8.2安全隐患和风险评估
我们必须认真地进行RFID系统的安全隐患与风险的评估。起码要保证那些明显存在的系统安全隐患不被我们所忽略。
在开始评价这个系统时,你应该重视如下几个方面的问题,以对系统进行风险评估,并确定系统的风险承载能力。系统中任意节点中的信息类型是什么以及它们的表现形式是什么?有多少信息可能被泄露?它会从系统的射频,中间件或后端泄露吗?一旦我们确定了这些风险存在的可能,我们就可以着手规划如何保护这些数据信息。
进行系统评估风险一个不错的方法是问新闻记者经常问的五个经典调查问题:是谁(Who)?在做什么(What)?什么时间(When)?什么地点(Where)?怎么做(How)?
谁会组织攻击?谁能从中受益?是竞争对手还是未知的犯罪组织?
他们希望从系统攻击中得到什么?是试图偷取竞争对手的商业秘密吗?假如攻击者是一个犯罪组织,他们是在搜索客户的信用卡号码等信息吗?
系统攻击将在何时发生?对于一个每周7天、每天24小时运行的业务管理系统来讲,你很容易忽略当你偶然不在场时,攻击就可能发生的事实。即使这个业务管理系统不是每天24小时运行的,系统的某些设施(如阅读器)可能在非工作时间仍然处于运行状态,因而也容受到攻击。
安全攻击将会发生在什么地方?会发生在你公司的总部吗?还是会发生在偏远的分支机构里?由第三方提供的通信链路是否会更容易地受到攻击吗?
攻击将怎样进行?如果攻击者利用射频系统本身的弱点攻击阅读器,我们就需要限制射频电磁波从阅读器传输的距离。如果攻击者了解了标签阅读器通信加密协议中的某个漏洞,我们就必须改变数据加密方式,并且更换所有的标签。
对这些问题的思考与回答有助于我们缩小工作范围,找到系统和数据在安全性方面存在的风险。
美国军方有一个术语叫做“强化目标”(Hardening the Target),意思是要考虑到你的设计可能是敌人潜在的攻击目标,因此我们必须加强其安全性。比如一个地下指挥所或者导弹发射井。强化目标的安全性以便对付攻击的概念在信息技术领域仍然成立,并且已经被引入到了射频识别技术领域。
首先,强化目标意味着确认对特定目标可能进行的特定攻击类型。在考虑一个射频识别系统的安全问题时,需要考虑到特定的目标有特定的被攻击的形式。
考虑这样一种情形,一个大型仓库有一个金属板材跟踪系统,系统中一个射频识别阅读器安装在传送带的架子上,当每一件货物经过架子时,阅读器的天线激活标签,阅读标签,然后将信息传送到后端数据库。
这种情况下,如果考虑到存在潜在的攻击者通过射频识别阅读器和标签发射的无线电波收集信息的危险,就应该采取限制无线电波穿过阅读器有效区域的手段来加强系统的安全性。最简单的方法是降低阅读器的发射功率以便刚好能够阅读到标签。如果这种方法不起作用或者不允许采用,可以采用其他方法,如改变阅读器天线的位置或方向,或者在阅读器周围安装法拉第笼(法拉第笼是一种用来防止射频信号进入或者泄露的包围装置,一般用黄铜屏蔽板或其他合适的金属网制造)。
再来考虑一下标签方面是否存在问题。对于强行写入标签的编码数据是否应该设定一定的重复次数限制?如果我们将近距离控制卡的编码体系应用到传统的汽车点火钥匙上(例如,德州仪器公司的DST福特汽车钥匙),每10,000个密钥中出现一次序列号重复被认为是可以接受的。但是如果这种体系被用于托盘管理系统,每天需要处理2000个托盘的货物,相同的序列号将每周重复,则可能出现伪标签进入管理系统的情况。对于这种业务模式来讲,每10,000次中出现序列号重复的情况就是不能允许的了。
考虑到攻击者从中间件和数据信息中截取数据的危险,你必须保证阅读器的电子或通信线路不会对没有权限的人开放。这种情况下,强化系统安全可能仅仅需要将设备(例如以太网交换机)锁进机柜里,或者对程序的源代码进行评审以确保的缓冲区的数据溢出不会导致阅读器宕机。
最后,从后端强化系统意味着防止对数据库的攻击。基于这种考虑, 一个新的RFID系统的安全性的各个方面都应该在专业安全人员的考虑范围之类内,惟一的例外可能就是攻击者利用一种新的攻击病毒以新的通信信道形式进行系统攻击。
新的信道也许会对后端系统以前未使用的传输控制协议(TCP)端口造成风险的存在,这就需要重新检查数据库以防止SQL入侵攻击。一个娴熟的技术专家对系统后端应该没有什么不清楚的地方,所以,经常性的对后端系统进行安全性的标准评估应该是卓有成效的。
小知识:
改变默认设置
在系统开始使用时,应该尽快修改初始密码和其他默认的安全设置。这点是非常重要的,因为对于大多数人来讲,不会特意花费时间去修改这些默认设置。
因为你拥有最新的超级Acme3000射频识别阅读器,你就可能会认为你的这台设备是安全的。但是,RFID系统的相关默认设置一般都在在设备投入市场前就被很多人所了解。许多设备制造商都将产品手册以网页形式或者以PDF形式放在他们的网站上供浏览者下载。此外,还有一些网站,包括那些非官方的技术支持网站以及某些试图攻击他人安全系统的黑客经常光顾的网站都能够找到关于这些设备或者系统的默认设置的信息。
试试在你最喜欢的搜索引擎中输入所需要搜索的设备名称和型号,并且在关键字中加上“默认”和“密码”等字样,你就可以知道能够收集到多少条这类信息了。
在评估RFID系统的安全隐患和风险时,最起码的要求是:一旦发现安全攻击的地点并得出系统攻击的方式后,你能够很快找出一种有效的措施来减轻这种安全攻击。这些因素确定下来后,就可以寻求合适的手段和方法来对系统进行安全防护,使系统遭受安全攻击的机会最小化。
