Tuesday, May 1, 2012

سویچ انیاک چگونه پدید آمد



در پستهای قبلی به منشاء مشکلات که ناشی از بی توجهی مدیران شرکت به مسائل امنیتی بود اشاره نمودم مدیران مقصر بانک مرکزی در این نابسامانی ابتدا چنین گفتند: " حکیمی : هیچ گونه نفوذ، دسترسی یا هک اتفاق نیفتاده است تنها یکی از مسئولان یکی از شرکت هایی که برای انجام امور خدماتی خود باید به این گونه اطلاعات دسترسی مي‌داشت، به علت اختلافاتی که پیدا کرده بود این اطلاعات اولیه را سرقت کرد." پس از اینکه این یاوه گوئیها را با نقد فنی خود جواب دادم اکنون این ادعا را میکنند: " نسترن اسمعیلی : یکی از شرکت‌های ارائه‌دهنده خدمات پرداخت که پایانه‌های فروشگاهی را در فروشگاه‌هایی نصب کرده و طرف قرارداد تعدادی از بانک‌های کشور بوده، تولید سوئیچی را بر عهده یکی از همکارانشان می‌گذارد. ایشان بعد از تولید نرم‌افزار خودش اطلاعات افرادی را که از دستگاه‌های کارتخوان آن شرکت استفاده کرده‌اند ذخیره می‌کند که در واقع این کار غیرمجاز است" البته بایستی یادآوری کنم همین شخص اظهارات بنده را در نقد ارائه شده تائید میکنند: "اولین کاری که باید PSP ها بکنند اجرای دستورالعملی است که از طرف اداره نظام‌های پرداخت بانک مرکزی به عنوان مقررات ناظر بر شرکت‌های ارائه‌دهنده پرداخت منتشر و ابلاغ شده ‌است. در آن دستورالعمل اعلام شده است اطلاعات دارندگان کارت و اطلاعات محرمانه نباید ذخیره شود."
این افراد برای تحریف واقعیتها تهمتهای دروغین به اینجانب وارد میکنند. و ادعای هر روزشان با روز قبل فرق میکند. در حالی که این ادعاها را گستاخانه از تمامی رسانه های داخلی در بوق کرنا کرده پخش میکنند. در این پست به ارائه برخی از اسناد می پردازم  اسناد مربوط به تلاشهایی است که در طی بیش از سه سال همکاری خویش با انیاک برای حل مشکل امنیتی داشته ام علت اصلی ادعاهای این یاوه گویان را نیز به اطلاع هموطنان خویش میرسانم.
سویچهائی که اطلاعات کارتهای ارائه شده در وبلاگ از آنها استخراج شده است در واقعیت متعلق به شرکت سهند سامانه میباشد. این سویچ تولید اینجانب یا تیم نرم افزاری انیاک نمیباشد. برای شرح ماجرا بهتر است ابتدا با نحوه ارائه این سویچ به شرکت انیاک آشنا شوید و شکل گیری شرکت سهند سامانه را بدانید تا بتوانید به پشت پرده دیگری از سیستم بانکداری الکترونیکی کشور دسترسی بیابید.
در نیمه دوم سال 1386 که بنده وارد شرکت انیاک شدم همزمان شرکت انیاک با بانک مسکن قرارداد ده هزار پوز را منعقد کرده بود و خود را آماده نصب پوزهای بانک میکرد برای اینکه انیاک بتواند در اینکار موفق شود مدیریت شرکت تصمیم داشت یک سویچ برای فروش شارژ الکترونیکی تلفنهای همراه راه اندازی نماید. و از این سویچ برای فروش شارژ در پوزهای بانک مسکن استفاده نماید. برای نیل به این هدف مدیریت تصمیم گرفت به جای خرید سویچ فروش شارژ با یکی از کارمندان شرکت کیش ویر ( توسن ) کار کند. و از آقای علی منافی که دسترسی به سورسهای شرکت کیش ویر داشت وارد مذاکره شده و از ایشان خواست که اقدامات لازم را برای تولید سویچ فروش شارژ در شرکت انیاک انجام داده و این پروژه را برای انیاک عملیاتی کند. من نیز مسئول تولید نرم افزار پوز مورد نیاز برای فروش شارژ بودم تا این نرم افزار امکان اضافه شدن به پوز را داشته باشد. بدون آنکه نرم افزار بانکی تغییر کند. این سویچ با موفقیت آماده شد. آقای منافی که صبح در شرکت کیش ویر بود و بعد از ساعت 6 عصر به شرکت انیاک می آمد. با موفقیت توانست سویچی را برای اتصال به سویچ بانک مسکن آماده کند که فروش شارژ را از روی آن برای بانک آماده کنیم. این سویچ به عنوان یک پوز به سویچ بانک متصل میشد و تمامی شارژهای خریداری شده را به عنوان فروش از آن پوز فروشگاهی برای بانک ارسال میکرد. بانک نیز از این اقدام انیاک با توجه به افزوده شدن یک سرویس جدید به روی پوزها استقبال میکرد. چرا که هیچ هزینه اضافی بابت این سرویس پرداخت نکرده بود.
در این زمان قرارداد بانک تجارت برای نصب 30000 دستگاه پوز استیجاری عقد شد و انیاک برای اتصال به سویچ بانک تجارت از آقای منافی خواست که یک سویچ پذیرندگی کامل در اختیار انیاک قراردهد. تلاشهای آقای منافی و دوستانش برای دریافت پول سویچ در شرکت انیاک به نتیجه نرسید آنها حتی برای اینکار اقدام به تاسیس یک شرکت مشترک به نام انیاک سافت زدند ولی هیچ گونه وجهی نتوانستند از انیاک دریافت کنند. لذا همزمان که سویچ بانک تجارت را راه اندازی نمودند. از انیاک خارج شده و شرکت سهند سامانه را تاسیس کردند و به نام آن شرکت با انیاک قرارداد بستند ضمنا آقای منافی یک لیسانس نرم افزاری در سویچ قرار داده بود که در انتهای هر ماه نیاز به تمدید داشت تا بتواند پول خود را از آقایان مدیران انیاک دریافت نماید. البته این مدیران خیال میکردند به علت همکاری با یک کارمند شرکت کیش ویر یعنی آقای منافی مبلغ کمی بایستی بابت سویچ هزینه کنند ولی در نهایت مجبور شدند در طی دوسال قرارداد خود با ایشان بیش از هشتصدو هشتاد میلیون تومان هزینه بابت این سویچ پرداخت کنند. با توجه به اینکه سویچ مورد استفاده انیاک یک سویچ تست شده و امتحان پس داده واقعی نبود باگهای فراوانی در آن به وجود می آمد که به خاطر ارث بردن از توپولژی سویچ نگین شرکت کیش ویر مجبور بودند لاگهای متعدد برای پروسسهای متفاوت آن تولید کنند که در صورت به وجود آمدن باگ با بررسی این لاگها علت مشکل به وجود آمده را پیدا کرده و رفع ایراد کنند. ما نیز از سوی مدیریت شرکت موظف بودیم هر زمانی که مشکلی میدیدیم ضمن ارسال شرح مشکل لاگ کامل یک روز سویچ را که گاهی اوقات چهار گیگا بایت میشد به همراه یک نسخه پشتیبان از بانک اطلاعاتی به شرکت سهند سامانه ارسال کنیم. این عمل به معنی ارسال اطلاعات بیش از 50000 کارت بانکی توسط یک سی دی برای هر ایراد به وجود آمده بود. که در بسیاری از موارد طی یکماه در چند نوبت انجام میشد تا مشکل رفع گردد. زمانی که بنده پس از سه سال تلاش موفق به قانع کردن مدیریت انیاک برای خرید دستگاه HSM نشدم (پیوست 1 و 2 ) مجبور شدم در جلساتی که با شرکت سهند سامانه داشتیم در خواست حذف اطلاعات دارندگان کارتها را از لاگها بکنم( پیوست 2 ). و برای پیگیری نیز نامه ای با امضاء بنده به شرکت سهند سامانه ارسال کردم ( پیوست 3 ).
هیچگونه همکاری با اینجانب برای رفع این مشکل از سوی مدیریت انیاک صورت نگرفت آقایان از ترس عدم تمدید لیسانس ماهانه سویچها اقدامی نکردند. و تا انتهای سال 1389 که با انیاک همکاری داشتم این مشکل به قوت خود باقی بود. یعنی در طی سه سال از اتصال سویچها به بانکهای مختلف ( بانک مسکن – بانک تجارت – بانک صنعت و معدن – بانک شهر – بانک رفاه ) هنوز دستگاه HSM خریداری نشده بود. با اضافه شدن بانکهای جدیدتر به قراردادهای شرکت انیاک امکان اضافه کردن سخت افزار HSM سخت تر میشد. چرا که نیاز به تغییرات در چندین سویچ مختلف ایجاد میشد که در حال سرویس دهی بودند. و ریسک عملیاتی کردن این اقدام بالاتر میرفت. لازم به ذکر است که الان نیز شرکت سهند سامانه این سویچ را برای پوزهای بانک سرمایه نصب کرده است.
پس از ارائه نقد اظهارات آقای حکیمی مدیر نظامهای پرداخت توسط اینجانب هم اکنون در گزارش تهیه شده از خانم اسمعیلی ایشان بر خلاف اظهارات آقای حکیمی لاگ شدن اطلاعات حساس را غیر استاندارد مینامند و اینبار تهمت لاگ شدن این اطلاعات را به اینجانب وارد میکنند. تهمت ایشان در مورد اینکه نرم افزار سویچ توسط اینجانب تهیه شده و بنده عمدا اطلاعات کارتها را لاگ کرده ام تا بتوانم از انیاک اخاذی کنم با اسناد ارائه شده در این پست کاملا رد میشود. امیدوارم کارشناسان محترم و مسئولینی که وظیفه اصلی خود را به درستی انجام نمیدهند از اظهار نظرهای دروغین در مورد افشاء این مشکل امنیتی خودداری کنند. متاسفانه بررسی امنیت شبکه بانکی در دست کسانی قرار گرفته که خود منشاء نا امنی در سیستم بانکی هستند.
خوشحالم از اینکه پس از پست مربوط به نقد اظهارات آقای حکیمی مدیران مسئول این حوزه مجبور شدند کمی به مطالعه استانداردهای امنیتی در صنعت بانکداری روی بیاورند. و با توضیحات خویش نکات مطرح شده در نقد فوق را تائید کردند. هرچند ناشیانه با اتهامات واهی دیگر سعی در لکه دار کردن این حرکت میکنند. و محدوده آن را میخواهند در چهارچوب یک شرکت و شخص بنده مرز بندی کنند. البته بودند کسان دیگری که با ارائه مقاله گمراه کننده سعی داشتند وضعیت سایر سویچهای موجود را توجیه کرده هشدار داده شده را در مورد خطرات امنیتی موجود بی مورد و نامعتبر کنند. ادعاهائی مانند امکان استفاده از نرم افزار به جای خود دستگاه HSM فریبی بیش نیست که توسط این افراد برای گمراه کردن مدیران و تصمیم گیران حوزه بانکی استفاده میشود. بایستی یاد آوری کنم که HSM مخفف Hardware Security Module میباشد. و این به معنی یک سخت افزار امنیتی است و شبیه سازی آن توسط نرم افزار تنها کاربرد تحقیقاتی میتواند داشته باشد و یا در پروسه تولید نرم افزار استفاده شود. در محیط عملیاتی که کارتهای متصل به حسابهای بانکی استفاده میشوند. امنیت تراکنشها تنها با استفاده درست از سخت افزار و رعایت استانداردهای نرم افزاری لازم میتواند تامین گردد.
علت اصلی وارد کردن تهمتهای گوناگون به اینجانب این است که اکثر متخصصین حوزه بانکداری الکترونیکی در ایران به صورت پیش فرض عدم وجود امنیت را قبول کرده اند. چرا که هیچگونه استاندارد قابل قبولی از سوی بانک مرکزی ابلاغ نشده و نظارتی برای سایر آیین نامه های بانکی نیز انجام نمیگیرد. در چنین وضعی زمانی که بنده با ارائه اطلاعات سه میلیون کارت به دارنده کارت عدم وجود امنیت در شبکه بانکی را به اطلاع هموطنان رساندم ناگهان این متخصصین از خواب خرگوشی خود بیدار شده و مرا متهم میکنند که همگی به این اطلاعات دسترسی دارند ولی کسی صدایش در نمی آید. زمانیکه بنده اظهاراتشان را نقد میکنم اینبار میگویند هیچکسی دسترسی ندارد و ایشان عمدا یک دسترسی برای خودش ساخته بود. بسیاری از این متخصصین امکان ایجاد امنیت در شبکه بانکی را نیز بعید میدانند و تصور میکنند هیچگونه راه حل منطقی برای برقراری امنیت در شبکه بانکی وجود ندارد. و سعی میکنند با توجیه غیر منطقی سیستمهای موجود سر و ته قضیه را سرهم بیاورند. و موضوع مطرح شده را به باد فراموشی بسپارند. مشکلی که الان مطرح هست خیلی ساده و خیلی مهم است. کدام گروه از کارشناسان حوزه بانکداری الکترونیکی میخواهند وجود امنیت در سایر شرکتها و بانکها را بررسی کنند؟ کدام استانداردها را میخواهند اعمال کنند؟ کسانی که وجود مشکل را منکر میشوند چگونه برای رفع آن یا جلوگیری از خطرات آن مشکل میتوانند اقدام کنند؟ آنها که دانش لازم برای ایجاد امنیت در شبکه بانکی را ندارند چگونه میخواهند امنیت تراکنشهای بانکی را تامین کنند؟
من کاری به سایر شرکتها ندارم شاید اگر مدیران این شرکتها از سطح تخصص در حوزه امنیت زیردستان خود اطلاع پیدا کنند تصمیمات متفاوتی بگیرند. چیزی که برای من بسیار مهم بود اینست که به رغم اصرار من در شرکت انیاک پس از گذشت سه سال از اتصال سویچهای شرکت به سویچ بانکها و سرویسدهی به مردم چرا مدیران از سرمایه گذاری در موارد امنیتی خودداری کردند و با بدترین شکل ممکن امانتهای مردم را در دسترس دیگران قرار دادند؟
کارشناسانی که چشم بر عدم وجود امنیت در سیستم سایر شرکتها و یا شبکه بانکی میبندند و تهمتهای بی اساس به اینجانب وارد میکنند آیا خائن نیستند؟ آیا این افراد در صورت بحرانی شدن اوضاع کشور و خالی شدن حسابهای بانکی پر و پیمان پاسخگو خواهند بود؟ چه کسی میپذیرد که خالی شدن حساب توسط یک کارت تقلبی بوده و دارنده حساب بانکی از کارت خودش استفاده نکرده است؟ چه تضمینی وجود دارد که خود این افراد از این اطلاعات سوء استفاده نکنند؟
پیوست 1 : در این صورتجلسه ( مورخه 16/03/1388 ) در دومین سال اتصال سویچهای انیاک به شبکه بانکی هنوز HSM خریداری نشده است و شرکت سهند سامانه موظف میشود در صورت خرید این دستگاه تغییرات لازم را در سویچ اعمال نماید. ( بند 7 )


پیوست 2 : در این صورتجلسه ( مورخه 26/03/1389 ) پس از گذشت یکسال از صورتجلسه قبلی هنوز اقدامی برای خرید HSM نشده است. ( بند 7 ص 2) و تازه میخواهند مدلهای موجود دستگاه فوق را برای اخذ تائید از شرکت سهند سامانه به صورت مکتوب برای آنها ارسال دارند. ضمنا با توجه به عدم اقدام مدیریت انیاک برای خرید HSM اینجانب درخواست کرده بودم موارد جدا کردن اطلاعات محرمانه دارندگان کارت از لاگهای عادی در صورتجلسه قید شود که در بندهای 9 و 10 ص 1 این موارد قید شده است. همچنین ارسال لاگ فایلها در بند 8 ص 2 برای بررسی باگ مربوط به سویچ نیز قابل مشاهده میباشد.


پیوست 3 : نامه ارسالی به شرکت سهند سامانه با امضاء اینجانب جهت جدا کردن اطلاعات محرمانه دارندگان کارتها از لاگ فایلهای عادی لازم به ذکر است طبق بند 3 صورتجلسه پیوست 1 امکان فعال کردن و غیر فعال کردن لاگها نیز میبایستی وجود میداشت که تنها در صورت ضرورت اقدام به لاگ گیری از اطلاعات محرمانه صورت گیرد و قابل کنترل باشد. هر چند در صورت استفاده از یک سویچ استاندارد و تثبیت شده به این لاگ نیز نیازی پیدا نمیشد.

No comments:

Post a Comment