بانک مرکزی ادعا می کنه که بسترهای USSD بدون امنیت درست واسه انجام تراکنشای مالی هستن و از یکی دو سال پیش فشارهایی به این نوع سیستم پرداخت رو اعمال کرده و اونا رو محدودتر کرده. این بار بانک مرکزی با سیاست جدی تر خود تصمیم به حذف کامل انجام تراکنشای مالی روی این بستر گرفته که با تصمیم وزارت ارتباطات و مسئولین بانک مرکزی اجرای اون تا چندماه به حالت تعلیق در اومده. اما واقعا تراکنشای USSD مشکل امنیتی دارن و حذف اونا لازمه؟

«محمدرضا کلهر»، کارشناس ارشد فناوری اطلاعات گسترش خدمات بانکداری الکترونیکی و رقابت شدید شرکتا واسه ورود به این میدون رو یکی از اولین دلایل وارد شدن سیستم USSD به کشور عنوان می کنه و البته سهم زیاد موبایلای غیرهوشمند در اون زمان رو هم از دلایل دیگه عرضه این سیستم می دونه. اون به سایت ما میگه:

«ورود این بسترها در کشور به بیشتر از ۵ سال پیش برمیگرده و به مرور کامل تر شدن. شاید یادتون باشه که اوایل مجبور به وارد کردن شماره کارت در هر تراکنش بودیم و بعد شماره کارتا در سامانه ها ثبت می شدن طوری که هروقت با هر سیم کارت دوباره کد دستوری رو وارد می کردیم دیگه احتیاجی به وارد کردن هرباره شماره کارت نبود. این سوغات تنها نکته امنیتیه که میشه در بسترهای USSD رعایت کرد و در هیچ نقطه از دنیا پا رو از این بالاتر نگذاشته ان چون که وجود این نوع پرداختا جایی واسه مانور دادن مسایل امنیتی نمی ذاره.»

کلهر نبود زیرساختای اینترنت در کشور رو دلیل ورود اینجور سیستمی به ایران می دونه و میگه که در خارج کشور کارشناسان بانکی رو می شناسه که اصلا این سیستم رو نمی شناسن چون که در خیلی از نقاط جهان بستر USSD نامعلوم س. ایشون دلیل این ناشناختگی رو نبود امنیت این شبکه عنوان می کنه و USSD رو سیستمی داخلی واسه اپراتورها معرفی می کنه که بانکداری نباید به اون وارد شه:

«در این بسترها اطلاعات به صورت plaintext فرستاده میشه و یا از قراردادایی استفاده می شه که خیلی راحت قابل رمزگشایی هستن. عمل ارسال و دریافت کدهایی که مشترک وارد می کنه هیچ گونه رمزنگاری نداره و به طور کامل به وسیله افراد پشت پرده در سیستم قابل شناساییه. راه حل وارد نکردن شماره کارت هم نمی تونه حتما امنیت رو تضمین کنه چون که هکرها می تونن خیلی راحت وارد کار شن.

هکر با قرار دادن یه ایستگاه فرستنده-گیرنده که دارای کد شبکه گوشی موبایل واقعیه می تونه خودشو جای BTS (آنتنای مخابراتی) جا بزنه و به عنوان واسطه بین کاربر و شبکه واقعی اقدام به شنود و یا حتی تغییر پیاما کنه. از اینکه به چه دلیل تا الان کسی دست به این کار نزده تعجب می کنم. »

این کارشناس فناوری اطلاعات تهدیدات دیگری چون استخراج کلید مخفی از سیم کارت مشترکین (که منتهی به ساخت سیم کارتی دقیقا مشابه با سیم کارت مشترک می شه) و نامعلومی وضعیت رمزنگاری واسه کاربر رو از جمله موارد دیگه مشکل دار در مورد بستر USSD می دونه:

«جالبه بدونین اگه این وسط هکری هم حملات خود رو به سمت مشترکین شروع کنه، به دلیل قرارداد ایجاد رابطه و نبود مکانیزمی واسه گرفتن اصالت کاربر اصلا نمیشه وقوع حملات رو تشخیص داد چه مونده که بشه جا و زمان هکر رو هم پیدا کرد.»

از نظر کلهر با اینکه USSD از اس ام اس (SMS) و یا MMS امن تره اما بازم چاله های امنیتی زیادی داره که دچار شدن به اونا، به رابط کاربری آسون این سیستما نمی ارزه. اون در جواب سایت ما مبنی بر اینکه به چه دلیل تا الان کسی دم از این اشکالات نزده س میگه:

«بیشتر از دو ساله که کارشناسان و اهل فن و خود بانک مرکزی هشدارهایی رو در مورد سیستمای USSD میدن. اعمال محدودیتای کمی هم واسه این بسترها از طرف بانک مرکزی شده ولی دلیلای زیادی می تونه این سیستم رو تا به امروز زنده نگه داشته باشه. یکی همون رابط کاربر آسون و یکی هم ازدیاد گوشیای غیرهوشمند و ساده در بین اقشار جورواجور جامعه.

البته دلایل دیگری هم می تونه این وسط اثر داشته باشه مثل درآمدهای میلیاردی صدا و سیما و یا دیگه سازمانا براساس تبلیغات این کدها که شاید در آینده به صورت تبلیغات اپلیکیشنا به جای به کار گیری این کدها در بیاد.»

محمدرضا کلهر باور داره که که ترک کردن این عادات بیشتر به نفع خودمون میشه تا به نفع دیگه سازمانا: «منکر نمیشم که شاید سیاستی پشت پرده علنی شدن یهویی این موضوع باشه ولی امن تر شدن حسابای بانکی بسیار مهم تر از بازیای سیاسی احتمالی پشت پرده س.»

اونطور که کارشناسان میگن USSD رو نمیشه از نقطه نظر کاربرده های مالی و تجاری یه کانال امن و مطمئن به حساب آورد چون که بطور طبیعی مکانیزمی در اون واسه واسه رمزنگاری داده ها و یا بررسی جامعیت پیام در نظر گرفته نشده.

بعضی از مدیران شرکتای فعال در این بخش هم در عکس العملای خود نسبت به سیاست گذشته بانک مرکزی به طور ضمنی ناامن بودن اونا رو تایید کردن، با این حال استفاده آسون و بدون دسترسیای خاص از سیستمای USSD تبدیل انگار تنبلی و بدعادتی میلیونا مشترک شده، عادتی که باید جایگزینی مناسب، سریع و راحت واسه اون پیدا شه تا شاید ترک شه.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *