بررسی امنیت کدهای USSD
این روزها اخبار مختلفی در مورد حذف کدهای USSD منتشر شده است. آیا حذف این کدها کار درستی است یا اشتباه؟ میزان امنیت این کدها چقدر است؟
یک کارشناس ارتباطات و فناوری اطلاعات، به بررسی مباحث مرتبط با کدهای USSD پرداخت و حذف کدهای USSD را ایجاد دردسر برای مردمی دانست که به اینترنت دسترسی ندارند و یا از گوشیهای هوشمند استفاده نمیکنند.
استقبال مردم از کدهای USSD
محمدجواد حبیبی اعلام نمود که پرداختن به مباحث مرتبط با حذف کدهای USSD در کشور موضوع جدیدی نیست و ادامه داد که پس از بازتعریف این بستر توسط اپراتورها، استقبال گستردهای توسط مردم از آنها اتفاق افتاد. به گفته وی مردم برای حل بسیاری از نیازهای روزانه خود در حوزه پرداخت الکترونیکی از این کدها استفاده میکنند. وی در چنین شرایط حذف کدهای USSD را مناسب ندانست و تاکید نمود که شاید محبوبیت استفاده از این کدها به دلیل جمع شدن چندین عامل متقابل با یکدیگر باشد.
به گفته این کارشناس فناوری اطلاعات، همیشه تبلیغات متفاوتی برای استفاده از این کدهای ساده و روان در جای جای شهرها انجام میگیرد و این مسئله توانسته است تا علاوه بر درگیر کردن ذهن مردم، ذهن متخصصان و فعالان دو صنعت مخابرات و پرداخت الکترونیکی را نیز به خود معطوف کند. وی همچنین استفاده از کدهای USSD را محل نزاع آراء مختلف دانست و اعلام کرد که بانک مرکزی استفاده از این کدها را ناامن دانسته است و تا به حال نیز سعی کرده تا محدودیتهایی را در استفاه از این روش در نظر بگیرد.
آیا حذف کدهای USSD اقدامی صحیح است؟
حبیبی در مورد اینکه آیا حذف کدهای USSD صحیح است تا خیر سخن گفت و ادامه داد که بسیاری از افراد چون استفاده از این روش را فاقد امنیت لازم میدانند، با حذف آن موافق هستند. وی ادامه داد که درست است این کدها از امنیت لازم برخوردار نیستند اما در مورد حذف کدهای USSD بهتر است به اقشار ضعیفتر جامعه نیز توجه داشت.
وی تاکید نمود که اقشار پایین جامعه منظور افرادی است که به اینترنت دسترسی ندارند و یا اینکه تلفن همراه آنها هوشمند نیست و قادر نیستند تا از سایر امکانات به روز و امن که در این زمینه وجود دارد استفاده کنند.
حبیبی ادامه داد که تصمیم گیری صحیح در مورد حذف کدهای USSD ، تنها به استانداردهای شناخته شده بانکداری و پرداخت الکترونیکی وابسته نیست، بلکه مکانیزمهای امنیتی که در بسترهای داخلی اپراتورهای کشور استفاده میشوند و عموماً نیز محرمانه تلقی میشوند هم میتواند با این نتیجهگیری ارتباط مستقیم داشته باشد. به گفته وی بررسی دقیق مکانیزمهای امنیتی اپراتورهای داخلی کشور، جز با مجوزهای خاص امکان پذیر نیست.
استفاده از استانداردهای جهانی مخابرات در کشور
حبیبی اعلام نمود که استفاده از استانداردهای جهانی مخابرات در کشور در حال بهرهبرداری است. به گفته وی امنیت تبادلات در سه سطح تامین میشود، احراز هویت کاربر، رمزگذاری دادهها و سیگنالهای تبادلی و حفظ محرمانگی هویت کابران. وی تاکید نمود که تمامی این عملیات از طریق الگورتیمهای رمزنگاری متقارن و کلیدهایی که در تراشههای هوشمندی با نام سیم کارت وجود دارند، به عنوان ماژول ایمن (security module) پشتیبانی میشوند.
وی همچنین در مورد ساختار ارتباطی اپراتورها سخن گفت و اعلام نمود که در این ساختار بخشهایی وجود دارند که مدیریت تقلب را انجام میدهند و شامل لیستهایی نیز هستند. از جمله این لیستها میتوان به لیست سیاه، شامل مشترکین محروم از دریافت خدمات، لیست خاکستری، شامل مشترکینی که فعالیتهای مشکوک دارند و تحت نظارتهای خاص قرار میگیرند و لیست سفید که عموم مشترکین را شامل میشود اشاره کرد.
به گفتهی این کارشناس فناوری اطلاعات، هم اکنون تمام ارتباطات موبایلی از جمله مکانیزمهای محاسبه صورتحساب، توسط همین مکانیزمهای امنیتی تامین و پشتیبانی میشوند و اگر چنین چیزی وجود نداشت و عبور از آنها به راحتی امکان پذیر بود، امروزه نرم افزارها و سخت افزارهایی زیادی موجود بود که با استفاده از آنها هک شبکهها و جعل هویت به راحتی انجام میگرفت. به عنوان مثال اگر در این حالت امنیت وجود نداشت، امکان برقراری تماسهای رایگان فراهم میشد و تا کنون اپراتورها ورشکست شده بودند.
وی تاکید نمود که برای تایید امنیت عملیات بانکی و پرداختها، فقط وجود امنیت قابل قبول در کانال بین فرستنده پیام و اپراتور شبکه مخابراتی کافی نیست بلکه قبل و پس از آن هم باید وجود امنیت مورد بررسی قرار گیرد.
دستکاری یا شنود داده در دستگاه مبدا امکان پذیر است!
این کارشناس فناوری اطلاعات اعلام نمود که امکان شناسایی هویت مشترکین از طریق اپراتورهای مخابراتی وجود دارد. به گفته وی این عملیات با بهره گیری از کلید ذخیره شده در سیم کارت که همان نقش توکنهای سخت افزاری متعارف را دارد، انجام میگیرد. وی ادامه داد که با مکانیزم امنیتی چالش، پاسخ (Challenge-Response) و با بهرهگیری از ضریب بالای امنیتی، قابلیت اعتماد فراهم میشود، به گونهای که هم اکنون نیز کلیه نرمافزارهای موبایلی اعم از نرمافزارهای بانکی و پرداخت از همین مکانیزم برای احراز هویت کابران خود استفاده میکنند.
وی تاکید نمود که دریافت متون تصادفی ارسال شده در پیامکها نیز به منزله تصدیق اصالت کاربر قلمداد میشود و برخی بانکها برای اینکه اجازه انتقال وجوه بالا را به مشتری بدهند، از طریق ورود رمزهای یکبار مصرفی که از همین سامانه برای احراز هویت مشترکین ارسال میشود، استفاده میکنند.
به گفته حبیبی سیمکارتها به دلیل دارا بودن توانمندیهای بسیار بالا، در واقع ماژولهای هوشمند شخصی تلقی میشوند که به علت اتصال همیشگی به مبدا، برخلاف کارتهای هوشمند، امکان ابطال و مسدود کردن آنها در هنگام مفقودی و یا سرقت به راحتی وجود دارد. وی در ادامه تاکید نمود که با وجود چنین شرایطی این بستر امروزه یکی از مطمئنترین بسترهای احراز هویت کاربران است.
وی بیان کرد که این بستر با دارا بودن ضریب نفوذ بسیار بالا، کمترین میزان ریسک را در معماریهای امنیتی خود دارد و ادامه داد که راه حلهای نرم افزاری که برای فروش شارژ توسط کدهای دستوری وجود دارد، مستقیماً از اطلاعات هویتی که اپراتورها در اختیار آنها قرار میدهند، استفاده میکنند. به گفته وی در این باره کمترین میزان ریسک وجود دارد و این میزان از امنیت، از هیچ یک از متخصصان حوزه فناوری اطلاعات پوشیده نیست.
به گفته حبیبی اگر فرض بر این باشد که دادهها در کانال هم رمزگذاری نشوند و یا رمزگذاری آنها شکسته شود و در مبدا هم امکان دستکاری و شنود آنها وجود داشته باشد، همکاران بانکی راهکارهای بسیاری برای مدیریت و کاهش ریسک در این شرایط دارند. به عنوان مثال، از طریق همین سامانه پیوند که به منظور جلوگیری از تبادل شماره کارت بانکی (PAN) ایجاد شده است، میتوان رمز دیگری را برای متقاضیان در نظر گرفت که در صورتی که افشاء شد و یا جعل گردید نیز امکان سوءاستفاده از آن وجود نداشته باشد و یا برای پذیرندگان و سقف تراکنشهای روزانه محدودیتهایی ایجاد کند.
وی همچنین به وجود حملاتی مانند جعل درخواست (CSRF) اشاره کرد و ادامه داد که امکان استفاده از مقادیر تصادفی به سادگی در حین عملیات امکان پذیر است. به گفته این کارشناس فناوری اطلاعات نکته بسیار جالبی که در مورد استفاده از کدهای USSD وجود دارد این است که، بسیاری از مخاطراتی که در بستر اینترنت وجود دارند، بی معنی هستند. وی در ادامه به فیشینگ اشاره کرد و ادامه داد که این مشکل یکی از معضلات جدی دنیای پرداخت مبتنی بر اینترنت است و همه روزه بسیاری از هموطنان به این دلیل متضرر میشوند.
نقش اپراتورها در افشای اطلاعات بانکی
حبیبی در ادامه صحبتهای خود در مورد استفاده از کدهای USSD و همچنین حذف کدهای USSD ، به مشکل افشای اطلاعات بانکی توسط اپراتورها اشاره کرد و ادامه داد در صورتی که اطلاعات با امنیتی مناسب توسط اپراتورها دریافت شوند، چه تضمینی وجود دارد که اطلاعات در این حلقه دچار آسیب نشود؟! حبیبی اعلام نمود که پاسخ این ابهام روشن است و ادامه داد که این امر در مورد شرکتهای ارائه دهنده خدمات پرداخت که به اطلاعات بانکی دسترسی دارند و رمزنگاری دادههای حساس از پایانههای پرداخت تا آنها انجام میگیرد نیز صدق میکند. به گفته حبیبی این دادهها پس از رمزگشایی، مجددا رمز میشوند و به سوئیچهای مرتبط بعدی ارسال میگردند.
مشکل امنیتی کدهای USSD قابل حل است!
حبیبی اعلام نمود که مشکل امنیتی کدهای USSD قابل حل است و تاکید نمود که برای حل این مشکل باید انگیزه لازم وجود داشته باشد. به گفته وی همین مکانیزمهای نظارتی با همکاری طرفین، در خصوص اپراتورها نیز قابل اعمال است و تاکید نمود که توانمندی فنی و سازمانی اپراتورهای مخابراتی از ۱۳ شرکت فعلی که مجوز ارائه خدمات پرداخت را دارند کمتر نیست.
وی در ادامه به نکته مهمی اشاره کرد و اعلام نمود که زیرکدهای دستوری با اعمال برخی تغییرات، قابلیت رمزگذاری مضاعف را به شکل انتها به انتها (End To End) بین دستگاه موبایل و اپراتور مخابراتی دارند. به گفته وی اغلب کشورها نیز از این بستر جهت مبادلات مالی و پولی استفاده میکنند. وی بر استفاده از این روش تاکید کرد و اعلام نمود که اپراتورهای داخلی نیز میتوانند به آنها مجهز شوند و بانک مرکزی نیز باید اپراتورها را به استفاده از این روش تشویق کند نه اینکه در فکر حذف کدهای USSD باشد و حقوق مصرف کنندگان را به خطر بیندازد.
امنیت ابزارهای پرداخت پایین است!
حبیبی در ادامه اعلام نمود که امنیت ابزارهای پرداخت در حال حاضر بسیار پایین است و با حالت مطلوب فاصله دارد. به گفته وی آمار مربوط به کلاهبراداری از طریق کارتهای مغناطیسی ناامن کنونی بسیار بالاست اما تاکنون هیچ گزارشی در مورد هک شبکههای مخابراتی اپراتورها و نشت اطلاعات و آسیب پذیریهای امنیتی آنها در حوزه پرداخت وجود نداشته است.
وی ادامه داد که راههای بسیاری برای ادامه و حتی گسترش سرویسهای مختلف بر بستر کدهای دستوری که تجربه کاربری بالایی نیز در بین مخاطب ایرانی پیدا کرده است وجود دارد. به گفته وی این کدها از پتانسیلهای بالایی برخوردار هستند و سرمایهگذاریهای کلان صورت گرفته بر روی آنها در این سالها، میتوانند پوشش دهنده همه دغدغههای امنیتی این حوزه باشد. این کارشناس در پایان اعلام نمود که بهتر است تصمیم گیری در مورد حذف کدهای USSD به عهده کاربران باشد و آنها خود آزادانه حق انتخاب داشته باشند و تصمیم بگیرند که بستر نامناسب حذف گردد.