Thursday, April 26, 2012

نقدی بر اظهارات آقای ناصر حکیمی مدير اداره نظام های پرداخت بانک مرکزی

" ح : هیچ گونه نفوذ، دسترسی یا هک اتفاق نیفتاده است تنها یکی از مسئولان یکی از شرکت هایی که برای انجام امور خدماتی خود باید به این گونه اطلاعات دسترسی مي‌داشت، به علت اختلافاتی که پیدا کرده بود این اطلاعات اولیه را سرقت کرد."
پیش از پاسخ به این مورد لازم میدانم جهت اطلاع هموطنان موادی از مقررات ناظر بر ارایه دهندگان خدمات پرداخت ویرایش 1 آن مورخه اول شهریور 1383 که جزء مقررات خود بانک مرکزی میباشد و از وظایف اصلی آقای ناصر حکیمی نظارت صحیح در مورد اجرای دقیق این مواد توسط شرکت انیاک بوده است را ذکر کنم متن کامل این مقررات در سایت بانک مرکزی وجود دارد.
( بند ب الزامات مقرراتی
ماده 17: اطلاعات تراکنشهای دارندگان کارت و پذیرندگان محرمانه بوده و مسئولیت تامین ایمنی و حفاظت از ابزارهای پذیرش خطوط اتصالی آنها و سوئیچ جهت جلوگیری از دسترسی افراد غیر مجاز و یا هرگونه سوء استفاده احتمالی دیگر به عهده موسسه ( انیاک ) است.
ماده 19: موسسه موظف است از نرم افزارها و تجهیزات اصل دارای لیسانس معتبر و خدمات پشتیبانی کامل خصوصا در مورد اصلاحیه های ایمنی استفاده نماید.
ضمیمه 2: مشخصات فنی سوئیچ
الف مشخصات اجباری:
رمزگشایی رمز مشتری و رمزنگاری مجدد آن به صورت سخت افزاری و مستقل از نرم افزار سوئیچ. )
رمز گشایی رمز مشتری و رمز نگاری مجدد به صورت سخت افزاری موردی بود که در شرکت انیاک رعایت نشده بود و به رغم پیگیریهای بنده در طی مسئولیت خودم در آن شرکت انجام نگردید. بنابر این رمز بانکی دارنده کارت جزء اطلاعات اولیه نبوده و نبایستی در دسترس هیچ کسی چه در شرکت و یا بانک قرار گیرد. آقای ح عزیز سرقت به معنی برداشت و استفاده از مالی است که متعلق به ما نمیباشد. کاری که بنده انجام دادم افشای خیانت در امانت مدیران شرکت است. که میبایستی در صف اول امانتدارانی باشند که وظیفه انتقال پول الکترونیکی مردم را به عهده دارد. شما به جای قدردانی از این حرکت به جا و سنجیده قصد جو سازی و منحرف کردن افکار عمومی را از بی لیاقتی بانک مرکزی  در امر نظارت شایسته به عملکرد موسسات مالی دارید. تمنا میکنم شما و تمامی مدیران بانکی که امانتدار اموال مردم هستید. اگر توان امانت داری را ندارید به معتمدین با لیاقت واگذار نمائید. اختلاف بنده دقیقا همین بود بنده اطلاع رسانی در مورد خطری که کارتهای بانکی را تهدید میکند را لازم میدانستم و آنها نمیخواستند این اقدام صورت گیرد.
" ح : علت بروز این سرقت را سهل انگاری در نرم افزاری در بایگانی مناسب اطلاعات و نیز عدم کنترل کافی و اخذ تضمین های لازم از افرادی که دسترسی به اطلاعات دارند، ذکر و تصریح کرد: اطلاعات منتشر شده شامل شماره کارت و کدی 14 رقمی است که رمز اول کارت به صورت کد شده در آن وجود دارد در حالی که برای انجام تراکنش باید خود کارت و نیز رمز اصلی آن در دست باشد."
از آقای ح برای تائید عدم پخش اطلاعات محرمانه دارندگان کارت توسط اینجانب سپاسگزارم. اما مشکل وجود اطلاعات محرمانه در بایگانی شرکت و دسترسی افراد متعدد به آن موردی بود که بنده نیز در شرکت با آن مخالفت نموده ام. فلسفه این اطلاع رسانی نیز از همین نقطه ناشی میشود. سوال من اینست که اگر شرکت از بنده تضمین های لازم را اخذ کرده بود باعث میشد که: این دسترسی وجود نداشته باشد؟ امکان سوء استفاده نباشد؟ یا امکان اطلاع رسانی به مردم نباشد؟. من دارندگان کارتهای بانکی که مالکان اطلاعات هستند را در جریان این سهل انگاری قرار داده ام. نام این امانتداری است سرقت نیست آقای ح به عنوان مدیر اداره پرداخت های بانک مرکزی آیا از وارد کردن تهمت سرقت برای این اقدام در مقابل میلیونها نفر خجالت نمیکشید.
" مدیر اداره پرداخت های بانک مرکزی درباره احتمال سوء‌استفاده از اطلاعات منتشر شده در تراکنش های اینترنتی هم به مردم اطمینان داد و گفت: برای خرید اینترنتی علاوه بر رمز دوم کارت، نیاز به دو مولفه تاریخ انقضا و کد اعتبارسنجی (سی سی وی 2) دارد که روی خود کارت حک شده است از این رو در مورد تراکنش های اینترنتی هیچ اتفاقی نیافتاده و در مورد خود کارت ها هم مشکلی رخ نداده چون کارت ها در دست مردم است."
جناب آقای ح مطمئنا اطلاعات منتشر شده قابل سوء استفاده نیست. اما تاریخ انقضا و کد CVV2 جزء اطلاعات تراک دوم کارت میباشد که در اطلاعات قابل دسترسی شرکت بایگانی گردیده است. ضمنا تنها با داشتن تراک دوم و رمز کارت امکان ساخت کارت تقلبی بدون حضور کارت اصلی وجود دارد. همین دلیل تخصصی باعث میشود که تغییر رمز کارت برای تامین امنیت کارت کافی نباشد. و میبایستی کارتهای استفاده شده ابطال شده کارت جدید صادر گردد. شما قصد مخفی کردن واقعیتها را دارید.
" ح اطلاعات منتشر شده را غیرمحرمانه دانست و گفت: با این حال شرکت طرف قرارداد موظف به حفظ آنها بوده است و اگر چه این نشت اطلاعات در شرکتی غیربانکی رخ داده ولی مسئولیت آن با نظام بانک است که این مسئولیت را می پذیرد. ح تصریح کرد: از طرف نظام بانکی از مردم پوزش می خواهیم به این علت که برای اطمینان صد در صدی ناچار شدیم تا از آنها بخواهیم که رمز خود را تغییر دهند."
شما از وجود اطلاعات محرمانه در بایگانی شرکت اطمینان دارید به همین خاطر در خواست تغییر رمز کارتها را از مردم کردید. ولی بهتر بود به خاطر عدم انجام نظارت دقیق و مدیریت صحیح از مردم عذرخواهی میکردید. و خواهش میکنم حد اقل الان کاری کنید که بعدا دوباره مجبور به عذرخواهی نباشید. ابتدا امنیت شبکه بانکی را تامین کنید سپس کارتهای مردم را تعویض کنید.
" وی تصریح کرد: خطر این گونه اتفاق ها وجود دارد و نمی شود صد در صد تضمین کرد که چنین مشکلی دیگر رخ نخواهد داد ولی مهم این است که مشکل به موقع تشخیص داده و جلوی بروز خسارت گرفته شود در این مورد هم ما به موقع موضوع را تشخیص دادیم و با واکنش مناسب حسابها مصون ماند و شاهد هیچ دسترسی غیرمجاز نبودیم."
آیا شما به موقع موضوع را تشخیص دادید یا با پخش این اطلاعات مصونیت برای حسابها ایجاد شد؟ آیا به جز انیاک نقاط دیگری نیز نا امن هستند؟ ضمنا متاسفم که نمیتوانید صد در صد امنیت حسابهای بانکی را تضمین کنید.
" مدیر اداره پرداخت های بانک مرکزی خاطرنشان کرد:با این حال با توجه به اهمیت حفظ امنیت که حتی در هنگام تحویل کارت های بانکی، از دارندگان خواسته می شود تا هر سه ماه رمز خود را عوض کنند، درخواست تغییر رمز همچنان معتبر است."
جناب آقای ح یک مستمری بگیر پیر که رمز چهار رقمی خود را به سختی حفظ میکند چرا باید به خاطر بی لیاقتی شما مجبور باشد هر سه ماه یکبار رمز خود را عوض کند؟
اینجانب که در سال 1368 و 1369 اولین نرم افزار ضد ویروس کامپیوتری را در دوران دانشجوئی خود طراحی و تولید کرده ام به هیچ عنوان عقده شهرت و یا حقارت ندارم چرا که در دوران جوانی در صدر اخبار و رسانه های کشور قرار گرفته ام واقعا افسوس می خورم که اکنون بایستی الفبای ایجاد امنیت در شبکه بانکی را به مدیر اداره نظامهای پرداخت بانک مرکزی در یک کلاس 70 میلیون نفری آموزش دهم.
آقای ح: رمز کارت بانکی محرمانه ترین اطلاعاتی هست که در سیستم پرداخت کارتی بایستی به آن توجه ویژه ای داشت. این رمز میبایستی در سویچ صادر کننده کارت یعنی بانک ارائه کننده کارت توسط سخت افزارهای ویژه تولید شود. توسط دستگاههای اتوماتیک چاپ در کاغذ محرمانه و درون پاکت در بسته قرار گیرد. و پس از تحویل به دارنده کارت توسط وی دریافت و استفاده شود. این رمز در سویچ صادر کننده کارت به صورت رمزنگاری شده در بانک اطلاعاتی ذخیره میشود. به جز سویچ صادر کننده کارت رمز کارت بانکی در هیچ نقطه دیگری از شبکه بانکی نبایستی ثبت و نگهداری شود حتی به صورت رمزنگاری شده و یا درون لاگ فایل رمز کارت بانکی به هنگام استفاده از کارت در دستگاه ترمینال فروشگاهی و یا خودپرداز در همان نقطه توسط کلیدهای امن ( تولید شده توسط سخت افزارهای موسسه پذیرنده کارت ) رمزنگاری شده و برای سویچ پذیرنده کارت مانند سویچ انیاک ارسال میگردد این رمز در سویچ پذیرندگی نیز همچنان که در مقررات بانک مرکزی ذکر شده توسط سخت افزارهای موسسه پذیرنده رمز گشائی و رمزنگاری مجدد با کلید سویچ بعدی انجام گرفته بدون ثبت در هیچ نقطه ای توسط تراکنشها به سویچ بعدی ارسال میگردد. سویچ بعدی میتواند سویچ شتاب – سویچ شاپرک یا سویچ بانک صادر کننده کارت باشد. این تغییر کلید رمزنگاری تا سویچ صادر کننده کارت در تمامی سویچهای بین راهی با رعایت عدم ثبت و استفاده از سخت افزار رمزنگاری انجام میشود. بنا براین عبارت شما :" یکی از مسئولان یکی از شرکت هایی که برای انجام امور خدماتی خود باید به این گونه اطلاعات دسترسی مي‌داشت، به علت اختلافاتی که پیدا کرده بود این اطلاعات اولیه را سرقت کرد." کاملا اشتباه و غلط میباشد. چرا که ثبت و نگهداری اطلاعات رمز دارندگان کارت به هیچ عنوان نبایستی در سیستمهای پذیرندگان کارتها و یا سویچهای بین راهی اتفاق بیافتد. نه تنها بنده بلکه هیچ فرد دیگری نبایستی امکان برداشت این اطلاعات را داشته باشد. این اطلاعات متعلق به دارندگان کارتهای بانکی است که به صورت غیر استاندارد و بدون رعایت موارد ایمنی در شرکت نگهداری میشد. و بنده با افشاء این سهل انگاری قصد اصلاح اینگونه خطرات جدی در سیستم بانکی کشور را داشته ام. بایستی دقت کنید که امکان استخراج اطلاعات محرمانه کارتهای میلیونها نفر از یک سیستم با در نظر گرفتن امکان اطلاع از مبالغ موجودی کارتها و مبالغ تراکنشهای کارتهای بانکی این خطر را دو چندان میکند. تعجب میکنم که شخص شما بدون اطلاع از بدیهی ترین نکات امنیتی در سیستمهای بانکی مسولیت اداره نظامهای پرداخت را به عهده گرفته اید. و به کسی که سعی در اصلاح موارد ایمنی را دارد تهمت سرقت میزنید. و کسانی که خیانت در امانت مردم کرده اند را به عنوان شرکتی بزرگ که سالها در خدمت مردم بوده اند معرفی میکنید. بنده پس از خروج از انیاک ابتدا سعی نمودم به صورت محرمانه این خطر را به بانکهای صادر کننده کارتها گوشزد نمایم که نا امید شدم سپس سعی کردم با علنی کردن آن برای معاونت و مدیریت انفورماتیک بانک ر... به صورت حضوری در دفتر کار آقای م... و در حضور همکار ایشان جلوی این خطر گرفته شود. که اقدامی صورت نپذیرفت و نهایتا با توجه به خطری که برایم به وجود آمده بود. مجبور به ترک کشور و اطلاع رسانی عمومی شدم. در حقیقت از دستهائی که از شرکت انیاک حمایت میکنند اطلاعی ندارم. و یا از میزان امنیت سایر نقاط شبکه بانکی مطلع نیستم اما اطمینان دارم با این شیوه مدیریت شما هیچ جای این شبکه بانکی امنیت لازم را ندارد.
" وی در خصوص دستگيری عامل اين تهديد بانکی افزود: بانک مرکزی در اين زمينه هيچ اطلاعی ندارد و مراجع امنيتی پيگير موضوع هستند."
الان من با این افشا گری مانع سوء استفاده از حسابهای بانکی شدم. آیا این کار تهدید بانکی است؟ آیا من عامل تهدید بانکی هستم؟ همین شیوه برخورد مدیران بانکها بود که باعث نا امن شدن کشورم برای من شد. و جهت اطلاع رسانی و دفاع از حقوق دارندگان کارتهای بانکی از کشور خارج شدم. علت دستپاچگی و تهمتهائی که به من وارد میشود فاش شدن عدم وجود امنیت در شبکه بانکی است. چون با این اقدام دارندگان کارتها با شناسائی رمز بانکی خودشان در بین یک عدد 14 رقمی به صحت ادعای این وبلاگ پی بردند. چگونه ممکن است یک آدم عاقل با به خطر انداختن جان خود و خانواده اش قصد انتقام گیری از یک شرکت را داشته باشد. آنهم بابت کارهائی که در مدت سه سال و نیم همکاری انجام داده است. آیا این شایعات برای دور کردن اذهان عمومی از عدم وجود امنیت در شبکه بانکی نیست؟
بانک مرکزی و شرکت انیاک شما خطری هستید که حسابهای بانکی مردم را تهدید میکنید. آیا مراکز امنیتی موضوع شما را پیگیری میکنند؟
خبرنگاران و رسانه های متعددی از داخل کشور سعی در برقراری مصاحبه با اینجانب را نموده اند. به اطلاع این عزیزان میرسانم که تمامی نظرات بنده تنها از رسانه های آزاد و بی طرف پخش خواهد شد. و علت مصاحبه من با BBC نیز رعایت همین اصل هست. ضمنا مواردی که نیاز به پاسخ دارند را در این وبلاگ قرار میدهم. و میتوانید از مطالب آن استفاده کنید.
از تمامی هموطنان گرامی درخواست دارم با توجه به اتهامات واهی که به بنده وارد میشود در اطلاع رسانی به مردم با این وبلاگ همکاری کنند و مطالب این وبلاگ را به اطلاع دیگران برسانند. جو سازیهای مسموم کننده در فضای رسانه ای کشور ایران تمام تلاش خود را برای مخدوش کردن چهره بنده خواهند نمود تا مشکلات افشاء شده در این وبلاگ به وادی فراموشی سپرده شود. هم اکنون نیز مزد بگیران آنها در فضای اینترنتی در حال مسموم کردن اذهان عمومی هستند. ای کاش این هزینه ها برای رفع مشکلات موجود صورت میگرفت.

No comments:

Post a Comment