上周三,三位计算机研究者在意大利比萨举办的一次会议上发表了一篇论文,这篇文章是关于计算机病毒如何传染RFID(Radio Frequency Identification,无线射频识别)标签的,一石激起了千层浪,但是造成全球供应链的问题还是不太可能的,至少现在不太可能。
美国康涅狄格州斯坦福德市Gartner Group公司的研究主管Ray Wagner在接受《电子商务时报》采访时说:“像这样的事情在目前发生的可能性非常低。任何时候我都不希望出现什么RFID病毒。”
不管怎样,他承认RFID标签已经开始取代条形码来标识商品,也应用在了一些像身份认证或者信用卡验证这样的应用程序中,这种在标签中出生的病毒所带来的威胁是增长的趋势。
他说:“因为我们现在正走向大量上市,如果有1000个公司购买了一套RFID跟踪系统,并且这套系统有一个可以利用的漏洞,一个足够小的病毒可以通过这个漏洞传染到RFID标签上,那么不法之徒以此来攻击那些系统就是很有可能的了。”
潘多拉魔盒
在这份论文中,阿姆斯特丹自由大学的研究者Andrew S. Tanenbaum、Bruno Crispo和Melanie R. Rieback讨论的问题是:对这个产业来说,RFID恶意软件就是一个“潘多拉魔盒”。
文章中说:“人们期望看到RFID技术的成功,然而当RFID病毒的概念掠过人们脑际的时候,对于这个概念的任何认真考虑都被抛到脑后了。”
文章中还说:“RFID的漏洞利用目前还不具有‘野性’,于是人们就自然而然地认为,对于RFID标签强有力的约束能够使RFID装置在有这种攻击时固若金汤。”
中间件目标
对于研究者来讲,典型的攻击目标就是RFID中间件。
他们在论文中写道:“这篇论文就是要发出这样一个警告:从RFID标签来的数据能够用来攻击后端的软件系统。因此,RFID中间件开发商必须作一些适当的检查,…,来防止RFID在受到Internet上众所周知的漏洞攻击时重蹈覆辙。”
据BEA Systems (制造RFID中间件,纳斯达克上市代号:BEAS)负责RFID的CTO Ken Traub所言,一些RFID标签可能已经能够受到病毒影响,其它的几乎都不会。
比特辩论
Traub在马萨诸塞州Burlington的BEA办公室中对《电子商务时报》解释到,“被动的”RFID标签和无线条形码比起来不相上下。
他声称:“从一个标签递送任何软件、病毒或者恶意代理是不可能的事情,因为在标签上所有的东西就是一个96位的数字。”
然而,Gartner的安全专家Wagner说道:“96位的确是很小,但我们曾经也见到过没有96比特那么大的病毒。”
据这些研究者所言,中间件漏洞攻击需要的是技巧,而不是资源。
论文中还写道:“操纵标签上少于1000位的RFID数据就能够开拓安全漏洞来影响RFID中间件,暗中进行破坏活动;严重的情况下,也许能够危及到整个计算机、或者整个网络的安全。”
大问题
在他们的论文中,他们表明RFID标签能够用来制造许多安全漏洞,包括缓冲区溢出、代码植入以及SQL注入等。
加州Menlo Park的SRI研究机构的计算机科学家Peter Neumann在《电子商务时报》上说:“RFID技术所需要冒的威胁是多种多样的。它不只是一种类型的威胁,这是一个将来会出现的大问题。”
集装箱中的魔术
外来的其它威胁远比从计算机病毒来的威胁要小,但是它们所具有危险是相当的。Neumann询问:“当一个芯片到达美国后,你怎么知道你看到的集装箱里的这个芯片就是最初运输的那个?一般来说,你不知道的。”
ABI研究机构RFID和M2M部主任厄雷克米歇尔森(Erik Michielsen)认为,如果RFID变得繁荣起来的时候,安全问题将会是至关重要的。
他在《电子商务时报》上说:“安全问题对所有的市场兴旺和生存是极为重要的。”
他还说:“安全问题在所有终端技术市场上已经典型地暴露出来了。无线网络、客户端/服务器计算、对等(peer-to-peer)计算等等都有安全问题,信息技术产业和软件产业在他们所有的问题中已经把安全问题放在了最高优先权的位置,他们是这么说的,也是这么做的。”