سرقت اطلاعات و ضعف سرورها دو مشکل کدهای دستوری

بستر تراکنش‌های USSD دارای آسیب‌پذیری‌های متعددی است که به مهاجمین این امکان را می‌دهد تا به داده‌های محرمانه و حساس کاربران دسترسی پیدا نمایند.

به گزارش بانکینا، بانک مرکزی در بخش‌نامه‌ای اعلام کرد که کدهای USSD به‌دلیل برخوردار نبودن از امنیت کافی کنار گذاشته‌ می‌شوند. بر اساس بخش‌نامه بانک مرکزی نباید اطلاعات حساس کارت مشتریان ازجمله رمز دوم آنها از مسیرهایی که فاقد رمزنگاری مناسب است و امکان ذخیره‌سازی یا مشاهده آن توسط عواملی غیر از بانک یا ارائه‌دهنده خدمات پرداخت وجود دارد، مبادله شود.

بر این اساس از نیمه بهمن‌ماه امسال تراکنش‌های فاقد رمزنگاری از مبدأ تا مقصد وجود نخواهد داشت. در همین راستا بانکینا مصاحبه‌ای اختصاصی با دکتر میلاد یداللهی مدیرعامل شرکت آشنا ایمن و از کارشناسان حوزه امنیت انجام داده است. ایشان در این مصاحبه به بررسی مشکلات امنیتی کدهای دستوری و میزان امنیت گزینه‌های جایگزین این کدها پرداخته است.

بر اساس بخشنامه بانک مرکزی به دلیل مشکلات امنیتی استفاده از کدهای ussd محدود خواهد شد. سوال مردم این است که این کدها چه مشکلات امنیتی داشته‌اند و منظور از مشکلات امنیتی کدهای ussd چیست؟

یکی از موضوعات اساسی و اولیه در بررسی بسته‌های حاوی پیام در یک شبکه ارتباطی، توجه به آسیب‌پذیری‌ها و فضای ریسکی بستر مورد استفاده برای انتقال پیام مذکور است، این مسئله بویژه زمانی که پیام‌های ما از نوع تراکنش‌های مالی و پرداخت می‌باشند اهمیت بیشتری پیدا می‌کند. متاسفانه بستر تراکنش‌های USSD که از مبدا یک گوشی موبایل تا سرورهای بانک در حال انتقال می‌باشند، دارای آسیب‌پذیری‌های متعددی است که به مهاجمین این امکان را می‌دهد تا به داده‌های محرمانه و حساس کاربران دسترسی پیدا نمایند و این موضوع دلیل اصلی ناامن خواندن این کانال و راهکار محسوب می‌شود.

بستر مذکور به دلیل عدم استفاده از مکانیزم‌های کنترلی نظیر رمزنگاری داده‌های در حال ارسال بر روی شبکه و همچنین محدودیت‌های موجود در فناوری‌های مخابراتی مورد استفاده در شبکه تلفن همراه، امکان شنود اطلاعات بانکی شامل شماره کارت و رمز دوم را برای مهاجم فراهم می‌سازد. علاوه‌بر این، تا به حال مشکلات و آسیب‌پذیری‌های عدیده‌ای نیز در سرورهای واسط USSD شناسایی و کشف شده است که همین موضوع بر ریسک‌های امنیتی موجود در این کانال ارتباطی مورد استفاده برای پرداخت، می‌افزاید.

آیا شما موافق این بخشنامه بانک مرکزی هستید؟ اگر نقدی به آن دارید بفرمایید.

با توجه به پاسخ سوال قبل و ریسک‌های بالای امنیتی ذکر شده برای USSD، به نظر می‌رسد استفاده از این راهکار برای سیستم پرداخت کارتی که حاوی اطلاعات محرمانه و بانکی مردم است از حیث امنیت اطلاعات به هیچ وجه صحیح نیست و از نظر بنده اینکه ارتباط سیستم پرداخت کارتی با USSD باید قطع شود حتما اقدام درستی است که در قالب بخشنامه اخیر بانک مرکزی در دستور کار قرار گرفته است.

اما نقد اصلی به این بخشنامه شامل خود بخشنامه نمی‌شود بلکه متوجه زمان انتشار و اقدام عملی از سوی مراجع قانون‌گذار و مجری در این حوزه است که به نظر، بسیار دیر و با تاخیر بوده است. نباید اجازه داد یک فناوری ضعیف و آسیب‌پذیر و البته جذاب از سوی کاربران، تا به این حد در میان مردم شناخته شده و رشد نماید که برای تغییر روی آن این هزینه بالای اجتماعی پرداخت شود. هزینه‌ای که برای افراد این سوال را پیش می‌آورد که اگر استفاده از USSD دارای امنیت کافی در مبحث پرداخت نیست، چرا از ابتدا جلوی آن گرفته نشد و یا محدود نگردید؟!

در مجموع با وجود تاخیر در صدور این بخشنامه، بنظرم این اقدام، اقدام صحیحی بوده و از بروز خسارات احتمالی زیادی ناشی از سرقت اطلاعات محرمانه کاربران جلوگیری خواهد نمود.

پس ار حذف کدهای دستوری، مردم بهتر است از چه ابزارهایی استفاده کنند؟ آیا ابزارهای جایگزین ایمن هستند؟

همان طور که در بررسی آماری تمایلات کاربری مردم در حوزه‌های مختلف فناوری مشاهده می‌شود، ابزارهای هوشمند همراه و به طور خاص استفاده از گوشی‌های موبایل درصد بالایی از تعاملات افراد در زمینه‌های مختلف و از جمله فعالیت‌های بانکی و پرداخت را به خود اختصاص می‌دهند. یکی از عوامل رشد و استقبال مردم از USSD هم شاید سهولت استفاده و مبتنی بودن آن بر گوشی‌های موبایل بوده است. با این فرض، معرفی و ارائه راهکارهای جایگزین نیز بهتر است با همین قالب و ویژگی های مشابه مطرح گردد تا بتوان اقبال عمومی را درخصوص آنها انتظار داشت.

استفاده از برنامه‌های موبایلی پرداخت که در حال حاضر بسیاری از فین‌تک‌ها بر روی آن متمرکزند، بهترین جایگزین برای USSD هستند. برنامه‌های موبایلی پرداخت به شرط رعایت اصول طراحی و توسعه امن اپلیکیشن‌های موبایل و بهره‌گیری از ابزارهای مناسب ایمن‌سازی (Hardening) در این حوزه می‌توانند علاوه‌بر ایجاد شرایطی کاربرپسند و آسان، نیازهای امنیتی را کاملا فراهم نمایند.

به لحاظ تئوری، امنیت در نرم‌افزارهای موبایلی تا سطح قابل قبولی قابل تامین است، اما اینکه نرم‌افزارهای پرداخت موبایلی موجود چقدر الزامات امنیتی را رعایت نموده و ایمن پیاده‌سازی شده‌اند و این مبحث تا چه حد مورد توجه شرکت‌های فعال در حوزه پرداخت قرار گرفته، موضوعی است که حتما می‌تواند مورد بررسی دقیق قرار بگیرد و ریسک‌های ناشی از آن شناسایی و مدیریت شود.

شرکت آشنا ایمن با توجه به سابقه فعالیت‌های تخصصی خود در حوزه امنیت اطلاعات و همچنین با در نظر گرفتن روندهای جهانی در چند سال اخیر، توجه ویژهای به این موضوع داشته و مقالات متعددی نیز در وبلاگ تخصصی ما در این رابطه منتشر شده است. همچنین تیم تحقیق و توسعه ما بعد از سال‌ها تلاش مستمر، ابزارهای خوبی را برای افزایش امنیت برنامه‌های موبایلی توسعه داده که برنامه آزمونگر یا همان MSST یکی از آنهاست که به توسعه دهندگان و صاحبان کسب و کار کمک می‌کند تا آسیب‌پذیری‌های برنامه‌های خود را شناسایی کرده و آنها را رفع نمایند.