Tuesday, May 15, 2007

Hacker đã có cách khai thác RFID

Cùng với nhiều tiện ích mà công nghệ chip sử dụng sóng radio non trẻ này hứa hẹn đem đến cho các doanh nghiệp bán lẻ đã xuất hiện dạng ăn cắp mới. Một chuyên gia bảo mật của Đức chứng minh được điều này.

Hãy tưởng tượng một thanh niên bước vào cửa hàng tạp phẩm, nơi tất cả các sản phẩm đều được gắn thẻ RFID. Anh ta lôi ra một thiết bị cá nhân PDA có trang bị đầu đọc RFID và quét thẻ gắn trên một lọ dầu gội có giá 7 USD. Tên trộm này sẽ thay thế thông tin trên đó bằng dữ liệu cùng loại ở một hộp sữa có giá 3 USD rồi nạp (upload) lại vào thẻ của lọ dầu gội. Khi ra đến bàn thanh toán (mà hầu hết sẽ là quầy tự động), anh ta chỉ bị hệ thống computer của cửa hàng tự động tính đúng 3 USD.

Theo Lukas Grunwald, tác giả của phát hiện này, thì đây không chỉ là một giả thiết mà thực tế ông đã thực hiện thành công việc thay đổi thông tin trên thẻ RFID (tất nhiên là chưa ăn cắp thứ gì ở cửa hàng nào). Để chứng minh lập luận của mình và giúp người tiêu dùng hiểu thêm về an ninh của chip thu phát radio, Grunwald còn giới thiệu một phần mềm miễn phí có tên RFDump, kết quả của vài năm nghiên cứu về công nghệ RFID. Đây chính là chương trình đi kèm với đầu đọc thẻ để thực hiện được việc thay đổi giá bán nói trên.

Phát hiện của Grunwald được công bố tại Đại hội hacker Black Hat diễn ra tại Las Vegas (Mỹ) gần đây. “Có một nguy cơ rất lớn đang đón chờ người sử dụng công nghệ này nếu họ không để ý kỹ đến vấn đề bảo mật”, chuyên gia người Đức cho biết.

Một số tập đoàn bán lẻ như Wal-Mart và Target gần đây bắt đầu triển khai công nghệ RFID và coi đó là chiếc đòn bẩy mới, có vai trò quan trọng đối với hệ thống cung cấp của họ. Tuy nhiên, giống như hầu hết các công ty khác, họ vẫn chưa cài thẻ vào từng sản phẩm đơn lẻ (giống như ở cửa hàng thuộc tổ hợp Metro mà Grunwald đã tiến hành thử nghiệm). Thay vào đó, các doanh nghiệp này hiện mới chỉ gắn thẻ phát sóng lên những hộp hàng lớn và chờ cho đến khi giá thành áp dụng công nghệ này lên từng đơn vị sản phẩm được hạ bớt.

Albrecht Truchsess, phát ngôn viên của Metro, cho biết công ty này đang thiết kế loại thẻ đơn cho từng sản phẩm dùng cho 3 nhóm hàng: pho mát kem nhãn hiệu Kraft Foods, dầu gội đầu Pantene của Procter&Gamble và dao cạo râu Gillette. Vị đại diện này còn nói thêm rằng vì thẻ RFID hiện mới chỉ áp dụng trong khuôn khổ một dự án thí điểm mang tên “Quầy hàng tương lai” của họ, có kết hợp với một số công nghệ bán lẻ khác, cho nên các tính năng an ninh của nó còn chưa được mạnh. “Những gì chúng tôi đang làm là sử dụng thẻ RFID cho các ứng dụng trên những chiếc giá bày hàng thông minh”, Truchsess nói. “Đó là những kệ để hàng có khả năng theo dõi những gì được xếp lên trên nó. Loại thẻ áp dụng ở đây còn rất cơ bản vì đơn thuần mới là thử nghiệm”.

Metro dự kiến họ sẽ phải mất khoảng 10 năm hoặc lâu hơn trước khi tất cả các mặt hàng được gắn thẻ RFID. “Mỗi cái thẻ mà chúng tôi đang dùng có giá khoảng 30-40 cent”, Truchsess cho biết. “Nếu gắn vào từng sản phẩm một với giá như vậy vào thời điểm này thì còn đắt quá”.

Theo Pete Abell, một chuyên gia tư vấn về RFID của hãng EPCGroup (Mỹ), khi mà các đơn vị kinh doanh đã thực sự chấp nhận và triển khai đại trà công nghệ này, bất cứ người tiêu dùng nào đem theo đầu đọc RFID vào cửa hàng cũng sẽ bị phát hiện. Thứ hai, thẻ gắn trên sản phẩm sẽ được lập trình để chỉ phản hồi với những đầu đọc hợp lệ của cửa hàng. Ngoài ra, ngành công nghiệp bán lẻ cũng đang xúc tiến phát triển khả năng mã hóa mạnh hơn. “Hiện nay mới chỉ có kỹ thuật mã hóa ở dạng 8 bit, mà như thế thì hơi dễ vượt qua”, Abell nhận xét. “Tôi cũng không chắc nó đã được áp dụng cho các loại thẻ RFID hiện hành chưa”.

Phan Khương (theo Forbes)

No comments: