信息安全研究所的技術主管和計算機教授Ari
Rubin稱,新一代電腦通常更複雜、功能更多,引發的安全問題日益突出,另外其他行業也顯示,每出一代產品都會出現新的安全問題。
根據去年發表的一份報告,Rubin和他的學生已經破解了超過1.5億個安裝了RFID系統的汽車鑰匙,和超過600萬個購買汽油的鑰匙扣的密碼。
為破解密碼他們將16塊芯片連接起來並進行編程,找出標簽上包含的密碼,而這個過程只花了15分鍾的時間。
缺乏電源
Rubin斷言,雖然最近也進行了一些改進,但大多數RFID芯片依然很容易被破解。
其中一個原因是:最廉價和最流行的RFID芯片都沒有電池,事實上它們是在掃描時由讀卡機提供能量。
Rubin認為這限制了芯片可設置密碼的數量。
由於缺乏自己的動力系統,這種芯片也容易受到「能耗途徑竊取」(power-consumption
hack)的攻擊。
Weizmann Institute of Science的計算機教授Adi
Shamir曾在2月宣布,他和他的一位學生已經能侵入某個RFID標簽並開發出相應的密碼殺手----一種可使標簽自毀的代碼。通過監控標簽的能耗過程研究人員推導出了密碼。(推導過程是,接收到讀卡機傳來的不正確數據時,標簽的能耗會上升)。研究人員只用了3個小時就開發出了標簽的殺手代碼。他們表示,雖然使用的標簽已經過時,但即使是去年下半年上市的最新產品也存在類似的問題,只需如手機一樣簡單的工具就可侵入RFID標簽。
領先一步?
當然用於大額金融交易的新芯片具有更多的安全功能,例如可調整到只能在數英寸的短距離內讀取數據,這可防止黑客在購物者通過附近的付款線時讀取RFID的信息。
它們也包含了更多的加密功能(自然價格更昂貴,每個標簽的價格在4美元或以上,而普通的RFID標簽只需20美分)。
但RFID行業人士表示,他們的技術正在快速改進。
Gen 2(第二代)RFID標簽已經不通過無線發送號碼,並能鎖定密碼而不會被更改。
對於將安全放在第一位的應用,更昂貴和更智能化的標簽可提供更高的安全性。
德儀(TI)公司副總裁和RFID系統部門總經理Julie England稱,安全措施需要按照任務分解方式進行配置。
因此藥瓶上的RFID標簽要比紙毛巾上的標簽更為安全。
正在制定供應鏈行業RFID標准的EPCglobal(全球產品電子代碼管理中心),也在跟蹤調查安全問題。
該機構的行業應用部門主管Sue
Hutchinson稱,他們相信這些標簽是非常安全的,但學術論文也提醒他們需要繼續加強RFID的安全性。
全站熱搜
留言列表