IT同路人
公众号ID:ittongluren
关注
RFID安全十大问题和威胁
由于基本标签不使用任何加密,因此可以轻易伪造。正如你已经知道供应链管理和旅游行业一样。攻击者可以将信息写入基本的黑色标签,或者可以修改标签可写的基本标签中的数据,以获得访问或验证产品的真实性。攻击者可以使用基本标签做的事情是:
他们可以修改基本标签中的现有数据,并将无效标签变为有效标签,反之亦然。他们可以降低昂贵物品的价格,以降低价格购买。
攻击者可以将对象的标签更改为另一个对象中嵌入的另一个标签的标签。
他们可以使用附加到其他标签的个人信息创建自己的标签。
因此,在处理敏感对象如护照或任何身份证件时,请确保您的标签正在使用某种加密技术。如果您必须使用基本标签,请确保您有适当的安全措施,监控和审核程序,以检测RFID系统中的任何异常情况。
RFID嗅探
嗅探是部署RFID解决方案时关注的主要问题。RFID阅读器总是向标签发送请求以发送其身份信息。一旦阅读器读取标签发送的信息,它将使用存储在后端服务器中的数据进行验证。不幸的是,大多数RFID标签没有办法区分由有效的RFID读取和假RFID读取器发送的请求。攻击者可以使用自己的RFID阅读器读取标签并将其用于自己的目的。
跟踪
通过读取从RFID标签接收到的信息,攻击者可以跟踪对象或人员的位置和移动。当一个标签连接到一个物体并且物体进入RFID阅读器的领域时,RFID读取可以识别该物体并找到其位置。因此,您需要记住,无论何时将RFID标签附加到对象上,即使您使用加密消息在标签和RFID阅读器之间进行通信,也需要接受攻击者可以跟踪对象的事实。攻击者可以使用移动机器人来跟踪位置。
拒绝服务
当阅读器从标签请求信息时,它会收到标识ID并将其与存储在数据库服务器中的标识进行比较。RFID阅读器和后端服务器都容易受到拒绝服务攻击。发生DoS攻击时,标签无法验证其与读卡器的身份,从而导致服务中断。因此,您需要确保读取器和数据库服务器都具有抵御拒绝服务攻击的机制。
欺骗
在欺骗攻击中,攻击者伪装成系统的合法用户。攻击者可以让自己成为授权的对象命名服务用户或数据库用户。如果攻击者可以用他的伪造凭证成功访问系统,他可以用RIFD数据做任何他想做的事情,例如响应无效请求,更改RFID ID,拒绝正常服务或者甚至在系统中编写恶意代码。
拒绝
正如你所知道的那样,拒绝意味着当用户正式否认自己已经采取行动并且我们无法验证他是否执行了该特定行为。在RFID的情况下,拒绝可以通过两种方式发生:一种是发送方或接收方可能会拒绝采取诸如发送RFID请求等行为,而我们没有证据可以证明这一点。第二个是EPC号码所有者或数据库所有者否认其拥有关于附加到对象或个人的标签的任何数据。
插入攻击
在这种类型的攻击中,攻击者试图将系统命令插入RFID系统,而不是发送正常数据。RFID插入攻击的一个例子是在其存储器中携带系统命令的标签。
重播攻击
攻击者拦截在阅读器和标签之间流动的通信消息,并且记录可以用作对阅读者请求的响应的标签的响应。答复攻击的一个例子是在访问卡读卡器和感应卡之间进行通信的实施者,该感应卡可用于访问安全设施。
物理攻击
当攻击者从物理上获取标签并更改其信息时会发生这种情况。物理攻击可以通过多种方式进行,例如攻击者使用探针读取和更改标签上的数据。X射线波段或其他径向波段破坏标签中的数据,攻击者可以使用这些数据攻击RFID系统 - 这种类型的攻击也称为辐射印记。电磁干扰会中断标签和阅读器之间的通信。
除此之外,任何人都可以轻松地用刀或其他工具从物体上移除标签,这将使您的物体无法被RFID阅读器识别。
病毒
像任何其他信息系统一样,RFID也容易受到病毒攻击。在大多数情况下,后端数据库是主要目标。RFID病毒可以销毁或泄露存储在数据库中的标签数据,从而破坏服务或阻止数据库和阅读器之间的通信。
为了保护您的RIFD数据库,请确保您减轻数据库相关的漏洞和风险。
尽管是一些常见攻击的目标,但由于其低维护成本和成本效益,RFID在某些领域日益普及。如果您正在考虑在您的组织中实施无线射频识别,无论其目的如何,您需要为本文中描述的前四类RFID攻击支付额外费用:伪造,嗅探,追踪和拒绝服务。
作者:securitywing
(文章转载请注明来自:IT同路人论坛)
领取专属 10元无门槛券
私享最新 技术干货