澳大利亚Pure Hacking推RFID系统安全检测服务

    Pure Hacking长期致力于对黑客或系统安全性渗透测试，并提供咨询服务，发掘客户公司现有安全措施的漏洞，并提供更好地保护数据安全的措施。该公司以前的业务重点是在无线和有线网络下本地服务器和应用软件的防火墙和安全保护。现在，他们开始测试RFID系统弱点和漏洞，并为部署了RFID技术的公司提供安全监测服务。

    来自Pure Hacking的Joshua Perrymon表示，公司正在重点研究与RFID系统不安全性相关的操作和技术风险，而且该公司使用一套同NIST和ISO相似的结构化的审核流程。 除了帮助客户改善信息安全，Pure Hacking也帮助客户尽早发现安全风险，而不是等系统由于漏洞被攻击时才设法解决，为客户节省了大量的金钱。

    Pure Hacking公司的Perrymon和McAdam与正在审核的客户公司的执行管理人员和主要员工面谈，并发放调查问卷，了解客户公司RFID系统的部署情况。通过从上述工作获得的信息，他们判断出与客户公司运作相关的操作风险。“我们先了解政策和流程，并就此提出新的建议。”McAdam说道。

    客户公司的技术风险是通过实际渗透测试来评估。“我们将找出可能攻击的区域，然后通过一种入侵识读器进入系统，模拟攻击。”McAdam说道。这项测试是设法使用一台未经认可的识读器对客户公司部署的标签进行识读，并复制或者改变标签上编码的数据，或者使用识读器控制标签识别在其芯片上编码的数据结构。

    Pure Hacking正在向RFID所有终端用户推广其RFID审核咨询服务，这些终端用户中有零售供应链中的公司以及RFID应用与高敏感或所有权信息相关的赌场或化学公司。

    Pure Hacking在澳大利亚有着巨大的市场机遇，据Perrymon说，目前有接近1,300家公司正在测试RFID技术。然而他和McAdam都表示他们有意在全球各地推广其RFID审核系统。

    迄今，Pure Hacking已经完成了一项对高频(13.56 MHz)RFID门禁系统的审核。通过商议，Pure Hacking对客户公司提出了许多建议，包括如何储存门禁卡和如何使门禁受限与门禁卡等。 在审核中，Pure Hacking完全复制了一张卡，并使用它进入大楼。其建议包括了升级公司系统支持数据保密（密码），这样门禁卡将不能被复制。

    McAdam表示，今后，公司想将RFID审核工作的重点推向EPC Gen 2标签和识读器。“我们发现了Gen 2系统中关于标签处理数据访问和消除密码方式的几个风险。”AcAdam说道，“我们目前正在分析Gen 2协议，通过使用定制的内部数据确定风险和可能发生的系统入侵情景。”

    Pure Hacking计划向EPCglobal提出他们发现的Gen 2安全风险，希望EPCglobal能够在未来RFID标准制定中使用这些信息。