登錄
注冊
RFID與科技犯罪
作者:張維平
來源:臺灣經濟部RFID應用推動辦公室
日期:2009-03-20 09:02:57
摘要:RFID與我們是越來越密切,搭車要用它,開車要用它,上班要用它,出門要用它,未來出國用的護照也要用它,還有以后買東西可能也會很普遍地會用它,RFID與網路一樣與我們的生活息息相關。而RFID可能會是最新型態的科技犯罪,認識科技犯罪與RFID可能的犯罪型態,可提供產官學界在發展、導入RFID系統或是制定相關法規、政策的參考,以避免或降低導入或使用RFID所可能帶來負面的影響。
RFID與我們是越來越密切,搭車要用它,開車要用它,上班要用它,出門要用它,未來出國用的護照也要用它,還有以后買東西可能也會很普遍地會用它,RFID與網路一樣與我們的生活息息相關。而RFID可能會是最新型態的科技犯罪,認識科技犯罪與RFID可能的犯罪型態,可提供產官學界在發展、導入RFID系統或是制定相關法規、政策的參考,以避免或降低導入或使用RFID所可能帶來負面的影響。
RFID原理與應用
一、RFID的意義
根據”維基百科”(Wikipedia)對RFID的解釋:射頻識別即RFID(Radio Frequency IDentification)技術,又稱電子標簽、無線射頻識別,是一種通信技術,可通過無線電訊號識別特定目標并讀寫相關數據,而無需識別系統與特定目標之間建立機械或光學接觸。
二、RFID的構造
RFID是由標簽TAG(transponder)、天線/線圈(Antenna / Transciver)及讀取/寫入器(reader/writer)所組成。
三、RFID的類型
(一)依照標簽電池運作特性可分為:
1、主動式:標簽上無電源,需由Reader發出電波來喚醒以進行資料收送。
2、被動式:標簽內建電源,可主動偵測Reader之電波并收送資料。
3、半主動式:標簽亦內建電源,但需由Reader之電波來喚醒,再透過自身電源收送資料。
(二)依照天線頻率高低可分為:
1、低頻(LF):頻率125KHz,識別距離小與60公分,以電磁感應傳輸訊號,主要用于動物晶片、門禁及停車場等。
2、高頻(HF):頻率13.56MHz,識別距離約60公分,以電磁感應傳輸訊號,主要用于交通卡(悠游卡)、門禁及e-Passport等。
3、超高頻(UHF):頻率860-960MHz,識別距離被動式約10公尺、主動式約100公尺,以電波傳輸訊號,主要用于物流、零售流通等。
4、微波:頻率2.45GHz,識別距離被動式約1公尺、主動式約50公尺,以電波傳輸訊號,主要用于物流管理。
四、RFID的應用
RFID的應用,從出生新生嬰兒管理開始,到搭車、開車、上班、出門、出國等處處可見人手RFID卡,RFID與我們生活是十分密切。 National Institute of Standards & Technology依據RFID的應用功能,將之歸類為資產管理、追蹤管理、授權認證、身分核對、處理控制、接取控制、自動付款及供應鏈管理等8類。
RFID現況與發展趨勢
一、RFID使用現況
目前國內RFID卡使用人口最多的是臺北悠游卡,至2008年7月止臺北捷運公司共發行1380萬張悠游卡。其他主要的RFID卡,依序是臺灣統一超商icash卡600萬張,臺灣悠游聯名卡216萬張,臺灣Visa PayWave感應卡144萬張,遠通公司臺灣ETC則有66.6萬部臺車裝e通機,臺北市政府數位學生證有42萬張。
二、RFID發展趨勢
依據ABI的調查分析,2008年全球RFID市場規模可達45.7億美元,至2012年可達84.9億美元,年復合成長率(2007-2012)約為17%,如圖2。
由于RFID與我們生活息息相關,近年RFID的安全頻遭挑戰與攻擊,引并引起關心人員與團體憂心RFID可能成為未來新型的科技犯罪。相關業者在開發RFID系統之前如能認識RFID攻擊方式與可能的犯罪型態,將有助于RFID系統的安全。
一、 RFID攻擊方式
常見的RFID攻擊方式有竊聽、欺騙、追蹤、阻斷服務及病毒攻擊,分述如下:
1、竊聽
信息從一個標記讀,可能的用于身分偷竊或欺騙。通過站立在受害者的可讀的距離之間它是可能讀數據從RFID晶片。
2、欺騙
欺騙是竊聽的進一步,并且透過復制資訊至另一塊晶片。根據RFID晶片不同的用途,這個技術能提供存取受害者汽車、家、工作場所或者電子付款信用。將低價產品的標簽復制至高價格產品標簽上,以支付比實際價格為低。
3、追蹤
藉由多次重復掃描某人的汽車鑰匙、門禁卡、ETC收費系統或是幾種RFID的多重組合,藉由各種RFID出現的情形是可以追蹤某一特定人士的行蹤。
4、阻斷服務
阻斷服務攻擊發生,系當信號阻塞運轉中。這可能是標簽和讀取器間的電波干擾,或是由法拉第籠子金屬罩的干擾。
5、病毒攻擊
感染病毒的標簽啟動后端資料庫去執行標簽上的SQL代碼,當病毒,蠕蟲,或者惡意程式入侵資料庫,再由資料庫將病毒傳送至其他標簽,迅速傳播病毒。而中毒的RFID可能會摧毀整個控制系統及重要寶貴的資料。
6、緩沖區溢位
利用緩沖區溢位造成異常現象,惡意程式可取得伺服器的控制權,并可任意執行各種動作。
二、 RFID犯罪型態
由于RFID有上述幾種常見的攻擊方式,有心人士或是不法份子或犯罪集團,可利用這幾種攻擊方式從事詐欺、電腦病毒、入侵電腦、竊盜、人口販運、恐怖活動、盜用身分等不法活動。
1、詐欺
不法者利用破解如交通卡等的RFID晶片加密方法,再將之復制或加值;或將低價產品的標簽復制至高價格產品標簽上,以低價商品結帳。
案例:
來自CCC的駭客高手是與來自維吉尼亞大學(University of Virginia)的“同好”聯手,破解Mifare Classic RFID晶片的編碼方法,并為卡片加值、復制RFID卡或“制造”新使用者。
2、電腦病毒
將帶有病毒的程式碼寫入標簽,再啟動后端資料庫去執行標簽上的程式碼,再透過資料庫將病毒傳送至其他標簽,使得整個RFID系統癱瘓。
3、入侵電腦
入侵RFID及其后端系統,或破解RFID晶片加密的方法,再為卡片加值、復制RFID卡或制造新使用者。
案例:
2008年9月9日美國聯邦法官曾下令,禁止3名麻省理工學院學生在Defcon駭客大會上,示范如何駭入波士頓地鐵系統使用的智慧票卡,這種RFID卡是波士頓地鐵T線目前使用的票卡。
4、竊盜
不法者利用破解如汽車防盜RFID晶片加密方法,再竊取RFID保護的設備或物品。
案例:
英國足球明星貝克漢2部BMW X5座車,被竊賊破解汽車防盜RFID晶片后開啟并啟動而失竊。
5、人口販運
利用RFID安全管理系統的漏洞,誘騙受保護的病患或新生兒等。
6、恐怖活動
恐怖組織可能利用RFID追蹤特定人士,當特定人物出現時引爆炸彈。
7、盜用身分
復制RFID晶片卡以盜用他人身分或作為在場或不在場證明。
結語
當RFID在各行各業的應用與管理帶來便利與節省成本的同時,它也改變了相關產業的經營模式,也改變了我們的生活習慣,而且將持續地改變并擴大其影響,這些改變及其影響有正面意有負面。
當一個新的RFID系統導入時,應謹慎評估其效益與影響,并善盡保護使用者的隱私、個人資料及人身、財產與系統安全。近來各國為加強國境安全及對抗恐怖活動,相繼推出RFID晶片護照。然已傳出英、德RFID護照被駭客組織破解,相關機關應密切注意,否則新護照不僅不能對抗恐怖活動,可能被恐怖組織利用影響安全更巨。
2001年聯邦助理檢察官Daniel A. Morris曾表示:今天的竊賊使用電腦會比使用手槍偷得更多,明天的恐怖份子使用鍵盤會比使用炸彈所造成的損害更大可作為發展RFID系統的借鏡。
后記:本文摘自本人于2009 RFID國際隱私權論壇演講內容;感謝臺灣NEC股份有限公司及亞元國際股份有限公司協助。
(文/中央警察大學資訊管理系.張維平助理教授 )
RFID原理與應用
一、RFID的意義
根據”維基百科”(Wikipedia)對RFID的解釋:射頻識別即RFID(Radio Frequency IDentification)技術,又稱電子標簽、無線射頻識別,是一種通信技術,可通過無線電訊號識別特定目標并讀寫相關數據,而無需識別系統與特定目標之間建立機械或光學接觸。
二、RFID的構造
RFID是由標簽TAG(transponder)、天線/線圈(Antenna / Transciver)及讀取/寫入器(reader/writer)所組成。
三、RFID的類型
(一)依照標簽電池運作特性可分為:
1、主動式:標簽上無電源,需由Reader發出電波來喚醒以進行資料收送。
2、被動式:標簽內建電源,可主動偵測Reader之電波并收送資料。
3、半主動式:標簽亦內建電源,但需由Reader之電波來喚醒,再透過自身電源收送資料。
(二)依照天線頻率高低可分為:
1、低頻(LF):頻率125KHz,識別距離小與60公分,以電磁感應傳輸訊號,主要用于動物晶片、門禁及停車場等。
2、高頻(HF):頻率13.56MHz,識別距離約60公分,以電磁感應傳輸訊號,主要用于交通卡(悠游卡)、門禁及e-Passport等。
3、超高頻(UHF):頻率860-960MHz,識別距離被動式約10公尺、主動式約100公尺,以電波傳輸訊號,主要用于物流、零售流通等。
4、微波:頻率2.45GHz,識別距離被動式約1公尺、主動式約50公尺,以電波傳輸訊號,主要用于物流管理。
四、RFID的應用
RFID的應用,從出生新生嬰兒管理開始,到搭車、開車、上班、出門、出國等處處可見人手RFID卡,RFID與我們生活是十分密切。 National Institute of Standards & Technology依據RFID的應用功能,將之歸類為資產管理、追蹤管理、授權認證、身分核對、處理控制、接取控制、自動付款及供應鏈管理等8類。
RFID現況與發展趨勢
一、RFID使用現況
目前國內RFID卡使用人口最多的是臺北悠游卡,至2008年7月止臺北捷運公司共發行1380萬張悠游卡。其他主要的RFID卡,依序是臺灣統一超商icash卡600萬張,臺灣悠游聯名卡216萬張,臺灣Visa PayWave感應卡144萬張,遠通公司臺灣ETC則有66.6萬部臺車裝e通機,臺北市政府數位學生證有42萬張。
圖1、截至2008年7月止,臺灣地區各類RFID卡發行量
二、RFID發展趨勢
依據ABI的調查分析,2008年全球RFID市場規模可達45.7億美元,至2012年可達84.9億美元,年復合成長率(2007-2012)約為17%,如圖2。
圖2、ABI Research所做的2007-2012年RFID市場規模預測
圖3、Gartner所做的2007-2012年RFID總產值預測
由于RFID與我們生活息息相關,近年RFID的安全頻遭挑戰與攻擊,引并引起關心人員與團體憂心RFID可能成為未來新型的科技犯罪。相關業者在開發RFID系統之前如能認識RFID攻擊方式與可能的犯罪型態,將有助于RFID系統的安全。
一、 RFID攻擊方式
常見的RFID攻擊方式有竊聽、欺騙、追蹤、阻斷服務及病毒攻擊,分述如下:
1、竊聽
信息從一個標記讀,可能的用于身分偷竊或欺騙。通過站立在受害者的可讀的距離之間它是可能讀數據從RFID晶片。
2、欺騙
欺騙是竊聽的進一步,并且透過復制資訊至另一塊晶片。根據RFID晶片不同的用途,這個技術能提供存取受害者汽車、家、工作場所或者電子付款信用。將低價產品的標簽復制至高價格產品標簽上,以支付比實際價格為低。
3、追蹤
藉由多次重復掃描某人的汽車鑰匙、門禁卡、ETC收費系統或是幾種RFID的多重組合,藉由各種RFID出現的情形是可以追蹤某一特定人士的行蹤。
4、阻斷服務
阻斷服務攻擊發生,系當信號阻塞運轉中。這可能是標簽和讀取器間的電波干擾,或是由法拉第籠子金屬罩的干擾。
5、病毒攻擊
感染病毒的標簽啟動后端資料庫去執行標簽上的SQL代碼,當病毒,蠕蟲,或者惡意程式入侵資料庫,再由資料庫將病毒傳送至其他標簽,迅速傳播病毒。而中毒的RFID可能會摧毀整個控制系統及重要寶貴的資料。
6、緩沖區溢位
利用緩沖區溢位造成異常現象,惡意程式可取得伺服器的控制權,并可任意執行各種動作。
二、 RFID犯罪型態
由于RFID有上述幾種常見的攻擊方式,有心人士或是不法份子或犯罪集團,可利用這幾種攻擊方式從事詐欺、電腦病毒、入侵電腦、竊盜、人口販運、恐怖活動、盜用身分等不法活動。
1、詐欺
不法者利用破解如交通卡等的RFID晶片加密方法,再將之復制或加值;或將低價產品的標簽復制至高價格產品標簽上,以低價商品結帳。
案例:
來自CCC的駭客高手是與來自維吉尼亞大學(University of Virginia)的“同好”聯手,破解Mifare Classic RFID晶片的編碼方法,并為卡片加值、復制RFID卡或“制造”新使用者。
2、電腦病毒
將帶有病毒的程式碼寫入標簽,再啟動后端資料庫去執行標簽上的程式碼,再透過資料庫將病毒傳送至其他標簽,使得整個RFID系統癱瘓。
3、入侵電腦
入侵RFID及其后端系統,或破解RFID晶片加密的方法,再為卡片加值、復制RFID卡或制造新使用者。
案例:
2008年9月9日美國聯邦法官曾下令,禁止3名麻省理工學院學生在Defcon駭客大會上,示范如何駭入波士頓地鐵系統使用的智慧票卡,這種RFID卡是波士頓地鐵T線目前使用的票卡。
4、竊盜
不法者利用破解如汽車防盜RFID晶片加密方法,再竊取RFID保護的設備或物品。
案例:
英國足球明星貝克漢2部BMW X5座車,被竊賊破解汽車防盜RFID晶片后開啟并啟動而失竊。
5、人口販運
利用RFID安全管理系統的漏洞,誘騙受保護的病患或新生兒等。
6、恐怖活動
恐怖組織可能利用RFID追蹤特定人士,當特定人物出現時引爆炸彈。
7、盜用身分
復制RFID晶片卡以盜用他人身分或作為在場或不在場證明。
結語
當RFID在各行各業的應用與管理帶來便利與節省成本的同時,它也改變了相關產業的經營模式,也改變了我們的生活習慣,而且將持續地改變并擴大其影響,這些改變及其影響有正面意有負面。
當一個新的RFID系統導入時,應謹慎評估其效益與影響,并善盡保護使用者的隱私、個人資料及人身、財產與系統安全。近來各國為加強國境安全及對抗恐怖活動,相繼推出RFID晶片護照。然已傳出英、德RFID護照被駭客組織破解,相關機關應密切注意,否則新護照不僅不能對抗恐怖活動,可能被恐怖組織利用影響安全更巨。
2001年聯邦助理檢察官Daniel A. Morris曾表示:今天的竊賊使用電腦會比使用手槍偷得更多,明天的恐怖份子使用鍵盤會比使用炸彈所造成的損害更大可作為發展RFID系統的借鏡。
后記:本文摘自本人于2009 RFID國際隱私權論壇演講內容;感謝臺灣NEC股份有限公司及亞元國際股份有限公司協助。
(文/中央警察大學資訊管理系.張維平助理教授 )
