电子标签技术成黑客目标 安全亟待解决
作者:张伟
来源:网易科技
日期:2008-03-23 09:51:25
摘要:或许电脑黑客们已经发现了下一个战场。可以设想一位黑客进入一家商店,购买了一个贴有“电子标签”(RFID)的罐头并将其带回了家;接着他撕下标签并贴上另一个包含了恶意代码的标签
或许电脑黑客们已经发现了下一个战场。可以设想一位黑客进入一家商店,购买了一个贴有“电子标签”(RFID)的罐头并将其带回了家;接着他撕下标签并贴上另一个包含了恶意代码的标签;他回到商店并让收银台重新扫描一下这件商品;这样恶意代码就进入了商店的电脑系统,更改产品的价格和销售数据,并创建一个登录口允许外部访问者进入商店的数据库。
荷兰阿姆斯特丹自由大学的计算机教授Andrew Tanenbaum称,这不是黑客的技术而是RFID本身的漏洞造成的。3月15日他在一篇论文上阐述了为什么确信会发生这种事情的原因。然而RFID标签、扫描仪和相关软件的销售商们,对Tanenbaum的末日审判迅速进行了反击。RFID设备生产商Symbol Technologies公司副总裁、RFID标签业务部总经理Larry Blue称,这只是理论上的猜测在实际操作中几乎是不可能的,因为在芯片设计和相关系统软件开发上已经进行了严格的安全检测。目前全球RFID标签的使用正日益普及,这种“电子标签”可帮助企业跟踪已出货的商品。
微型电脑
但在操作系统研究上卓有成就的Tanenbaum称,他带的一位研究生只用了四个小时就编写出一个可运行在他所在实验室装配的标准RFID设备上的病毒程序。他表示,这为我们敲响了警钟,现在到了该为加强RFID安全进行投资的时候了。他已经向SAP和甲骨文等RFID数据库销售商们提出了他的意见。
Tanenbaum也不是唯一看到此问题的专家,其他的研究人员也发现很多RFID装置,从贴在商品上的芯片到读取标签信息并将信息传输到数据库的扫描仪都存在缺陷。他们担心未来数月内与RFID有关的病毒及黑客攻击可能会快速上升。管理安全服务商Counterpane Internet Security公司的首席技术官Bruce Schneier表示,一块RFID芯片就是一台微型电脑,只是没有屏幕和键盘但可通过无线电与外界取得联系;RFID也可能不会被黑,但如果是这样的话它将是计算机历史上第一种不会被黑的电脑。
但如果科学家们的担心是成立的,那么这种影响将不会仅仅是出现在住宅区的商店里。RFID可用于广泛的领域,从寻找宠物到购买汽油,从沃尔玛到美国国防部。科技咨询公司ABI Research的分析师Erik Michielsen称,今天全球使用的RFID标签数以亿计,7年后将数以百亿计。到那时RFID芯片的使用将超过其他所有类型的电脑,从PC到手机芯片的总和。
轻而易举
对RFID黑客来说存在一个日益增长的金钱诱惑,因为在信用卡支付和其他金融交易中越来越多地使用了RFID标签。Counterpane公司的Schneier预计,它将成为一个很严重的问题。如万事达卡公司准备采用RFID技术推出一种无接触支付手段。这种PayPass卡只需在扫描仪上掠过就可完成交易,全球已经有25000家商店接受了这种支付方式。而摩托罗拉等手机生产商也正在考虑将无接触支付应用到主流手机上。
随着RFID芯片的功能越来越复杂,它们受到攻击的危险也越高。约翰-霍普金斯大学信息安全研究所的技术主管和计算机教授Ari Rubin称,新一代电脑通常更复杂、功能更多,引发的安全问题日益突出,另外其他行业也显示,每出一代产品都会出现新的安全问题。根据去年发表的一份报告,Rubin和他的学生已经破解了超过1.5亿个安装了RFID系统的汽车钥匙,和超过600万个购买汽油的钥匙扣的密码。为破解密码他们将16块芯片连接起来并进行编程,找出标签上包含的密码,而这个过程只花了15分钟的时间。
缺乏电源
Rubin断言,虽然最近也进行了一些改进,但大多数RFID芯片依然很容易被破解。其中一个原因是:最廉价和最流行的RFID芯片都没有电池,事实上它们是在扫描时由读卡机提供能量。Rubin认为这限制了芯片可设置密码的数量。由于缺乏自己的动力系统,这种芯片也容易受到“能耗途径窃取”(power-consumption hack)的攻击。
Weizmann Institute of Science的计算机教授Adi Shamir曾在2月宣布,他和他的一位学生已经能侵入某个RFID标签并开发出相应的密码杀手----一种可使标签自毁的代码。通过监控标签的能耗过程研究人员推导出了密码。(推导过程是,接收到读卡机传来的不正确数据时,标签的能耗会上升)。研究人员只用了3个小时就开发出了标签的杀手代码。他们表示,虽然使用的标签已经过时,但即使是去年下半年上市的最新产品也存在类似的问题,只需如手机一样简单的工具就可侵入RFID标签。
领先一步?
当然用于大额金融交易的新芯片具有更多的安全功能,例如可调整到只能在数英寸的短距离内读取数据,这可防止黑客在购物者通过附近的付款线时读取RFID的信息。它们也包含了更多的加密功能(自然价格更昂贵,每个标签的价格在4美元或以上,而普通的RFID标签只需20美分)。
但RFID行业人士表示,他们的技术正在快速改进。Gen 2(第二代)RFID标签已经不通过无线发送号码,并能锁定密码而不会被更改。对于将安全放在第一位的应用,更昂贵和更智能化的标签可提供更高的安全性。德仪(TI)公司副总裁和RFID系统部门总经理Julie England称,安全措施需要按照任务分解方式进行配置。因此药瓶上的RFID标签要比纸毛巾上的标签更为安全。正在制定供应链行业RFID标准的EPCglobal(全球产品电子代码管理中心),也在跟踪调查安全问题。该机构的行业应用部门主管Sue Hutchinson称,他们相信这些标签是非常安全的,但学术论文也提醒他们需要继续加强RFID的安全性。
荷兰阿姆斯特丹自由大学的计算机教授Andrew Tanenbaum称,这不是黑客的技术而是RFID本身的漏洞造成的。3月15日他在一篇论文上阐述了为什么确信会发生这种事情的原因。然而RFID标签、扫描仪和相关软件的销售商们,对Tanenbaum的末日审判迅速进行了反击。RFID设备生产商Symbol Technologies公司副总裁、RFID标签业务部总经理Larry Blue称,这只是理论上的猜测在实际操作中几乎是不可能的,因为在芯片设计和相关系统软件开发上已经进行了严格的安全检测。目前全球RFID标签的使用正日益普及,这种“电子标签”可帮助企业跟踪已出货的商品。
微型电脑
但在操作系统研究上卓有成就的Tanenbaum称,他带的一位研究生只用了四个小时就编写出一个可运行在他所在实验室装配的标准RFID设备上的病毒程序。他表示,这为我们敲响了警钟,现在到了该为加强RFID安全进行投资的时候了。他已经向SAP和甲骨文等RFID数据库销售商们提出了他的意见。
Tanenbaum也不是唯一看到此问题的专家,其他的研究人员也发现很多RFID装置,从贴在商品上的芯片到读取标签信息并将信息传输到数据库的扫描仪都存在缺陷。他们担心未来数月内与RFID有关的病毒及黑客攻击可能会快速上升。管理安全服务商Counterpane Internet Security公司的首席技术官Bruce Schneier表示,一块RFID芯片就是一台微型电脑,只是没有屏幕和键盘但可通过无线电与外界取得联系;RFID也可能不会被黑,但如果是这样的话它将是计算机历史上第一种不会被黑的电脑。
但如果科学家们的担心是成立的,那么这种影响将不会仅仅是出现在住宅区的商店里。RFID可用于广泛的领域,从寻找宠物到购买汽油,从沃尔玛到美国国防部。科技咨询公司ABI Research的分析师Erik Michielsen称,今天全球使用的RFID标签数以亿计,7年后将数以百亿计。到那时RFID芯片的使用将超过其他所有类型的电脑,从PC到手机芯片的总和。
轻而易举
对RFID黑客来说存在一个日益增长的金钱诱惑,因为在信用卡支付和其他金融交易中越来越多地使用了RFID标签。Counterpane公司的Schneier预计,它将成为一个很严重的问题。如万事达卡公司准备采用RFID技术推出一种无接触支付手段。这种PayPass卡只需在扫描仪上掠过就可完成交易,全球已经有25000家商店接受了这种支付方式。而摩托罗拉等手机生产商也正在考虑将无接触支付应用到主流手机上。
随着RFID芯片的功能越来越复杂,它们受到攻击的危险也越高。约翰-霍普金斯大学信息安全研究所的技术主管和计算机教授Ari Rubin称,新一代电脑通常更复杂、功能更多,引发的安全问题日益突出,另外其他行业也显示,每出一代产品都会出现新的安全问题。根据去年发表的一份报告,Rubin和他的学生已经破解了超过1.5亿个安装了RFID系统的汽车钥匙,和超过600万个购买汽油的钥匙扣的密码。为破解密码他们将16块芯片连接起来并进行编程,找出标签上包含的密码,而这个过程只花了15分钟的时间。
缺乏电源
Rubin断言,虽然最近也进行了一些改进,但大多数RFID芯片依然很容易被破解。其中一个原因是:最廉价和最流行的RFID芯片都没有电池,事实上它们是在扫描时由读卡机提供能量。Rubin认为这限制了芯片可设置密码的数量。由于缺乏自己的动力系统,这种芯片也容易受到“能耗途径窃取”(power-consumption hack)的攻击。
Weizmann Institute of Science的计算机教授Adi Shamir曾在2月宣布,他和他的一位学生已经能侵入某个RFID标签并开发出相应的密码杀手----一种可使标签自毁的代码。通过监控标签的能耗过程研究人员推导出了密码。(推导过程是,接收到读卡机传来的不正确数据时,标签的能耗会上升)。研究人员只用了3个小时就开发出了标签的杀手代码。他们表示,虽然使用的标签已经过时,但即使是去年下半年上市的最新产品也存在类似的问题,只需如手机一样简单的工具就可侵入RFID标签。
领先一步?
当然用于大额金融交易的新芯片具有更多的安全功能,例如可调整到只能在数英寸的短距离内读取数据,这可防止黑客在购物者通过附近的付款线时读取RFID的信息。它们也包含了更多的加密功能(自然价格更昂贵,每个标签的价格在4美元或以上,而普通的RFID标签只需20美分)。
但RFID行业人士表示,他们的技术正在快速改进。Gen 2(第二代)RFID标签已经不通过无线发送号码,并能锁定密码而不会被更改。对于将安全放在第一位的应用,更昂贵和更智能化的标签可提供更高的安全性。德仪(TI)公司副总裁和RFID系统部门总经理Julie England称,安全措施需要按照任务分解方式进行配置。因此药瓶上的RFID标签要比纸毛巾上的标签更为安全。正在制定供应链行业RFID标准的EPCglobal(全球产品电子代码管理中心),也在跟踪调查安全问题。该机构的行业应用部门主管Sue Hutchinson称,他们相信这些标签是非常安全的,但学术论文也提醒他们需要继续加强RFID的安全性。