امنيت سرويس هاي USSD ؛ آيا حذف تراکنشهاي مالي روي اين بستر ضروري است؟
تاریخ انتشار: ۱۱ بهمن ۱۳۹۶ | کد خبر: ۱۶۹۳۵۹۶۳
خبرگزاري آريا - بانک مرکزي ادعا ميکند که بسترهاي USSD فاقد امنيت درست براي انجام تراکنشهاي مالي هستند و از يکي دو سال پيش فشارهايي به اين نوع سيستم پرداخت را اعمال کرده و آنها را محدودتر کرده است. اين بار بانک مرکزي با سياست جديتر خود تصميم به حذف کامل انجام تراکنشهاي مالي روي اين بستر گرفته که البته با تصميم وزارت ارتباطات و مسئولين بانک مرکزي اجراي آن تا چندماه به حالت تعليق در آمده است.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
«محمدرضا کلهر»، کارشناس ارشد فناوري اطلاعات گسترش خدمات بانکداري الکترونيکي و رقابت شديد شرکتها براي ورود به اين عرصه را يکي از اولين دلايل وارد شدن سيستم USSD به کشور عنوان ميکند و البته سهم زياد موبايلهاي غيرهوشمند در آن زمان را نيز از دلايل ديگر عرضه اين سيستم ميداند. او به ديجياتو ميگويد:
«ورود اين بسترها در کشور به بيش از 5 سال پيش بر ميگردد و به مرور کاملتر شدند. شايد يادتان باشد که اوايل مجبور به وارد کردن شماره کارت در هر تراکنش بوديم و سپس شمارهکارتها در سامانهها ثبت ميشدند به طوري که هرگاه با هر سيمکارت دوباره کد دستوري را وارد ميکرديم ديگر نيازي به وارد کردن هرباره شماره کارت نبود. اين رهاورد تنها نکته امنيتي است که ميتوان در بسترهاي USSD رعايت کرد و در هيچ نقطه از دنيا پا را از اين فراتر نگذاشتهاند چرا که ماهيت اين نوع پرداختها جايي براي مانور دادن مسايل امنيتي نميگذارد.»
کلهر نبود زيرساختهاي اينترنت در کشور را دليل ورود چنين سيستمي به ايران ميداند و ميگويد که در خارج کشور متخصصان بانکي را ميشناسد که اصلا اين سيستم را نميشناسند چرا که در بسياري از نقاط جهان بستر USSD ناشناخته است. وي دليل اين ناشناختگي را عدم امنيت اين شبکه عنوان ميکند و USSD را سيستمي داخلي براي اپراتورها معرفي ميکند که بانکداري نبايد به آن وارد شود:
«در اين بسترها اطلاعات بهصورت plaintext ارسال ميشود و يا از پروتکلهايي استفاده ميشود که به راحتي قابل رمزگشايي هستند. عمل ارسال و دريافت کدهايي که مشترک وارد ميکند عملا هيچ گونه رمزنگاري ندارد و کاملا توسط افراد پشت پرده در سيستم قابل شناسايي است. راهکار وارد نکردن شماره کارت هم نميتواند لزوما امنيت را تضمين کند چرا که هکرها ميتوانند به راحتي وارد کار شوند.
هکر با قرار دادن يک ايستگاه فرستنده-گيرنده که داراي کد شبکه تلفن همراه واقعي است ميتواند خودش را جاي BTS (آنتنهاي مخابراتي) جا بزند و به عنوان واسطه بين کاربر و شبکه واقعي مبادرت به شنود و يا حتي تغيير پيامها کند.»
اين کارشناس فناوري اطلاعات تهديدات ديگري چون استخراج کليد مخفي از سيمکارت مشترکين (که منجر به ساخت سيمکارتي دقيقا مشابه با سيمکارت مشترک ميشود) و نامعلومي وضعيت رمزنگاري براي کاربر را از جمله موارد ديگر مشکلدار در زمينه بستر USSD ميداند:
«جالب است بدانيد اگر در اين بين هکري هم حملات خود را به سمت مشترکين آغاز کند، به دليل پروتکل برقراري ارتباط و نبود مکانيزمي براي احراز اصالت کاربر به هيچوجه نميتوان وقوع حملات را تشخيص داد چه مانده که بتوان مکان و زمان هکر را هم پيدا کرد.»
از نظر کلهر با اينکه USSD از پيامک (SMS) و يا MMS امنتر است اما بازهم حفرههاي امنيتي زيادي دارد که دچار شدن به آنها، به رابط کاربري آسان اين سيستمها نميارزد. او در پاسخ ديجياتو مبني بر اينکه چرا تاکنون کسي دم از اين اشکالات نزده است ميگويد:
«بيش از دو سال است که کارشناسان و اهل فن و خود بانک مرکزي هشدارهايي را در رابطه با سيستمهاي USSD ميدهند. اعمال محدوديتهاي کمي هم براي اين بسترها از سوي بانک مرکزي شده ولي دلايل مختلفي ميتواند اين سيستم را تا به امروز زنده نگه داشته باشد. يکي همان رابط کاربر آسان و يکي هم ازدياد گوشيهاي غيرهوشمند و ساده در بين اقشار گوناگون جامعه.
البته دلايل ديگري نيز ميتواند در اين بين دخيل باشد همچون درآمدهاي ميلياردي صدا و سيما و يا ديگر سازمانها بر اساس تبليغات اين کدها که احتمالا در آينده به صورت تبليغات اپليکيشنها به جاي استفاده از اين کدها در بيايد.»
محمدرضا کلهر اعتقاد دارد که که ترک کردن اين عادات بيشتر به نفع خودمان خواهد بود تا به نفع ديگر سازمانها: «منکر نميشوم که شايد سياستي پشت پرده علني شدن ناگهاني اين موضوع باشد ولي امنتر شدن حسابهاي بانکي بسيار مهمتر از بازيهاي سياسي احتمالي پشت پرده است.»
آنطور که کارشناسان ميگويند USSD را نميتوان از نقطه نظر کاربردهاي مالي و تجاري يک کانال امن و مطمئن تلقي نمود چرا که بطور طبيعي مکانيزمي در آن براي براي رمزنگاري دادهها و يا بررسي جامعيت پيام در نظر گرفته نشدهاست.
برخي از مديران شرکتهاي فعال در اين حوزه هم در واکنشهاي خود نسبت به سياست اخير بانک مرکزي به طور ضمني ناامن بودن آنها را تاييد کردهاند، با اينحال استفاده آسان و بدون دسترسيهاي خاص از سيستمهاي USSD تبديل به نوعي تنبلي و بدعادتي ميليونها مشترک شده است، عادتي که بايد جايگزيني مناسب، سريع و راحت براي آن پيدا شود تا شايد ترک شود.
منبع: خبرگزاری آریا
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.aryanews.com دریافت کردهاست، لذا منبع این خبر، وبسایت «خبرگزاری آریا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۱۶۹۳۵۹۶۳ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
حساب بانکی چه افرادی مشمول مالیات میشود؟
آفتابنیوز :
مهدی طغیانی سخنگوی کمیسیون اقتصادی مجلس شورای اسلامی با اشاره به انتقاد برخی نمایندگان مجلس نسبت به تغییرات ایجادشده در طرح مالیات بر سوداگری گفت: شورای نگهبان به برخی مواد طرح مالیات بر سوداگری از جمله ماده ۸ این طرح ایرادات و ابهاماتی را وارد کرده است.
وی افزود: با توجه به اینکه ماده ۸ از مواد زیرساختی طرح مالیات بر سوداگری بهشمار میرود که پایههای اطلاعاتی برای اجرای این طرح را فراهم میکند، بنابراین ماده ۸ یکی از مواد مفصل طرح است که رفع ابهام از برخی دیگر از مواد طرح نیز منوط به اصلاح همین ماده شده است.
طغیانی با رد ادعای برخی نمایندگان مجلس که معتقدند کمیسیون اقتصادی برای جلب نظر شورای نگهبان اقدام به قانونگذاری جدید کرده است، گفت: به هیچ عنوان چنین اتفاقی نیفتاده است و ما در کمیسیون صرفاً ایرادات و ابهامات شورای نگهبان به طرح را رفع کردیم، بهطور مثال یکی از ابهاماتی که شورای نگهبان به طرح وارد کرده این است که بانک مرکزی و سازمان امور مالیاتی چهتعداد از تراکنشها در حسابهای غیرتجاری را مورد بررسی قرار میدهند.
سخنگوی کمیسیون اقتصادی مجلس ادامه داد: در اصلاحیهای که جهت مرتفع کردن نظر شورای نگهبان در کمیسیون صورت گرفت، تصریح شد که تنها ۵ دهم درصد از تراکنشهای مرتبط با حسابهای غیرتجاری افراد که بالاترین اعداد را داشته باشند مورد بررسی قرار میگیرند، بنابراین اینطور نیست که این قانون تمام مردم را شامل شود.
وی خاطرنشان کرد: البته یک شائبه درباره این بخش از طرح وجود داشت که این نیمدهم درصد آیا ناظر به اشخاصی است که بالاترین تراکنشها را داشتند یا اینکه ناظر به کل جمعیت کشور است که ما توضیح دادیم ملاک ما در بررسیها، کل جمعیت کشور است، بهعبارت دقیقتر اگر جمعیت کشور را ۸۵ میلیون نفر در نظر بگیریم، تنها حساب غیرتجاری ۴۲ هزار و ۵۰۰ نفر از اشخاصی که بالاترین تراکنشها را در این دسته از حسابهای بانکی خود داشته باشند، مورد بررسی قرار میگیرد و سایر مردم از بررسیها معاف هستند.
منبع: خبرگزاری تسنیم