وقتی رابین‌هود، هکر می‌شود

فریبا فرهادیان: کلاهبرداری‌های بانکی به شیوه آنلاین فقط گریبان افراد بی‌تجربه را نمی‌گیرد. سال گذشته رابرت مولر، مدیر دفتر سرمایه‌گذاری فدرال آمریکا تنها یک کلیک با قربانی شدن فاصله داشت. اما این روزها مشکل کلاهبرداری‌های بانکی و اینترنتی به نقطه اوج خودش رسیده و بر سر زبان‌ها افتاده است؛ چراکه عده‌ای از دانشمندان علوم کامپیوتر و امنیت شبکه به‌طور جدی هشدار داده‌اند که مشتریان بانک‌ها از سیستم‌هایی استفاده می‌کنند که آسیب‌پذیری آنها بسیار بالا است.

این روزها وب‌سایت‌های بانکی و سیستم‌های پرداخت الکترونیکی بی‌رحمانه و به‌شدت توسط افراد تبهکار هدف قرار گرفته‌اند و افراد زیادی در این میان مال‌باخته می‌شوند. گرچه پیشرفت‌های زیادی در این زمینه روی داده، اما باز هم حفره‌هایی در این سیستم‌ها وجود دارد که یک کلاهبردار باهوش با استفاده از آن‌ها می تواند اطلاعات کارت‌های الکترونیکی و حساب اشخاص را به نفع خودش تغییر دهد. سخنرانی‌های کنفرانس رمزنگاری مالی و امنیت دیتا نیز که هفته گذشته در جزایر قناری برگزار شد؛ همگی تاکیدی بر نفوذپذیری این سیستم‌ها بودند.

استیون مردوخ، از محققان امنیتی در دانشگاه کمبریج، با اشاره به این‌که سیستم‌های امنیتی به‌صورت پنهانی ساخته می‌شوند، تاکید کرد که حفره های این سیستم‌ها تنها وقتی شناسایی می‌شوند که گسترش یافته‌اند و همین امر باعث می‌شود پنجره شانسی برای تبهکاران گشوده شود.

دانشمندان شرکت کننده در کنفرانس رمزنگاری مالی و امنیت دیتا به نقص موجود در 3 سیستم امنیتی مالی پرکاربر اشاره داشتند و گفتند این سیستم ها که هرروزه توسط میلیون‌ها نفر استفاده می‌شوند، تنها با کمی تلاش قابل نفوذند و همین امر مشکل را پررنگ تر کرده است.

مهندسی معکوس و کشف حفره
یکی از کارت‌های پرکاربری که مورد تحلیل موشکافانه این محققان قرار گرفته، کارت‌های ساخته‌شده توسط NXP هلند بود. ضعف این سیستم‌ امنیتی وقتی مشخص شد که محققان در سال 2007 / 1386 و با مهندسی معکوس توانستند سیستم پنهانی کارت را پیدا کنند.

این کارت‌ها دارای 16 سری کلید پنهانی هستند که به‌منظور حفاظت از اطلاعات ذخیره شده روی کارت استفاده می‌شوند. تیمو کاسپر و همکارانش از دانشگاه Ruhr آلمان پس از شناسایی این کدها توانستند اطلاعات ذخیره شده روی کارت را تغییر دهند. این تیم تحقیقاتی حتی توانست دستگاه کارت‌خوانی بسازد که کارت‌های خالی را پر از اعتبار کند. این هکرهای خیرخواه برای اثبات ادعای خود از کارت‌های مذکور برای خرید اقلامی مثل قهوه و بستنی هم استفاده کردند. تنها کاری که یک هکر با منش رابین‌هودی باید انجام دهد، این است که یک دستگاه کارت‌خوان را در نقطه‌ای عمومی پنهان کند تا وقتی یک نفر به فاصله مناسبی از آن قرار گرفت، کارتش به‌صورت معجزه آسایی پر از پول شود.

کاسپر قیمت این دستگاه‌ها را 30 دلار برشمرد و گفت: «علاوه براین، افراد تبهکار می‌توانند انواع نرم‌افزارهای رایگان را دانلود کنند و از آن‌ها برای خواندن کدهای پنهانی روی کارت‌ها استفاده کنند».

گروه دیگری از محققان هم بر روی یک دستگاه کارت‌خوان دیگر متمرکز شده اند که از آن برای پرداخت‌های آنلاین استفاده می‌شود. این دستگاه که توسط برخی بانک‌های اروپایی استفاده می‌شود، با استفاده از کابل یو.اس.بی به کامپیوتر متصل می‌شود و یک مرورگر امنیتی را به‌کار می‌اندازد. کاربران، کارت‌های بانکی خود را درون این کارت‌خوان قرار می‌دهند و سپس ارتباطی امن با بانک خود از طریق این مرورگر برقرار می‌کنند. این سیستم به‌منظور امنیت بالای مشتریان در انجام تراکنش‌های مالی بین دو حساب بانکی طراحی شده است.

با این وجود فلیکس گوربرت و همکارانش از دانشگاه Ruhr توانستند نرم‌افزاری طراحی کنند که به‌محض شروع به کار این مرورگر به آن حمله می‌کند و با از کار انداختن امنیت آن، اطلاعات حساب را پنهانی تغییر می‌دهد. گوربرت گفته است که تیم وی به بانک‌هایی که از این سیستم استفاده می‌کنند و نیز سازندگان کارت‌های مذکور هشدارهای لازم را داده‌اند و خوشبختانه هردو در حال رفع نقص هستند.

محققان امنیتی تنها راه برای نجات از این مشکلات را همکاری نیروهای متخصص از بیرون سازمان با شرکت‌های سازنده می‌دانند و علاوه براین استفاده از متخصصان مستقل برای بازرسی سیستم‌ها را از دیگر نکات مهم در حل مشکلات امنیتی اعلام کرده‌اند.