或許電腦黑客們已經(jīng)發(fā)現(xiàn)了下一個(gè)戰(zhàn)場?？梢栽O(shè)想一位黑客進(jìn)入一家商店，購買了一個(gè)貼有“電子標(biāo)簽”（RFID）的罐頭并將其帶回了家；接著他撕下標(biāo)簽并貼上另一個(gè)包含了惡意代碼的標(biāo)簽；他回到商店并讓收銀臺(tái)重新掃描一下這件商品；這樣惡意代碼就進(jìn)入了商店的電腦系統(tǒng)，更改產(chǎn)品的價(jià)格和銷售數(shù)據(jù)，并創(chuàng)建一個(gè)登錄口允許外部訪問者進(jìn)入商店的數(shù)據(jù)庫。  

    荷蘭阿姆斯特丹自由大學(xué)的計(jì)算機(jī)教授Andrew Tanenbaum稱，這不是黑客的技術(shù)而是RFID本身的漏洞造成的。3月15日他在一篇論文上闡述了為什么確信會(huì)發(fā)生這種事情的原因。然而RFID標(biāo)簽、掃描儀和相關(guān)軟件的銷售商們，對(duì)Tanenbaum的末日審判迅速進(jìn)行了反擊。RFID設(shè)備生產(chǎn)商Symbol Technologies公司副總裁、RFID標(biāo)簽業(yè)務(wù)部總經(jīng)理Larry Blue稱，這只是理論上的猜測在實(shí)際操作中幾乎是不可能的，因?yàn)樵谛酒O(shè)計(jì)和相關(guān)系統(tǒng)軟件開發(fā)上已經(jīng)進(jìn)行了嚴(yán)格的安全檢測。目前全球RFID標(biāo)簽的使用正日益普及，這種“電子標(biāo)簽”可幫助企業(yè)跟蹤已出貨的商品。 

    微型電腦 

    但在操作系統(tǒng)研究上卓有成就的Tanenbaum稱，他帶的一位研究生只用了四個(gè)小時(shí)就編寫出一個(gè)可運(yùn)行在他所在實(shí)驗(yàn)室裝配的標(biāo)準(zhǔn)RFID設(shè)備上的病毒程序。他表示，這為我們敲響了警鐘，現(xiàn)在到了該為加強(qiáng)RFID安全進(jìn)行投資的時(shí)候了。他已經(jīng)向SAP和甲骨文等RFID數(shù)據(jù)庫銷售商們提出了他的意見。 

    Tanenbaum也不是唯一看到此問題的專家，其他的研究人員也發(fā)現(xiàn)很多RFID裝置，從貼在商品上的芯片到讀取標(biāo)簽信息并將信息傳輸?shù)綌?shù)據(jù)庫的掃描儀都存在缺陷。他們擔(dān)心未來數(shù)月內(nèi)與RFID有關(guān)的病毒及黑客攻擊可能會(huì)快速上升。管理安全服務(wù)商Counterpane Internet Security公司的首席技術(shù)官Bruce Schneier表示，一塊RFID芯片就是一臺(tái)微型電腦，只是沒有屏幕和鍵盤但可通過無線電與外界取得聯(lián)系；RFID也可能不會(huì)被黑，但如果是這樣的話它將是計(jì)算機(jī)歷史上第一種不會(huì)被黑的電腦。 

    但如果科學(xué)家們的擔(dān)心是成立的，那么這種影響將不會(huì)僅僅是出現(xiàn)在住宅區(qū)的商店里。RFID可用于廣泛的領(lǐng)域，從尋找寵物到購買汽油，從沃爾瑪?shù)矫绹鴩啦俊？萍甲稍児続BI Research的分析師Erik Michielsen稱，今天全球使用的RFID標(biāo)簽數(shù)以億計(jì)，7年后將數(shù)以百億計(jì)。到那時(shí)RFID芯片的使用將超過其他所有類型的電腦，從PC到手機(jī)芯片的總和。  

    輕而易舉 

    對(duì)RFID黑客來說存在一個(gè)日益增長的金錢誘惑，因?yàn)樵谛庞每ㄖЦ逗推渌鹑诮灰字性絹碓蕉嗟厥褂昧薘FID標(biāo)簽。Counterpane公司的Schneier預(yù)計(jì)，它將成為一個(gè)很嚴(yán)重的問題。如萬事達(dá)卡公司準(zhǔn)備采用RFID技術(shù)推出一種無接觸支付手段。這種PayPass卡只需在掃描儀上掠過就可完成交易，全球已經(jīng)有25000家商店接受了這種支付方式。而摩托羅拉等手機(jī)生產(chǎn)商也正在考慮將無接觸支付應(yīng)用到主流手機(jī)上。 

    隨著RFID芯片的功能越來越復(fù)雜，它們受到攻擊的危險(xiǎn)也越高。約翰-霍普金斯大學(xué)信息安全研究所的技術(shù)主管和計(jì)算機(jī)教授Ari Rubin稱，新一代電腦通常更復(fù)雜、功能更多，引發(fā)的安全問題日益突出，另外其他行業(yè)也顯示，每出一代產(chǎn)品都會(huì)出現(xiàn)新的安全問題。根據(jù)去年發(fā)表的一份報(bào)告，Rubin和他的學(xué)生已經(jīng)破解了超過1.5億個(gè)安裝了RFID系統(tǒng)的汽車鑰匙，和超過600萬個(gè)購買汽油的鑰匙扣的密碼。為破解密碼他們將16塊芯片連接起來并進(jìn)行編程，找出標(biāo)簽上包含的密碼，而這個(gè)過程只花了15分鐘的時(shí)間。 

    缺乏電源 

    Rubin斷言，雖然最近也進(jìn)行了一些改進(jìn)，但大多數(shù)RFID芯片依然很容易被破解。其中一個(gè)原因是：最廉價(jià)和最流行的RFID芯片都沒有電池，事實(shí)上它們是在掃描時(shí)由讀卡機(jī)提供能量。Rubin認(rèn)為這限制了芯片可設(shè)置密碼的數(shù)量。由于缺乏自己的動(dòng)力系統(tǒng)，這種芯片也容易受到“能耗途徑竊取”（power-consumption hack）的攻擊。 

    Weizmann Institute of Science的計(jì)算機(jī)教授Adi Shamir曾在2月宣布，他和他的一位學(xué)生已經(jīng)能侵入某個(gè)RFID標(biāo)簽并開發(fā)出相應(yīng)的密碼殺手----一種可使標(biāo)簽自毀的代碼。通過監(jiān)控標(biāo)簽的能耗過程研究人員推導(dǎo)出了密碼。（推導(dǎo)過程是，接收到讀卡機(jī)傳來的不正確數(shù)據(jù)時(shí)，標(biāo)簽的能耗會(huì)上升）。研究人員只用了3個(gè)小時(shí)就開發(fā)出了標(biāo)簽的殺手代碼。他們表示，雖然使用的標(biāo)簽已經(jīng)過時(shí)，但即使是去年下半年上市的最新產(chǎn)品也存在類似的問題，只需如手機(jī)一樣簡單的工具就可侵入RFID標(biāo)簽。 

    領(lǐng)先一步？ 

    當(dāng)然用于大額金融交易的新芯片具有更多的安全功能，例如可調(diào)整到只能在數(shù)英寸的短距離內(nèi)讀取數(shù)據(jù)，這可防止黑客在購物者通過附近的付款線時(shí)讀取RFID的信息。它們也包含了更多的加密功能（自然價(jià)格更昂貴，每個(gè)標(biāo)簽的價(jià)格在4美元或以上，而普通的RFID標(biāo)簽只需20美分）。 

    但RFID行業(yè)人士表示，他們的技術(shù)正在快速改進(jìn)。Gen 2（第二代）RFID標(biāo)簽已經(jīng)不通過無線發(fā)送號(hào)碼，并能鎖定密碼而不會(huì)被更改。對(duì)于將安全放在第一位的應(yīng)用，更昂貴和更智能化的標(biāo)簽可提供更高的安全性。德儀（TI）公司副總裁和RFID系統(tǒng)部門總經(jīng)理Julie England稱，安全措施需要按照任務(wù)分解方式進(jìn)行配置。因此藥瓶上的RFID標(biāo)簽要比紙毛巾上的標(biāo)簽更為安全。正在制定供應(yīng)鏈行業(yè)RFID標(biāo)準(zhǔn)的EPCglobal（全球產(chǎn)品電子代碼管理中心），也在跟蹤調(diào)查安全問題。該機(jī)構(gòu)的行業(yè)應(yīng)用部門主管Sue Hutchinson稱，他們相信這些標(biāo)簽是非常安全的，但學(xué)術(shù)論文也提醒他們需要繼續(xù)加強(qiáng)RFID的安全性。