澳大利亞Pure Hacking推RFID系統(tǒng)安全檢測服務(wù)

    Pure Hacking長期致力于對(duì)黑客或系統(tǒng)安全性滲透測試，并提供咨詢服務(wù)，發(fā)掘客戶公司現(xiàn)有安全措施的漏洞，并提供更好地保護(hù)數(shù)據(jù)安全的措施。該公司以前的業(yè)務(wù)重點(diǎn)是在無線和有線網(wǎng)絡(luò)下本地服務(wù)器和應(yīng)用軟件的防火墻和安全保護(hù)。現(xiàn)在，他們開始測試RFID系統(tǒng)弱點(diǎn)和漏洞，并為部署了RFID技術(shù)的公司提供安全監(jiān)測服務(wù)。

    來自Pure Hacking的Joshua Perrymon表示，公司正在重點(diǎn)研究與RFID系統(tǒng)不安全性相關(guān)的操作和技術(shù)風(fēng)險(xiǎn)，而且該公司使用一套同NIST和ISO相似的結(jié)構(gòu)化的審核流程。 除了幫助客戶改善信息安全，Pure Hacking也幫助客戶盡早發(fā)現(xiàn)安全風(fēng)險(xiǎn)，而不是等系統(tǒng)由于漏洞被攻擊時(shí)才設(shè)法解決，為客戶節(jié)省了大量的金錢。

    Pure Hacking公司的Perrymon和McAdam與正在審核的客戶公司的執(zhí)行管理人員和主要員工面談，并發(fā)放調(diào)查問卷，了解客戶公司RFID系統(tǒng)的部署情況。通過從上述工作獲得的信息，他們判斷出與客戶公司運(yùn)作相關(guān)的操作風(fēng)險(xiǎn)?！拔覀兿攘私庹吆土鞒蹋⒕痛颂岢鲂碌慕ㄗh?！盡cAdam說道。

    客戶公司的技術(shù)風(fēng)險(xiǎn)是通過實(shí)際滲透測試來評(píng)估?！拔覀儗⒄页隹赡芄舻膮^(qū)域，然后通過一種入侵識(shí)讀器進(jìn)入系統(tǒng)，模擬攻擊。”McAdam說道。這項(xiàng)測試是設(shè)法使用一臺(tái)未經(jīng)認(rèn)可的識(shí)讀器對(duì)客戶公司部署的標(biāo)簽進(jìn)行識(shí)讀，并復(fù)制或者改變標(biāo)簽上編碼的數(shù)據(jù)，或者使用識(shí)讀器控制標(biāo)簽識(shí)別在其芯片上編碼的數(shù)據(jù)結(jié)構(gòu)。

    Pure Hacking正在向RFID所有終端用戶推廣其RFID審核咨詢服務(wù)，這些終端用戶中有零售供應(yīng)鏈中的公司以及RFID應(yīng)用與高敏感或所有權(quán)信息相關(guān)的賭場或化學(xué)公司。

    Pure Hacking在澳大利亞有著巨大的市場機(jī)遇，據(jù)Perrymon說，目前有接近1,300家公司正在測試RFID技術(shù)。然而他和McAdam都表示他們有意在全球各地推廣其RFID審核系統(tǒng)。

    迄今，Pure Hacking已經(jīng)完成了一項(xiàng)對(duì)高頻(13.56 MHz)RFID門禁系統(tǒng)的審核。通過商議，Pure Hacking對(duì)客戶公司提出了許多建議，包括如何儲(chǔ)存門禁卡和如何使門禁受限與門禁卡等。 在審核中，Pure Hacking完全復(fù)制了一張卡，并使用它進(jìn)入大樓。其建議包括了升級(jí)公司系統(tǒng)支持?jǐn)?shù)據(jù)保密（密碼），這樣門禁卡將不能被復(fù)制。

    McAdam表示，今后，公司想將RFID審核工作的重點(diǎn)推向EPC Gen 2標(biāo)簽和識(shí)讀器?！拔覀儼l(fā)現(xiàn)了Gen 2系統(tǒng)中關(guān)于標(biāo)簽處理數(shù)據(jù)訪問和消除密碼方式的幾個(gè)風(fēng)險(xiǎn)?！盇cAdam說道，“我們目前正在分析Gen 2協(xié)議，通過使用定制的內(nèi)部數(shù)據(jù)確定風(fēng)險(xiǎn)和可能發(fā)生的系統(tǒng)入侵情景?！?/P>

    Pure Hacking計(jì)劃向EPCglobal提出他們發(fā)現(xiàn)的Gen 2安全風(fēng)險(xiǎn)，希望EPCglobal能夠在未來RFID標(biāo)準(zhǔn)制定中使用這些信息。