امنیت

فناوری اطلاعات

October 8, 2015
8:07 پنجشنبه، 16ام مهرماه 1394
کد خبر: 73703

محدودیت های USSD موقتی است/شاپرک و شرکت خدمات مامور امن سازی /جزئیاتی از علت اعمال محدودیت

یک منبع آگاه خبر از موقتی بودن ابلاغیه شاپرک در خصوص محدودیت های اعمال شده در بستر USSD داد و گفت:از شرکت های خدمات انفورماتیک و شاپرک خواسته شده تا طرحهای خود را در خصوص ایجاد امنیت پرداختها در بستر USSD ارائه دهند./حدود دو تا سه ماه پیش در پی نامه نگاری هایی که از سوی نیروی انتطامی (پلیس فتا) و دادستانی درباره ناامن بودن بستر USSD به بانک مرکزی ارسال شد تلاش برای پیش بینی تمهیداتی برای امن کردن این بستر در دستور کار قرار گرفت. در همین راستا دو شرکت مورد اشاره ماموریت یافتند تا طرحهای خود را ارائه دهند.
 
یک منبع آگاه خبر از موقتی بودن ابلاغیه شاپرک در خصوص محدودیت های اعمال شده در بستر USSD داد و گفت:از شرکت های خدمات انفورماتیک و شاپرک خواسته شده تا طرحهای خود را در خصوص ایجاد  امنیت  پرداختها در بستر USSD ارائه دهند.
 
این منبع آگاه با بیان اینکه از حدود دو تا سه ماه پیش در پی نامه نگاری هایی که از سوی نیروی انتطامی (پلیس فتا) و دادستانی درباره ناامن بودن بستر USSD به بانک مرکزی ارسال شد تلاش برای پیش بینی تمهیداتی برای امن کردن این بستر در دستور کار قرار گرفت. در همین راستا دو شرکت مورد اشاره ماموریت یافتند تا طرحهای خود را ارائه دهند.
 
وی تصریح کرد: با نزدیک شدن زمان اجرایی شدن برجام تصمیم گرفته شد تا فعلا محدودیت هایی برای این بستر در نظر گرفته شود اما  در نهایت بعد از دریافت طرحها و انتخاب طرح بهتر و اجرای آن بستر USSD  نیز در یک وضعیت امن به ارائه خدمات بپردازد.
 
 این منبع آگاه خاطرنشان کرد: راه اندازی سپاس و پرداخت موبایلی نیز هم زمان در دستور کار قرار گرفته است.
 
در همین حال منابع خبری در شاپرک خبر می دهند ، طرح ساماندهی و امنیت  بستر USSD  طی یک یا دو هفته آینده به بانک مرکزی ارائه خواهد شد.
 
داستان از کجا آغاز شد
گفته می شود داستان نامه نگاری ها از فتا و دادستانی از زمانی آغاز شد که 780 در حوزه پرداخت شروع به فعالیت کرد. البته از دوره های قبل هم  ناامنی کانال USSD مورد اشاره نهادهای امنیتی قرار گرفته بود اما زمانی که 780 وارد بازار شد فشارها افزایش یافت.
 
راه حلی از جانب یک کارشناس پرداخت
 
در همین حال یاسر قلیشلی ،کارشناس پرداخت الکترونیک با تاکید بر اینکه باید راه حل ارائه کنیم  چنین تحلیل می کند:
1.باید به ussd به شکل یک ابزار در حوزه ارائه خدمات بانکداری و پرداخت توجه شود و طبیعتا ارزش ابزار به استراژی کاربر بستگی دارد. در واقع بانک و psp به عنوان خدمت دهنده، شهروندان به عنوان خدمت گیرنده و بانک مرکزی به عنوان رگولاتور تعیین کننده خواهند بود. پس به خودی خود ussd ارزشمند نیست بلکه نیاز و رفتار ذینفعان مهم است.
 
2. دنیای امروز پرداخت و بانکداری در حال مهاجرت از کارت، pos و atm به تلفن همراه است. فارغ از مباحثی مانند چابکی، سطح سرمایه گذاری و انعطاف پذیری ، راحتی کاربری، دسترسی آسان و استفاده از تکنولوژی روز، باعث شده است که تلفن همراه و ابزارهای آن مهمترین راهکار دنیای آینده صنعت بانکداری و پرداخت باشند و از کنار آن نمی توان گذشت و آنرا به دلایل و یا بهانه های مختلف نادیده گرفت. یک بام و دو هوا نمی شود. یکجا از فواید تلفن همراه بگوییم و چشم انداز آتی صنعت بانکداری و پرداخت را به آن پیوند بزنیم و در جای دیگر استفاده ار آنرا منع کنیم.
 
3. این نکته را هم باید مدنظر قرار داد که ابزارهایی مانند ussd به شدت وابسته به اپراتور تلفن همراه است. این وابستگی باعث می شود که اپراتور به راحتی اقدام به افزایش قیمت زیرساخت خود کند که موجب افزایش قیمت تمام شده خدمت می گردد. در واقع زیرساخت خدمت به موجودیتی خارج از گود ، گره خواهد خورد.
 
4. همچنین در مدل فعلی اپراتور های تلفن، مورد اعتماد فرض شده اند که در صورت افزایش تعداد و ورود رقبای خارجی این موضوع به ناامنی دامن میزند. از سویی تراکنشها در ussd به صورت clear text جا به جا می شود و این به معنای وجود امکان دزدی اطلاعات است. یعنی با هک bts اپراتور می شود به اطلاعات دسترسی داشت.
 
ولیکن بانک مرکزی برای رفع معضلات فوق، نمی تواند به راحتی به حذف صورت مسئله بپردازد و با یک دستورالعمل ممنوعیت ایجاد کند. بلکه باید با ایجاد و تشریح راهکارهایی، ابزار فوق الذکر را برای بهره برداری آماده نماید. به طور مثال استفاده از secure ussd و یا استفاده از applet مبتنی بر سیم کارت (sim tool kit و یا stk)، می توان معضل ناامنی را حل کرد. در حال حاصر شرکت حصین و آیسان چرخه کامل این نوع محصول را آماده کرده اند. همچنین باید با ایجاد مدل تجاری، از سواستفاده اپراتور برای افزایش زایدالوصف قیمت ussd پیشگیری نماید.
 
یا ابزاری جایگزین مانند mobile application های امنی که کلیدهای رمزنگاری در سیم کارت نگهداری می شود، ارائه نماید که هم واسط کاربری مناسب و هم امنیت کاملی دارد.
پس بهتر است جای حمله و تخریب بانک مرکزی، راهکار خروج از این بحران ارائه بشود به نحوی که دغدغه های بانک مرکزی، psp ها و بانک ها مرتفع گردد و در عین حال جاده برای گسترش های آتی مهیا شود.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.