Tuesday, May 1, 2012

گفتگوی محرمانه با آقای ناصر حجازیان



ح : ناصر حجازیان           ( مدیر عامل شرکت فن آوران انیاک )      ز : خسرو زارع فرید ( مدیر سابق نرم افزار انیاک )
ح) حال شما چطوره خسته نباشید.
ز) ممنون تشکر سلامت باشید
ز) میخواستم محرمانه باشما صحبت کنم شنبه آمدم تشریف نداشتید و امروز دوباره مزاحم شدم در مورد بحث HSM میخوام صحبت کنم که قرار بود خریداری شود ولی خریداری نشد. این موضوع مرا خیلی نگران کرده و به خاطر این من گزارشی آماده کردم که هفته آینده میخواهم به بانکها بدهم تا کارتهائی که در سویچهای انیاک استفاده شده باطل شود و کارتهای جدید صادر شوند اینکه کنترلی وجود ندارد و به سویچها افراد مختلف دسترسی دارند و احتمال سوء استفاده وجود دارد حتی از شرکتهای خارج از انیاک مانند آقای منافی نیز این اطلاعات قابل دسترسی است مرا نگران میکند. و اگر کسی از این اطلاعات سوء استفاده کند من نیز زیر ذره بین خواهم بود.
ح) یعنی چه نوع گزارشی به بانکها میدهی؟
ز) لیست کارتهائی که استفاده شده در سویچ به همراه پین کارتها تا این کارتها ابطال شود و کارت جدید صادر گردد.
ح) کارتهای استفاده شده یعنی کدام کارتها کارتهای خود بانک؟
ز) تمامی کارتها مثلا کارتهای پارسیان پاسارگاد سینا صادرات هر کارتی که استفاده شده
ح) منظور شما اینست که به کدام بانک بگوئیم میخواهید مابگوئیم یا شما شخصا خواهید گفت؟
ز) من گزارش را آماده کرده ام شاید شما شخصا آماده نباشید برای رد کردن این گزارش ولی به خاطر اینکه این مسئله حق حد اقل سه میلیون دارنده کارت است و من نمیتوانم مشمول ذمه این افراد شوم مسائلی که درمورد عدم تامین امنیت و مسائل امنیتی کارتها میباشد مهم هست من برای نمونه اطلاعات دوازده کارت بانکی را که ارقام بالای تراکنشی داشتند برای شما آماده کرده ام مسئله خیلی حاد است برای نمونه یکی از کارتها تنها در یک خرید مبلغ 950 میلیون تومان خرید داشته است. اینکه به راحتی از اطلاعات موجود اطلاعات کارت و رمز آن قابل استخراج برای افراد مختلف است. مانند بخش شبکه و سویچ و برنامه نویسان بخش پوز در چند سال گذشته پیگیریهای مکرر من از شما نتیجه ندادند. الان نیز که در اینجا نیستم.
ح) با چه عنوانی به کدام بانکها گزارش میدهی
ز) کلیه بانکهائی که کارتهایشان استفاده شده
ح) به تمامی بانکها به عنوان آقای ز که من در انیاک بودم الان خارج شده ام و این مشکل را مشاهده کرده ام اعلام میکنم
ز) اعلام میکنم که کارتهای قبلی را باطل کنند و کارت جدید صادر کنند.
ح) برای ما تبعاتی خواهد داشت؟
ز) شاید داشته باشد. من گفتم که اطلاع داشته باشید که شنبه وقتی گزارش را رد کردم اگر قبلا میخواهید حساب پذیرندگان تجارت را که پول بر میدارید دوباره پول پذیرندگان را سر جایش بگذارید. و آماده باشید اگر بانک مرکزی اقدام کند. و از شما بخواهد که HSM نصب کنید.
ح) مسئله چیه با من مشکل داری نظرت چیه؟
ز) توی همه چیز بایستی نظری باشد؟
ح) واقعا متوجه نمیشوم اگر مشکلی هست از آن صحبت کنیم؟ موضوع چیه چه منظوری داری؟ این یک معضلی هست که در این مملکت بانک مرکزی میبایستی نظارت دقیقی میداشت که HSM نصب میشد.
ز) پس مقصر بانک مرکزی است که میبایستی نظارت میکرد نکرده پس بهتر است مطلع شود و نظارت خود را کامل کند
ح) اینکه بخواهی نشان دهی که در شرکت انیاک به عنوان یک PSP سوراخ امنیتی وجود دارد با اینکه در کل کشور این مشکل و معضل وجود دارد خیلی متفاوت هست
ز) خوب شاید باعث شود که از این معضل نیز جلوگیری شود. در ترکیه یک چنین اتفاقی باعث شد که بانکها تمامی سویچهای جانبی را جمع کردند و تنها از سویچ خودشان استفاده کردند یا بایستی که حساب افراد خالی شود ویک عده متضرر شوند و بعدا بفهمیم که چنین سوراخ امنیتی وجود دارد؟
ح) این یک مسئله کلی است حال بحث اینست که عرق ملی تو باعث شده یک چنین کاری انجام دهی؟
ز) به هر حال در آن دنیا از انسان حساب میپرسند و میگویند که تو مشمول ذمه این افراد هستی چرا میدانستی و اقدام نکردی؟ به هر حال حق الناس است.
ح) فکر میکنی که در این شرکت اتفاقی افتاده است؟
ز) یعنی چطور
ح) فکر میکنی کارکنان شرکت از این اطلاعات سوء استفاده کرده اند؟
ز) خدا میداند. من از هیچ کس خبری ندارم الان مثلا اگر منافی بعد از جایگزین کردن سویچهایش با سویچ انیاک بخواهد از این اطلاعات سوء استفاده کند به راحتی میتواند که اینکار را انجام دهد ما دفعات متعدد لاگ روزانه سویچها را برایش ارسال کرده ایم من در جلسات متعدد از ایشان خواستم که در لاگها اطلاعات دارندگان کارت قرار نگیرد ولی ایشان اهمیتی ندادند پیگیری هم نشد که چرا چنین است ( یعنی آقای حجازیان با شرایط قراردادی و یا پرداختی ها فشار لازم را برای رعایت موارد فوق وارد نکردند ) این موارد در صورتجلسات ما هست. در نامه های ما هم هست.
ح) این مسائل چه منافی چه دیگران این موارد در کشور وجود دارد حتی در شبکه بانکی کشور نیز هست
ز) احتمال اینست که حتی در بانکها نیز باشد. ولی دلیل نمیشود وقتی جائی میتوانیم جلوی این موارد را بگیریم ما اینکار را انجام ندهیم. برای مثال اینکار من یک اقدام پیشگیرانه است.
ح) اینطوری که تو میگوئی بیائیم به پایه هایمان صدمه بزنیم که همه چیز فرو بریزد. و اول از هر چیز نوک پیکان ما خواهیم بود. ما متزلزل شویم تا ببینیم چه اتفاقی در کل کشور خواهد افتاد.
ز) راه حل شما چیست؟
ح) ما باید رفته رفته خودمان را تقویت کنیم مثلا اگر با HSM میتوان جلوی بعضی چیزها را گرفت بگیریم البته من آنروز با ارهان صحبت میکردم میگفت HSM به معنی این نیست که قابل هک نباشد. هک میشود ولی سخت تر میشود. هرچیزی که رمزگذاری شده میتوان رمز گشائی کرد در دنیا نیز اینطور نیست که هیچ رمزی را نتوان رمز گشائی کرد به هر حال این سخت افزار را شرکتی که درست کرده میتواند به آن دسترسی داشته باشد و اطلاعات آن را دارد و دانش فنی آن در دست کارکنان آن شرکت است ولی این باعث نمیشود که این اطلاعات در اختیار همه باشد به هر حال شرکتهای بزرگ برای حل این مشکلات هستند.
ز) وجود HSM برای این نیست که تنها رمزگذاری و رمزگشائی استفاده شود یکی از دلایل اصلی وجود HSM عدم نگهداری کلیدهای بانکی در بانک اطلاعاتی هست وقتی HSM نیست ما مجبوریم کلیدهای بانکی را در بانک اطلاعاتی نگهداری کنیم. و این به معنی اینست که همه به کلیدها دسترسی دارند. حال اگر یک نفر اطلاعات پیامهای یک پوز را بررسی کند و بتواند آن را هک کند این به معنی آن نیست که بتواند اطلاعات سه میلیون کارت بانکی را استخراج کند. من الان این دوازده کارتی که بررسی کردم مجموع تراکنشهای این دوازد کارت بالای پنج تا شش میلیارد تومان میباشد. از این اگر کسی برود و سوء استفاده کند. وقتی حجم انبوه اطلاعات در یک جا مجتمع است از آن میتوانند سوء استفاده کنند. بیچاره دارنده کارت چه گناهی دارد؟ آیا او میداند سیستم بانکی اینچنین است؟
ح) اولا به خاطر همین است که در دنیا حسابهائی که به کارتهای بانکی متصل است پول محدودی در آن نگهداری میکنند. این مشکل هست بخصوص اگر کارت اعتباری گم شود تراکنشهای زیادی میتوان با آن انجام داد.
ز) برای آنهائی که بدون پین ( کارتهای بدون رمز ) هستند موضوع فرق میکند مثلا استاندارد PCI PED برای دستگاههائی است که نیاز به وارد کردن رمز در آنها وجود دارد مانند پوز این استاندارد شامل نرم افزار نیز هست شامل سویچ هست شبکه هست
ح) خوب این موارد هست که برایشان راه حل نیز پیدا میشود یک بخش هم به هر حال اعتماد است الان در کشور افراد زیادی در شبکه بانکی کار میکنند سابقه سرقتهای اینچنین دیده نمیشود. دلیل آن اینست که به افراد نیز اعتماد میشود. منظور من این نیست که ما هم باید اعتماد کنیم ما بایستی هرچه میتوانیم این بخش را تقویت کنیم. ولی اگر اعتماد نباشد که نمیشود هر کسی وجدان دارد و باید به افراد اعتماد کرد. یعنی تو میخواهی یک نامه به بانکها بنویسی
ز) نه من یک لیست در آورده ام که کارتهای بانکی را با رمز آنها برای بانکها بفرستم
ح) میخواهی بگوئی انیاک سیستمی دارد که رمز کارتها از آنجا خارج میشود.
ز) مسائل امنیتی رعایت نشده و دارندگان کارتها در اینجا حقشان ضایع میشود به راحتی رمزهایشان قابل دسترسی است برای افراد متعدد در داخل شرکت وحتی در خارج شرکت این یک معضل بزرگ است. ما نمیدانیم که منافی در شرکت خودش چه کسی را استخدام کرده با چه کسی کار میکند. تا چه حدی به این اطلاعات وارد هستند. وقتی ایرادی پیش میاید لاگ سویچ را با یک سی دی برایش ارسال میکنیم
ح) آقای منافی قبل از اینکه با ما کار کند با بانکهای دیگر نیز کار کرده و این حالت وجود داشته است. تو بعضی وقتها کارهای عجیبی میکنی. تو در حقیقت میخواهی بگوئی چون در انیاک بودی و به این اطلاعات دسترسی داشتی در انیاک مشکل وجود دارد تو واقعا نمیدانی که چه عواقبی دارد اینکار به هر حال ما متزلزلتر از بانک هستیم بانک به هر حال فرق میکند مخصوصا یک پی اس پی خصوصی چقدر از این مسئله آسیب پذیرتر هست من واقعا نمیدانم چقدر به تو بدی کردم که تو میخواهی اینقدر برای من بدی کنی؟ واقعا اینقدر از من دلخور هستی؟ این یعنی یک ضربه بزرگ واقعا در این کشور که همه چیز به پوچ بستگی دارد. برای یک بخش خصوصی کافیست که همه بدانند که از انیاک رمز کارتها خارج میشود. یا میتواند خارج شود.
ز) به هر حال اینکه اگر یک نفر سوء استفاده کند و من مورد ضن و گمان قرار گیرم یا یک نفر سوء استفاده کند من در آن دنیا مورد مواخذه قرار گیرم مرا اذیت میکند.
ح) این چیزی هست که معلوم نیست که از کدام کانال صورت گرفته به قول تو هفت هشت کانال مختلف وجود دارد که میتواند اطلاعات از آن خارج شود. مثلا NCC باز است و شرکت اینفوتک که به آنها میرسد میتواند دسترسی داشته باشد.
ز) نه این به معنی آن نیست که همه میتوانند از این اطلاعات استفاده کنند روشهائی وجود دارد که با وجود دسترسی به اطلاعات موجود در NCC میتوان دسترسی به اطلاعات محرمانه را امکانپذیر نکرد. مثلا با استفاده از سم ماژول کلیدهای پوزهای مختلف متفاوت باشد تا اطلاعات متفاوت رمزگذاری شود یا از تزریق کلیدها استفاده کرد.
ح) تزریق کلیدها که قبلا نبود و در پوزهای اینجنیکو به تازگی استفاده میشود.
ز) قبلا سم ماژول بود و میتوان از آن استفاده کرد مثلا بانک مسکن با تزریق کلید در پوزهای قبلی اینجنیکو کارتهائی که به تکنسینهای ما داده کلیدها را وارد پوز میکند و حتی من که برنامه نویس پوزهای مسکن هستم نمیدانم چه کلید در آن وارد شده است.
ح) خوب اگر به هر حال روشی وجود دارد تو خودت میدانستی و میبایست اقدام میکردی و نکردی و خودت مسئول هستی
ز) من خیلی گفتم ما وقتی HSM وجود ندارد هر کلیدی هم وارد پوز کنیم چون کلیدها در بانک اطلاعاتی ذخیره میشود باز هم امنیتی وجود نخواهد داشت
ح) الان در بانک مسکن مشکل وجود ندارد؟
ز) نه برنامه را من نوشتم ولی نمیدانم از چه کلیدی استفاده میکند. کلید را تغییر داده یا نداده کلیدها را در یک کارت هوشمند تحویل میدهند ما بروی پوز میریزیم.
ح) سویچ دست خودشان است اینطوری هست؟ اگر سویچ دست ما بود اینطوری نمیشد؟
ز) اگر سویچ دست ما بود؟ سویچ ما این ساختار را دارد ( سویچی که آقای منافی به انیاک فروخته است ) الان در سویچ آنها از HSM استفاده میشود.
ح) الان خیلی ها HSM ندارند در بانک اقتصاد نوین نیست در بانک تجارت نیست در بانک سپه نیست خیلی خیلیها ندارند.
ز) شاید سبب خیر باشد که آنها هم HSM خریداری کنند و استفاده کنند.
ح) تو از چه نگران هستی که ما برای تو معضلی ایجاد کنیم؟
ز) هر نوع دلیلی میتواند باشد.
ح) یعنی چه هر نوع دلیلی میتواند داشته باشد.
ز) من مثلا وقتی اسناد محرمانه را تحویل آقای نادر حجازیان دادم گفت لیستی ایجاد کنم که این اسناد را تحویل ایشان دادم من گفتم چه چیزی را صورتجلسه کنم وقتی از بین نامه های ارسالی قبل از من به آقای منافی سندی را مشاهده کردم که محرمانه است آن را از بایگانی خارج نمودم و درون گاوصندوق نگهداری کردم تا حداقل کس دیگری که پوشه را ورق میزند آن را نبیند. من نمیدانم قبل از من چند نفر این سندها را دیده یا ندیده است. ولی بحث اینست که
ح) این مشکلات هست دیگر ما مثلا وقتی نامه محرمانه به دستمان میرسد یک کپی از آن گرفته و برای شما ارسال میکردیم و امضاء شما را میگرفتیم که این ماهیت محرمانه دارد.
ز) درست است.
ح) اما بانکها اطلاعات محرمانه را به صورت ایمیل برایمان ارسال میکنند در صورتی که بایستی توسط نامه محرمانه تحویل بایگانی شرکت بشود و موارد امنیتی را رعایت نمیکنند. به خاطر همین هم بود که نادر از شما رسید میخواست که این اسناد از این تاریخ تا این تاریخ در اختیار شما بوده است
ز) این مسائل بود که من هم شک کردم که اگر فردا کسی نیز سوء استفاده کند اولا من نمیتوانم در آن دنیا پاسخگو باشم همچنین من نمیتوانم در اینجا ثابت کنم که من نبودم و کس دیگری بود و او را پیدا کنید همینکه مورد شک و گمان باشم زندگیم را به هم میریزد.
ح) این مشکلات هست دیگر مثلا ما الان روزانه 200 تا 300 میلیون تومان شارژ تلفن همراه در سویچ وارد میکنیم اگر اعتماد نکنیم که نمیشود.
ز) پس نظر شما اینست که من در این مورد اقدامی نکنم و ساکت باشم.
ح) واقعا میخواهم بدانم که فکر کرده ای که چه تبعاتی میتواند داشته باشد؟
ز) اصلا برایم مهم نیست. اصلا برایم مهم نیست.

No comments:

Post a Comment