近日读到一则新闻,讲的是不同小区的非接触式智能卡居然可以通用——A小区的门禁卡能开B小区的大门。2007年8月在一次黑客大会上,黑客演示了如何用一张照片把RFID护照读写器搞“崩溃”,崩溃的原因是该照片导致了缓冲溢出,即阅读器读取了较设想的更多的数据,从而导致缓冲溢出,无法继续阅读程序。这两件前后发生的“意外”,透露着同样一个信息:RFID系统设计必须小心,再小心。
毫无疑问,RFID将在较长一段时间内担当黑客和安全人员的“靶子”。不幸的是,现阶段很多RFID系统是极其脆弱的,设计者在设计时没有考虑太多复杂的使用环境,没有考虑如何应对恶意的攻击。
很多人都认为正确使用RFID技术将能带来极大的效益,但是不要忘记了,RFID技术的种种优势不仅仅需要在实验室环境下才能体现,它必须到狰狞的现实世界大舞台上才具有实在意义。
现实生活中总有那么一小撮“坏人”喜欢无事生非,或者说有部分人只是为了验证自己是否能攻破这项新技术才出现了他们那些种种黑客的行为。前不久,苹果公司的iPhone隆重上市,结果上市没几天,iPhone即宣告被攻破,这表明iPhone的设计者考虑得不够周全。
RFID也面临着这样的窘境:RFID系统将被怀着不同目的的人探测和攻击,他们其中有人是为金钱而来,有人是为了证明目标RFID系统是不是真的安全。不仅是新技术,整个商业流程一直都面临着被测试,被攻击的问题。
该好好重视RFID系统安全设计了。系统在设计和架构时,必须把那些“天方夜谭”式的安全问题考虑进去,才能最大限度地保证系统的长治久安。RFID技术的应用者,尤其是程序员,须加倍重视系统本身的安全问题。
不管攻击看上去是微不足道,或者是恶意的,或者还只存在概念实证阶段,该来的,终究是要来的。RFID系统设计时必须高度重视漏洞的查找,以及可能的利用漏洞进行的攻击——也许这种攻击看上去是荒谬可笑或者是不合逻辑的。
老话说“防范于未然”。这句话也许可以成为今天RFID产业的座右铭。