Monday, July 16, 2012

مصاحبه پخش شده در سایتهای خبری در مورد مشکلات امنیتی بانکها



یکی از توجیهاتی که می‌آورند و به بهانه آن مساله را لوث می‌کنند؛ موضوع تحریم ایران است. با توجه به اینکه این دستگاه‌ها کاربرد نظامی نیز برای رمز کردن اطلاعات دارد، خرید آن کمی مشکل است. اما غیر ممکن نیست و انواع ساخت کره و کشورهای دیگر را دارد. به عنوان مثال بانک آرین که هنوز راه اندازی نشده، سال گذشته دو دستگاه ساخت آمریکا که خیلی خیلی سخت می‌شود خرید و وارد ایران کرد. ولی به علت عدم وجود دانش فنی در بانک مرکزی با مشکل عدم تائید برای شروع کار بانکی شده است.
 دنیای تجارت: تغییر اجباری رمزکارت‌های بانکی و شنیده شدن خبرهای از لو رفتن اطلاعات میلیون‌ها کارت، توجه همگان را به موضوع امنیت شبکه بانکی کشور جلب کرده است» و «هر چند مقام‌های بانک مرکزی تاکنون ادعاهایی مبنی بر لو رفتن اطلاعات را تایید نکرده‌اند، اما در عین حال واکنش‌های عملی شبکه بانکی از تغییر اجباری رمز تا قطع موقت پرداخت از طریق خودپرداز‌ها، به مشتریان این پیام را می‌دهد که موضوعی وجود داشته است.» در این میان فردی که مدعی ناامن بودن سیستم بانکی کشور می‌کند بار‌ها اعلام کرده که با مسئولان بانک‌های تماس برقرار و درخواست رسیدگی به این مشکل را کرده اما تنها پاسخ مسئولان حکم پیگیرد بوده است. این مدیر نرم‌افزار اسبق یکی از شرکت‌های همکار بانک مرکزی که به عنوان شرکت PSP، خدمات پرداخت را ارایه می‌کند نیز پس از بروز اختلافاتی با مدیران شرکت، با همراه داشتن اطلاعات بانکی محرمانه به خارج از کشور رفته و سپس با ایجاد یک وبلاگ به انتشار اطلاعات سه میلیون کارت بانکی اقدام کرد. شرکت «فن آوران انیاک» شرکتی است که این مدیر از آن به عنوان عامل اصلی چالش امنیتی در سیستم بانکی یاد می‌کند. او مدعی است تمامی اسناد و مدارک خود را در وبلاگش قرار داده است. با این حال مسئولان بانک مرکزی این تهدیدات را غیرجدی دانسته و معتقند که سیستم بانکی کشور از امنیت خوبی برخوردار بوده و با اطلاع رسانی به مردم هر چند وقت یک بار تغییر رمز را خواستار است. این موارد بهانه‌ای شد تا با خسرو زارع فرید کسی که اطلاعات سه میلیون کارت بانکی را منتشر کرد گفت‌و‌گویی داشته و چرایی ماجرا را از زبان او جویا شویم. 

 

س: سوال اول را با مساله کارت‌های بانکی شروع می‌کنیم ‫اینکه سیتم‌های امنیتی کارت‌های بانکی در کل بانکداری الکترونیکی در چه وضعیتی است؟ 

ج: در ایران یا در دنیا کدام یک؟ 

‫س: در ایران. ما فعلا در مورد ایران صحبت می‌کنیم

ج: در ایران از کارت‌های مغناطیسی در بانکداری الکترونیکی برای پرداخت‌های الکترونیکی استفاده می‌شود. این کارت‌ها به خاطر اینکه به راحتی قابل کپی کردن هستند در خیلی از کشورهای دنیا با کارت‌های هوشمند جایگزین شده‌اند. 

س: یعنی هنوز هم کارت‌ها ایران مغناطیسی است؟ 

ج: تمامی کارت‌هائی که به حساب‌های بانکی افراد در ایران متصل هستند و برداشت پول و پرداخت خرید‌ها توسط این کارت‌ها انجام می‌شود، مغناطیسی هستند. یعنی بیش از ۱۵۰ میلیون کارت. 

س: ایراد این کارت‌ها در چیه؟ 

ج: زمانی‌که موارد امنیتی درست رعایت نشود، اطلاعات کارت می‌تواند برای کپی کردن کارت مشابه استفاده شود و با در اختیار داشتن رمز کارت، حساب متعلق به دارنده کارت در خطر سرقت قرار می‌گیرد این مورد خطری بود که من برای سه میلیون کارت گزارش دادم. به همین علت بود که بانک مرکزی درخواست تعویض رمز کارت‌ها را در اولین مرحله از مردم کرد

س: کپی کردن چطور صورت می‌گیرد یعنی در بیرون از یک سیستم و در بازار یا درون یک سیستم؟ 

ج: در هر جائی امکان کپی کردن وجود دارد به عنوان مثال یک چاپگر کارت دارای کپی کننده نوار مغناطیسی که در ایران قیمتی حدود ۲ میلیون تومان دارد، می‌تواند به راحتی اینکار را انجام دهد. 

س: اما نکته اینکه اکثر مردم تصور کپی کردن کارت‌های بانکی را ندارند و بیشتر فکر می‌کنند این کار توسط هک شدن سیستم اطلاعات صورت می‌گیرد. 

ج: الان از کارت‌های مغناطیسی برای سیستم‌های حضور و غیاب نیز استفاده می‌شود کسانی که این سیستم‌ها ارائه می‌کنند می‌توانند به راحتی کارت‌های مغناطیسی را کپی کنند این کار هیچ ارتباطی به هک ندارد. 

س: اما آن چیزی که در جامعه در مورد انتشار سه میلیون داده کارت بانکی وجود دارد، این است که باگی در سیستم به وجود آمده که یک نقر توانسته از آن باگ برای نفوذ استفاده و داده‌ها را برداشت کند. 

ج: مشکلی که من به آن اشاره کردم این بود که رمز دارنده کارت بانکی حساسترین اطلاعات یک سیستم پرداخت الکترونیکی است و رعایت استانداردهای لازم تامین کننده عدم لو رفتن این رمز است. با توجه به اینکه موارد امنیتی در بیشتر نقاط شبکه بانکی کشور رعایت نشده این رمز به همراه اطلاعات بخش مغناطیسی کارت در اختیار افراد متعددی قرار دارد و شناسائی افرادی که احتمالا از این اطلاعات سوء استفاده کنند به هیچ عنوان ممکن نیست. 

س: منظور شما از اینکه این اطلاعات می‌تواند در اخیتار افراد متعدد قرار داشته باشد، چیه؟ 

ج: من تمامی موارد فنی را در وبلاگ قبلی و وبلاگ جدید خودم گذاشتم ولی بانک مرکزی با وجود قبول کردن تمامی این نکات فنی سعی می‌کند با مخفی کردن واقعیت‌ها تنها از ایجاد بی‌اعتمادی در بین مردم جلوگیری کند و این نهایتا به ضرر مردم است. 

س: یعنی شما می‌گید به غیر از این مواردی که شما اشاره کردید موارد دیگری هم وجود داره؟ 

ج: الان به عنوان مثال در مقاله مربوط به امینت در سویچ خدمات انفورماتیک مواردی که من به آن‌ها اشاره کردم نشان می‌دهد که حتی یک صاحب مغازه نیز می‌تواند به راحتی اطلاعات دارنده کارت‌های بانکی را سرقت کرده از روی کارت‌های آن‌ها کپی برداری کند. 

س: ولی یک نفر می‌تواند تنها به اطلاعات یک کارت دسترسی داشته باشد اما چطور می‌شود اطلاعات سه میلیون کارت لو برود؟ 

ج: متاسفانه وجود دارد. چون افرادی که مسئول نظارت بر سیستم‌های بانکی هستند دانش لازم را ندارند یا اهمیت لازم را نمی‌دهند. در ضمن اصلاح کردن تمامی موارد در یک زمان کوتاه ممکن نیست شاید یکسال طول بکشد؛ آنهم اگر برنامه‌ریزی درست و مدیریت صحیح وجود داشته باشد. ببینید شبکه‌های بانکی در کشور ما از سیستم‌هایی استفاده می‌کند که به راحتی قابل دسترسی است و حتی خارج از شبکه بانکی. بنابراین امکان لو رفتن آن‌ها وجود دارد. 

س: چطور این امکان وجود دارد؟ 

ج: خب یک موضوع خیلی مهم را فراموش نکنید. امکان دسترسی به رمز افراد حتی برای مدیران بانک‌ها نیز نباید وجود داشته باشد این موضوع با رعایت استاندارد‌ها امکان پذیر است. 

س: یعنی می‌خواهید بگوید این استاندارد‌ها اینجا رعایت نمی‌شود؟ 

ج: بانک‌ها برای سیستم‌های شبکه خود از شرکت‌های فنی استفاده می‌کنند که این شرکت‌ها و خود بانک‌ها هیچ‌گونه رعایت موارد امنیتی را لحاظ نکرده‌اند. بنابر این اگر کسی بخواهد سوء استفاده کند، ممکن خواهد بود. 

س: حتی همین شرکتی که شما در آن شاغل بودید؟ 

ج: دقیقا. مثلا تمامی پوزهای شرکت خدمات انفورماتیک تنها از یک رمز برای محرمانه کردن رمز دارندگان کارت استفاده می‌کند. این یعنی بیش از ۵۰۰ هزار پوز بانکی. اگر این پوز‌ها در هر روز ۲ تراکنش داشته باشند، یعنی روزانه یک میلیون کارت بانکی تنها با یک رمز از حساب بانکی خود استفاده می‌کند. اینکه از این یک میلیون عملیات بانکی در هر نقطه‌ای از شبکه مورد استفاده، کمی اطلاعات درز کند یعنی یک فاجعه بزرگ. شرکتی که من در آنجا شاغل بودم با وجود اصرارهای من، به موارد امنیتی اهمیتی نشان ندادند چون هم هزینه سخت افزار برایشان داشت و هم باید نیروهای نرم افزاری خود را درگیر افزایش امنیت می‌کردند. من اسناد مربوط به این بی‌توجهی را در وبلاگ خودم قرار دادم. این اقدام را بعد از اتهامات بی‌اساس خانم اسمعیلی از شرکت خدمات انفورماتیک انجام دادم. 

س: اما شایعه‌ای که وجود دارد این است که چون شما از شرکت بیرون رفتید و مشکلاتی که با مدیران داشتید باعث شد که دست به این کار بزنید. 

ج: ببینید این اطلاعاتی که من در اختیار داشتم و می‌خواستم اطلاع رسانی کنم، باعث ایجاد مشکل شده بود. چون من انتظار داشتم شرکت خودش اقدام کند و از بانک‌ها بخواهد این کارت‌ها باطل و کارت‌های جدید صادر شود. در گفت‌و‌گوی صوتی من با آقای حجازیان که در وبلاگ قرار داده‌ام این موارد کاملا آشکار بیان شده است. 

 س: می‌خوام از اینجا شروع کنم که شما چطور به این مساله امنیت پی بردید؟ 

ج: من از دوسال پیش از خروج از شرکت تمامی موارد را گفته بودم حتی در صورت جلسات سعی می‌کردم درج شوند تا همه به اهمیت آن پی ببرند واقدام کنند. از طرفی این مورد را همه اطلاع داشتند و تنها من متوجه آن نشده بودم. فقط من نسبت به امانتداری اطلاعات کارت‌ها حساس بودم و سعی می‌کردم شرکتی که وظیفه خدمات رسانی به شبکه بانکی را دارد، کارش بدون ایراد باشد. 

س: یعنی همه افراد شرکت در جریان این مساله بودن که این مشکل امنیتی در سیستم کارت‌های بانکی وجود داره به غیر از شما؟ 

ج: مدیران شرکت و همچنین شرکتی که از آن نرم افزار سویچ بانکی خریداری شده بود و بخش فنی شرکت، اطلاع داشتند. 

س: سمت شما در آن زمان چی بود؟ 

ج: ابتدا مدیر فنی بخش نرم افزار بودم و در آن زمان خیلی روی این موضوع اصرار کردم. 

س: چطور کسی که مدیر فنی نرم افزاری است در جریان این مساله نبوده؟ 

ج: در جریان بودم که در صورتجلسات برای رفع آن تلاش می‌کردم. رفع موارد مربوط به مدیریت شرکت بود که سخت افزارهای لازم را خریداری نمی‌کرد تا ما توسط آن‌ها مشکل را رفع کنیم. سخت افزار لازم برای رمزگذاری اطلاعات حساس استفاده می‌شود. با آن رمز‌ها نیازی نیست در بانک اطلاعاتی ذخیره شود. بنابراین جلوی لو رفتن رمز دارندگان کارت‌های بانکی گرفته می‌شود. 

س: آیا فقط مساله مالی بود که سخت افزار‌ها خریداری نمی‌شد یا مساله دیگری هم بود؟ 

ج: مشکل مالی نداشتند ولی در اولویت خرید قرار نمی‌گرفت. چند بار به ظاهر استعلام کردند و قیمت گرفتند ولی خرید انجام نشد این در حالی بود که چهار بانک مختلف به سویچ شرکت متصل شده بود و بانک‌های دیگر نیز در حال متصل شدن بودند. 

س: علت اصلی امتناع از خرید چی بود؟ 

ج: من بیش از دو سال منتظر ماندم تا این خرید انجام شود ولی انجام نشد. بدون اهمیت بودن موضوع برای مدیران شرکت. ببینید مدیران انیاک از یک شغل تجاری به شغل خدماتی برای بانک‌ها وارد شده بودند در نتیجه هر نوع هزینه برای آن‌ها باید معنای لازم را می‌داشت. به عنوان مثال آن‌ها بیش از ۱۰ میلیون دلار تجهیزات اسرائیلی وارد ایران کردند و کسی خم به ابرو نیاورد. 

س: تجهیزات در چه زمینه‌ای؟ 

ج: پوزهای وریفون که از ترکیه خریداری شده حدودا ۵۰ هزار دستگاه که همه ساخت اسرائیل هستند ولی بنا به درخواست شرکت، تولید چین روی آن زده شده است. من این مورد را از روی سایت‌های اسرائیلی می‌توانم اثبات کنم. 

س: و آیا مساله امنیتی این دستگاه‌ها چک شده بود؟ 

ج: چه کسی در ایران توان یا آزمایشگاه‌های لازم را داراست که بتواند این موارد را کنترل کند؟ 

س: خوب در این زمینه این‌ها مدعی آزمایشگاه‌های بررسی سخت افزاری دستگاه‌های فناوری اطلاعات هستند. پرسش اینکه مگر از بانک بازرسی برای بررسی و رسیدگی به سیستم‌های بانکداری الکترونیکی که برون سپاری کردن وجود نداشت که به شرکت‌ها رفته و سیستم‌های امنیتی را چک کنند؟ 

ج: وارد کردن تجهیزات اسرائیلی به ایران جرم است؛ شما انتظار دارید این تجهیزات برای کنترل به این آزمایشگاه‌های دولتی ارسال می‌شد؟ به فرض اینکه وجود داشت. مواردی که بانک‌ها اهمیت می‌دادند فقط در سطح قرارداد بود. هیچ‌گونه بازرسی و نظارتی از سوی بانک‌ها و بانک مرکزی در طی سه سال و نیم همکاری من با انیاک مشاهده نشد. 

س: و هیچ گزارش سالیانه‌ای هم در مورد سیستم‌های فنی به بانک‌ها داده نمی‌شد؟ 

ج: یک بار از سوی بانک نامه‌ای ارسال شده بود که آیا شما از سخت افزار مورد بحث من استفاده می‌کنید؟ شرکت هم در جواب نوشته بود تمامی موارد امنیتی و تجهیزات لازم استفاده می‌شود. 

 س: سخت افزار مورد نظر بانک چی بود؟ 

ج: گزارش سالیانه وجود نداشت تنها گزارشاتی که ارسال می‌شد، مربوط به تعداد تراکنش‌ها و مبالغی بود که به شرکت باید پرداخت می‌شد. اسم دستگاه هم HSM است. 

س: این دستگاه را شرکت شما تامین کرده بود؟ 

ج: اصلا در شرکت وجود نداشت متن صورت‌جلسه‌های لازم را در وبلاگ جدیدم گذاشته‌ام، می‌توانید خودتان ببینید. برایتا اثبات می‌شود که خریدی انجام نشده بود. 

س: کار این دستگاه چیه؟ 

ج: ببینید برای اینکه رمز کارت‌ها قابل استخراج برای افراد نباشد از سخت افزاری استفاده می‌کنند تا کلیدهای رمز کننده توسط این دستگاه تولید شود. این کلید‌ها توسط موارد امنیتی به روی پوز‌ها بدون دخالت نیروهای انسانی منتقل می‌شود. زمانی که دارنده کارت از پوز استفاده می‌کند، رمز کارت با این کلید‌ها محرمانه شده به سویچ ارسال می‌شود؛ سویچ نیز با استفاده از این سخت افزار کلید پوز را با کلید بانک تعویض کرده، اطلاعات را برای ارسال به بانک آماده می‌کند. یعنی هیچ نیروی انسانی نمی‌تواند با وجود این سخت افزار به رمز دارنده کارت دسترسی پیدا کند. مثلا کلید بانک برای ورود به این دستگاه از دو قسمت تشکلی می‌شود و هر قسمتی توسط یک نفر وارد می‌شود. این افراد می‌توانند یکی از بانک و یکی از شرکت باشد تا کلید اصلی برای هیچ طرفی قابل استفاده نباشد. 

س: چه دلیل دارد که شرکت در پاسخ به مسولان بانک در حالی که این دستگاه را ندارد، اعلام کند که این دستگاه خریداری شده؟ 

ج: در مقررات بانک مرکزی شرط الزامی برای سویچ پذیرندگان داشتن این دستگاه است یعنی عدم خرید این دستگاه به معنی عدم رعایت حداقل‌های اعلامی خود بانک مرکزی است. شما می‌توانید به مرجع بانک مرکزی در نقد اظهارات من برای آقای حکیمی مراجعه کنید. 

س: بله اما مساله اینکه چه توجیهی باید برای جواب شرکت ایناک وجود داشته باشد که جواب بانک را اینگونه بدهد؟ 

ج: یکی از توجیهاتی که می‌آورند و به بهانه آن مساله را لوث می‌کنند؛ موضوع تحریم ایران است. با توجه به اینکه این دستگاه‌ها کاربرد نظامی نیز برای رمز کردن اطلاعات دارد، خرید آن کمی مشکل است. اما غیر ممکن نیست و انواع ساخت کره و کشورهای دیگر را دارد. به عنوان مثال بانک آرین که هنوز راه اندازی نشده، سال گذشته دو دستگاه ساخت آمریکا که خیلی خیلی سخت می‌شود خرید و وارد ایران کرد. ولی به علت عدم وجود دانش فنی در بانک مرکزی با مشکل عدم تائید برای شروع کار بانکی شده است. 

س: اما جواب سوال که چرا مسئولان شرکت درحالی که دستگاه را خریداری نکردن، گفتند که این دستگاه را خریداری کردند؟ 

ج: نمی‌خواستند دچار مشکل شوند یا مجوز آن‌ها از سوی بانک مرکزی لغو شود. چون آن موقع تعداد پوز‌هایشان کم بود و اصولا شرکت فوق به دروغ گوئی و تقلب عادت کرده بود به همین خاطر بود که به راحتی هر کاری می‌کردند و اهمیت نمی‌دادند که کارهای انجام شده از راه‌های منطقی و درست باشد. 

س: اما شما به عنوان مسئول فنی می‌توانستید با مسئول فنی بانک به صورت مستقیم مکاتبه کنید که این دستگاه خریداری نشده است. یعنی مساله امنیتی را با نهاد مربوطه در میان می‌گذاشتید؟ 

ج: این نامه‌ها جنبه تشریفاتی داشتند من مواردی را به صورت غیر مستقیم به مسئولان بانک‌ها اعلام کردم ولی هیچ نتیجه‌ای نداشت. آن‌ها می‌گفتند ما در قرارداهای خودمان مسئولیت رعایت موارد امنیتی را بر اساس رعایت استانداردهای اعلامی بانک مرکزی آورده‌ایم و این کافی است. 

س: ولی شما می‌توانستید به صورت مستقیم با مسئول فنی بانک ارتباط داشته باشید. ‫فکر نمی‌کنید از این طریق بهتر نتیجه می‌داد؟ 

ج: ببینید من تمامی راه‌های ممکن را آزمایش کردم. در کشوری که مدیران فنی بانک‌ها تنها می‌توانند از این شرکت‌های همکار بانک جیره خود را بگیرند، عملا امکان هیچ‌گونه اقدامی وجود ندارد؛ بلکه باعث می‌شد که این افشاگری در نطفه خفه شود. الان نگاه کنید پس از این افشاگری‌ها باز هم آش‌‌ همان آش است و کاسه‌‌ همان کاسه. 

س: پرسش دیگری که مطرح می‌شود این است که چرا اطلاعات کارت‌های این دو سال منتشر شد؟ آیا قبل و بعد از آن هم چنین ایرادی وجود داشت؟ 

ج: اطلاعات مربوط به ابتدای شروع کار سویچ‌های انیاک تا زمان حضور من در شرکت بود بعد از آن نیز اطلاعاتی وجود دارد که من دسترسی به آن‌ها را نداشتم. در ضمن علت پخش این اطلاعات تنها برای علنی کردن این خیانت‌ها بود که در حق امانت‌های مردم و اطلاعاتشان وجود دارد. 

س: یعنی از چه سالی؟ 

ج: از سال ۸۶

 س: چرا اطلاعات ۳ میلیون کارت؟ 

ج: این اطلاعات از بین ۶۰ میلیون تراکنش بانکی استخراج شده بود و من تنها کارت‌هایی که رمزهای صحیح و تراکنش بانکی صحیح داشتند را پخش کردم تا جای هیچ‌گونه شک و تردید وجود نداشته باشد. حرکتی که انجام دادم باید پوشش بزرگی می‌داشت تا قابل انکار نباشد. 

س: می‌توانید توضیح بدهید که مگر می‌شود رمز صحیح یا تراکنش صحیح هم وجود نداشته باشد؟ 

ج: بله شاید کسی رمزش را اشتباه زده و تراکنش ناموفق باشد یا خرید درست انجام نشده باشد. یعنی می‌خواستم هر رمزی که به صورت مخفی به دارنده کارت اعلام می‌شود، دقیقا‌‌ همان رمزی باشد که برای آن کارت استفاده شده است. 

س: یعنی این‌ها شماره کارت‌ها و رمز خود کارت‌ها نبودند؟ 

ج: چرا خود شماره کارت‌ها و رمزهای استفاده شده کارت‌ها بودند ولی برای رعایت محرمانگی رمز آن را درون یک عدد ۱۴ رقمی مخفی کرده بودم تا تنها دارنده کارت و رمز بتواند آن را تشخیص دهد و خطری برای دارنده کارت ایجاد نکند. البته در صورت اعلام خود رمز نیز خطر زمانی به وجود می‌آمد که خود کارت هم در اختیار دیگران قرار می‌گرفت یا اطلاعات بخش مغناطیسی کارت را نیز من پخش می‌کردم که بنده از این کار بیزار بودم هدف من اصلاح مشکل بود ایجاد مشکل نبود. 

س: زمانی که شما این اطلاعات را منتشر کردید، بانک‌ها به مشترکان اعلام کردند که باید رمز کارت‌های خود را عوض کنند و در توجیه کارشان گفتند که دارندگان کارت‌ها باید هر سه ماه یک بار اقدام به تغییر رمز کارت کنند. آیا تغیر رمز کارت هر سه ماه یک بار یا حتی یک ماه یکبار با توجه به شرایط فعلی سیستم امنیتی بانکی ما اثرگذار در حفظ امنیت کارت‌ها هست؟ 

ج: نه اثر گذار نیست بگذارید توضیح بدهم. در وبلاگ جدیدم علت ترس بانک‌ها را نوشته‌ام آن‌را اگر مطالعه کنید متوجه می‌شوید که به جز اطلاعات بخش مغناطیسی کارت اطلاعات مالی کارت‌ها نیز در دسترس افراد است، بنابراین افراد فرصت طلب می‌توانند کارت‌های پر پول را شناسائی کنند و به محض دیدن تراکنش‌های آن اقدام کنند و در طی چند روز کلی خسارت به دارنده کارت وارد کنند، بدون اینکه کسی بفهمد این اقدام از کجا انجام گرفته است. در ضمن شما نباید فراموش کنید که خود عمل تغییر رمز کارت‌های بانکی در چنین شبکه بانکی نا‌امنی انجام می‌گیرد. 

س: پس با این اوصاف تا زمانی که سیستم کارت‌ها مغناطیسی است. تغییر ماهانه یا سه ماه یک بار نمی‌تونه امنیت کارت‌ها را تضمین کند

ج: تضمین نمی‌کند ولی به نوعی مشکل را کمتر می‌کند. البته اینکار مشکل دیگری برای مردم ایجاد می‌کند و آن فراموش کردن رمزهای جدید است و اینکه هیچ‌گاه نباید از رمزهای استفاده شده قبلی خود استفاده کنند. 

Thursday, June 21, 2012

لابیهای صهیونیستی حامی انیاک



من نمیدانم پاکتهائی که از انیاک ساعت 5 صبح توسط نگهبانی به دفتر ریاست جمهوری ارسال میشود به دست چه کسی میرسد ولی میدانم که شرکتی که بیش از 10 میلیون دلار پوز اسرائیلی وریفون را وارد ایران کرده پشت سر خود کسانی را دارد که حامی آنها هستند و آنها اجازه میدهند این شرکت به خیانتهای خود ادامه دهد. در ایران لابیهای صهیونیستی در زیر عبای روحانیت در حال فعالیت هستند. کارکنان فنی انیاک حتما یادشان نرفته روز اولی که چند دستگاه پوز وریفون را به شرکت آوردند دادند بخش فنی داخل آن را باز کنند تا مبادا در داخل آن جائی به تولید اسرائیل بودن پوز اشاره شده باشد. چرا که پوزها برچسب ساخت چین خورده بودند..
http://www.ynetnews.com/articles/0,7340,L-4118268,00.html
در خبر فوق به اهمیت صادرات وریفون از طریق ترکیه پی میبریم که مدیر این شرکت در اسرائیل از حکومت اسرائیل میخواهد مراقب روابط خود با کشور ترکیه باشد. چرا که سالانه بیش از یکصد میلیون دلار از طریق این شرکت در ترکیه در حال کسب درآمد است. از این میزان درآمد حدود 10 میلیون دلار توسط همین حجازیان ها از کشور ایران اخذ شده است. حال شما بگوئید اکنون که اسرائیل دشمن شماره یک ایران هست پس این حجازیان ها به پشتوانه کدام حامی خود اقدام به این واردات کرده است و این پوزها را به شاپرک متصل کرده.
;لازم به یادآوری هست که مدیر سابق وریفون در ترکیه که چند ماه پیش به خاطر صادرات تجهیزات تحریمی به ایران از کار برکنار شده است در دفاع از خود اظهار داشته است که آقای یانای مدیر ایشان در اسرائیل از موضوع صادرات به ایران اطلاع داشته است. عملا بدون اطلاع ایشان امکان زدن برچسب تولید چین برای پوز تولید اسرائیل جهت ارسال به ایران ممکن نبود. آقای حجازیان ادعا میکرد بیزنس بیزنس است و سیاست نمیفهمد. ولی بیزنسی که در خدمت ریختن بمب سر کودکان و زنان بیگناه غزه باشد بیزنس نیست همچنان که حکومتی که شریک ریختن بمب سر کودکان و زنان سوریه هست اسلامی نیست.



VeriFone Israel: We can't give up on Turkeywww.ynetnews.comBusiness: Head of leading payment technology company's activity outside US can'...
See More

Friday, June 1, 2012

بانکها چرا وحشت زده شدند؟

علت وحشت بانکها پس از افشاگری عدم وجود امنیت در حسابهای بانکی متصل به کارتهای بانکی و درخواست آنها از مردم برای تغییر رمزهای کارتهای بانکی اطلاع آنها از عمق خطری بود که بنده هشدار داده بودم لذا مجبور شدند که بلافاصله حسابهای مورد اشاره را کنترل کنند و جلوی سوء استفاده افرادی که در ایران به این اطلاعات دسترسی داشتند را بگیرند.

آیا اطلاعات پخش شده در اینترنت خطری برای مردم ایجاد میکرد؟
چنانچه در وبلاگ به هنگام پخش اطلاعات اشاره کرده بودم این اطلاعات که در وبلاگ پخش کردم امکان سوء استفاده برای هیچ کسی را توسط این اطلاعات ایجاد نمیکرد. تنها به صورت آشکار دارنده کارت را از در خطر بودن حساب بانکی خود آگاه میکرد. این مورد نیز توسط مدیران بانک مرکزی به مردم اطلاع رسانی شد

آیا من برای حسابهای بانکی مردم تهدید به حساب می آمدم؟
با توجه به عدم حضور من در ایران امکان سوء استفاده از این اطلاعات برای کپی کردن کارتها و خالی کردن حسابهای آنها توسط من به هیچ عنوان وجود نداشت. در زمان حضور من در کشور نیز بنده هیچ گونه سوء استفاده از این اطلاعات نکردم. که توسط بانک مرکزی نیز این مورد تائید شده است. علت وحشت بانکها این بود که افراد زیادی به اطلاعات دسترسی داشتند و امکان سوء استفاده آنها در داخل کشور وجود داشت.

چه اطلاعاتی در دسترس افراد بود؟
اطلاعات بخش مغناطیسی کارت
CVV2 
تاریخ انقضاء کارت
شماره کارت
آخرین رمز معتبر کارت
رمزهای معتبر قبلی کارت
حداکثر مبلغ موجودی کارت در طی زمان استفاده
حداکثر مبلغ خرید کارت در طی زمان استفاده
میانگین مبالغ خرید کارت
میانگین مبالغ موجودی کارت

آیا زمان پخش اطلاعات کامل کارتها فرا رسیده است؟
با توجه به اعلام قبلی من که پس از یکماه در صورت ابطال کارتهای بانکی توسط بانکهای مسئولیت پذیر بنده اقدام به پخش اطلاعات کامل کارتها خواهم نمود. فکر میکنم زمان آن فرا رسیده است. تا کسانی که تهمتهای فراوان را وارد میکنند. حقیقت عریان مربوط به حسن نیت مرا ببینند. و چنانچه واقعا جیره خواری نمیکنند و یا دنبال منافع دنیوی خویش نیستند اعتراف به اشتباهات خود کنند و به خاطر غیبتهائی که در مورد من کردند حداقل لیاقت عذرخواهی کردن را داشته باشند

با توجه به حساسیت اطلاعات آیا پخش کردن آنها صحیح خواهد بود؟
شماره کارت و اطلاعات کارت به همراه مبالغ موجودی کارتها به تنهائی قابلیت شناسائی دارنده کارت را فراهم نمیکند. اما تمامی شبهاتی که توسط رسانه های دولتی برای بی اهمیت نشان دادن این افشاگری ایجاد کرده اند را از بین میبرد. یکی از تله های رسانه ای استفاده شده پیدا کردن یک کیف میلیاردی توسط یک رفتگر بروجردی در 31 فروردین درست چند روز پس از این افشاگری بود از دولت ایران نمیتوان انتظار داشت که این خبر ساختگی نباشد اما واقعیت اینست که ایشان جوایز متعدد نقدی و غیر نقدی دریافت کردند. ولی بنده حتی یک ریال نیز بابت امانت داری خویش از هیچ کسی دریافت نکرده و نخواهم کرد در ضمن این اطلاعات را در صورتی که بیش از سه میلیون نفر در خواست پخش آن را داشته باشند پخش خواهم کرد تا حقی از مردم ضایع نشود

یکی از دلایل اصلی من برای تقاضای ابطال کارتهای استفاده شده در سویچهای انیاک این اطلاعات حساس بوده است با استفاده از این اطلاعات هر کسی که دسترسی به این اطلاعات داشت میتوانست. حساب دارندگان کارتها را تخلیه کند بدون اینکه ردپائی از خود بگذارد چرا که افراد زیادی به این نوع اطلاعات دسترسی دارند

در خواست بانک مرکزی برای تغییر رمز تمامی کارتهای مردم به علت این بود که در بیشتر نقاط شبکه بانکی این مشکل وجود دارد. همین علت یکی از دلایلی است که مدیران بانکها به خاطر آن عکس العملی نشان ندادند. چرا که بستن یک حفره امنیتی در یک شبکه بانکی سوراخ سوراخ معنی ندارد. این موضوع در گفتگوی من با آقای حجازیان نیز توسط ایشان مطرح شده است. و یکی از دلایلی است که ایشان را تبرئه کردند و فعالیت شرکت انیاک ادامه دارد

سخن آخر اینکه با توجه به مقررات سایتهای عمومی از قبیل گوگل و سایر سایتها در صورت درخواست مردم برای پخش کامل اطلاعات این اقدام توسط سایر دوستان و از کانالهای دیگری به صورت کاملا قانونی انجام خواهد گرفت

Tuesday, May 29, 2012

انیاک سویچ خودش را به شاپرک وصل کرده

شنیده ام که انیاک سویچ خودش را به شاپرک وصل کرده و با پوزهای خودش در حال ارسال تراکنش کارتهای بانکی است. کشوری که در آن چنین شرکتهایی به کارشان ادامه میدهند. نشان میدهد که چه میزان مدیران خیانتکار و رشوه بگیری دارد که نمیخواهند اخبار آن به گوش مردم برسد. این موضوع علت عدم واکنش مدیران بانکها را به هشدارهای قبلی من نشان میدهد.
حال سوال اصلی اینست که آیا مردم نیز با استفاده از این پوزها چنین سیستمی را قبول دارند؟


Tuesday, May 1, 2012

امنیت در سویچ شرکت خدمات انفورماتیک ایران


شرکت خدمات انفورماتیک ایران که دارنده سویچ شتاب و دست راست بانک مرکزی برای تمامی پروژه های بزرگ در صنعت بانکداری الکترونیکی میباشد. انحصار کامل خدمات سویچ مربوط به سویچهای ملی را در اختیار دارد. این شرکت علاوه بر پیاده سازی و اجرای پروژه های بزرگ ملی در صنعت پرداخت الکترونیکی بیشترین درآمدهای این صنعت را نیز در انحصار خود دارد و از کارمزدهای مربوط به شتاب و اخیرا شاپرک یک امپراتوری انفورماتیکی برای خود ساخته است. مدیریت این شرکت غالبا توسط بانک ملی با توجه به میزان سهم بالای این بانک در شرکت فوق تعیین میشود. همچنین به علت عدم وجود کارشناسان بانکداری الکترونیکی در بانک مرکزی تمامی درخواستهای فنی و استانداردهای بانکی مورد نیاز از این شرکت استعلام میگردد. و یا به این شرکت ارجاع میشود. این موارد به حدی اغراق آمیز اعمال میگردد که شرکت انیاک برای اثبات استاندارد بودن سویچ خود به دروغ میگفت تائیدیه شتاب را دارد و به سویچ شتاب متصل شده است. در حالی که به عنوان PSP نمیتواند مستقیما به شتاب متصل شود.
این توضیحات در مورد شرکت خدمات انفورماتیک ایران از این جهت ارائه گردید تا خواننده محترم این وبلاگ به جایگاه این شرکت در صنعت بانکداری الکترونیکی کشور پی ببرد. این شرکت هم اکنون جزء شرکتهای حاضر در بازار بورس ایران نیز میباشد. همچنین با توجه به اظهارات خانم اسمعیلی "یکی از انگیزه‌های اصلی در تعریف طرح شاپرک نظارت بر شرکت‌های PSP بوده ‌است و قرار شده از طریق این شرکت این نظارت انجام شود." یعنی شرکت خدمات انفورماتیک ایران مسئول نظارت بر PSP ها و تامین امنیت شبکه پرداخت الکترونیکی شده است.
مطالب ارائه شده در این پست مربوط به سویچ پذیرندگی شرکت خدمات انفورماتیک ایران میباشد که توسط این سویچ به کارتهای بانکی و پوزهای بانک کشاورزی خدمات رسانی میکند.  خانم نسترن اسمعیلی "مدیر پروژه سیستم‌های کارت شرکت خدمات انفورماتیک" در هفته نامه عصر ارتباط (خود شرکت خدمات انفورماتیک از چه استانداردهایی برای سیستم کارت پیروی می‌کند؟
روال‌هایی که رعایت می‌شود طبق روال‌های استاندارد است. به طور مثال یک نفر به کلید دسترسی ندارد، نگهداری کلید‌ها تحت روال‌های استاندارد امنیتی است. شاید مهم‌ترین بخشی که رعایت شده است جداسازی بخش راهبری از بخش تولید و توسعه است. کسانی که نرم‌افزار تولید می‌کنند به داده‌ها دسترسی ندارند و داده‌ها تحت کنترل تیم دیگری است که به نرم‌افزار دسترسی ندارند. این امر در طول سالیان به ما کمک زیادی کرده است. به علاوه استانداردهای ما تا حد زیادی با PCIDSS تطبیق دارد، یعنی داده‌های محرمانه را اصلا ذخیره نمی‌کنیم، داده‌ها را فقط پردازش می‌کنیم. نگهداری رمز‌ها حتی در سیستم‌ها به صورت رمزنگاری‌شده هم نیست. این‌ها روال‌های استانداردی است که در سیستم استفاده شده ‌است. )
واقعیت اینست که مشکل امنیتی وقتی به نقطه بحرانی میرسد که مجری سیستمهای بانکی که بایستی نکات امنیتی را رعایت کند خود همزمان ناظر رعایت شدن نکات امنیتی در کشور میشود. این وضعیتی است که در کشورمان پس از مطرح کردن عدم وجود امنیت در سیستم بانکی به وجود آمده است و این بار کج هرگز به مقصد نخواهد رسید. همچنان که آقای حکیمی نیز اذعان نموده بود من در مورد وجود نا امنی در شبکه بانکی به بانک مرکزی اطلاع رسانی نکرده بودم. علت این نوع تصمیم گیری از سوی بنده عدم توان بانک مرکزی در حل بحران بوده است. اتکاء بانک مرکزی در موارد تخصصی به شرکت خدمات انفورماتیک یکی از مشکلات این سازمان در انجام وظایف قانونی خود میباشد. قاعدتا یک بانک مرکزی قوی میبایستی توان نظارت مستقیم به تمامی بانکها و شرکتهای سرویس دهنده را داشته باشد. و این نظارت بایستی توسط شرکتهای سرویس دهنده انجام نشود چرا که خود این شرکتها نیاز به نظارت دارند.
زمانیکه در انیاک بودم فرمت پیغامهای سویچ خدمات را برای اتصال پوزهای بانک کشاورزی دریافت کردم تا نرم افزار مورد نیاز بانک را آماده نمایم. این فرمت که به صورت یک داکیومنت ارسال شده بود نحوه درست کردن اطلاعات مورد نیاز برای ارسال به سویچ خدمات را برای انجام تراکنشهای مختلف مانند خرید – موجودی – پرداخت قبض و ... نشان میداد ضمنا به همراه این داکیومنت یک فایل کتابخانه Lib ویک فایل Header  برای توابع تعریف شده در فایل کتابخانه وجود داشت. رمز کارت دریافتی از مشتری میبایستی توسط یکی از توابع این فایل کتابخانه رمزنگاری شده به سویچ ارسال میشد. این به معنی این بود که تمامی پوزها با استفاده از یک کلید عمومی اقدام به رمزنگاری پین بانکی یا همان رمز دارنده کارت میکنند. جهت اطمینان سعی کردم این کلید عمومی را پیدا کنم این جستجو در کمتر از نیم ساعت نتیجه داد و با چند تست از صحت این کلید اطمینان پیدا کردم. پس از آن نیز فایل کتابخانه فوق را کنار گذاشته از کلید یافته شده برای ایجاد تراکنشها استفاده کردم. در حقیقت من تنها میخواستم از سرویس پرداخت قبض استفاده کنم. قبلا اشاره کرده بودم که با اتصال دستگاه پوز به دستگاه بارکد خوان اولین دستگاه باجه الکترونیکی پرداخت قبض را برای بانکها ابداع کرده ام و این پروتکل را برای این دستگاه میخواستم استفاده کنم. چون سرویس پرداخت قبض در سویچ بانک تجارت راه اندازی نشده بود. و ما میخواستیم این دستگاه را به بانکها بفروشیم.
مطالعه فرمت پیغامهای سویچ خدمات حقایق تلخی را برای من روشن کرد. این فرمت با هیچ یک از فرمتهای استاندارد بانکی همخوانی نداشت. حتی فرمت استاندارد 8583ISO مربوط به 1987 نیز نبود. کارشناسان محترم شرکت خدمات انفورماتیک با پشت سر هم چیدن اطلاعات مورد نیاز در یک سری فضاهای کاراکتری از پیش تعیین شده پیغام مورد نیاز را درست کرده و از آن استفاده میکردند. تصور چنین فرمت و یا به اصطلاح پروتکلی غیر قابل باور بود. هیچگونه کنترلی برای تغییر محتوای اطلاعات بعد از ارسال وجود نداشت به زبان فنی پیغام ارسالی به سویچ خدمات کاملا فاقد MAC میباشد. هیچگونه مدیریت کلیدی وجود ندارد. چون تنها کلید استفاده شده درون یک فایل کتابخانه ای ارسال شده بود. که آنهم در کمتر از نیم ساعت لو رفت.
پس از پیاده کردن این پروتکل برای دستگاههای پرداخت قبوض دستگاههای فوق برای شعب مختلف بانکها ارسال شدند. حتی برای بانک ملی با آرم بانک ملی تراکنش را به سویچ بانک کشاورزی ارسال میکردیم. عملیاتی شدن این دستگاه باعث شد. سایر مشکلات سویچ خدمات نیز خود نمائی کنند. حقیقت از این قرار است که تکنسینهای شرکت انیاک بدون تغییر کد پایانه و پذیرنده دستگاه پوز اقدام به نصب این پوزها کرده بودند. و این کدها به صورت پیش فرض کدهای پایانه و پذیرنده تخصیص داده شده برای اینجانب بودند. لذا این اقدام باعث شد تمامی تراکنشهای پرداخت قبوض از شعب بانکهای مختلف با شماره تنها یک دستگاه پوز به سویچ خدمات ارسال شود. و حجم تراکنشهای این دستگاه پوز به صورت باورنکردنی چند صد برابر شود. من زمانی متوجه این اشتباه تکنسینها شدم که مغایرت یک تراکنش پرداخت قبض را بررسی میکردم. پول از کارت یکنفر کسر شده بود و قبض یکنفر دیگر پرداخت شده بود. علت آن ارسال تراکنش همزمان هر دو دستگاه پوز از مکانهای مختلف با کد پایانه و پذیرنده یکسان بود. البته مسئولین شعبه بانک کشاورزی که پوز من متصل به حساب بانکی بنده در آن شعبه بود به پاس قدردانی از حجم باورنکردنی تراکنشهای این پوز یک لوح تقدیر برایم در شرکت انیاک ارسال کرده بودند.( پیوست ) چرا که خیال میکردند این تراکنشها همگی از یک ترمینال متعلق به بنده ارسال میگردد. این اشتباه عدم کنترل STAN در سویچ خدمات را نیز برایم آشکار کرد. البته به هنگام اصلاح این مشکل خطای دیگر سویچ خدمات نیز آشکار شد. سویچ خدمات به کد پذیرنده حساس نبود و هر کد پایانه مغایر با کد پذیرنده را قبول میکرد و عملکرد صحیح از خود نشان میداد. بایستی خاطر نشان کنم این سطح از ضعف سیستمی احتمالا به خاطر عدم توانائی کارشناسان شرکت خدمات انفورماتیک برای طراحی یک سویچ کامل با سرعت قابل قبول میباشد. و مجبور شده اند برای افزایش سرعت پاسخگوئی تمامی کنترلهای سیستمی سویچ را حذف کنند تا بتوانند چند صد هزار دستگاه پوز را با این سویچ پاسخگوئی کنند.
هم اکنون چند صد هزار دستگاه پوز بانکی با این پروتکل به سویچ خدمات انفورماتیک متصل هستند. و حتی یک دانش آموز دوره راهنمائی نیز میتواند آنها را هک کند. برای روشن شدن بیشتر موضوع به انواع سوء استفاده هایی که بستر آن توسط این سویچ فراهم شده است اشاره میکنم.
ابتدا خاطر نشان میکنم که با ضبط و استفاده از صدای مودم دستگاه پوز به هنگام ارسال و دریافت اطلاعات به بانک میتوان به محتوای این اطلاعات دسترسی پیدا کرد. بنا براین هرکسی که به صورت مستقیم یا غیر مستقیم به اطلاعات رد وبدل شده پوزها دسترسی پیدا کند خواهد توانست از این اطلاعات سوء استفاده کند. این شخص میتواند در هر نقطه ای از مسیر این اطلاعات تا مقصد سویچ خدمات قرار گیرد.
اولین سوء استفاده احتمالی دریافت اطلاعات ارسالی پوز و تغییر آن به هنگام ارسال به سویچ و تکرار این عمل به هنگام بازگشت به پوز میباشد. یعنی سوء استفاده کننده میتواند در جلوی مبلغ خرید یک رقم صفر اضافه کرده و پس از دریافت پیغام سویچ آن را کسر کرده به پوز بازگشت دهد. به عبارت ساده تر ده برابر مبلغ بیشتر از کارت کسر میشود ولی مبلغ چاپ شده روی برگه رسید پوز صحیح و ده برابر کمتر از مبلغ کسر شده است.
دومین سوء استفاده احتمالی ذخیره رمز کارت به صورت رمزنگاری شده و اطلاعات بخش مغناطیسی کارت میباشد. با توجه به اینکه این اطلاعات میتواند برای درست کردن یک پیغام تقلبی غیر واقعی برای ارسال به سویچ استفاده شود. مورد توجه سوء استفاده کننده قرار میگیرد. این درحالی است که اثبات عدم استفاده از کارت و خرید واقعی در پوز غیرممکن است.
سومین سوء استفاده احتمالی ذخیره رمز کارت و اطلاعات بخش مغناطیسی کارت جهت ایجاد یک تراکنش با کد پذیرنده متفاوت دیگر میباشد که قابل ردیابی نباشد. به بیان ساده تر دارنده کارت بدون اینکه وارد مغازه دیگری شود از کارت بانکی وی در آن مغازه استفاده میشود. و شاید هم یک مغازه مجازی غیر واقعی
چهارمین سوء استفاده ممکن شنود به تراکنشهای ارسالی پوزها و استخراج رمز کارت و اطلاعات بخش مغناطیسی کارت از درون این اطلاعات است. این شنود غیر قانونی میتواند در یک فروشگاه زنجیره ای یا پاساژ و یا هر نقطه دیگری باشد. با توجه به اینکه نرم افزارهائی وجود دارد که میتواند محتوای فایلهای داخل پوزهای اینجنیکو را بخواند. استخراج کلید خدمات انفورماتیک از آنها کار چندان سختی نیست.
همچنانکه در موارد فوق مشاهده میکنید امنیت فراموش شده سویچ خدمات انفورمانیک خطرات زیادی برای دارندگان کارتهای بانکی ایجاد میکند که قابل کنترل نمیباشد. یادآوری این نکته که هم اکنون سویچ شتاب در دست شرکت خدمات انفورماتیک میباشد. و ممیزی بانکها و PSP ها نیز برای اتصال به شاپرک به این شرکت واگذار شده است. عمق فاجعه پیش رو را آشکارا روشن میکند. خدا میداند امنیت سویچ شتاب در چه سطحی است. و یا سویچ شاپرک چه سطحی از امنیت را دارا میباشد. من که تنها به یک گوشه از سویچ خدمات انفورماتیک دسترسی پیدا کردم واقعیت را اینگونه دیدم.
البته ذکر این نکته ضروری است که بانک مرکزی تصمیم دارد از بابت استفاده از سویچ شاپرک از مردم 72 تومان کارمزد کسر شود. همچنین بانکها مجبور خواهند شد برای خریدهائی که توسط پوزهای خودشان با کارتهای بانکی خودشان انجام میگیرد به مشتریان خود کارمزد تحمیل کنند. البته با استفاده از شاپرک نیاز به ارسال شتاب عملا از بین میرود و هزینه دریافتی شرکت خدمات بابت شتاب تنها یک باج سبیلی بیش نیست. از 72 تومان کارمزد 25 تومان به نام سویچ شاپرک و25 تومان دیگر به نام سویچ شتاب به جیب شرکت خدمات انفورماتیک خواهد رفت و 22 تومان باقیمانده به PSP یا بانک تعلق خواهد گرفت یعنی شرکت خدمات انفورماتیک بابت انجام دادن تنها کمتر از 5 درصد هزینه های مورد نیاز یک شبکه پرداخت الکترونیکی 70 درصد سود این خدمات را دریافت خواهد کرد. این سودهای انحصاری شرکت خدمات انفورماتیک باعث میشود که به راحتی دروغهای شاخدار بگویند و دیگران را متهم کنند. کار کارشناسی – امانت داری و امنیت در این سودها فراموش میشود. و منافع شرکت در اولویت اول قرار میگیرد.

پیشنهاد من به خانم نسترن اسمعیلی مدیر سیستمهای کارت شرکت خدمات انفورماتیک اینست که به فکر ایجاد امنیت در سویچهای شرکت خدمات انفورماتیک باشند. جلوی هر گونه لطمه به کارتهای مردم را بگیرند جهت اطمینان دادن به ایشان نیز تنها بایت اول کلید پین را در اینجا قید میکنم (5e ). تا حداقل به جای دروغ پردازی در مورد این دسته گل امنیتی اقدام لازم را انجام دهند. البته چنانچه مسئولین بانک کشاورزی درخواست کنند کل کلید را برایشان ارسال خواهم کرد.

در پایان این مقاله یاد آوری میکنم پس از افشاء نا امنیهای موجود در سیستم بانکی تمامی تلاش مسئولین امر برای وارد کردن اتهامات واهی و بی اساس به اینجانب ادامه خواهد داشت. تا به خیال خام خود تاثیر این هشدار بزرگ از بین برود و آقایان در ناز و نعمت به خیانت آشکار خودشان ادامه دهند. متاسفانه برخوردهای ناشیانه ای که از سوی مسئولین در مورد این افشاگری صورت گرفت تمامی امیدهای مرا برای بازگشت امنیت به سیستم بانکی کشور از بین برده است.

خداوند متعال را شکر گذارم که کمک خود را برای آشکار کردن ابعاد مختلف این موضوع از من دریغ نکرد. ضمنا از تمام کسانی که در کنار این وبلاگ تلاش کردند تا آگاهی لازم به مردم ایران داده شود نهایت سپاس خود را ابراز میدارم. با آرزوی اینکه دوستانی که در راه اطلاع رسانی به دیگران یاریم میکنند هیچگاه درمانده و محتاج یاری دیگران نشوند.

از مدیران محترم بانکها درخواست دارم کمی به این موضوع فکر کنند. من حق داشتم برای حل مشکلات امنیتی به آنها متوسل شوم. بانکها موظف هستند در مورد تامین امنیت حسابهای مشتریان خود پاسخگو باشند.

پیوست: لوح تقدیر ارسالی از بانک کشاورزی بابت ترمینال تخصیص داده شده برای اینجانب. که به خاطر مشکل ساختاری سویچ شرکت خدمات انفورماتیک ارسال شده است.

سویچ انیاک چگونه پدید آمد



در پستهای قبلی به منشاء مشکلات که ناشی از بی توجهی مدیران شرکت به مسائل امنیتی بود اشاره نمودم مدیران مقصر بانک مرکزی در این نابسامانی ابتدا چنین گفتند: " حکیمی : هیچ گونه نفوذ، دسترسی یا هک اتفاق نیفتاده است تنها یکی از مسئولان یکی از شرکت هایی که برای انجام امور خدماتی خود باید به این گونه اطلاعات دسترسی مي‌داشت، به علت اختلافاتی که پیدا کرده بود این اطلاعات اولیه را سرقت کرد." پس از اینکه این یاوه گوئیها را با نقد فنی خود جواب دادم اکنون این ادعا را میکنند: " نسترن اسمعیلی : یکی از شرکت‌های ارائه‌دهنده خدمات پرداخت که پایانه‌های فروشگاهی را در فروشگاه‌هایی نصب کرده و طرف قرارداد تعدادی از بانک‌های کشور بوده، تولید سوئیچی را بر عهده یکی از همکارانشان می‌گذارد. ایشان بعد از تولید نرم‌افزار خودش اطلاعات افرادی را که از دستگاه‌های کارتخوان آن شرکت استفاده کرده‌اند ذخیره می‌کند که در واقع این کار غیرمجاز است" البته بایستی یادآوری کنم همین شخص اظهارات بنده را در نقد ارائه شده تائید میکنند: "اولین کاری که باید PSP ها بکنند اجرای دستورالعملی است که از طرف اداره نظام‌های پرداخت بانک مرکزی به عنوان مقررات ناظر بر شرکت‌های ارائه‌دهنده پرداخت منتشر و ابلاغ شده ‌است. در آن دستورالعمل اعلام شده است اطلاعات دارندگان کارت و اطلاعات محرمانه نباید ذخیره شود."
این افراد برای تحریف واقعیتها تهمتهای دروغین به اینجانب وارد میکنند. و ادعای هر روزشان با روز قبل فرق میکند. در حالی که این ادعاها را گستاخانه از تمامی رسانه های داخلی در بوق کرنا کرده پخش میکنند. در این پست به ارائه برخی از اسناد می پردازم  اسناد مربوط به تلاشهایی است که در طی بیش از سه سال همکاری خویش با انیاک برای حل مشکل امنیتی داشته ام علت اصلی ادعاهای این یاوه گویان را نیز به اطلاع هموطنان خویش میرسانم.
سویچهائی که اطلاعات کارتهای ارائه شده در وبلاگ از آنها استخراج شده است در واقعیت متعلق به شرکت سهند سامانه میباشد. این سویچ تولید اینجانب یا تیم نرم افزاری انیاک نمیباشد. برای شرح ماجرا بهتر است ابتدا با نحوه ارائه این سویچ به شرکت انیاک آشنا شوید و شکل گیری شرکت سهند سامانه را بدانید تا بتوانید به پشت پرده دیگری از سیستم بانکداری الکترونیکی کشور دسترسی بیابید.
در نیمه دوم سال 1386 که بنده وارد شرکت انیاک شدم همزمان شرکت انیاک با بانک مسکن قرارداد ده هزار پوز را منعقد کرده بود و خود را آماده نصب پوزهای بانک میکرد برای اینکه انیاک بتواند در اینکار موفق شود مدیریت شرکت تصمیم داشت یک سویچ برای فروش شارژ الکترونیکی تلفنهای همراه راه اندازی نماید. و از این سویچ برای فروش شارژ در پوزهای بانک مسکن استفاده نماید. برای نیل به این هدف مدیریت تصمیم گرفت به جای خرید سویچ فروش شارژ با یکی از کارمندان شرکت کیش ویر ( توسن ) کار کند. و از آقای علی منافی که دسترسی به سورسهای شرکت کیش ویر داشت وارد مذاکره شده و از ایشان خواست که اقدامات لازم را برای تولید سویچ فروش شارژ در شرکت انیاک انجام داده و این پروژه را برای انیاک عملیاتی کند. من نیز مسئول تولید نرم افزار پوز مورد نیاز برای فروش شارژ بودم تا این نرم افزار امکان اضافه شدن به پوز را داشته باشد. بدون آنکه نرم افزار بانکی تغییر کند. این سویچ با موفقیت آماده شد. آقای منافی که صبح در شرکت کیش ویر بود و بعد از ساعت 6 عصر به شرکت انیاک می آمد. با موفقیت توانست سویچی را برای اتصال به سویچ بانک مسکن آماده کند که فروش شارژ را از روی آن برای بانک آماده کنیم. این سویچ به عنوان یک پوز به سویچ بانک متصل میشد و تمامی شارژهای خریداری شده را به عنوان فروش از آن پوز فروشگاهی برای بانک ارسال میکرد. بانک نیز از این اقدام انیاک با توجه به افزوده شدن یک سرویس جدید به روی پوزها استقبال میکرد. چرا که هیچ هزینه اضافی بابت این سرویس پرداخت نکرده بود.
در این زمان قرارداد بانک تجارت برای نصب 30000 دستگاه پوز استیجاری عقد شد و انیاک برای اتصال به سویچ بانک تجارت از آقای منافی خواست که یک سویچ پذیرندگی کامل در اختیار انیاک قراردهد. تلاشهای آقای منافی و دوستانش برای دریافت پول سویچ در شرکت انیاک به نتیجه نرسید آنها حتی برای اینکار اقدام به تاسیس یک شرکت مشترک به نام انیاک سافت زدند ولی هیچ گونه وجهی نتوانستند از انیاک دریافت کنند. لذا همزمان که سویچ بانک تجارت را راه اندازی نمودند. از انیاک خارج شده و شرکت سهند سامانه را تاسیس کردند و به نام آن شرکت با انیاک قرارداد بستند ضمنا آقای منافی یک لیسانس نرم افزاری در سویچ قرار داده بود که در انتهای هر ماه نیاز به تمدید داشت تا بتواند پول خود را از آقایان مدیران انیاک دریافت نماید. البته این مدیران خیال میکردند به علت همکاری با یک کارمند شرکت کیش ویر یعنی آقای منافی مبلغ کمی بایستی بابت سویچ هزینه کنند ولی در نهایت مجبور شدند در طی دوسال قرارداد خود با ایشان بیش از هشتصدو هشتاد میلیون تومان هزینه بابت این سویچ پرداخت کنند. با توجه به اینکه سویچ مورد استفاده انیاک یک سویچ تست شده و امتحان پس داده واقعی نبود باگهای فراوانی در آن به وجود می آمد که به خاطر ارث بردن از توپولژی سویچ نگین شرکت کیش ویر مجبور بودند لاگهای متعدد برای پروسسهای متفاوت آن تولید کنند که در صورت به وجود آمدن باگ با بررسی این لاگها علت مشکل به وجود آمده را پیدا کرده و رفع ایراد کنند. ما نیز از سوی مدیریت شرکت موظف بودیم هر زمانی که مشکلی میدیدیم ضمن ارسال شرح مشکل لاگ کامل یک روز سویچ را که گاهی اوقات چهار گیگا بایت میشد به همراه یک نسخه پشتیبان از بانک اطلاعاتی به شرکت سهند سامانه ارسال کنیم. این عمل به معنی ارسال اطلاعات بیش از 50000 کارت بانکی توسط یک سی دی برای هر ایراد به وجود آمده بود. که در بسیاری از موارد طی یکماه در چند نوبت انجام میشد تا مشکل رفع گردد. زمانی که بنده پس از سه سال تلاش موفق به قانع کردن مدیریت انیاک برای خرید دستگاه HSM نشدم (پیوست 1 و 2 ) مجبور شدم در جلساتی که با شرکت سهند سامانه داشتیم در خواست حذف اطلاعات دارندگان کارتها را از لاگها بکنم( پیوست 2 ). و برای پیگیری نیز نامه ای با امضاء بنده به شرکت سهند سامانه ارسال کردم ( پیوست 3 ).
هیچگونه همکاری با اینجانب برای رفع این مشکل از سوی مدیریت انیاک صورت نگرفت آقایان از ترس عدم تمدید لیسانس ماهانه سویچها اقدامی نکردند. و تا انتهای سال 1389 که با انیاک همکاری داشتم این مشکل به قوت خود باقی بود. یعنی در طی سه سال از اتصال سویچها به بانکهای مختلف ( بانک مسکن – بانک تجارت – بانک صنعت و معدن – بانک شهر – بانک رفاه ) هنوز دستگاه HSM خریداری نشده بود. با اضافه شدن بانکهای جدیدتر به قراردادهای شرکت انیاک امکان اضافه کردن سخت افزار HSM سخت تر میشد. چرا که نیاز به تغییرات در چندین سویچ مختلف ایجاد میشد که در حال سرویس دهی بودند. و ریسک عملیاتی کردن این اقدام بالاتر میرفت. لازم به ذکر است که الان نیز شرکت سهند سامانه این سویچ را برای پوزهای بانک سرمایه نصب کرده است.
پس از ارائه نقد اظهارات آقای حکیمی مدیر نظامهای پرداخت توسط اینجانب هم اکنون در گزارش تهیه شده از خانم اسمعیلی ایشان بر خلاف اظهارات آقای حکیمی لاگ شدن اطلاعات حساس را غیر استاندارد مینامند و اینبار تهمت لاگ شدن این اطلاعات را به اینجانب وارد میکنند. تهمت ایشان در مورد اینکه نرم افزار سویچ توسط اینجانب تهیه شده و بنده عمدا اطلاعات کارتها را لاگ کرده ام تا بتوانم از انیاک اخاذی کنم با اسناد ارائه شده در این پست کاملا رد میشود. امیدوارم کارشناسان محترم و مسئولینی که وظیفه اصلی خود را به درستی انجام نمیدهند از اظهار نظرهای دروغین در مورد افشاء این مشکل امنیتی خودداری کنند. متاسفانه بررسی امنیت شبکه بانکی در دست کسانی قرار گرفته که خود منشاء نا امنی در سیستم بانکی هستند.
خوشحالم از اینکه پس از پست مربوط به نقد اظهارات آقای حکیمی مدیران مسئول این حوزه مجبور شدند کمی به مطالعه استانداردهای امنیتی در صنعت بانکداری روی بیاورند. و با توضیحات خویش نکات مطرح شده در نقد فوق را تائید کردند. هرچند ناشیانه با اتهامات واهی دیگر سعی در لکه دار کردن این حرکت میکنند. و محدوده آن را میخواهند در چهارچوب یک شرکت و شخص بنده مرز بندی کنند. البته بودند کسان دیگری که با ارائه مقاله گمراه کننده سعی داشتند وضعیت سایر سویچهای موجود را توجیه کرده هشدار داده شده را در مورد خطرات امنیتی موجود بی مورد و نامعتبر کنند. ادعاهائی مانند امکان استفاده از نرم افزار به جای خود دستگاه HSM فریبی بیش نیست که توسط این افراد برای گمراه کردن مدیران و تصمیم گیران حوزه بانکی استفاده میشود. بایستی یاد آوری کنم که HSM مخفف Hardware Security Module میباشد. و این به معنی یک سخت افزار امنیتی است و شبیه سازی آن توسط نرم افزار تنها کاربرد تحقیقاتی میتواند داشته باشد و یا در پروسه تولید نرم افزار استفاده شود. در محیط عملیاتی که کارتهای متصل به حسابهای بانکی استفاده میشوند. امنیت تراکنشها تنها با استفاده درست از سخت افزار و رعایت استانداردهای نرم افزاری لازم میتواند تامین گردد.
علت اصلی وارد کردن تهمتهای گوناگون به اینجانب این است که اکثر متخصصین حوزه بانکداری الکترونیکی در ایران به صورت پیش فرض عدم وجود امنیت را قبول کرده اند. چرا که هیچگونه استاندارد قابل قبولی از سوی بانک مرکزی ابلاغ نشده و نظارتی برای سایر آیین نامه های بانکی نیز انجام نمیگیرد. در چنین وضعی زمانی که بنده با ارائه اطلاعات سه میلیون کارت به دارنده کارت عدم وجود امنیت در شبکه بانکی را به اطلاع هموطنان رساندم ناگهان این متخصصین از خواب خرگوشی خود بیدار شده و مرا متهم میکنند که همگی به این اطلاعات دسترسی دارند ولی کسی صدایش در نمی آید. زمانیکه بنده اظهاراتشان را نقد میکنم اینبار میگویند هیچکسی دسترسی ندارد و ایشان عمدا یک دسترسی برای خودش ساخته بود. بسیاری از این متخصصین امکان ایجاد امنیت در شبکه بانکی را نیز بعید میدانند و تصور میکنند هیچگونه راه حل منطقی برای برقراری امنیت در شبکه بانکی وجود ندارد. و سعی میکنند با توجیه غیر منطقی سیستمهای موجود سر و ته قضیه را سرهم بیاورند. و موضوع مطرح شده را به باد فراموشی بسپارند. مشکلی که الان مطرح هست خیلی ساده و خیلی مهم است. کدام گروه از کارشناسان حوزه بانکداری الکترونیکی میخواهند وجود امنیت در سایر شرکتها و بانکها را بررسی کنند؟ کدام استانداردها را میخواهند اعمال کنند؟ کسانی که وجود مشکل را منکر میشوند چگونه برای رفع آن یا جلوگیری از خطرات آن مشکل میتوانند اقدام کنند؟ آنها که دانش لازم برای ایجاد امنیت در شبکه بانکی را ندارند چگونه میخواهند امنیت تراکنشهای بانکی را تامین کنند؟
من کاری به سایر شرکتها ندارم شاید اگر مدیران این شرکتها از سطح تخصص در حوزه امنیت زیردستان خود اطلاع پیدا کنند تصمیمات متفاوتی بگیرند. چیزی که برای من بسیار مهم بود اینست که به رغم اصرار من در شرکت انیاک پس از گذشت سه سال از اتصال سویچهای شرکت به سویچ بانکها و سرویسدهی به مردم چرا مدیران از سرمایه گذاری در موارد امنیتی خودداری کردند و با بدترین شکل ممکن امانتهای مردم را در دسترس دیگران قرار دادند؟
کارشناسانی که چشم بر عدم وجود امنیت در سیستم سایر شرکتها و یا شبکه بانکی میبندند و تهمتهای بی اساس به اینجانب وارد میکنند آیا خائن نیستند؟ آیا این افراد در صورت بحرانی شدن اوضاع کشور و خالی شدن حسابهای بانکی پر و پیمان پاسخگو خواهند بود؟ چه کسی میپذیرد که خالی شدن حساب توسط یک کارت تقلبی بوده و دارنده حساب بانکی از کارت خودش استفاده نکرده است؟ چه تضمینی وجود دارد که خود این افراد از این اطلاعات سوء استفاده نکنند؟
پیوست 1 : در این صورتجلسه ( مورخه 16/03/1388 ) در دومین سال اتصال سویچهای انیاک به شبکه بانکی هنوز HSM خریداری نشده است و شرکت سهند سامانه موظف میشود در صورت خرید این دستگاه تغییرات لازم را در سویچ اعمال نماید. ( بند 7 )


پیوست 2 : در این صورتجلسه ( مورخه 26/03/1389 ) پس از گذشت یکسال از صورتجلسه قبلی هنوز اقدامی برای خرید HSM نشده است. ( بند 7 ص 2) و تازه میخواهند مدلهای موجود دستگاه فوق را برای اخذ تائید از شرکت سهند سامانه به صورت مکتوب برای آنها ارسال دارند. ضمنا با توجه به عدم اقدام مدیریت انیاک برای خرید HSM اینجانب درخواست کرده بودم موارد جدا کردن اطلاعات محرمانه دارندگان کارت از لاگهای عادی در صورتجلسه قید شود که در بندهای 9 و 10 ص 1 این موارد قید شده است. همچنین ارسال لاگ فایلها در بند 8 ص 2 برای بررسی باگ مربوط به سویچ نیز قابل مشاهده میباشد.


پیوست 3 : نامه ارسالی به شرکت سهند سامانه با امضاء اینجانب جهت جدا کردن اطلاعات محرمانه دارندگان کارتها از لاگ فایلهای عادی لازم به ذکر است طبق بند 3 صورتجلسه پیوست 1 امکان فعال کردن و غیر فعال کردن لاگها نیز میبایستی وجود میداشت که تنها در صورت ضرورت اقدام به لاگ گیری از اطلاعات محرمانه صورت گیرد و قابل کنترل باشد. هر چند در صورت استفاده از یک سویچ استاندارد و تثبیت شده به این لاگ نیز نیازی پیدا نمیشد.

گفتگوی محرمانه با آقای ناصر حجازیان



ح : ناصر حجازیان           ( مدیر عامل شرکت فن آوران انیاک )      ز : خسرو زارع فرید ( مدیر سابق نرم افزار انیاک )
ح) حال شما چطوره خسته نباشید.
ز) ممنون تشکر سلامت باشید
ز) میخواستم محرمانه باشما صحبت کنم شنبه آمدم تشریف نداشتید و امروز دوباره مزاحم شدم در مورد بحث HSM میخوام صحبت کنم که قرار بود خریداری شود ولی خریداری نشد. این موضوع مرا خیلی نگران کرده و به خاطر این من گزارشی آماده کردم که هفته آینده میخواهم به بانکها بدهم تا کارتهائی که در سویچهای انیاک استفاده شده باطل شود و کارتهای جدید صادر شوند اینکه کنترلی وجود ندارد و به سویچها افراد مختلف دسترسی دارند و احتمال سوء استفاده وجود دارد حتی از شرکتهای خارج از انیاک مانند آقای منافی نیز این اطلاعات قابل دسترسی است مرا نگران میکند. و اگر کسی از این اطلاعات سوء استفاده کند من نیز زیر ذره بین خواهم بود.
ح) یعنی چه نوع گزارشی به بانکها میدهی؟
ز) لیست کارتهائی که استفاده شده در سویچ به همراه پین کارتها تا این کارتها ابطال شود و کارت جدید صادر گردد.
ح) کارتهای استفاده شده یعنی کدام کارتها کارتهای خود بانک؟
ز) تمامی کارتها مثلا کارتهای پارسیان پاسارگاد سینا صادرات هر کارتی که استفاده شده
ح) منظور شما اینست که به کدام بانک بگوئیم میخواهید مابگوئیم یا شما شخصا خواهید گفت؟
ز) من گزارش را آماده کرده ام شاید شما شخصا آماده نباشید برای رد کردن این گزارش ولی به خاطر اینکه این مسئله حق حد اقل سه میلیون دارنده کارت است و من نمیتوانم مشمول ذمه این افراد شوم مسائلی که درمورد عدم تامین امنیت و مسائل امنیتی کارتها میباشد مهم هست من برای نمونه اطلاعات دوازده کارت بانکی را که ارقام بالای تراکنشی داشتند برای شما آماده کرده ام مسئله خیلی حاد است برای نمونه یکی از کارتها تنها در یک خرید مبلغ 950 میلیون تومان خرید داشته است. اینکه به راحتی از اطلاعات موجود اطلاعات کارت و رمز آن قابل استخراج برای افراد مختلف است. مانند بخش شبکه و سویچ و برنامه نویسان بخش پوز در چند سال گذشته پیگیریهای مکرر من از شما نتیجه ندادند. الان نیز که در اینجا نیستم.
ح) با چه عنوانی به کدام بانکها گزارش میدهی
ز) کلیه بانکهائی که کارتهایشان استفاده شده
ح) به تمامی بانکها به عنوان آقای ز که من در انیاک بودم الان خارج شده ام و این مشکل را مشاهده کرده ام اعلام میکنم
ز) اعلام میکنم که کارتهای قبلی را باطل کنند و کارت جدید صادر کنند.
ح) برای ما تبعاتی خواهد داشت؟
ز) شاید داشته باشد. من گفتم که اطلاع داشته باشید که شنبه وقتی گزارش را رد کردم اگر قبلا میخواهید حساب پذیرندگان تجارت را که پول بر میدارید دوباره پول پذیرندگان را سر جایش بگذارید. و آماده باشید اگر بانک مرکزی اقدام کند. و از شما بخواهد که HSM نصب کنید.
ح) مسئله چیه با من مشکل داری نظرت چیه؟
ز) توی همه چیز بایستی نظری باشد؟
ح) واقعا متوجه نمیشوم اگر مشکلی هست از آن صحبت کنیم؟ موضوع چیه چه منظوری داری؟ این یک معضلی هست که در این مملکت بانک مرکزی میبایستی نظارت دقیقی میداشت که HSM نصب میشد.
ز) پس مقصر بانک مرکزی است که میبایستی نظارت میکرد نکرده پس بهتر است مطلع شود و نظارت خود را کامل کند
ح) اینکه بخواهی نشان دهی که در شرکت انیاک به عنوان یک PSP سوراخ امنیتی وجود دارد با اینکه در کل کشور این مشکل و معضل وجود دارد خیلی متفاوت هست
ز) خوب شاید باعث شود که از این معضل نیز جلوگیری شود. در ترکیه یک چنین اتفاقی باعث شد که بانکها تمامی سویچهای جانبی را جمع کردند و تنها از سویچ خودشان استفاده کردند یا بایستی که حساب افراد خالی شود ویک عده متضرر شوند و بعدا بفهمیم که چنین سوراخ امنیتی وجود دارد؟
ح) این یک مسئله کلی است حال بحث اینست که عرق ملی تو باعث شده یک چنین کاری انجام دهی؟
ز) به هر حال در آن دنیا از انسان حساب میپرسند و میگویند که تو مشمول ذمه این افراد هستی چرا میدانستی و اقدام نکردی؟ به هر حال حق الناس است.
ح) فکر میکنی که در این شرکت اتفاقی افتاده است؟
ز) یعنی چطور
ح) فکر میکنی کارکنان شرکت از این اطلاعات سوء استفاده کرده اند؟
ز) خدا میداند. من از هیچ کس خبری ندارم الان مثلا اگر منافی بعد از جایگزین کردن سویچهایش با سویچ انیاک بخواهد از این اطلاعات سوء استفاده کند به راحتی میتواند که اینکار را انجام دهد ما دفعات متعدد لاگ روزانه سویچها را برایش ارسال کرده ایم من در جلسات متعدد از ایشان خواستم که در لاگها اطلاعات دارندگان کارت قرار نگیرد ولی ایشان اهمیتی ندادند پیگیری هم نشد که چرا چنین است ( یعنی آقای حجازیان با شرایط قراردادی و یا پرداختی ها فشار لازم را برای رعایت موارد فوق وارد نکردند ) این موارد در صورتجلسات ما هست. در نامه های ما هم هست.
ح) این مسائل چه منافی چه دیگران این موارد در کشور وجود دارد حتی در شبکه بانکی کشور نیز هست
ز) احتمال اینست که حتی در بانکها نیز باشد. ولی دلیل نمیشود وقتی جائی میتوانیم جلوی این موارد را بگیریم ما اینکار را انجام ندهیم. برای مثال اینکار من یک اقدام پیشگیرانه است.
ح) اینطوری که تو میگوئی بیائیم به پایه هایمان صدمه بزنیم که همه چیز فرو بریزد. و اول از هر چیز نوک پیکان ما خواهیم بود. ما متزلزل شویم تا ببینیم چه اتفاقی در کل کشور خواهد افتاد.
ز) راه حل شما چیست؟
ح) ما باید رفته رفته خودمان را تقویت کنیم مثلا اگر با HSM میتوان جلوی بعضی چیزها را گرفت بگیریم البته من آنروز با ارهان صحبت میکردم میگفت HSM به معنی این نیست که قابل هک نباشد. هک میشود ولی سخت تر میشود. هرچیزی که رمزگذاری شده میتوان رمز گشائی کرد در دنیا نیز اینطور نیست که هیچ رمزی را نتوان رمز گشائی کرد به هر حال این سخت افزار را شرکتی که درست کرده میتواند به آن دسترسی داشته باشد و اطلاعات آن را دارد و دانش فنی آن در دست کارکنان آن شرکت است ولی این باعث نمیشود که این اطلاعات در اختیار همه باشد به هر حال شرکتهای بزرگ برای حل این مشکلات هستند.
ز) وجود HSM برای این نیست که تنها رمزگذاری و رمزگشائی استفاده شود یکی از دلایل اصلی وجود HSM عدم نگهداری کلیدهای بانکی در بانک اطلاعاتی هست وقتی HSM نیست ما مجبوریم کلیدهای بانکی را در بانک اطلاعاتی نگهداری کنیم. و این به معنی اینست که همه به کلیدها دسترسی دارند. حال اگر یک نفر اطلاعات پیامهای یک پوز را بررسی کند و بتواند آن را هک کند این به معنی آن نیست که بتواند اطلاعات سه میلیون کارت بانکی را استخراج کند. من الان این دوازده کارتی که بررسی کردم مجموع تراکنشهای این دوازد کارت بالای پنج تا شش میلیارد تومان میباشد. از این اگر کسی برود و سوء استفاده کند. وقتی حجم انبوه اطلاعات در یک جا مجتمع است از آن میتوانند سوء استفاده کنند. بیچاره دارنده کارت چه گناهی دارد؟ آیا او میداند سیستم بانکی اینچنین است؟
ح) اولا به خاطر همین است که در دنیا حسابهائی که به کارتهای بانکی متصل است پول محدودی در آن نگهداری میکنند. این مشکل هست بخصوص اگر کارت اعتباری گم شود تراکنشهای زیادی میتوان با آن انجام داد.
ز) برای آنهائی که بدون پین ( کارتهای بدون رمز ) هستند موضوع فرق میکند مثلا استاندارد PCI PED برای دستگاههائی است که نیاز به وارد کردن رمز در آنها وجود دارد مانند پوز این استاندارد شامل نرم افزار نیز هست شامل سویچ هست شبکه هست
ح) خوب این موارد هست که برایشان راه حل نیز پیدا میشود یک بخش هم به هر حال اعتماد است الان در کشور افراد زیادی در شبکه بانکی کار میکنند سابقه سرقتهای اینچنین دیده نمیشود. دلیل آن اینست که به افراد نیز اعتماد میشود. منظور من این نیست که ما هم باید اعتماد کنیم ما بایستی هرچه میتوانیم این بخش را تقویت کنیم. ولی اگر اعتماد نباشد که نمیشود هر کسی وجدان دارد و باید به افراد اعتماد کرد. یعنی تو میخواهی یک نامه به بانکها بنویسی
ز) نه من یک لیست در آورده ام که کارتهای بانکی را با رمز آنها برای بانکها بفرستم
ح) میخواهی بگوئی انیاک سیستمی دارد که رمز کارتها از آنجا خارج میشود.
ز) مسائل امنیتی رعایت نشده و دارندگان کارتها در اینجا حقشان ضایع میشود به راحتی رمزهایشان قابل دسترسی است برای افراد متعدد در داخل شرکت وحتی در خارج شرکت این یک معضل بزرگ است. ما نمیدانیم که منافی در شرکت خودش چه کسی را استخدام کرده با چه کسی کار میکند. تا چه حدی به این اطلاعات وارد هستند. وقتی ایرادی پیش میاید لاگ سویچ را با یک سی دی برایش ارسال میکنیم
ح) آقای منافی قبل از اینکه با ما کار کند با بانکهای دیگر نیز کار کرده و این حالت وجود داشته است. تو بعضی وقتها کارهای عجیبی میکنی. تو در حقیقت میخواهی بگوئی چون در انیاک بودی و به این اطلاعات دسترسی داشتی در انیاک مشکل وجود دارد تو واقعا نمیدانی که چه عواقبی دارد اینکار به هر حال ما متزلزلتر از بانک هستیم بانک به هر حال فرق میکند مخصوصا یک پی اس پی خصوصی چقدر از این مسئله آسیب پذیرتر هست من واقعا نمیدانم چقدر به تو بدی کردم که تو میخواهی اینقدر برای من بدی کنی؟ واقعا اینقدر از من دلخور هستی؟ این یعنی یک ضربه بزرگ واقعا در این کشور که همه چیز به پوچ بستگی دارد. برای یک بخش خصوصی کافیست که همه بدانند که از انیاک رمز کارتها خارج میشود. یا میتواند خارج شود.
ز) به هر حال اینکه اگر یک نفر سوء استفاده کند و من مورد ضن و گمان قرار گیرم یا یک نفر سوء استفاده کند من در آن دنیا مورد مواخذه قرار گیرم مرا اذیت میکند.
ح) این چیزی هست که معلوم نیست که از کدام کانال صورت گرفته به قول تو هفت هشت کانال مختلف وجود دارد که میتواند اطلاعات از آن خارج شود. مثلا NCC باز است و شرکت اینفوتک که به آنها میرسد میتواند دسترسی داشته باشد.
ز) نه این به معنی آن نیست که همه میتوانند از این اطلاعات استفاده کنند روشهائی وجود دارد که با وجود دسترسی به اطلاعات موجود در NCC میتوان دسترسی به اطلاعات محرمانه را امکانپذیر نکرد. مثلا با استفاده از سم ماژول کلیدهای پوزهای مختلف متفاوت باشد تا اطلاعات متفاوت رمزگذاری شود یا از تزریق کلیدها استفاده کرد.
ح) تزریق کلیدها که قبلا نبود و در پوزهای اینجنیکو به تازگی استفاده میشود.
ز) قبلا سم ماژول بود و میتوان از آن استفاده کرد مثلا بانک مسکن با تزریق کلید در پوزهای قبلی اینجنیکو کارتهائی که به تکنسینهای ما داده کلیدها را وارد پوز میکند و حتی من که برنامه نویس پوزهای مسکن هستم نمیدانم چه کلید در آن وارد شده است.
ح) خوب اگر به هر حال روشی وجود دارد تو خودت میدانستی و میبایست اقدام میکردی و نکردی و خودت مسئول هستی
ز) من خیلی گفتم ما وقتی HSM وجود ندارد هر کلیدی هم وارد پوز کنیم چون کلیدها در بانک اطلاعاتی ذخیره میشود باز هم امنیتی وجود نخواهد داشت
ح) الان در بانک مسکن مشکل وجود ندارد؟
ز) نه برنامه را من نوشتم ولی نمیدانم از چه کلیدی استفاده میکند. کلید را تغییر داده یا نداده کلیدها را در یک کارت هوشمند تحویل میدهند ما بروی پوز میریزیم.
ح) سویچ دست خودشان است اینطوری هست؟ اگر سویچ دست ما بود اینطوری نمیشد؟
ز) اگر سویچ دست ما بود؟ سویچ ما این ساختار را دارد ( سویچی که آقای منافی به انیاک فروخته است ) الان در سویچ آنها از HSM استفاده میشود.
ح) الان خیلی ها HSM ندارند در بانک اقتصاد نوین نیست در بانک تجارت نیست در بانک سپه نیست خیلی خیلیها ندارند.
ز) شاید سبب خیر باشد که آنها هم HSM خریداری کنند و استفاده کنند.
ح) تو از چه نگران هستی که ما برای تو معضلی ایجاد کنیم؟
ز) هر نوع دلیلی میتواند باشد.
ح) یعنی چه هر نوع دلیلی میتواند داشته باشد.
ز) من مثلا وقتی اسناد محرمانه را تحویل آقای نادر حجازیان دادم گفت لیستی ایجاد کنم که این اسناد را تحویل ایشان دادم من گفتم چه چیزی را صورتجلسه کنم وقتی از بین نامه های ارسالی قبل از من به آقای منافی سندی را مشاهده کردم که محرمانه است آن را از بایگانی خارج نمودم و درون گاوصندوق نگهداری کردم تا حداقل کس دیگری که پوشه را ورق میزند آن را نبیند. من نمیدانم قبل از من چند نفر این سندها را دیده یا ندیده است. ولی بحث اینست که
ح) این مشکلات هست دیگر ما مثلا وقتی نامه محرمانه به دستمان میرسد یک کپی از آن گرفته و برای شما ارسال میکردیم و امضاء شما را میگرفتیم که این ماهیت محرمانه دارد.
ز) درست است.
ح) اما بانکها اطلاعات محرمانه را به صورت ایمیل برایمان ارسال میکنند در صورتی که بایستی توسط نامه محرمانه تحویل بایگانی شرکت بشود و موارد امنیتی را رعایت نمیکنند. به خاطر همین هم بود که نادر از شما رسید میخواست که این اسناد از این تاریخ تا این تاریخ در اختیار شما بوده است
ز) این مسائل بود که من هم شک کردم که اگر فردا کسی نیز سوء استفاده کند اولا من نمیتوانم در آن دنیا پاسخگو باشم همچنین من نمیتوانم در اینجا ثابت کنم که من نبودم و کس دیگری بود و او را پیدا کنید همینکه مورد شک و گمان باشم زندگیم را به هم میریزد.
ح) این مشکلات هست دیگر مثلا ما الان روزانه 200 تا 300 میلیون تومان شارژ تلفن همراه در سویچ وارد میکنیم اگر اعتماد نکنیم که نمیشود.
ز) پس نظر شما اینست که من در این مورد اقدامی نکنم و ساکت باشم.
ح) واقعا میخواهم بدانم که فکر کرده ای که چه تبعاتی میتواند داشته باشد؟
ز) اصلا برایم مهم نیست. اصلا برایم مهم نیست.