RFID安全性問題不可小覷

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

最近，關(guān)于RFID存在安全漏洞的話題再次出現(xiàn)并成為各媒體的報(bào)道熱點(diǎn)。但是它與那些需要企業(yè)IT部門給予及時(shí)處理的電子郵件病毒或者網(wǎng)絡(luò)蠕蟲不同，這個(gè)安全隱患還不屬于迫在眉睫的安全問題，至少現(xiàn)在還沒到火燒眉毛的地步。

最近發(fā)生的一些事卻讓人們不得不重視RFID存在漏洞的這個(gè)事實(shí)。在3月初，業(yè)內(nèi)某安全專家破解了一張英國發(fā)行的、利用RFID來存儲(chǔ)個(gè)人信息的新型生物科技護(hù)照。  在2月舉行的2007年RSA安全大會(huì)上，一家名為IOActive的公司展示了一款RFID克隆器，這款設(shè)備可以通過復(fù)制信用卡來竊取密碼。IOActive公司原本打算在黑帽子安全大會(huì)上也進(jìn)行類似的展示，但是遭到RFID信用卡業(yè)界的一家領(lǐng)袖級(jí)廠商的強(qiáng)烈反對(duì)而被撤銷。該項(xiàng)展示引發(fā)了媒體對(duì)信用卡保密性的普遍關(guān)注，已經(jīng)超出了IOActive公司進(jìn)行展示的本意。再加上媒體的一系列相關(guān)報(bào)道：從去年美國國土安全部打算發(fā)行利用RFID芯片來保存?zhèn)€人信息的護(hù)照，到美國人權(quán)自由聯(lián)合會(huì)由于RFID可能會(huì)泄露個(gè)人信息而表示強(qiáng)烈反對(duì)。媒體報(bào)道還稱惡意犯罪分子可以開發(fā)出RFID病毒。突然之間，這項(xiàng)技術(shù)的安全性似乎變得不堪一擊了，就好像利用網(wǎng)絡(luò)電子郵件來發(fā)送機(jī)密信息一樣不可取了。 

然而，它與那些網(wǎng)絡(luò)隱患不同，后者會(huì)影響到使用網(wǎng)絡(luò)的所有網(wǎng)民，而只有RFID芯片上保存有重要信息時(shí)，它的安全漏洞才真正有危險(xiǎn)性。目前許多企業(yè)對(duì)RFID的應(yīng)用尚處于初期階段，因此它的安全漏洞的危險(xiǎn)性還不是很大。 

營養(yǎng)產(chǎn)品廠商Schiff Nutrition在三個(gè)月前開始利用RFID設(shè)備來給貨箱打標(biāo)簽，標(biāo)簽上的信息都是關(guān)于貨箱中產(chǎn)品的基本信息，包括其名稱、產(chǎn)地和種類等。公司業(yè)務(wù)分析經(jīng)理羅德·法里蒙說，他們并沒有考慮安全問題，因?yàn)槟切?shù)據(jù)并沒有太大的價(jià)值。  他說：“我們使用這項(xiàng)技術(shù)就像使用條形碼一樣，就像人們可以偽造條形碼一樣，人們也可以偽造RFID，但問題是，那么做有什么意義呢？”關(guān)于公司產(chǎn)品的所有重要信息都保存在受密碼保護(hù)的網(wǎng)絡(luò)服務(wù)器上，而RFID標(biāo)簽上的信息只能用來識(shí)別箱子中的產(chǎn)品。 

Gartner公司研究副總裁杰夫·伍茲說：“杞人憂天是毫無道理的，現(xiàn)在RFID大多應(yīng)用在一些普通信息儲(chǔ)存方面?！钡悄遣⒉皇钦f就可以忽視安全問題了。從事RFID項(xiàng)目的企業(yè)必須為項(xiàng)目的實(shí)施配備專門的安全人員和標(biāo)準(zhǔn)安全機(jī)制。 

RFID技術(shù)存在安全漏洞是有原因的：

● 標(biāo)簽很小，因此在技術(shù)上來說，很難給它們提供保護(hù)。伍茲說：“RFID標(biāo)簽非常小，上面不能存儲(chǔ)太多的數(shù)據(jù)?！?nbsp;

● RFID標(biāo)簽是移動(dòng)的，因此可以接觸到它的人很多，而且大部分是未授權(quán)的用戶。 

● 標(biāo)簽上的信息并不總是敏感信息?；ㄙM(fèi)太多的時(shí)間和費(fèi)用成本去保證貨物RFID標(biāo)簽信息的安全性，對(duì)于貨主來說是毫無意義的。  你是否會(huì)為了超市中的一罐汽水而采取RFID保密措施？SecureRF公司首席執(zhí)行官路易斯·帕克斯說：“也許在很長的一段時(shí)間里，那種技術(shù)都將只被用于跟蹤和識(shí)別，但我是不會(huì)在那項(xiàng)技術(shù)上花錢的?！?/P>

● 標(biāo)簽的用途非常廣，因此在其安全性問題上很難做到標(biāo)準(zhǔn)化和量化。伍茲說，許多企業(yè)將RFID用于各種資產(chǎn)管理項(xiàng)目、支付項(xiàng)目、零售場(chǎng)地管理項(xiàng)目和供應(yīng)鏈管理項(xiàng)目。 

SecureRF公司的帕克斯補(bǔ)充說，它還可以應(yīng)用于法律事務(wù)所的文件標(biāo)簽，這樣就方便了那些文件的查找。此外還可以用于貴重商品的防偽標(biāo)簽等。他說，目前美國只有5000萬人在使用RFID標(biāo)簽。 

Gartner的伍茲補(bǔ)充說：“如果確實(shí)有那種防偽標(biāo)簽的話，那么人們一定在里面加上了RFID?！?/P>

到底企業(yè)應(yīng)該在RFID項(xiàng)目的安全性上花多大的精力和投入，要由企業(yè)對(duì)標(biāo)簽上儲(chǔ)存的那些信息的價(jià)值評(píng)估而定。如果信息是敏感信息（如個(gè)人客戶或者員工資料或者可能會(huì)被對(duì)手利用來損害公司利益），那么，安全性就是第一位的要求。 

Gartner公司RFID研究副總裁保羅·普洛科特說：“有些RFID技術(shù)的安全性是足以滿足那些需求的，但是仍然有些人認(rèn)為它們的安全性不夠。因?yàn)橐龅浇^對(duì)的安全是不可能的，因此，他們認(rèn)為你不應(yīng)該在護(hù)照、ID卡、信用卡以及其他任何包含個(gè)人敏感信息的地方使用RFID技術(shù)。”

包括零售巨人沃爾瑪和美國國防部在內(nèi)的許多大型組織都在使用這項(xiàng)技術(shù)并要求它們的供應(yīng)商也那么做，這從一定程度上推動(dòng)了RFID技術(shù)的應(yīng)用，也引起了人們對(duì)RFID安全性的關(guān)注和擔(dān)憂。但是，與其他任何一種形式的技術(shù)一樣，在使用它之前必須明白它將用到什么地方并采取相應(yīng)的安全控制措施。 

美國國家標(biāo)準(zhǔn)與測(cè)試學(xué)會(huì)在去年九月份發(fā)行的一份刊物上寫道：“負(fù)責(zé)設(shè)計(jì)RFID系統(tǒng)的人應(yīng)該了解他所設(shè)計(jì)的RFID系統(tǒng)將支持何種應(yīng)用，這樣他們才可以選擇適當(dāng)?shù)陌踩刂拼胧?。各種組織必須評(píng)估它們面臨的隱患并選擇適當(dāng)?shù)墓芾怼⑦\(yùn)作和技術(shù)保密控制措施?！泵绹鴩覙?biāo)準(zhǔn)與測(cè)試學(xué)會(huì)是美國貿(mào)易技術(shù)管理部下屬的一個(gè)非管理性聯(lián)邦機(jī)構(gòu)，RFID系統(tǒng)的安全性也是其負(fù)責(zé)的項(xiàng)目之一。 

關(guān)于RFID隱患的相關(guān)報(bào)道

這些頭條新聞報(bào)道顯示出了RFID的安全隱患

■ 安全專家破解英國護(hù)照中的RFID芯片—2007/03/06

為了打擊跨國犯罪和非法移民，英國政府發(fā)行了基于RFID芯片的新型生物科技護(hù)照，但是日前一位安全專家成功破解了那種護(hù)照中的RFID芯片。

■ 立法機(jī)關(guān)加大禁用RFID門卡的力度—2007/02/28

美國立法機(jī)關(guān)表示，政府應(yīng)該對(duì)關(guān)于使用RFID安全技術(shù)的問題做進(jìn)一步的探討。

■ 關(guān)于RFID芯片的爭論—2007/02/26

保密卡廠商HID在華盛頓特區(qū)召開的黑帽子聯(lián)邦安全大會(huì)上示范展示一款黑客工具，利用這款工具可以很方便地復(fù)制各種門卡。

■ 業(yè)界組織發(fā)出警告 提醒慎用基于RFID技術(shù)的ID卡—2006/12/05

政府打算在美國公民新型護(hù)照中使用RFID芯片的計(jì)劃遭到了許多業(yè)內(nèi)人士的強(qiáng)烈反對(duì)。(CNW)