RFID系統(tǒng)設計:小心,再小心!
近日讀到一則新聞,講的是不同小區(qū)的非接觸式智能卡居然可以通用——A小區(qū)的門禁卡能開B小區(qū)的大門。2007年8月在一次黑客大會上,黑客演示了如何用一張照片把RFID護照讀寫器搞“崩潰”,崩潰的原因是該照片導致了緩沖溢出,即閱讀器讀取了較設想的更多的數(shù)據(jù),從而導致緩沖溢出,無法繼續(xù)閱讀程序。這兩件前后發(fā)生的“意外”,透露著同樣一個信息:RFID系統(tǒng)設計必須小心,再小心。
毫無疑問,RFID將在較長一段時間內擔當黑客和安全人員的“靶子”。不幸的是,現(xiàn)階段很多RFID系統(tǒng)是極其脆弱的,設計者在設計時沒有考慮太多復雜的使用環(huán)境,沒有考慮如何應對惡意的攻擊。
很多人都認為正確使用RFID技術將能帶來極大的效益,但是不要忘記了,RFID技術的種種優(yōu)勢不僅僅需要在實驗室環(huán)境下才能體現(xiàn),它必須到猙獰的現(xiàn)實世界大舞臺上才具有實在意義。
現(xiàn)實生活中總有那么一小撮“壞人”喜歡無事生非,或者說有部分人只是為了驗證自己是否能攻破這項新技術才出現(xiàn)了他們那些種種黑客的行為。前不久,蘋果公司的iPhone隆重上市,結果上市沒幾天,iPhone即宣告被攻破,這表明iPhone的設計者考慮得不夠周全。
RFID也面臨著這樣的窘境:RFID系統(tǒng)將被懷著不同目的的人探測和攻擊,他們其中有人是為金錢而來,有人是為了證明目標RFID系統(tǒng)是不是真的安全。不僅是新技術,整個商業(yè)流程一直都面臨著被測試,被攻擊的問題。
該好好重視RFID系統(tǒng)安全設計了。系統(tǒng)在設計和架構時,必須把那些“天方夜譚”式的安全問題考慮進去,才能最大限度地保證系統(tǒng)的長治久安。RFID技術的應用者,尤其是程序員,須加倍重視系統(tǒng)本身的安全問題。
不管攻擊看上去是微不足道,或者是惡意的,或者還只存在概念實證階段,該來的,終究是要來的。RFID系統(tǒng)設計時必須高度重視漏洞的查找,以及可能的利用漏洞進行的攻擊——也許這種攻擊看上去是荒謬可笑或者是不合邏輯的。
老話說“防范于未然”。這句話也許可以成為今天RFID產業(yè)的座右銘。