RFID安全漏洞成為行業(yè)關注熱點

    最近，關于RFID存在安全漏洞的話題再次出現(xiàn)并成為各媒體的報道熱點。 但是它與那些需要企業(yè)IT部門給予及時處理的電子郵件病毒或者網(wǎng)絡蠕蟲不同，這個安全隱患還不屬于迫在眉睫的安全問題，至少現(xiàn)在還沒到火燒眉毛的地步。
    最近發(fā)生的一些事卻讓人們不得不重視RFID存在漏洞的這個事實。在3月初，業(yè)內(nèi)某安全專家破解了一張英國發(fā)行的、利用RFID來存儲個人信息的新型生物科技護照。 在2月舉行的2007年RSA安全大會上，一家名為IOActive的公司展示了一款RFID克隆器，這款設備可以通過復制信用卡來竊取密碼。IOActive公司原本打算在黑帽子安全大會上也進行類似的展示，但是遭到RFID信用卡業(yè)界的一家領袖級廠商的強烈反對而被撤銷。該項展示引發(fā)了媒體對信用卡保密性的普遍關注，已經(jīng)超出了IOActive公司進行展示的本意。再加上媒體的一系列相關報道：從去年美國國土安全部打算發(fā)行利用RFID芯片來保存?zhèn)€人信息的護照，到美國人權自由聯(lián)合會由于RFID可能會泄露個人信息而表示強烈反對。媒體報道還稱惡意犯罪分子可以開發(fā)出RFID病毒。突然之間，這項技術的安全性似乎變得不堪一擊了，就好像利用網(wǎng)絡電子郵件來發(fā)送機密信息一樣不可取了。

然而，它與那些網(wǎng)絡隱患不同，后者會影響到使用網(wǎng)絡的所有網(wǎng)民，而只有RFID芯片上保存有重要信息時，它的安全漏洞才真正有危險性。目前許多企業(yè)對RFID的應用尚處于初期階段，因此它的安全漏洞的危險性還不是很大。

營養(yǎng)產(chǎn)品廠商Schiff Nutrition在三個月前開始利用RFID設備來給貨箱打標簽，標簽上的信息都是關于貨箱中產(chǎn)品的基本信息，包括其名稱、產(chǎn)地和種類等。公司業(yè)務分析經(jīng)理羅德·法里蒙說，他們并沒有考慮安全問題，因為那些數(shù)據(jù)并沒有太大的價值。 他說：“我們使用這項技術就像使用條形碼一樣，就像人們可以偽造條形碼一樣，人們也可以偽造RFID，但問題是，那么做有什么意義呢?”關于公司產(chǎn)品的所有重要信息都保存在受密碼保護的網(wǎng)絡服務器上，而RFID標簽上的信息只能用來識別箱子中的產(chǎn)品。

Gartner公司研究副總裁杰夫·伍茲說：“杞人憂天是毫無道理的，現(xiàn)在RFID大多應用在一些普通信息儲存方面。”但是那并不是說就可以忽視安全問題了。從事RFID項目的企業(yè)必須為項目的實施配備專門的安全人員和標準安全機制。

RFID技術存在安全漏洞是有原因的：

標簽很小，因此在技術上來說，很難給它們提供保護。伍茲說：“RFID標簽非常小，上面不能存儲太多的數(shù)據(jù)。”

RFID標簽是移動的，因此可以接觸到它的人很多，而且大部分是未授權的用戶。

標簽上的信息并不總是敏感信息?；ㄙM太多的時間和費用成本去保證貨物RFID標簽信息的安全性，對于貨主來說是毫無意義的。 你是否會為了超市中的一罐汽水而采取RFID保密措施?SecureRF公司首席執(zhí)行官路易斯·帕克斯說：“也許在很長的一段時間里，那種技術都將只被用于跟蹤和識別，但我是不會在那項技術上花錢的?！?/P>

標簽的用途非常廣，因此在其安全性問題上很難做到標準化和量化。伍茲說，許多企業(yè)將RFID用于各種資產(chǎn)管理項目、支付項目、零售場地管理項目和供應鏈管理項目。

SecureRF公司的帕克斯補充說，它還可以應用于法律事務所的文件標簽，這樣就方便了那些文件的查找。此外還可以用于貴重商品的防偽標簽等。他說，目前美國只有5000萬人在使用RFID標簽。