۰ نفر
۲۰ مهر ۱۳۹۴ - ۰۵:۲۶
 کدهای USSD چقدر امن هستند؟

* محمدجواهری

شاپرک هفته گذشته و به دنبال ممیزی های خدمات پرداخت الکترونیکی، محدودیت های جدیدی را برای ارائه خدمات USSD اعمال و اعلام کرد. این محدودیت ها شامل قطع کامل دو سرویس خرید و مانده گیری توسط کدهای USSD و تعیین سقف ریالی برای پرداخت قبض ها  وخرید شارژ تلفن همراه است. 

این اقدام شاپرک که بنا بر تصریح بخشنامه ابلاغی به شرکت های PSP به دستور بانک مرکزی انجام گرفته است واکنشها و مباحثات مختلفی به دنبال داشت. 

اگرچه این محدودیتها به طور مستقیم کسب و کار شرکتهای خدمات پرداخت الکترونیکی را تحت تاثیر قرار می دهد ولی مدیران این شرکت ها ترجیح دادند هرگونه عکس العمل را به پس از هماهنگی با شاپرک و بانک مرکزی و اطلاع از ضرورتهایی که اعمال چنین محدودیتهایی را به دنبال داشته است، موکول کنند. با این وجود برخی موضعگیری های تندی علیه این اقدام بانک مرکزی و شاپرک داشتند که جای دارد در فرصتی مغتنم بحث و بررسی شود.

اخیرا هم که گویا مد شده عده ای برای آسمان آبی یا آفتابی هم کمپین راه می اندارند. ریشه این واکنشهای عجولانه خیلی مبهم نیست. عدم دانش کافی و وابستگی مالی به برخی شرکتها و.. براحتی راه اندازی کمپین ها و فضاسازی ها را می تواند توجیه نماید.

در کنار این مباحث ذکر چند نکته در خصوص این تصمیم شاپرک ضروری است:

  • طی سال های اخیر ارائه و استفاده از تلفن همراه و خدمات آن در ایران به شدت افزایش یافته است.شاید عمده ترین علل این گسترش چشمگیر، سهولت استفاده از آن برای کاربران در غیاب بستر اینترتنی مناسب در حوزه تلفن همراه بوده است. به عبارت دیگر از آنجایی که استفاده از یو اس اس دی نه نیازمند گوشی های هوشمند و نه اینترنت بر بستر موبایل است، استفاده از آن با اقبال فراوانی روبرو شد تا جایی که توانسته تغییرات معناداری در سهم تراکنشهای موبایلی در مقایسه با سایر ابزارهای پرداخت الکترونیکی بوجود آورد.
  • در چنین شرایطی و به همراه افزایش سهم ارائه خدمات پولی بانک ها و حوزه پرداخت الکترونیکی، شرکت های ارائه دهنده خدمات، بانک مرکزی و حتی شاپرک اقدام قابل ملاحظه ای را در خصوص ارتقای امنیت استفاده از سرویس یو اس اس دی انجام ندادند البته بانک مرکزی و شاپرک نیز چابکی لازم در تدوین استاندارهای امنیتی را نداشته و از سوی اپراتورهای تلفن همراه نیز اقدامات امنیتی لازم صورت نگرفت.

هر چند این اقدام بانک مرکزی و شاپرک و اعمال محدودیت بر روی سرویس USSD از توجیه منطقی برخوردار است ولی جای چند سئوال از نهاد حاکمیتی محفوظ است:

1. بانک مرکزی، شاپرک و سایر نهادهای ناظر سطح پایین امنیت را در USSD می دانسته اند و بارها در کنفرانس ها و یادداشت های کارشناسان به آن اشاره شده بود. چرا با وجود امنیت ضعیف این سرویس اجازه گسترش استفاده آن را طی سال های اخیر داده اند؟

2. چه عاملی اکنون آنها را به اعمال محدودیت در سرویس های USSD وادار کرده است؟

3. محدودیتهای اعمال شده برای چه منظوری بوده و تا چه حدی می تواند احتمال و ابعاد بروز مشکلات امنیتی را در استفاده کاربران از سرویس USSD کاهش دهد؟

4. در بحث امنیت فنی، لایه انتقال اطلاعات از بستر GSM/CDMA امنیت تبادل اطلاعات باید توسط اپراتورهای موبایل تضمین شود. تایید ارسال کننده پیام در شبکه با استفاده از الگوریتم های  رمزنگاری کلید عمومی (Public Key Infrastructure) صورت می پذیرد. در این صورت نیاز به مرکز صدور گواهی (CA) و اتصال به مراکز آن وجود دارد. با وجود مرکز زیر ساخت کلید عمومی در بانک مرکزی و امکان استفاده از آن چرا تا کنون برای صدور گواهی امضاء کاربران به منظور احراز هویت و رمزنگاری اطلاعات اقدامی صورت نگرفته است؟

5. چه راهکار و ابزارهایی را برای افزایش امنیت این سرویس و توسعه کاربری آن در نظر گرفته اند.

بر همین مبنا می توان از روش های مختلفی برای افزایش امنیت در این حوزه استفاده کرد. مانند:

  • بکارگیری مرکز صدور گواهی (CA) بمنظور احراز هویت کاربران
  • استفاده ازمکانیزم های رمزنگاری مناسب برای حفاظت از اطلاعات
  • بکارگیری ابزار ها و سخت افزارهای رمزنگاری مانند HSM در مسیر اطلاعات به بانک ها بمنظور رمزنگاری اطلاعات حساس و مهم
  • تولید برنامه های بانکداری موبایل و تجهیز آن ها به ابزار زیر ساخت کلید عمومی و رمزنگاری
  • عدم ذخیره اطلاعات حساس احراز هویت مشتریان ) شامل و نه محدود به CVV,CVV2 اطلاعات کامل شیارمغناطی سیم کارت، (PIN,PIN Block
  • بررسی راهکارهای جدید در جهان که امروزه به منظور توسعه استفاده از سرویس های موبایل و افزایش امنیت تبادل اطلاعات در این حوزه بکارگرفته شده اند. از آن جمله می توان به راهکار Google Pay و Apple Pay اشاره کرد.

 

* کارشناس حوزه امنیت سایبری 

کد خبر 466964

برچسب‌ها

نظر شما

شما در حال پاسخ به نظر «» هستید.
2 + 13 =

نظرات

  • نظرات منتشر شده: 3
  • نظرات در صف انتشار: 0
  • نظرات غیرقابل انتشار: 0
  • کوروش درخشان RO ۰۵:۴۸ - ۱۳۹۴/۰۷/۲۰
    8 0
    بانک مرکزی اخذ موجودی توسط بانک غیر عامل را به دلیل سوء استفاده بانکها و شرکتهای عامل ممنوع کرد و نه بخاطر امنیت چون حسابی داشتند میلیاردها تومان پول از جیب مردم به بهانه جایزه خودرو و تحریک مشتریان به جیب می زدند...
  • ساکن ایران A1 ۰۷:۴۰ - ۱۳۹۴/۰۷/۲۰
    4 1
    آقای محمد جواهری عزیز شما خودتان قضاوت کنید. وقتی می گویند فلان شرکت کالای غیر استاندارد تولید کرده اما حاضرنیستند اسم تولید کننده را بگویند و عملاً به مردم توهین می کنند, باید انتظار کمپین های مختلف را هم داشته باشید.آنوقت شما از مد شدن کمپین می گوئید.این فقط یک دلیل از هزاران دلیل بود.انصاف هم خوب چیزی هست.
  • يک شهروند A1 ۰۸:۲۳ - ۱۳۹۴/۰۷/۲۰
    4 2
    قبلا با 780 قبض هاى خود را پرداخت مى کردم ولى امروز هر کارى کردم نشد پرداخت کنم آخه چرا اين کارها مى کنيد بجاى اينکه بهترش کنيد هر روز بدترش مى کنيد دليل اين کارها چى هست