Технология, которая позволяет быстро и автоматически идентифицировать физические объекты, также является основным продуктом для многих отраслей: фабрики и склады используют ее для отслеживания запасов и управления цепочками поставок, фармацевтические компании используют ее для отслеживания лекарств, а курьерские службы используют ее для маркировки. поставки. Но что произойдет, если технология RFID будет скомпрометирована?«Нарушение безопасности в приложениях RFID приведет к утечке ценной информации о физических объектах неавторизованным сторонам», — говорит Ли Инцзю, доцент Школы информационных систем Сингапурского университета управления (SMU). Профессор Ли, эксперт по RFID-безопасности и конфиденциальности, а также по другим аспектам мобильной безопасности, пытается внедрить более эффективные меры безопасности в эту технологию.
Улучшение протоколов безопасности RFIDПоскольку метки RFID работают, передавая информацию электронным считывающим устройствам RFID, могут возникнуть нарушения безопасности, если хакеры подслушают этот разговор и смогут получить доступ к информации или подделать ее.
По словам профессора Ли, последствия такого нападения могут быть серьезными. «В контексте управления цепочкой поставок, например, это означает, что промышленный шпионаж может получить конфиденциальную информацию об уровне запасов, объемах торговли, торговых партнерах и даже бизнес-планах», — поясняет он.Чтобы защитить связь между метками и считывающими устройствами, профессор Ли и его команда разрабатывают и тестируют новые протоколы RFID с улучшенными функциями безопасности, например, в исследовании 2010 года «Достижение высокой безопасности и эффективности в цепочках поставок с RFID-метками», опубликованном в International Журнал прикладной криптографии.
Эти стратегии включают в себя непредсказуемость вывода протокола, создание неразличимых для хакера двух тегов и предотвращение получения хакерами полезной информации, даже если им удается взаимодействовать с тегами.Кроме того, по словам профессора Ли, во многих случаях обмен информацией RFID — например, между поставщиками и розничными торговцами или между различными компонентами Интернета вещей — принесет очевидные выгоды. Однако без соответствующих мер безопасности большинство компаний не захотят делать ценные данные легкодоступными. Чтобы решить эту проблему, команда профессора Ли также разрабатывает улучшенные механизмы контроля доступа, которые защищают информацию RFID, когда она передается в Интернете.
Стресс-тестирование безопасности смартфонаФактически, мы носим RFID в карманах — мобильные платежные системы, такие как Apple Pay и Google Wallet, используют специализированную форму технологии. Учитывая, что мы все больше полагаемся на смартфоны для повседневных функций — например, для банковских транзакций и бесконтактных платежей — безопасность мобильных устройств стала чрезвычайно важной областью.
Профессор Ли особенно искусен в обнаружении потенциальных уязвимостей в операционных системах смартфонов. В 2012 году его команда определила ряд атак, которые хакеры могли использовать для нацеливания на Apple iPhone. Код для запуска этих атак, который включал взлом пароля, вмешательство в работу телефонии или управление ею, а также отправку твитов без разрешения пользователя, мог быть встроен в сторонние приложения, доступные в магазине iTunes.Команда сообщила о своих выводах команде безопасности Apple, и компания закрыла эти лазейки, когда в следующем году была выпущена ее новая операционная система.
Они также изложили свои выводы в статье 2013 года «Запуск общих атак на iOS с помощью утвержденных сторонних приложений», которая была опубликована в Proceedings of Applied Cryptography and Network Security: 11th International Conference, ACNS 2013.Совсем недавно команда профессора Ли также сообщила об уязвимостях фреймворка Android и потенциальных атаках в Google, который далее подтвердил выводы группы SMU в своих бюллетенях по безопасности. Команда также разработала набор инструментов для анализа уязвимостей смартфонов в сотрудничестве с китайской телекоммуникационной компанией Huawei; два патента, вытекающие из этого проекта, были оценены компанией как «потенциально высокие».
«Мы видим возможности сотрудничества с промышленностью в этой области, потому что для производителей смартфонов важно улучшать свои продукты с точки зрения безопасности», — говорит профессор Ли.Преодоление разрыва между академическим сообществом и промышленностью
Во многих ситуациях владельцы данных могут не полностью доверять поставщикам услуг — например, когда мы храним данные в облачных службах или обмениваемся ими через защищенные системы обмена сообщениями. В сотрудничестве с профессором Робертом Денгом, также работающим в Школе информационных систем SMU, профессор Ли сейчас работает над разработкой новых решений для атрибутивного шифрования — формы шифрования, которая дает владельцам данных лучший контроль над тем, кто может получить доступ к их данным.
По словам профессора Ли, решения этой пары были опубликованы в статье «Полностью безопасное шифрование на основе атрибутов политики ключей с шифротекстами постоянного размера и быстрым дешифрованием» для ASIA CCS’14: Материалы 9-го симпозиума ACM по информации. Компьютерная и коммуникационная безопасность имеют множество приложений в реальных сценариях.
Однако, несмотря на свои обещания, вывести это исследование на рынок все еще остается проблемой. «Хотя мы можем доказать теоретически и с помощью проверенных прототипов, что наше решение лучше существующих решений с точки зрения безопасности и гибкости, по-прежнему трудно убедить отрасль принять его, не доработав его до конечного продукта, "- указывает профессор Ли.По его словам, действительно, одна из самых больших проблем в области безопасности данных — это увеличивающийся разрыв между академическим сообществом и промышленностью.
Хотя люди в промышленности знакомы с рынком, они в основном изолированы от передовых исследований; наоборот, ученые уделяют слишком много внимания исследованиям и недостаточно — пониманию рынка.«Я вижу будущее безопасности данных в том, как сократить разрыв и навести мосты между двумя сообществами, которые имеют совершенно разные стимулы и критерии оценки», — говорит профессор Ли.
Со своей стороны, добавляет он, он очень хочет изучить способы увеличения промышленного воздействия своих исследований.