最近,关于RFID存在安全漏洞的话题再次出现并成为各媒体的报道热点。 但是它与那些需要企业IT部门给予及时处理的电子邮件病毒或者网络蠕虫不同,这个安全隐患还不属于迫在眉睫的安全问题,至少现在还没到火烧眉毛的地步。 最近发生的一些事却让人们不得不重视RFID存在漏洞的这个事实。在3月初,业内某安全专家破解了一张英国发行的、利用RFID来存储个人信息的新型生物科技护照。 在2月举行的2007年RSA安全大会上,一家名为IOActive的公司展示了一款RFID克隆器,这款设备可以通过复制信用卡来窃取密码。IOActive公司原本打算在黑帽子安全大会上也进行类似的展示,但是遭到RFID信用卡业界的一家领袖级厂商的强烈反对而被撤销。该项展示引发了媒体对信用卡保密性的普遍关注,已经超出了IOActive公司进行展示的本意。再加上媒体的一系列相关报道:从去年美国国土安全部打算发行利用RFID芯片来保存个人信息的护照,到美国人权自由联合会由于RFID可能会泄露个人信息而表示强烈反对。媒体报道还称恶意犯罪分子可以开发出RFID病毒。突然之间,这项技术的安全性似乎变得不堪一击了,就好像利用网络电子邮件来发送机密信息一样不可取了。 然而,它与那些网络隐患不同,后者会影响到使用网络的所有网民,而只有RFID芯片上保存有重要信息时,它的安全漏洞才真正有危险性。目前许多企业对RFID的应用尚处于初期阶段,因此它的安全漏洞的危险性还不是很大。 营养产品厂商Schiff Nutrition在三个月前开始利用RFID设备来给货箱打标签,标签上的信息都是关于货箱中产品的基本信息,包括其名称、产地和种类等。公司业务分析经理罗德·法里蒙说,他们并没有考虑安全问题,因为那些数据并没有太大的价值。 他说:"我们使用这项技术就像使用条形码一样,就像人们可以伪造条形码一样,人们也可以伪造RFID,但问题是,那么做有什么意义呢?"关于公司产品的所有重要信息都保存在受密码保护的网络服务器上,而RFID标签上的信息只能用来识别箱子中的产品。 Gartner公司研究副总裁杰夫·伍兹说:"杞人忧天是毫无道理的,现在RFID大多应用在一些普通信息储存方面。"但是那并不是说就可以忽视安全问题了。从事RFID项目的企业必须为项目的实施配备专门的安全人员和标准安全机制。 RFID技术存在安全漏洞是有原因的: ● 标签很小,因此在技术上来说,很难给它们提供保护。伍兹说:"RFID标签非常小,上面不能存储太多的数据。" ● RFID标签是移动的,因此可以接触到它的人很多,而且大部分是未授权的用户。 ● 标签上的信息并不总是敏感信息。花费太多的时间和费用成本去保证货物RFID标签信息的安全性,对于货主来说是毫无意义的。 你是否会为了超市中的一罐汽水而采取RFID保密措施?SecureRF公司首席执行官路易斯·帕克斯说:"也许在很长的一段时间里,那种技术都将只被用于跟踪和识别,但我是不会在那项技术上花钱的。" ● 标签的用途非常广,因此在其安全性问题上很难做到标准化和量化。伍兹说,许多企业将RFID用于各种资产管理项目、支付项目、零售场地管理项目和供应链管理项目。 SecureRF公司的帕克斯补充说,它还可以应用于法律事务所的文件标签,这样就方便了那些文件的查找。此外还可以用于贵重商品的防伪标签等。他说,目前美国只有5000万人在使用RFID标签。 Gartner的伍兹补充说:"如果确实有那种防伪标签的话,那么人们一定在里面加上了RFID。" 到底企业应该在RFID项目的安全性上花多大的精力和投入,要由企业对标签上储存的那些信息的价值评估而定。如果信息是敏感信息(如个人客户或者员工资料或者可能会被对手利用来损害公司利益),那么,安全性就是第一位的要求。 Gartner公司RFID研究副总裁保罗·普洛科特说:"有些RFID技术的安全性是足以满足那些需求的,但是仍然有些人认为它们的安全性不够。因为要做到绝对的安全是不可能的,因此,他们认为你不应该在护照、ID卡、信用卡以及其他任何包含个人敏感信息的地方使用RFID技术。" 包括零售巨人沃尔玛和美国国防部在内的许多大型组织都在使用这项技术并要求它们的供应商也那么做,这从一定程度上推动了RFID技术的应用,也引起了人们对RFID安全性的关注和担忧。但是,与其他任何一种形式的技术一样,在使用它之前必须明白它将用到什么地方并采取相应的安全控制措施。 美国国家标准与测试学会在去年九月份发行的一份刊物上写道:"负责设计RFID系统的人应该了解他所设计的RFID系统将支持何种应用,这样他们才可以选择适当的安全控制措施。各种组织必须评估它们面临的隐患并选择适当的管理、运作和技术保密控制措施。"美国国家标准与测试学会是美国贸易技术管理部下属的一个非管理性联邦机构,RFID系统的安全性也是其负责的项目之一。 |
