有研究者指出,计算机病毒可以通过RFID传播,该论点立即引发了业界的激烈争论。
这个观点是阿姆斯特丹Vrije大学博士生Melanie Rieback提出来的。此言一出,顿时在RFID领域引发轩然大波。Rieback指出,计算机病毒可以通过RFID标签从读卡器传播到中间件应用中,进而传播到后端系统和数据库中。需要强调的是,Rieback并非是在已配置好了的RFID系统中寻找上述所说的漏洞,而是人为地制造了一个病毒。
对此,RFID业界反响强烈,有人怒不可遏,也有人点头称道。ThingMagic公司副总裁Kevin Ashton表示:“我们应该考虑到,这篇论文仅出自一名学生之手,理论基础相当薄弱。而且,文中宣称制造出的所谓‘病毒’,并非是真的病毒,而只不过是自我复制的一串SQL代码而已。”然而,该论文确实暴露出了软件行业长期起来一直存在的一大问题,唤起了人们的警惕。德州仪器公司副总裁Julie England建议:“各家公司应该担起责任。向市场上发布新的应用软件之前,要为软件设置多级别安全,并进行严格测试。”
对该研究结论持有反对意见的专家指出,该论文所基于的架构设计早已过时。如英国学术界就强调,该研究在系统层面上存在谬误——RFID标签是用来存储数据的,而非可执行代码,因此RFID标签向读卡器传输的本应是数据,而非可执行命令。如果读卡器通过病毒接收了可执行代码,那么该读卡器不可能同时接收数据。
Gartner公司副总裁Jeff Woods表达了反对意见,他说:“学生们都以为,数据库是从标签中提取信息,然后存储到缓存中。但事实上并非如此,代码会干预这一过程,所以SQL代码插入这一想法是不切实际的。”不过,虽然Woods对论文中的说法持有相反意见,但他仍然承认,文中其他很多观点在理论上都是正确的,例如缓存溢出的确有可能导致中间件等软件出现安全漏洞。Woods解释说:“如果中间件发生缓存溢出,他人就可以趁机控制中间件,并进而攻入系统其他部分。不过对于实际的系统架构而言,这些论点未免过于极端。”
也有部分专家持支持态度,希望该论文能够为业界敲响警钟。业界人士Katherine Albrecht就表示:“这篇论文向RFID市场泼了一盆冷水,让人们冷静下来,正视这一技术的负面缺陷,比如黑客和计算机病毒容易利用这一技术来危害网络安全等等。”无疑,该论文触及到了架构安全配置这一问题。Woods说,很多选择RFID架构的公司都倾向于“先安装,安全配置以后再说”这一做法,但实际上,大多数结果都是“先安装,而安全配置永不再提”。
Ashton也承认:“RFID的确存在安全隐患,而且不止一处。”不过,他坚持说:“把这么多实际上不大可能出现的安全漏洞全列出来,未免有些小题大做。”
(《电脑商报》2006年20期)
--
原文链接: http://www.rfidinfo.com.cn/report/dissertation/200606/3745.html
|