導(dǎo)讀:Grunwald說:“RFID的使用可以很安全����,但特別是電子護(hù)照,其標(biāo)準(zhǔn)是妥協(xié)的結(jié)果�,妥協(xié)就做不到安全���。正確的作法需要大量研究,而那種研究目前并未完成�。”Grunwald正準(zhǔn)備創(chuàng)辦一家以RFID安全為主的公司�����。Mahaffey說�����,只要辨別RFID芯片的特征�,就有可能確定護(hù)照持有者的國(guó)籍。他表示:“一個(gè)極端的情況是����,這可能造成只有美國(guó)人在附近時(shí),炸藥才會(huì)引爆�����?��!盡ahaffey在黑帽大會(huì)上播放一段示范影片�����。
參加Defcon和黑帽安全會(huì)議的研究員指出�,普遍用于大樓出入管制、高速公路電子收費(fèi)系統(tǒng)和電子護(hù)照的無線射頻識(shí)別(RFID)標(biāo)簽非常容易復(fù)制�����,具有嚴(yán)重的安全風(fēng)險(xiǎn)����。
兩場(chǎng)會(huì)議的與會(huì)研究員分別示范如何用筆記本電腦,搭配200美元的RFID識(shí)別器和同等價(jià)格的智能卡讀寫器�����,輕松復(fù)制RFID標(biāo)簽�����。此外�,他們認(rèn)為旅行文件內(nèi)植的RFID標(biāo)簽可在一定的距離外識(shí)別美國(guó)護(hù)照�,可能會(huì)被恐怖份子用來引爆炸彈。
德國(guó)DN-Systems研究員Lukas Grunwald在黑帽大會(huì)上示范如何復(fù)制他個(gè)人護(hù)照上的RFID標(biāo)簽�,然后將信息寫入附有RFID芯片的智能卡上�?���?截惖男酒捎脕韨卧熳o(hù)照。他接受CNET訪問時(shí)表示:“我們把芯片設(shè)定成護(hù)照模式�����?��!?/FONT>
未授權(quán)復(fù)制的威脅影響到數(shù)百萬將于今年10月?lián)Q發(fā)電子護(hù)照的美國(guó)民眾�����。當(dāng)初信誓旦旦地排除外界擔(dān)憂��,宣稱RFID護(hù)照防偽功能較強(qiáng)的官員�,如今也面臨質(zhì)疑�����。
Grunwald說他尚未找出電子護(hù)照信息加密與保護(hù)機(jī)制的破綻��,換句話說�����,雖然可借由掃瞄復(fù)制RFID芯片,卻不能變更其中所含的信息�����。Grunwald利用復(fù)制的海關(guān)檢查站��,讀取芯片信息�����。
Grunwald表示��,他花了“兩星期和5,000美元律師費(fèi)”完成這個(gè)計(jì)劃��,使用RFID識(shí)別器和一些自制軟件�。在4日的Defcon會(huì)議中,他也測(cè)試某些企業(yè)的門禁管制卡�����,同樣復(fù)制成功�。這代表攻擊者也能利用這種方法進(jìn)入有保全的大樓。
Grunwald說:“RFID的使用可以很安全,但特別是電子護(hù)照�����,其標(biāo)準(zhǔn)是妥協(xié)的結(jié)果�,妥協(xié)就做不到安全�����。正確的作法需要大量研究�����,而那種研究目前并未完成�。”Grunwald正準(zhǔn)備創(chuàng)辦一家以RFID安全為主的公司�����。
放眼全球���,RFID標(biāo)簽幾乎被各國(guó)政府視為護(hù)照防偽的答案�。幾個(gè)歐洲國(guó)家已趕在美國(guó)之前發(fā)出電子護(hù)照����,民間支持者和若干安全專家都曾警告貿(mào)然改用電子護(hù)照的可能威脅�����。信息外泄是其中之一��,在設(shè)計(jì)上�����,RFID標(biāo)簽可用識(shí)別器讀取����。
但無線安全公司Flexilis研究員Kevin Mahaffey指出��,目前的設(shè)計(jì)只要護(hù)照稍微打開即可被偵測(cè)到�。他說,雖然這樣無法實(shí)際判讀芯片上的信息�����,“攻擊者只要有能力知道某人帶著護(hù)照�,就是一項(xiàng)嚴(yán)重的安全缺失?����!?/FONT>
Mahaffey說,只要辨別RFID芯片的特征���,就有可能確定護(hù)照持有者的國(guó)籍。他表示:“一個(gè)極端的情況是�����,這可能造成只有美國(guó)人在附近時(shí)���,炸藥才會(huì)引爆���。”Mahaffey在黑帽大會(huì)上播放一段示范影片�。
Flexilis建議,護(hù)照封面應(yīng)加上雙重防護(hù)和另一個(gè)特制的RFID標(biāo)簽�,讓護(hù)照在非全開的狀態(tài)下無法被判讀。為免信息外泄�,Grunwald用一種德國(guó)制的鋁片護(hù)照夾,據(jù)說可防止無線標(biāo)簽被讀取����。
此外,Grunwald表示,由于德國(guó)護(hù)照的RFID標(biāo)簽仍有一些問題�,政府決定即使RFID標(biāo)簽失效,該護(hù)照仍可使用�����。德國(guó)黑客俱樂部The Chaos Computer Club想出一個(gè)有創(chuàng)意的解決方案����,Grunwald說:“他們建議,就把護(hù)照放進(jìn)微波爐即可���?����!?BR>
