澳大利亞Pure Hacking推RFID系統(tǒng)安全檢測(cè)服務(wù)
Pure Hacking長(zhǎng)期致力于對(duì)黑客或系統(tǒng)安全性滲透測(cè)試,并提供咨詢(xún)服務(wù),發(fā)掘客戶(hù)公司現(xiàn)有安全措施的漏洞,并提供更好地保護(hù)數(shù)據(jù)安全的措施。該公司以前的業(yè)務(wù)重點(diǎn)是在無(wú)線和有線網(wǎng)絡(luò)下本地服務(wù)器和應(yīng)用軟件的防火墻和安全保護(hù)?,F(xiàn)在,他們開(kāi)始測(cè)試RFID系統(tǒng)弱點(diǎn)和漏洞,并為部署了RFID技術(shù)的公司提供安全監(jiān)測(cè)服務(wù)。
來(lái)自Pure Hacking的Joshua Perrymon表示,公司正在重點(diǎn)研究與RFID系統(tǒng)不安全性相關(guān)的操作和技術(shù)風(fēng)險(xiǎn),而且該公司使用一套同NIST和ISO相似的結(jié)構(gòu)化的審核流程。 除了幫助客戶(hù)改善信息安全,Pure Hacking也幫助客戶(hù)盡早發(fā)現(xiàn)安全風(fēng)險(xiǎn),而不是等系統(tǒng)由于漏洞被攻擊時(shí)才設(shè)法解決,為客戶(hù)節(jié)省了大量的金錢(qián)。
Pure Hacking公司的Perrymon和McAdam與正在審核的客戶(hù)公司的執(zhí)行管理人員和主要員工面談,并發(fā)放調(diào)查問(wèn)卷,了解客戶(hù)公司RFID系統(tǒng)的部署情況。通過(guò)從上述工作獲得的信息,他們判斷出與客戶(hù)公司運(yùn)作相關(guān)的操作風(fēng)險(xiǎn)。“我們先了解政策和流程,并就此提出新的建議?!盡cAdam說(shuō)道。
客戶(hù)公司的技術(shù)風(fēng)險(xiǎn)是通過(guò)實(shí)際滲透測(cè)試來(lái)評(píng)估?!拔覀儗⒄页隹赡芄舻膮^(qū)域,然后通過(guò)一種入侵識(shí)讀器進(jìn)入系統(tǒng),模擬攻擊?!盡cAdam說(shuō)道。這項(xiàng)測(cè)試是設(shè)法使用一臺(tái)未經(jīng)認(rèn)可的識(shí)讀器對(duì)客戶(hù)公司部署的標(biāo)簽進(jìn)行識(shí)讀,并復(fù)制或者改變標(biāo)簽上編碼的數(shù)據(jù),或者使用識(shí)讀器控制標(biāo)簽識(shí)別在其芯片上編碼的數(shù)據(jù)結(jié)構(gòu)。
Pure Hacking正在向RFID所有終端用戶(hù)推廣其RFID審核咨詢(xún)服務(wù),這些終端用戶(hù)中有零售供應(yīng)鏈中的公司以及RFID應(yīng)用與高敏感或所有權(quán)信息相關(guān)的賭場(chǎng)或化學(xué)公司。
Pure Hacking在澳大利亞有著巨大的市場(chǎng)機(jī)遇,據(jù)Perrymon說(shuō),目前有接近1,300家公司正在測(cè)試RFID技術(shù)。然而他和McAdam都表示他們有意在全球各地推廣其RFID審核系統(tǒng)。
迄今,Pure Hacking已經(jīng)完成了一項(xiàng)對(duì)高頻(13.56 MHz)RFID門(mén)禁系統(tǒng)的審核。通過(guò)商議,Pure Hacking對(duì)客戶(hù)公司提出了許多建議,包括如何儲(chǔ)存門(mén)禁卡和如何使門(mén)禁受限與門(mén)禁卡等。 在審核中,Pure Hacking完全復(fù)制了一張卡,并使用它進(jìn)入大樓。其建議包括了升級(jí)公司系統(tǒng)支持?jǐn)?shù)據(jù)保密(密碼),這樣門(mén)禁卡將不能被復(fù)制。
McAdam表示,今后,公司想將RFID審核工作的重點(diǎn)推向EPC Gen 2標(biāo)簽和識(shí)讀器?!拔覀儼l(fā)現(xiàn)了Gen 2系統(tǒng)中關(guān)于標(biāo)簽處理數(shù)據(jù)訪問(wèn)和消除密碼方式的幾個(gè)風(fēng)險(xiǎn)?!盇cAdam說(shuō)道,“我們目前正在分析Gen 2協(xié)議,通過(guò)使用定制的內(nèi)部數(shù)據(jù)確定風(fēng)險(xiǎn)和可能發(fā)生的系統(tǒng)入侵情景?!?/P>
Pure Hacking計(jì)劃向EPCglobal提出他們發(fā)現(xiàn)的Gen 2安全風(fēng)險(xiǎn),希望EPCglobal能夠在未來(lái)RFID標(biāo)準(zhǔn)制定中使用這些信息。