技術(shù)
導(dǎo)讀:Grunwald說(shuō):“RFID的使用可以很安全,但特別是電子護(hù)照,其標(biāo)準(zhǔn)是妥協(xié)的結(jié)果,妥協(xié)就做不到安全。正確的作法需要大量研究,而那種研究目前并未完成?!盙runwald正準(zhǔn)備創(chuàng)辦一家以RFID安全為主的公司。Mahaffey說(shuō),只要辨別RFID芯片的特征,就有可能確定護(hù)照持有者的國(guó)籍。他表示:“一個(gè)極端的情況是,這可能造成只有美國(guó)人在附近時(shí),炸藥才會(huì)引爆?!盡ahaffey在黑帽大會(huì)上播放一段示范影片。
參加Defcon和黑帽安全會(huì)議的研究員指出,普遍用于大樓出入管制、高速公路電子收費(fèi)系統(tǒng)和電子護(hù)照的無(wú)線射頻識(shí)別(RFID)標(biāo)簽非常容易復(fù)制,具有嚴(yán)重的安全風(fēng)險(xiǎn)。
兩場(chǎng)會(huì)議的與會(huì)研究員分別示范如何用筆記本電腦,搭配200美元的RFID識(shí)別器和同等價(jià)格的智能卡讀寫(xiě)器,輕松復(fù)制RFID標(biāo)簽。此外,他們認(rèn)為旅行文件內(nèi)植的RFID標(biāo)簽可在一定的距離外識(shí)別美國(guó)護(hù)照,可能會(huì)被恐怖份子用來(lái)引爆炸彈。
德國(guó)DN-Systems研究員Lukas Grunwald在黑帽大會(huì)上示范如何復(fù)制他個(gè)人護(hù)照上的RFID標(biāo)簽,然后將信息寫(xiě)入附有RFID芯片的智能卡上??截惖男酒捎脕?lái)偽造護(hù)照。他接受CNET訪問(wèn)時(shí)表示:“我們把芯片設(shè)定成護(hù)照模式。”
未授權(quán)復(fù)制的威脅影響到數(shù)百萬(wàn)將于今年10月?lián)Q發(fā)電子護(hù)照的美國(guó)民眾。當(dāng)初信誓旦旦地排除外界擔(dān)憂,宣稱(chēng)RFID護(hù)照防偽功能較強(qiáng)的官員,如今也面臨質(zhì)疑。
Grunwald說(shuō)他尚未找出電子護(hù)照信息加密與保護(hù)機(jī)制的破綻,換句話說(shuō),雖然可借由掃瞄復(fù)制RFID芯片,卻不能變更其中所含的信息。Grunwald利用復(fù)制的海關(guān)檢查站,讀取芯片信息。
Grunwald表示,他花了“兩星期和5,000美元律師費(fèi)”完成這個(gè)計(jì)劃,使用RFID識(shí)別器和一些自制軟件。在4日的Defcon會(huì)議中,他也測(cè)試某些企業(yè)的門(mén)禁管制卡,同樣復(fù)制成功。這代表攻擊者也能利用這種方法進(jìn)入有保全的大樓。
Grunwald說(shuō):“RFID的使用可以很安全,但特別是電子護(hù)照,其標(biāo)準(zhǔn)是妥協(xié)的結(jié)果,妥協(xié)就做不到安全。正確的作法需要大量研究,而那種研究目前并未完成?!盙runwald正準(zhǔn)備創(chuàng)辦一家以RFID安全為主的公司。
放眼全球,RFID標(biāo)簽幾乎被各國(guó)政府視為護(hù)照防偽的答案。幾個(gè)歐洲國(guó)家已趕在美國(guó)之前發(fā)出電子護(hù)照,民間支持者和若干安全專(zhuān)家都曾警告貿(mào)然改用電子護(hù)照的可能威脅。信息外泄是其中之一,在設(shè)計(jì)上,RFID標(biāo)簽可用識(shí)別器讀取。
但無(wú)線安全公司Flexilis研究員Kevin Mahaffey指出,目前的設(shè)計(jì)只要護(hù)照稍微打開(kāi)即可被偵測(cè)到。他說(shuō),雖然這樣無(wú)法實(shí)際判讀芯片上的信息,“攻擊者只要有能力知道某人帶著護(hù)照,就是一項(xiàng)嚴(yán)重的安全缺失?!?/FONT>
Mahaffey說(shuō),只要辨別RFID芯片的特征,就有可能確定護(hù)照持有者的國(guó)籍。他表示:“一個(gè)極端的情況是,這可能造成只有美國(guó)人在附近時(shí),炸藥才會(huì)引爆?!盡ahaffey在黑帽大會(huì)上播放一段示范影片。
Flexilis建議,護(hù)照封面應(yīng)加上雙重防護(hù)和另一個(gè)特制的RFID標(biāo)簽,讓護(hù)照在非全開(kāi)的狀態(tài)下無(wú)法被判讀。為免信息外泄,Grunwald用一種德國(guó)制的鋁片護(hù)照夾,據(jù)說(shuō)可防止無(wú)線標(biāo)簽被讀取。
此外,Grunwald表示,由于德國(guó)護(hù)照的RFID標(biāo)簽仍有一些問(wèn)題,政府決定即使RFID標(biāo)簽失效,該護(hù)照仍可使用。德國(guó)黑客俱樂(lè)部The Chaos Computer Club想出一個(gè)有創(chuàng)意的解決方案,Grunwald說(shuō):“他們建議,就把護(hù)照放進(jìn)微波爐即可?!?BR>