این گزارش تنها برای پاسخگوئی در مورد بعضی ادعاهای بدون ریشه جهت تهمت زدن به اینجانب در این وبلاگ قرار میگیرد. بدیهی است با توجه به اینکه این گزارش درسال 68 تهیه شده است. نشاندهنده عدم نیاز بنده به جلب توجه و یا خودنمائی در رسانه ها میباشد. نکته مهم اینست که هرکسی که به فکر اصلاح مشکلات مدیریتی در ایران باشد مطمئنا با انواع اتهامات روبرو میشود که نمونه آن اقدام افشاگری اینجانب میباشد که تمامی تهمتهای بی اساس و پایه نصیب من شد. ولی هیچگاه خورشید را نمیتوان با گل پوشاند. حقیقت عدم وجود امنیت در سیستم بانکی ایران به علت سوء مدیریت در شبکه بانکی حقیقتی است که چون خورشید با این افشاگری برای تمامی مردم ایران آشکار شد و هرگونه تلاشی برای به حاشیه کشیدن این واقعیت باعث رسوا شدن افرادی میشود که میخواهند این واقعیت را به باد فراموشی بسپارند.
Banking Problems in Iran
Sunday, January 13, 2013
Monday, July 16, 2012
مصاحبه پخش شده در سایتهای خبری در مورد مشکلات امنیتی بانکها
یکی از توجیهاتی که میآورند و به بهانه آن مساله را لوث میکنند؛ موضوع تحریم ایران است. با توجه به اینکه این دستگاهها کاربرد نظامی نیز برای رمز کردن اطلاعات دارد، خرید آن کمی مشکل است. اما غیر ممکن نیست و انواع ساخت کره و کشورهای دیگر را دارد. به عنوان مثال بانک آرین که هنوز راه اندازی نشده، سال گذشته دو دستگاه ساخت آمریکا که خیلی خیلی سخت میشود خرید و وارد ایران کرد. ولی به علت عدم وجود دانش فنی در بانک مرکزی با مشکل عدم تائید برای شروع کار بانکی شده است.
دنیای تجارت: تغییر اجباری رمزکارتهای بانکی و شنیده شدن خبرهای از لو رفتن اطلاعات میلیونها کارت، توجه همگان را به موضوع امنیت شبکه بانکی کشور جلب کرده است» و «هر چند مقامهای بانک مرکزی تاکنون ادعاهایی مبنی بر لو رفتن اطلاعات را تایید نکردهاند، اما در عین حال واکنشهای عملی شبکه بانکی از تغییر اجباری رمز تا قطع موقت پرداخت از طریق خودپردازها، به مشتریان این پیام را میدهد که موضوعی وجود داشته است.» در این میان فردی که مدعی ناامن بودن سیستم بانکی کشور میکند بارها اعلام کرده که با مسئولان بانکهای تماس برقرار و درخواست رسیدگی به این مشکل را کرده اما تنها پاسخ مسئولان حکم پیگیرد بوده است. این مدیر نرمافزار اسبق یکی از شرکتهای همکار بانک مرکزی که به عنوان شرکت PSP، خدمات پرداخت را ارایه میکند نیز پس از بروز اختلافاتی با مدیران شرکت، با همراه داشتن اطلاعات بانکی محرمانه به خارج از کشور رفته و سپس با ایجاد یک وبلاگ به انتشار اطلاعات سه میلیون کارت بانکی اقدام کرد. شرکت «فن آوران انیاک» شرکتی است که این مدیر از آن به عنوان عامل اصلی چالش امنیتی در سیستم بانکی یاد میکند. او مدعی است تمامی اسناد و مدارک خود را در وبلاگش قرار داده است. با این حال مسئولان بانک مرکزی این تهدیدات را غیرجدی دانسته و معتقند که سیستم بانکی کشور از امنیت خوبی برخوردار بوده و با اطلاع رسانی به مردم هر چند وقت یک بار تغییر رمز را خواستار است. این موارد بهانهای شد تا با خسرو زارع فرید کسی که اطلاعات سه میلیون کارت بانکی را منتشر کرد گفتوگویی داشته و چرایی ماجرا را از زبان او جویا شویم.
س: سوال اول را با مساله کارتهای بانکی شروع میکنیم اینکه سیتمهای امنیتی کارتهای بانکی در کل بانکداری الکترونیکی در چه وضعیتی است؟
ج: در ایران یا در دنیا کدام یک؟
س: در ایران. ما فعلا در مورد ایران صحبت میکنیم
ج: در ایران از کارتهای مغناطیسی در بانکداری الکترونیکی برای پرداختهای الکترونیکی استفاده میشود. این کارتها به خاطر اینکه به راحتی قابل کپی کردن هستند در خیلی از کشورهای دنیا با کارتهای هوشمند جایگزین شدهاند.
س: یعنی هنوز هم کارتها ایران مغناطیسی است؟
ج: تمامی کارتهائی که به حسابهای بانکی افراد در ایران متصل هستند و برداشت پول و پرداخت خریدها توسط این کارتها انجام میشود، مغناطیسی هستند. یعنی بیش از ۱۵۰ میلیون کارت.
س: ایراد این کارتها در چیه؟
ج: زمانیکه موارد امنیتی درست رعایت نشود، اطلاعات کارت میتواند برای کپی کردن کارت مشابه استفاده شود و با در اختیار داشتن رمز کارت، حساب متعلق به دارنده کارت در خطر سرقت قرار میگیرد این مورد خطری بود که من برای سه میلیون کارت گزارش دادم. به همین علت بود که بانک مرکزی درخواست تعویض رمز کارتها را در اولین مرحله از مردم کرد
س: کپی کردن چطور صورت میگیرد یعنی در بیرون از یک سیستم و در بازار یا درون یک سیستم؟
ج: در هر جائی امکان کپی کردن وجود دارد به عنوان مثال یک چاپگر کارت دارای کپی کننده نوار مغناطیسی که در ایران قیمتی حدود ۲ میلیون تومان دارد، میتواند به راحتی اینکار را انجام دهد.
س: اما نکته اینکه اکثر مردم تصور کپی کردن کارتهای بانکی را ندارند و بیشتر فکر میکنند این کار توسط هک شدن سیستم اطلاعات صورت میگیرد.
ج: الان از کارتهای مغناطیسی برای سیستمهای حضور و غیاب نیز استفاده میشود کسانی که این سیستمها ارائه میکنند میتوانند به راحتی کارتهای مغناطیسی را کپی کنند این کار هیچ ارتباطی به هک ندارد.
س: اما آن چیزی که در جامعه در مورد انتشار سه میلیون داده کارت بانکی وجود دارد، این است که باگی در سیستم به وجود آمده که یک نقر توانسته از آن باگ برای نفوذ استفاده و دادهها را برداشت کند.
ج: مشکلی که من به آن اشاره کردم این بود که رمز دارنده کارت بانکی حساسترین اطلاعات یک سیستم پرداخت الکترونیکی است و رعایت استانداردهای لازم تامین کننده عدم لو رفتن این رمز است. با توجه به اینکه موارد امنیتی در بیشتر نقاط شبکه بانکی کشور رعایت نشده این رمز به همراه اطلاعات بخش مغناطیسی کارت در اختیار افراد متعددی قرار دارد و شناسائی افرادی که احتمالا از این اطلاعات سوء استفاده کنند به هیچ عنوان ممکن نیست.
س: منظور شما از اینکه این اطلاعات میتواند در اخیتار افراد متعدد قرار داشته باشد، چیه؟
ج: من تمامی موارد فنی را در وبلاگ قبلی و وبلاگ جدید خودم گذاشتم ولی بانک مرکزی با وجود قبول کردن تمامی این نکات فنی سعی میکند با مخفی کردن واقعیتها تنها از ایجاد بیاعتمادی در بین مردم جلوگیری کند و این نهایتا به ضرر مردم است.
س: یعنی شما میگید به غیر از این مواردی که شما اشاره کردید موارد دیگری هم وجود داره؟
ج: الان به عنوان مثال در مقاله مربوط به امینت در سویچ خدمات انفورماتیک مواردی که من به آنها اشاره کردم نشان میدهد که حتی یک صاحب مغازه نیز میتواند به راحتی اطلاعات دارنده کارتهای بانکی را سرقت کرده از روی کارتهای آنها کپی برداری کند.
س: ولی یک نفر میتواند تنها به اطلاعات یک کارت دسترسی داشته باشد اما چطور میشود اطلاعات سه میلیون کارت لو برود؟
ج: متاسفانه وجود دارد. چون افرادی که مسئول نظارت بر سیستمهای بانکی هستند دانش لازم را ندارند یا اهمیت لازم را نمیدهند. در ضمن اصلاح کردن تمامی موارد در یک زمان کوتاه ممکن نیست شاید یکسال طول بکشد؛ آنهم اگر برنامهریزی درست و مدیریت صحیح وجود داشته باشد. ببینید شبکههای بانکی در کشور ما از سیستمهایی استفاده میکند که به راحتی قابل دسترسی است و حتی خارج از شبکه بانکی. بنابراین امکان لو رفتن آنها وجود دارد.
س: چطور این امکان وجود دارد؟
ج: خب یک موضوع خیلی مهم را فراموش نکنید. امکان دسترسی به رمز افراد حتی برای مدیران بانکها نیز نباید وجود داشته باشد این موضوع با رعایت استانداردها امکان پذیر است.
س: یعنی میخواهید بگوید این استانداردها اینجا رعایت نمیشود؟
ج: بانکها برای سیستمهای شبکه خود از شرکتهای فنی استفاده میکنند که این شرکتها و خود بانکها هیچگونه رعایت موارد امنیتی را لحاظ نکردهاند. بنابر این اگر کسی بخواهد سوء استفاده کند، ممکن خواهد بود.
س: حتی همین شرکتی که شما در آن شاغل بودید؟
ج: دقیقا. مثلا تمامی پوزهای شرکت خدمات انفورماتیک تنها از یک رمز برای محرمانه کردن رمز دارندگان کارت استفاده میکند. این یعنی بیش از ۵۰۰ هزار پوز بانکی. اگر این پوزها در هر روز ۲ تراکنش داشته باشند، یعنی روزانه یک میلیون کارت بانکی تنها با یک رمز از حساب بانکی خود استفاده میکند. اینکه از این یک میلیون عملیات بانکی در هر نقطهای از شبکه مورد استفاده، کمی اطلاعات درز کند یعنی یک فاجعه بزرگ. شرکتی که من در آنجا شاغل بودم با وجود اصرارهای من، به موارد امنیتی اهمیتی نشان ندادند چون هم هزینه سخت افزار برایشان داشت و هم باید نیروهای نرم افزاری خود را درگیر افزایش امنیت میکردند. من اسناد مربوط به این بیتوجهی را در وبلاگ خودم قرار دادم. این اقدام را بعد از اتهامات بیاساس خانم اسمعیلی از شرکت خدمات انفورماتیک انجام دادم.
س: اما شایعهای که وجود دارد این است که چون شما از شرکت بیرون رفتید و مشکلاتی که با مدیران داشتید باعث شد که دست به این کار بزنید.
ج: ببینید این اطلاعاتی که من در اختیار داشتم و میخواستم اطلاع رسانی کنم، باعث ایجاد مشکل شده بود. چون من انتظار داشتم شرکت خودش اقدام کند و از بانکها بخواهد این کارتها باطل و کارتهای جدید صادر شود. در گفتوگوی صوتی من با آقای حجازیان که در وبلاگ قرار دادهام این موارد کاملا آشکار بیان شده است.
س: میخوام از اینجا شروع کنم که شما چطور به این مساله امنیت پی بردید؟
ج: من از دوسال پیش از خروج از شرکت تمامی موارد را گفته بودم حتی در صورت جلسات سعی میکردم درج شوند تا همه به اهمیت آن پی ببرند واقدام کنند. از طرفی این مورد را همه اطلاع داشتند و تنها من متوجه آن نشده بودم. فقط من نسبت به امانتداری اطلاعات کارتها حساس بودم و سعی میکردم شرکتی که وظیفه خدمات رسانی به شبکه بانکی را دارد، کارش بدون ایراد باشد.
س: یعنی همه افراد شرکت در جریان این مساله بودن که این مشکل امنیتی در سیستم کارتهای بانکی وجود داره به غیر از شما؟
ج: مدیران شرکت و همچنین شرکتی که از آن نرم افزار سویچ بانکی خریداری شده بود و بخش فنی شرکت، اطلاع داشتند.
س: سمت شما در آن زمان چی بود؟
ج: ابتدا مدیر فنی بخش نرم افزار بودم و در آن زمان خیلی روی این موضوع اصرار کردم.
س: چطور کسی که مدیر فنی نرم افزاری است در جریان این مساله نبوده؟
ج: در جریان بودم که در صورتجلسات برای رفع آن تلاش میکردم. رفع موارد مربوط به مدیریت شرکت بود که سخت افزارهای لازم را خریداری نمیکرد تا ما توسط آنها مشکل را رفع کنیم. سخت افزار لازم برای رمزگذاری اطلاعات حساس استفاده میشود. با آن رمزها نیازی نیست در بانک اطلاعاتی ذخیره شود. بنابراین جلوی لو رفتن رمز دارندگان کارتهای بانکی گرفته میشود.
س: آیا فقط مساله مالی بود که سخت افزارها خریداری نمیشد یا مساله دیگری هم بود؟
ج: مشکل مالی نداشتند ولی در اولویت خرید قرار نمیگرفت. چند بار به ظاهر استعلام کردند و قیمت گرفتند ولی خرید انجام نشد این در حالی بود که چهار بانک مختلف به سویچ شرکت متصل شده بود و بانکهای دیگر نیز در حال متصل شدن بودند.
س: علت اصلی امتناع از خرید چی بود؟
ج: من بیش از دو سال منتظر ماندم تا این خرید انجام شود ولی انجام نشد. بدون اهمیت بودن موضوع برای مدیران شرکت. ببینید مدیران انیاک از یک شغل تجاری به شغل خدماتی برای بانکها وارد شده بودند در نتیجه هر نوع هزینه برای آنها باید معنای لازم را میداشت. به عنوان مثال آنها بیش از ۱۰ میلیون دلار تجهیزات اسرائیلی وارد ایران کردند و کسی خم به ابرو نیاورد.
س: تجهیزات در چه زمینهای؟
ج: پوزهای وریفون که از ترکیه خریداری شده حدودا ۵۰ هزار دستگاه که همه ساخت اسرائیل هستند ولی بنا به درخواست شرکت، تولید چین روی آن زده شده است. من این مورد را از روی سایتهای اسرائیلی میتوانم اثبات کنم.
س: و آیا مساله امنیتی این دستگاهها چک شده بود؟
ج: چه کسی در ایران توان یا آزمایشگاههای لازم را داراست که بتواند این موارد را کنترل کند؟
س: خوب در این زمینه اینها مدعی آزمایشگاههای بررسی سخت افزاری دستگاههای فناوری اطلاعات هستند. پرسش اینکه مگر از بانک بازرسی برای بررسی و رسیدگی به سیستمهای بانکداری الکترونیکی که برون سپاری کردن وجود نداشت که به شرکتها رفته و سیستمهای امنیتی را چک کنند؟
ج: وارد کردن تجهیزات اسرائیلی به ایران جرم است؛ شما انتظار دارید این تجهیزات برای کنترل به این آزمایشگاههای دولتی ارسال میشد؟ به فرض اینکه وجود داشت. مواردی که بانکها اهمیت میدادند فقط در سطح قرارداد بود. هیچگونه بازرسی و نظارتی از سوی بانکها و بانک مرکزی در طی سه سال و نیم همکاری من با انیاک مشاهده نشد.
س: و هیچ گزارش سالیانهای هم در مورد سیستمهای فنی به بانکها داده نمیشد؟
ج: یک بار از سوی بانک نامهای ارسال شده بود که آیا شما از سخت افزار مورد بحث من استفاده میکنید؟ شرکت هم در جواب نوشته بود تمامی موارد امنیتی و تجهیزات لازم استفاده میشود.
س: سخت افزار مورد نظر بانک چی بود؟
ج: گزارش سالیانه وجود نداشت تنها گزارشاتی که ارسال میشد، مربوط به تعداد تراکنشها و مبالغی بود که به شرکت باید پرداخت میشد. اسم دستگاه هم HSM است.
س: این دستگاه را شرکت شما تامین کرده بود؟
ج: اصلا در شرکت وجود نداشت متن صورتجلسههای لازم را در وبلاگ جدیدم گذاشتهام، میتوانید خودتان ببینید. برایتا اثبات میشود که خریدی انجام نشده بود.
س: کار این دستگاه چیه؟
ج: ببینید برای اینکه رمز کارتها قابل استخراج برای افراد نباشد از سخت افزاری استفاده میکنند تا کلیدهای رمز کننده توسط این دستگاه تولید شود. این کلیدها توسط موارد امنیتی به روی پوزها بدون دخالت نیروهای انسانی منتقل میشود. زمانی که دارنده کارت از پوز استفاده میکند، رمز کارت با این کلیدها محرمانه شده به سویچ ارسال میشود؛ سویچ نیز با استفاده از این سخت افزار کلید پوز را با کلید بانک تعویض کرده، اطلاعات را برای ارسال به بانک آماده میکند. یعنی هیچ نیروی انسانی نمیتواند با وجود این سخت افزار به رمز دارنده کارت دسترسی پیدا کند. مثلا کلید بانک برای ورود به این دستگاه از دو قسمت تشکلی میشود و هر قسمتی توسط یک نفر وارد میشود. این افراد میتوانند یکی از بانک و یکی از شرکت باشد تا کلید اصلی برای هیچ طرفی قابل استفاده نباشد.
س: چه دلیل دارد که شرکت در پاسخ به مسولان بانک در حالی که این دستگاه را ندارد، اعلام کند که این دستگاه خریداری شده؟
ج: در مقررات بانک مرکزی شرط الزامی برای سویچ پذیرندگان داشتن این دستگاه است یعنی عدم خرید این دستگاه به معنی عدم رعایت حداقلهای اعلامی خود بانک مرکزی است. شما میتوانید به مرجع بانک مرکزی در نقد اظهارات من برای آقای حکیمی مراجعه کنید.
س: بله اما مساله اینکه چه توجیهی باید برای جواب شرکت ایناک وجود داشته باشد که جواب بانک را اینگونه بدهد؟
ج: یکی از توجیهاتی که میآورند و به بهانه آن مساله را لوث میکنند؛ موضوع تحریم ایران است. با توجه به اینکه این دستگاهها کاربرد نظامی نیز برای رمز کردن اطلاعات دارد، خرید آن کمی مشکل است. اما غیر ممکن نیست و انواع ساخت کره و کشورهای دیگر را دارد. به عنوان مثال بانک آرین که هنوز راه اندازی نشده، سال گذشته دو دستگاه ساخت آمریکا که خیلی خیلی سخت میشود خرید و وارد ایران کرد. ولی به علت عدم وجود دانش فنی در بانک مرکزی با مشکل عدم تائید برای شروع کار بانکی شده است.
س: اما جواب سوال که چرا مسئولان شرکت درحالی که دستگاه را خریداری نکردن، گفتند که این دستگاه را خریداری کردند؟
ج: نمیخواستند دچار مشکل شوند یا مجوز آنها از سوی بانک مرکزی لغو شود. چون آن موقع تعداد پوزهایشان کم بود و اصولا شرکت فوق به دروغ گوئی و تقلب عادت کرده بود به همین خاطر بود که به راحتی هر کاری میکردند و اهمیت نمیدادند که کارهای انجام شده از راههای منطقی و درست باشد.
س: اما شما به عنوان مسئول فنی میتوانستید با مسئول فنی بانک به صورت مستقیم مکاتبه کنید که این دستگاه خریداری نشده است. یعنی مساله امنیتی را با نهاد مربوطه در میان میگذاشتید؟
ج: این نامهها جنبه تشریفاتی داشتند من مواردی را به صورت غیر مستقیم به مسئولان بانکها اعلام کردم ولی هیچ نتیجهای نداشت. آنها میگفتند ما در قرارداهای خودمان مسئولیت رعایت موارد امنیتی را بر اساس رعایت استانداردهای اعلامی بانک مرکزی آوردهایم و این کافی است.
س: ولی شما میتوانستید به صورت مستقیم با مسئول فنی بانک ارتباط داشته باشید. فکر نمیکنید از این طریق بهتر نتیجه میداد؟
ج: ببینید من تمامی راههای ممکن را آزمایش کردم. در کشوری که مدیران فنی بانکها تنها میتوانند از این شرکتهای همکار بانک جیره خود را بگیرند، عملا امکان هیچگونه اقدامی وجود ندارد؛ بلکه باعث میشد که این افشاگری در نطفه خفه شود. الان نگاه کنید پس از این افشاگریها باز هم آش همان آش است و کاسه همان کاسه.
س: پرسش دیگری که مطرح میشود این است که چرا اطلاعات کارتهای این دو سال منتشر شد؟ آیا قبل و بعد از آن هم چنین ایرادی وجود داشت؟
ج: اطلاعات مربوط به ابتدای شروع کار سویچهای انیاک تا زمان حضور من در شرکت بود بعد از آن نیز اطلاعاتی وجود دارد که من دسترسی به آنها را نداشتم. در ضمن علت پخش این اطلاعات تنها برای علنی کردن این خیانتها بود که در حق امانتهای مردم و اطلاعاتشان وجود دارد.
س: یعنی از چه سالی؟
ج: از سال ۸۶
س: چرا اطلاعات ۳ میلیون کارت؟
ج: این اطلاعات از بین ۶۰ میلیون تراکنش بانکی استخراج شده بود و من تنها کارتهایی که رمزهای صحیح و تراکنش بانکی صحیح داشتند را پخش کردم تا جای هیچگونه شک و تردید وجود نداشته باشد. حرکتی که انجام دادم باید پوشش بزرگی میداشت تا قابل انکار نباشد.
س: میتوانید توضیح بدهید که مگر میشود رمز صحیح یا تراکنش صحیح هم وجود نداشته باشد؟
ج: بله شاید کسی رمزش را اشتباه زده و تراکنش ناموفق باشد یا خرید درست انجام نشده باشد. یعنی میخواستم هر رمزی که به صورت مخفی به دارنده کارت اعلام میشود، دقیقا همان رمزی باشد که برای آن کارت استفاده شده است.
س: یعنی اینها شماره کارتها و رمز خود کارتها نبودند؟
ج: چرا خود شماره کارتها و رمزهای استفاده شده کارتها بودند ولی برای رعایت محرمانگی رمز آن را درون یک عدد ۱۴ رقمی مخفی کرده بودم تا تنها دارنده کارت و رمز بتواند آن را تشخیص دهد و خطری برای دارنده کارت ایجاد نکند. البته در صورت اعلام خود رمز نیز خطر زمانی به وجود میآمد که خود کارت هم در اختیار دیگران قرار میگرفت یا اطلاعات بخش مغناطیسی کارت را نیز من پخش میکردم که بنده از این کار بیزار بودم هدف من اصلاح مشکل بود ایجاد مشکل نبود.
س: زمانی که شما این اطلاعات را منتشر کردید، بانکها به مشترکان اعلام کردند که باید رمز کارتهای خود را عوض کنند و در توجیه کارشان گفتند که دارندگان کارتها باید هر سه ماه یک بار اقدام به تغییر رمز کارت کنند. آیا تغیر رمز کارت هر سه ماه یک بار یا حتی یک ماه یکبار با توجه به شرایط فعلی سیستم امنیتی بانکی ما اثرگذار در حفظ امنیت کارتها هست؟
ج: نه اثر گذار نیست بگذارید توضیح بدهم. در وبلاگ جدیدم علت ترس بانکها را نوشتهام آنرا اگر مطالعه کنید متوجه میشوید که به جز اطلاعات بخش مغناطیسی کارت اطلاعات مالی کارتها نیز در دسترس افراد است، بنابراین افراد فرصت طلب میتوانند کارتهای پر پول را شناسائی کنند و به محض دیدن تراکنشهای آن اقدام کنند و در طی چند روز کلی خسارت به دارنده کارت وارد کنند، بدون اینکه کسی بفهمد این اقدام از کجا انجام گرفته است. در ضمن شما نباید فراموش کنید که خود عمل تغییر رمز کارتهای بانکی در چنین شبکه بانکی ناامنی انجام میگیرد.
س: پس با این اوصاف تا زمانی که سیستم کارتها مغناطیسی است. تغییر ماهانه یا سه ماه یک بار نمیتونه امنیت کارتها را تضمین کند
ج: تضمین نمیکند ولی به نوعی مشکل را کمتر میکند. البته اینکار مشکل دیگری برای مردم ایجاد میکند و آن فراموش کردن رمزهای جدید است و اینکه هیچگاه نباید از رمزهای استفاده شده قبلی خود استفاده کنند.
Sunday, July 1, 2012
روبرت صافاریان: قضیه رفتگر میلیارد تومانی داستانپردازی بود
من در متن بانکها چرا وحشت زده شدند به این نکته اشاره کرده بودم. الان اثبات شد
Thursday, June 21, 2012
لابیهای صهیونیستی حامی انیاک
من نمیدانم پاکتهائی که از انیاک ساعت 5 صبح توسط نگهبانی به دفتر ریاست جمهوری ارسال میشود به دست چه کسی میرسد ولی میدانم که شرکتی که بیش از 10 میلیون دلار پوز اسرائیلی وریفون را وارد ایران کرده پشت سر خود کسانی را دارد که حامی آنها هستند و آنها اجازه میدهند این شرکت به خیانتهای خود ادامه دهد. در ایران لابیهای صهیونیستی در زیر عبای روحانیت در حال فعالیت هستند. کارکنان فنی انیاک حتما یادشان نرفته روز اولی که چند دستگاه پوز وریفون را به شرکت آوردند دادند بخش فنی داخل آن را باز کنند تا مبادا در داخل آن جائی به تولید اسرائیل بودن پوز اشاره شده باشد. چرا که پوزها برچسب ساخت چین خورده بودند..
http://www.ynetnews.com/
در خبر فوق به اهمیت صادرات وریفون از طریق ترکیه پی میبریم که مدیر این شرکت در اسرائیل از حکومت اسرائیل میخواهد مراقب روابط خود با کشور ترکیه باشد. چرا که سالانه بیش از یکصد میلیون دلار از طریق این شرکت در ترکیه در حال کسب درآمد است. از این میزان درآمد حدود 10 میلیون دلار توسط همین حجازیان ها از کشور ایران اخذ شده است. حال شما بگوئید اکنون که اسرائیل دشمن شماره یک ایران هست پس این حجازیان ها به پشتوانه کدام حامی خود اقدام به این واردات کرده است و این پوزها را به شاپرک متصل کرده.
;لازم به یادآوری هست که مدیر سابق وریفون در ترکیه که چند ماه پیش به خاطر صادرات تجهیزات تحریمی به ایران از کار برکنار شده است در دفاع از خود اظهار داشته است که آقای یانای مدیر ایشان در اسرائیل از موضوع صادرات به ایران اطلاع داشته است. عملا بدون اطلاع ایشان امکان زدن برچسب تولید چین برای پوز تولید اسرائیل جهت ارسال به ایران ممکن نبود. آقای حجازیان ادعا میکرد بیزنس بیزنس است و سیاست نمیفهمد. ولی بیزنسی که در خدمت ریختن بمب سر کودکان و زنان بیگناه غزه باشد بیزنس نیست همچنان که حکومتی که شریک ریختن بمب سر کودکان و زنان سوریه هست اسلامی نیست.
VeriFone Israel: We can't give up on Turkeywww.ynetnews.comBusiness: Head of leading payment technology company's activity outside US can'...
See MoreFriday, June 1, 2012
بانکها چرا وحشت زده شدند؟
علت وحشت بانکها پس از افشاگری عدم وجود امنیت در حسابهای بانکی متصل به کارتهای بانکی و درخواست آنها از مردم برای تغییر رمزهای کارتهای بانکی اطلاع آنها از عمق خطری بود که بنده هشدار داده بودم لذا مجبور شدند که بلافاصله حسابهای مورد اشاره را کنترل کنند و جلوی سوء استفاده افرادی که در ایران به این اطلاعات دسترسی داشتند را بگیرند.
آیا اطلاعات پخش شده در اینترنت خطری برای مردم ایجاد میکرد؟
چنانچه در وبلاگ به هنگام پخش اطلاعات اشاره کرده بودم این اطلاعات که در وبلاگ پخش کردم امکان سوء استفاده برای هیچ کسی را توسط این اطلاعات ایجاد نمیکرد. تنها به صورت آشکار دارنده کارت را از در خطر بودن حساب بانکی خود آگاه میکرد. این مورد نیز توسط مدیران بانک مرکزی به مردم اطلاع رسانی شد
آیا من برای حسابهای بانکی مردم تهدید به حساب می آمدم؟
با توجه به عدم حضور من در ایران امکان سوء استفاده از این اطلاعات برای کپی کردن کارتها و خالی کردن حسابهای آنها توسط من به هیچ عنوان وجود نداشت. در زمان حضور من در کشور نیز بنده هیچ گونه سوء استفاده از این اطلاعات نکردم. که توسط بانک مرکزی نیز این مورد تائید شده است. علت وحشت بانکها این بود که افراد زیادی به اطلاعات دسترسی داشتند و امکان سوء استفاده آنها در داخل کشور وجود داشت.
چه اطلاعاتی در دسترس افراد بود؟
اطلاعات بخش مغناطیسی کارت
CVV2
تاریخ انقضاء کارت
شماره کارت
آخرین رمز معتبر کارت
رمزهای معتبر قبلی کارت
حداکثر مبلغ موجودی کارت در طی زمان استفاده
حداکثر مبلغ خرید کارت در طی زمان استفاده
میانگین مبالغ خرید کارت
میانگین مبالغ موجودی کارت
آیا زمان پخش اطلاعات کامل کارتها فرا رسیده است؟
با توجه به اعلام قبلی من که پس از یکماه در صورت ابطال کارتهای بانکی توسط بانکهای مسئولیت پذیر بنده اقدام به پخش اطلاعات کامل کارتها خواهم نمود. فکر میکنم زمان آن فرا رسیده است. تا کسانی که تهمتهای فراوان را وارد میکنند. حقیقت عریان مربوط به حسن نیت مرا ببینند. و چنانچه واقعا جیره خواری نمیکنند و یا دنبال منافع دنیوی خویش نیستند اعتراف به اشتباهات خود کنند و به خاطر غیبتهائی که در مورد من کردند حداقل لیاقت عذرخواهی کردن را داشته باشند
با توجه به حساسیت اطلاعات آیا پخش کردن آنها صحیح خواهد بود؟
شماره کارت و اطلاعات کارت به همراه مبالغ موجودی کارتها به تنهائی قابلیت شناسائی دارنده کارت را فراهم نمیکند. اما تمامی شبهاتی که توسط رسانه های دولتی برای بی اهمیت نشان دادن این افشاگری ایجاد کرده اند را از بین میبرد. یکی از تله های رسانه ای استفاده شده پیدا کردن یک کیف میلیاردی توسط یک رفتگر بروجردی در 31 فروردین درست چند روز پس از این افشاگری بود از دولت ایران نمیتوان انتظار داشت که این خبر ساختگی نباشد اما واقعیت اینست که ایشان جوایز متعدد نقدی و غیر نقدی دریافت کردند. ولی بنده حتی یک ریال نیز بابت امانت داری خویش از هیچ کسی دریافت نکرده و نخواهم کرد در ضمن این اطلاعات را در صورتی که بیش از سه میلیون نفر در خواست پخش آن را داشته باشند پخش خواهم کرد تا حقی از مردم ضایع نشود
یکی از دلایل اصلی من برای تقاضای ابطال کارتهای استفاده شده در سویچهای انیاک این اطلاعات حساس بوده است با استفاده از این اطلاعات هر کسی که دسترسی به این اطلاعات داشت میتوانست. حساب دارندگان کارتها را تخلیه کند بدون اینکه ردپائی از خود بگذارد چرا که افراد زیادی به این نوع اطلاعات دسترسی دارند
در خواست بانک مرکزی برای تغییر رمز تمامی کارتهای مردم به علت این بود که در بیشتر نقاط شبکه بانکی این مشکل وجود دارد. همین علت یکی از دلایلی است که مدیران بانکها به خاطر آن عکس العملی نشان ندادند. چرا که بستن یک حفره امنیتی در یک شبکه بانکی سوراخ سوراخ معنی ندارد. این موضوع در گفتگوی من با آقای حجازیان نیز توسط ایشان مطرح شده است. و یکی از دلایلی است که ایشان را تبرئه کردند و فعالیت شرکت انیاک ادامه دارد
سخن آخر اینکه با توجه به مقررات سایتهای عمومی از قبیل گوگل و سایر سایتها در صورت درخواست مردم برای پخش کامل اطلاعات این اقدام توسط سایر دوستان و از کانالهای دیگری به صورت کاملا قانونی انجام خواهد گرفت
Tuesday, May 29, 2012
انیاک سویچ خودش را به شاپرک وصل کرده
شنیده ام که انیاک سویچ خودش را به شاپرک وصل کرده و با پوزهای خودش در حال ارسال تراکنش کارتهای بانکی است. کشوری که در آن چنین شرکتهایی به کارشان ادامه میدهند. نشان میدهد که چه میزان مدیران خیانتکار و رشوه بگیری دارد که نمیخواهند اخبار آن به گوش مردم برسد. این موضوع علت عدم واکنش مدیران بانکها را به هشدارهای قبلی من نشان میدهد.
حال سوال اصلی اینست که آیا مردم نیز با استفاده از این پوزها چنین سیستمی را قبول دارند؟
حال سوال اصلی اینست که آیا مردم نیز با استفاده از این پوزها چنین سیستمی را قبول دارند؟
Tuesday, May 1, 2012
امنیت در سویچ شرکت خدمات انفورماتیک ایران
شرکت خدمات
انفورماتیک ایران که دارنده سویچ شتاب و دست راست بانک مرکزی برای تمامی پروژه های
بزرگ در صنعت بانکداری الکترونیکی میباشد. انحصار کامل خدمات سویچ مربوط به
سویچهای ملی را در اختیار دارد. این شرکت علاوه بر پیاده سازی و اجرای پروژه های
بزرگ ملی در صنعت پرداخت الکترونیکی بیشترین درآمدهای این صنعت را نیز در انحصار
خود دارد و از کارمزدهای مربوط به شتاب و اخیرا شاپرک یک امپراتوری انفورماتیکی
برای خود ساخته است. مدیریت این شرکت غالبا توسط بانک ملی با توجه به میزان سهم
بالای این بانک در شرکت فوق تعیین میشود. همچنین به علت عدم وجود کارشناسان
بانکداری الکترونیکی در بانک مرکزی تمامی درخواستهای فنی و استانداردهای بانکی
مورد نیاز از این شرکت استعلام میگردد. و یا به این شرکت ارجاع میشود. این موارد
به حدی اغراق آمیز اعمال میگردد که شرکت انیاک برای اثبات استاندارد بودن سویچ خود
به دروغ میگفت تائیدیه شتاب را دارد و به سویچ شتاب متصل شده است. در حالی که به
عنوان PSP نمیتواند مستقیما به شتاب متصل
شود.
این توضیحات در مورد
شرکت خدمات انفورماتیک ایران از این جهت ارائه گردید تا خواننده محترم این وبلاگ
به جایگاه این شرکت در صنعت بانکداری الکترونیکی کشور پی ببرد. این شرکت هم اکنون
جزء شرکتهای حاضر در بازار بورس ایران نیز میباشد. همچنین با توجه به اظهارات خانم
اسمعیلی "یکی از انگیزههای اصلی
در تعریف طرح شاپرک نظارت بر شرکتهای PSP بوده است و
قرار شده از طریق این شرکت این نظارت انجام شود." یعنی شرکت خدمات انفورماتیک
ایران مسئول نظارت بر PSP ها و تامین امنیت شبکه پرداخت الکترونیکی
شده است.
مطالب ارائه شده در این پست
مربوط به سویچ پذیرندگی شرکت خدمات انفورماتیک ایران میباشد که توسط این سویچ به
کارتهای بانکی و پوزهای بانک کشاورزی خدمات رسانی میکند. خانم
نسترن اسمعیلی "مدیر پروژه سیستمهای
کارت شرکت خدمات انفورماتیک" در هفته نامه عصر ارتباط (خود شرکت خدمات انفورماتیک از چه
استانداردهایی برای سیستم کارت پیروی میکند؟
روالهایی که
رعایت میشود طبق روالهای استاندارد است. به طور مثال یک نفر به کلید دسترسی
ندارد، نگهداری کلیدها تحت روالهای استاندارد امنیتی است. شاید مهمترین بخشی که
رعایت شده است جداسازی بخش راهبری از بخش تولید و توسعه است. کسانی که نرمافزار
تولید میکنند به دادهها دسترسی ندارند و دادهها تحت کنترل تیم دیگری است که به
نرمافزار دسترسی ندارند. این امر در طول سالیان به ما کمک زیادی کرده است. به
علاوه استانداردهای ما تا حد زیادی با PCIDSS تطبیق دارد، یعنی دادههای محرمانه را اصلا ذخیره نمیکنیم، دادهها
را فقط پردازش میکنیم. نگهداری رمزها حتی در سیستمها به صورت رمزنگاریشده هم
نیست. اینها روالهای استانداردی است که در سیستم استفاده شده است. )
واقعیت اینست که
مشکل امنیتی وقتی به نقطه بحرانی میرسد که مجری سیستمهای بانکی که بایستی نکات
امنیتی را رعایت کند خود همزمان ناظر رعایت شدن نکات امنیتی در کشور میشود. این
وضعیتی است که در کشورمان پس از مطرح کردن عدم وجود امنیت در سیستم بانکی به وجود
آمده است و این بار کج هرگز به مقصد نخواهد رسید. همچنان که آقای حکیمی نیز اذعان
نموده بود من در مورد وجود نا امنی در شبکه بانکی به بانک مرکزی اطلاع رسانی نکرده
بودم. علت این نوع تصمیم گیری از سوی بنده عدم توان بانک مرکزی در حل بحران بوده
است. اتکاء بانک مرکزی در موارد تخصصی به شرکت خدمات انفورماتیک یکی از مشکلات این
سازمان در انجام وظایف قانونی خود میباشد. قاعدتا یک بانک مرکزی قوی میبایستی توان
نظارت مستقیم به تمامی بانکها و شرکتهای سرویس دهنده را داشته باشد. و این نظارت
بایستی توسط شرکتهای سرویس دهنده انجام نشود چرا که خود این شرکتها نیاز به نظارت
دارند.
زمانیکه در انیاک
بودم فرمت پیغامهای سویچ خدمات را برای اتصال پوزهای بانک کشاورزی دریافت کردم تا
نرم افزار مورد نیاز بانک را آماده نمایم. این فرمت که به صورت یک داکیومنت ارسال
شده بود نحوه درست کردن اطلاعات مورد نیاز برای ارسال به سویچ خدمات را برای انجام
تراکنشهای مختلف مانند خرید – موجودی – پرداخت قبض و ... نشان میداد ضمنا به همراه
این داکیومنت یک فایل کتابخانه Lib ویک فایل Header برای
توابع تعریف شده در فایل کتابخانه وجود داشت. رمز کارت دریافتی از مشتری میبایستی
توسط یکی از توابع این فایل کتابخانه رمزنگاری شده به سویچ ارسال میشد. این به
معنی این بود که تمامی پوزها با استفاده از یک کلید عمومی اقدام به رمزنگاری پین
بانکی یا همان رمز دارنده کارت میکنند. جهت اطمینان سعی کردم این کلید عمومی را
پیدا کنم این جستجو در کمتر از نیم ساعت نتیجه داد و با چند تست از صحت این کلید
اطمینان پیدا کردم. پس از آن نیز فایل کتابخانه فوق را کنار گذاشته از کلید یافته
شده برای ایجاد تراکنشها استفاده کردم. در حقیقت من تنها میخواستم از سرویس پرداخت
قبض استفاده کنم. قبلا اشاره کرده بودم که با اتصال دستگاه پوز به دستگاه بارکد
خوان اولین دستگاه باجه الکترونیکی پرداخت قبض را برای بانکها ابداع کرده ام و این
پروتکل را برای این دستگاه میخواستم استفاده کنم. چون سرویس پرداخت قبض در سویچ
بانک تجارت راه اندازی نشده بود. و ما میخواستیم این دستگاه را به بانکها بفروشیم.
مطالعه فرمت پیغامهای سویچ خدمات حقایق تلخی را برای من روشن کرد. این فرمت با
هیچ یک از فرمتهای استاندارد بانکی همخوانی نداشت. حتی فرمت استاندارد 8583ISO مربوط به
1987 نیز نبود. کارشناسان محترم شرکت خدمات انفورماتیک با پشت سر هم چیدن اطلاعات
مورد نیاز در یک سری فضاهای کاراکتری از پیش تعیین شده پیغام مورد نیاز را درست
کرده و از آن استفاده میکردند. تصور چنین فرمت و یا به اصطلاح پروتکلی غیر قابل
باور بود. هیچگونه کنترلی برای تغییر محتوای اطلاعات بعد از ارسال وجود نداشت به
زبان فنی پیغام ارسالی به سویچ خدمات کاملا فاقد MAC میباشد. هیچگونه مدیریت کلیدی وجود ندارد. چون تنها کلید استفاده شده درون یک
فایل کتابخانه ای ارسال شده بود. که آنهم در کمتر از نیم ساعت لو رفت.
پس از پیاده کردن
این پروتکل برای دستگاههای پرداخت قبوض دستگاههای فوق برای شعب مختلف بانکها ارسال
شدند. حتی برای بانک ملی با آرم بانک ملی تراکنش را به سویچ بانک کشاورزی ارسال
میکردیم. عملیاتی شدن این دستگاه باعث شد. سایر مشکلات سویچ خدمات نیز خود نمائی
کنند. حقیقت از این قرار است که تکنسینهای شرکت انیاک بدون تغییر کد پایانه و
پذیرنده دستگاه پوز اقدام به نصب این پوزها کرده بودند. و این کدها به صورت پیش
فرض کدهای پایانه و پذیرنده تخصیص داده شده برای اینجانب بودند. لذا این اقدام
باعث شد تمامی تراکنشهای پرداخت قبوض از شعب بانکهای مختلف با شماره تنها یک
دستگاه پوز به سویچ خدمات ارسال شود. و حجم تراکنشهای این دستگاه پوز به صورت
باورنکردنی چند صد برابر شود. من زمانی متوجه این اشتباه تکنسینها شدم که مغایرت یک
تراکنش پرداخت قبض را بررسی میکردم. پول از کارت یکنفر کسر شده بود و قبض یکنفر
دیگر پرداخت شده بود. علت آن ارسال تراکنش همزمان هر دو دستگاه پوز از مکانهای
مختلف با کد پایانه و پذیرنده یکسان بود. البته مسئولین شعبه بانک کشاورزی که پوز
من متصل به حساب بانکی بنده در آن شعبه بود به پاس قدردانی از حجم باورنکردنی
تراکنشهای این پوز یک لوح تقدیر برایم در شرکت انیاک ارسال کرده بودند.( پیوست )
چرا که خیال میکردند این تراکنشها همگی از یک ترمینال متعلق به بنده ارسال میگردد.
این اشتباه عدم کنترل STAN در سویچ خدمات را نیز برایم آشکار کرد. البته به هنگام اصلاح این
مشکل خطای دیگر سویچ خدمات نیز آشکار شد. سویچ خدمات به کد پذیرنده حساس نبود و هر
کد پایانه مغایر با کد پذیرنده را قبول میکرد و عملکرد صحیح از خود نشان میداد.
بایستی خاطر نشان کنم این سطح از ضعف سیستمی احتمالا به خاطر عدم توانائی
کارشناسان شرکت خدمات انفورماتیک برای طراحی یک سویچ کامل با سرعت قابل قبول
میباشد. و مجبور شده اند برای افزایش سرعت پاسخگوئی تمامی کنترلهای سیستمی سویچ را
حذف کنند تا بتوانند چند صد هزار دستگاه پوز را با این سویچ پاسخگوئی کنند.
هم اکنون چند صد
هزار دستگاه پوز بانکی با این پروتکل به سویچ خدمات انفورماتیک متصل هستند. و حتی
یک دانش آموز دوره راهنمائی نیز میتواند آنها را هک کند. برای روشن شدن بیشتر
موضوع به انواع سوء استفاده هایی که بستر آن توسط این سویچ فراهم شده است اشاره
میکنم.
ابتدا خاطر نشان
میکنم که با ضبط و استفاده از صدای مودم دستگاه پوز به هنگام ارسال و دریافت
اطلاعات به بانک میتوان به محتوای این اطلاعات دسترسی پیدا کرد. بنا براین هرکسی
که به صورت مستقیم یا غیر مستقیم به اطلاعات رد وبدل شده پوزها دسترسی پیدا کند
خواهد توانست از این اطلاعات سوء استفاده کند. این شخص میتواند در هر نقطه ای از
مسیر این اطلاعات تا مقصد سویچ خدمات قرار گیرد.
اولین سوء استفاده
احتمالی دریافت اطلاعات ارسالی پوز و تغییر آن به هنگام ارسال به سویچ و تکرار این
عمل به هنگام بازگشت به پوز میباشد. یعنی سوء استفاده کننده میتواند در جلوی مبلغ
خرید یک رقم صفر اضافه کرده و پس از دریافت پیغام سویچ آن را کسر کرده به پوز
بازگشت دهد. به عبارت ساده تر ده برابر مبلغ بیشتر از کارت کسر میشود ولی مبلغ چاپ
شده روی برگه رسید پوز صحیح و ده برابر کمتر از مبلغ کسر شده است.
دومین سوء استفاده
احتمالی ذخیره رمز کارت به صورت رمزنگاری شده و اطلاعات بخش مغناطیسی کارت میباشد.
با توجه به اینکه این اطلاعات میتواند برای درست کردن یک پیغام تقلبی غیر واقعی
برای ارسال به سویچ استفاده شود. مورد توجه سوء استفاده کننده قرار میگیرد. این
درحالی است که اثبات عدم استفاده از کارت و خرید واقعی در پوز غیرممکن است.
سومین سوء استفاده
احتمالی ذخیره رمز کارت و اطلاعات بخش مغناطیسی کارت جهت ایجاد یک تراکنش با کد
پذیرنده متفاوت دیگر میباشد که قابل ردیابی نباشد. به بیان ساده تر دارنده کارت
بدون اینکه وارد مغازه دیگری شود از کارت بانکی وی در آن مغازه استفاده میشود. و
شاید هم یک مغازه مجازی غیر واقعی
چهارمین سوء استفاده
ممکن شنود به تراکنشهای ارسالی پوزها و استخراج رمز کارت و اطلاعات بخش مغناطیسی
کارت از درون این اطلاعات است. این شنود غیر قانونی میتواند در یک فروشگاه زنجیره
ای یا پاساژ و یا هر نقطه دیگری باشد. با توجه به اینکه نرم افزارهائی وجود دارد
که میتواند محتوای فایلهای داخل پوزهای اینجنیکو را بخواند. استخراج کلید خدمات
انفورماتیک از آنها کار چندان سختی نیست.
همچنانکه در موارد
فوق مشاهده میکنید امنیت فراموش شده سویچ خدمات انفورمانیک خطرات زیادی برای
دارندگان کارتهای بانکی ایجاد میکند که قابل کنترل نمیباشد. یادآوری این نکته که
هم اکنون سویچ شتاب در دست شرکت خدمات انفورماتیک میباشد. و ممیزی بانکها و PSP ها نیز برای اتصال به شاپرک به
این شرکت واگذار شده است. عمق فاجعه پیش رو را آشکارا روشن میکند. خدا میداند
امنیت سویچ شتاب در چه سطحی است. و یا سویچ شاپرک چه سطحی از امنیت را دارا
میباشد. من که تنها به یک گوشه از سویچ خدمات انفورماتیک دسترسی پیدا کردم واقعیت
را اینگونه دیدم.
البته ذکر این نکته
ضروری است که بانک مرکزی تصمیم دارد از بابت استفاده از سویچ شاپرک از مردم 72
تومان کارمزد کسر شود. همچنین بانکها مجبور خواهند شد برای خریدهائی که توسط
پوزهای خودشان با کارتهای بانکی خودشان انجام میگیرد به مشتریان خود کارمزد تحمیل
کنند. البته با استفاده از شاپرک نیاز به ارسال شتاب عملا از بین میرود و هزینه
دریافتی شرکت خدمات بابت شتاب تنها یک باج سبیلی بیش نیست. از 72 تومان کارمزد 25
تومان به نام سویچ شاپرک و25 تومان دیگر به نام سویچ شتاب به جیب شرکت خدمات
انفورماتیک خواهد رفت و 22 تومان باقیمانده به PSP یا بانک تعلق خواهد گرفت یعنی شرکت خدمات انفورماتیک بابت انجام دادن تنها
کمتر از 5 درصد هزینه های مورد نیاز یک شبکه پرداخت الکترونیکی 70 درصد سود این
خدمات را دریافت خواهد کرد. این سودهای انحصاری شرکت خدمات انفورماتیک باعث
میشود که به راحتی دروغهای شاخدار بگویند و دیگران را متهم کنند. کار کارشناسی –
امانت داری و امنیت در این سودها فراموش میشود. و منافع شرکت در اولویت اول
قرار میگیرد.
پیشنهاد من به خانم نسترن اسمعیلی مدیر سیستمهای کارت شرکت خدمات انفورماتیک اینست که به فکر ایجاد امنیت در سویچهای شرکت خدمات انفورماتیک باشند. جلوی هر گونه لطمه به کارتهای مردم را بگیرند جهت اطمینان دادن به ایشان نیز تنها بایت اول کلید پین را در اینجا قید میکنم (5e ). تا حداقل به جای دروغ پردازی در مورد این دسته گل امنیتی اقدام لازم را انجام دهند. البته چنانچه مسئولین بانک کشاورزی درخواست کنند کل کلید را برایشان ارسال خواهم کرد.
در پایان این مقاله یاد آوری میکنم پس از افشاء نا امنیهای موجود در سیستم بانکی تمامی تلاش مسئولین امر برای وارد کردن اتهامات واهی و بی اساس به اینجانب ادامه خواهد داشت. تا به خیال خام خود تاثیر این هشدار بزرگ از بین برود و آقایان در ناز و نعمت به خیانت آشکار خودشان ادامه دهند. متاسفانه برخوردهای ناشیانه ای که از سوی مسئولین در مورد این افشاگری صورت گرفت تمامی امیدهای مرا برای بازگشت امنیت به سیستم بانکی کشور از بین برده است.
خداوند متعال را شکر گذارم که کمک خود را برای آشکار کردن ابعاد مختلف این موضوع از من دریغ نکرد. ضمنا از تمام کسانی که در کنار این وبلاگ تلاش کردند تا آگاهی لازم به مردم ایران داده شود نهایت سپاس خود را ابراز میدارم. با آرزوی اینکه دوستانی که در راه اطلاع رسانی به دیگران یاریم میکنند هیچگاه درمانده و محتاج یاری دیگران نشوند.
از مدیران محترم بانکها درخواست دارم کمی به این موضوع فکر کنند. من حق داشتم برای حل مشکلات امنیتی به آنها متوسل شوم. بانکها موظف هستند در مورد تامین امنیت حسابهای مشتریان خود پاسخگو باشند.
پیوست: لوح تقدیر ارسالی از بانک کشاورزی بابت
ترمینال تخصیص داده شده برای اینجانب. که به خاطر مشکل ساختاری سویچ شرکت خدمات
انفورماتیک ارسال شده است.
Subscribe to:
Posts (Atom)