راه پرداخت
رسانه فناوری‌های مالی ایران

نقدی بر یادداشت «همه دروغ‌هایی که این روزها درباره USSD شنیدیم»

محمدجواد حبیبی؛ مدیر توسعه نرم‌افزار جیرینگ / سالروز یادمان فجر انقلاب را تازه از سر گذارنده‌ایم و شکی نیست که کشور ما، همچون حوزه‌های دیگر، در حوزه بانکداری و پرداخت الکترونیک نیز، با کم و زیادش مسیر مبارکی را پیموده و مردم کشور را از میوه‌های شیرین آن بهره‌مند ساخته است و در ادامه این مسیر رشد نیز با مشکلات و گردنه‌های مهمی روبرو و دست به گریبان است که می‌بایست با همت عالی مردمان این مرزوبوم خصوصاً مرتبطین با این صنعت اعم از مسئولین، فعالان صنعت و اهالی شریف رسانه در این حوزه نیز همچون گذشته پرتلاش و پرتوفیق ظاهر شده و بتواند با رفع نواقص موجود و خلق فضاهای جدید، افق‌های نوینی را پیش روی کشور ایجاد نماید.

اما در این میان، به عقیدهٔ بنده نقش عزیزان رسانه‌ای، نقشی بسیار پررنگ و جدی است و به عنوان عنصری تعادل بخش و پیشران، از سویی متولی آگاهی بخشی‌های اجتماعی و حفظ سلامت فضای کسب‌وکار و به عبارت دیگر، چشمان بیدار جامعه است که می‌تواند و بایست با حساسیت بالا در این راستا عمل کرده و هشدارهای لازم را در بیراهه‌ها و کج‌راهه‌ها آشکارا بنوازد و از سوی دیگر با اطلاع‌رسانی و ایجاد و پاسداری از فضای مناسب تبادل افکار و تضارب آراء متخصصان حوزه، زمینه را برای رشد مناسب و توسعه پایدار صنعت فراهم بیاورد و اگر بخواهیم نامی بیاوریم می‌توان گفت الحق و الانصاف، رسانهٔ راه پرداخت یکی از نمونه‌های موفق و پیشتاز در کنار سایر عزیزان رسانه‌ای در این حوزه است که در موضوعات مختلف، شاهد رفتارهای منصفانه و بالغ از سوی آن بوده‌ایم و بر این اساس می‌توان وجودش را موجب مباهات صنعت شمرد. همین موضوع موجب می‌شود تا اگر زمانی نیز احیاناً نقدی بر رفتار آن ببینیم احساس وظیفه کرده و نسبت به طرح موضوع آن با دوستان بزرگوار متولی این رسانه و مخاطبین ایشان اقدام نماییم؛ و البته بر احتمال اشتباه و خطای خود نیز واقفیم و به حکم عقل، نگاه خود را لزوماً صحیح و محق نمی‌شمریم.

اما موضوعی که جسارت ما حضور این عزیزان را سبب گشته، نقد برخی از رویکردهای این رسانه در بحث داغ این روزها یا همان کدهای دستوری است که به بهانهٔ نوشتهٔ اخیر دوست بزرگوارمان، رضا قربانی مدیرعامل شبکه راه پرداخت تحت عنوان «همه دروغ‌هایی که این روزها درباره USSD شنیدیم» است که دستمایهٔ آن البته بیشتر فنی است؛ اما پیش از آغاز، تصور می‌کنم یادآوری این نکته به مخاطبین نیز به انصاف نزدیک‌تر است که اگرچه بنده این نوشتار را به عنوان یک کارشناس کوچک این حوزه می‌نگارم، اما در حال حاضر مسئولیتی فنی در شرکت جیرینگ، همان شرکتی که به عنوان یکی از ذینفعان بزرگ USSD مطرح می‌شود دارا هستم و کاملاً این حق را برای دوستان راه پرداخت و مخاطبین قائلم که به طور ویژه مطالب بنده در این خصوص را از دریچه ظن و تردید نگاه کنند؛ البته اما پیش‌داوری و قضاوت را صحیح نمی‌دانم؛ اتفاقاً اولین نقد بنده نیز که نقدی شکلی است در همین خصوص است! لطفاً از مطالعه باز نایستید و ادامه دهید!

 

آب را گِل نکنیم

این یک قاعدهٔ کلی است که کسی مطلق نیست و معصوم (ع) هم در جامعه حاضر نیست؛ تمام حقیقت سهم هیچ‌کدام از ما نیست، پس در مباحث غیرعقلی، خصوصاً امور جاری کشور و علی‌الخصوص مسائل فنی، همیشه باید آراء و افکار را نسبی و قابل نقد بشماریم و نقد را به میدان فرابخوانیم؛ چه بسا در همان موضوعی که ما ناامیدیم افق‌های جدید، طلوع کند و اختلاف نظرها، نتایج ثالثی را ظاهر کند که پرقدرند؛ اما لازمهٔ این فضا اهتمام طرف‌های اختلاف به دوری از اتهام‌پراکنی و باز گذاردن میدان گفتگوست. بنده به خوبی آگاهم که این عزیزان رسانه‌ای مبتنی بر این انگاره که ادامه بهره‌برداری از این بستر، به سود صنعت نیست و حمایت‌هایی که از مسدودسازی آن نمودند تا چه میزان مورد اتهام و هجمه واقع شدند، اما معتقدم، به همان میزان که این اتهام‌پراکنی‌ها ناصواب و غیر جایز بوده، تهاجم متقابل و راندن همهٔ اظهار نظرهای مخالف، با چوب قلم به مزدی و نظایر آن نیز، ولو اینکه فرضاً کاملاً صحیح و مطابق با واقع باشد، ورودش در عرصه مطبوعات و رسانه می‌تواند کم سود و پرضرر باشد، چراکه با قطبی‌سازی فضا، امکان تبادل آراء طبیعی و نظرات کارشناسی و محققانه، از بیم برچسب خوردن‌های طیفی سلب می‌شود.

به عنوان مثال، مشاهده کردیم که همین روزها و در همین فضای قطبی شده، گاهی صداهای دیگری نیز از برخی چهره‌ها شنیده می‌شد که با این قطبی‌سازی‌ها هماهنگی نداشت، نمونهٔ بارز آن دفاع یکی از مدیران متخصص در پژوهشکده پولی و مالی بانک مرکزی در خصوص امکان استفاده از این بستر بود که تصور نمی‌کنم دوستان بخواهند ایشان را نیز متهم به جیره‌خواری یا نسبت‌های مشابه آن کنند؛ و یا همچنین دیگرانی که در برابر نگاه غالبی که بانک مرکزی ترویج می‌کرد اظهار نظرهای مستقلی داشتند که بدون شک اگر فضا به این سمت نمی‌رفت بسیار بیش از این می‌توانستیم شاهد پیشرفت گفتمان در این عرصه باشیم.

 

پاسخ‌های دوازده گانه

اما برسیم به نقد مطالب بیان شده؛ مؤلف، فرمایشات خود را در دوازده گزاره تحت عنوان پاسخ به مطالب گفته شده در مطلوبیت این کدها بیان کرده‌اند که با توجه به جامع بودن حوزه این مطالب، بنده نیز نظر و توضیح خود را در خصوص این موارد عرض می‌کنم، امید که از این رهگذر به جمع‌بندی مناسبی در خصوص عرائضم دست یابیم.

 

1– مورد اول ایشان در خصوص برون خط خواندن کدهای دستوری است؛ که ایشان به عنوان دروغ اول مطرح کرده‌اند؛ در واقع می‌توان گفت که این یک سوءتفاهم است؛ و جالب اینکه برای خود بنده در ابتدای ورودم به فضای اپراتوری نیز مطرح شد، چرا که در این فضا، هنگامی که عبارت «آفلاین» اطلاق می‌شد، منظور ارائه سرویس بدون استفاده از اینترنت بود، در حالی که در فضای پرداخت این عبارت تعریف دیگری دارد که در یادداشت ایشان به درستی به آن پرداخته شده است. بر این مبنا، تصور نمی‌کنم تاکنون کسی مدعی شده باشد که استفاده از بستر کدهای دستوری موجب کاهش تراکنش‌های بی‌منطق و گزافه بانکی و بهبود این بیماری که در حوزه پرداخت با آن مواجهیم می‌گردد. البته بدیهی است راهکارهایی نظیر کیف پولی که جیرینگ قریب به یک دهه پیش مطرح کرده بود، در صورت حمایت بانک مرکزی و نبستن مسیر آن، کار را به اینجا که امروز ایستاده‌ایم نمی‌رسانید.

 

2– بنده متاسفانه ویدئوی مذکور را ندیده‌ام و نمی‌دانم منظور مصاحبه شونده از خرید، خرید شارژ بوده یا سایر کالاهای روزمره، اما این نکتهٔ مهمی است که در صورت اقناع بانک مرکزی در خصوص تأمین امنیت بر روی این بستر، چه بسا بتوان راهکارهایی برای خریدهای روزانه مجازی یا حتی سایر فضاها، مبتنی بر پتانسیل بالای ایمنی که این بستر در خود داراست ایجاد کرد که در ادامه به آن بیشتر خواهم پرداخت.

 

3– در خصوص کارت به کارت نیز، به سادگی می‌توان از این بستر بدین منظور بهره برد. در خصوص تأمین امنیت نیز با توجه به اینکه در ادامه مفصل‌تر سخن خواهیم گفت از آن می‌گذرم، اما عجالتاً، ذیل راهکار پیوند که توسط بانک مرکزی و به منظور تأمین امنیت این بستر ارائه شد، به سادگی می‌توان راهکاری ساده، در دسترس و ایمن (البته به زعم بنده) برای عملیات انتقال وجه کارت به کارت برای مشتریان ایجاد کرد.

 

4– جسارتاً بنده عبارت «۴ تا شارژ ۱۰۰۰ تومانی» که ایشان به کار برده‌اند را چندان دقیق نمی‌دانم؛ بنده در اینجا قصد ارائهٔ آمار جدیدی را ندارم، اما به عنوان نمونه مطابق آخرین گزارش شاپرک، بیش از صد میلیون تراکنش از ابزارهای پذیرش موبایلی در آذرماه صورت گرفته که در حالت غیرواقع بینانه و تقلیل گرایانه، اگر تنها یک درصد از آن را معطوف به شارژ بدانیم، باز هم بار سنگینی برای سایر محل‌های خرید شارژ نظیر دستگاه‌های خودپرداز ایجاد می‌کند؛ یا همچنین مطابق آمار منتشر شده از اپراتورها، تنها ایرانسل، بیش از پنجاه میلیون سیم کارت اعتباری فعال دارد که اگر هر کدام از این مشترکین، تنها یک عملیات شارژ در ماه داشته باشند نتیجه آن مشخص است و در مجموع شکی نیست که مقیاس این تراکنش‌ها از حیث تعداد بسیار بالاست.

 

5– در خصوص مشکل صنعت پرداخت و بانکداری الکترونیک در خصوص کارمزد کاملاً با ایشان موافقم که البته بحثی مجزا و مهم است، اما در خصوص اینکه مردم در کشور ما می‌توانند به صورت رایگان از کدهای دستوری استفاده کنند و لزومی به سفارش بسته‌های اینترنتی ندارند با فرمایشات صورت گرفته چندان موافقت ندارم؛ همانطور که می‌دانیم در ایران برخلاف برخی دیگر از کشورهای جهان که بابت تراکنش‌های USSD، نظیر ارسال پیامک از مشترکین هزینه دریافت می‌کنند، استفاده از آن رایگان است.

 

6– این مورد را نیز البته ایشان هم با این انتقاد در خصوص عجیب بودن عملکرد بانک مرکزی موافقت دارند و پاسخی به این ابهام نداده‌اند که حقیقتاً اگر بانک مرکزی اعتقادش بر عدم امنیت این بستر است چگونه است که تنها بر ممنوعیت شارژهای خطوط اعتباری که مسبوق به سابقه‌های خاصی است اصرار کرده و در سایر حوزه‌ها هیچ‌گونه محدودیتی را اعمال نکرده است؛ اما برای نگاه دقیقتر به این موضوع، شاید بد نباشد که نگاهی به گذشته داشته باشیم و برخی زخم‌های –به زعم بنده- چرکین این حوزه را نگاهی مجدد بیفکنیم.

این همان موضوعی است که خاطرم هست یک مرتبه در مصاحبه با راه پرداخت عرض کرده بودم که مرتبط است با تداخل فعالیت‌های بازیگران این حوزه و عدم قرارگیری هر بخش در جای خود و فعالیت‌های غیرتخصصی و متداخل بخش‌ها. در واقع یک سؤال اساسی که به طور کلی مغفول است و کمتر رسانه‌ای در درگیری قدیمی شرکتهای پرداخت با اپراتور در خصوص شارژ، به آن پرداخته همین موضوع است که اساساً مگر کار شرکتهای PSP یا ارائه‌دهندگان خدمات پرداخت که با مجوزهای دریافتی از بانک مرکزی به شکل انحصاری جهت ارائهٔ بسترهای پرداخت ذیصلاح محسوب می‌شوند، فروش شارژ خطوط اعتباری است؟! و اینکه آیا بهتر نیست این شرکتها، به فعالیت‌های تخصصی خود و افزایش کیفیت خدماتشان که خود نیز بعضاً به ضعف مفرط در آن معترف هستند و گزارش‌های متعددی در خصوص آن وجود دارد بپردازند و فضای فروشندگی خدمات را به سایر شرکتهای فعال در این حوزه واگذارند؟

البته که در فضای غیررقابتی که بانک مرکزی با ایجاد دایرهٔ بسته در این حوزه ایجاد کرده که در آن کیفیت، برای کسب مجوز و یا از دست دادن آن، تعیین‌کننده نیست، نمی‌بایست انتظار بالایی از کیفیت خدمات داشت؛ اما گذشته از این مسائل، نکتهٔ مهمتر در اینجا، بدعت خطرناکی است که به وضوح شاهد آن هستیم و بیم آن می‌رود که نهاد رگولاتوری، با دخالت‌های بی‌وجه و خارج از حوزه وظایف خود، در اقتصاد کشور ایجاد نماید. همانطور که می‌دانیم فروش خدمتی نظیر شارژ به هیچ عنوان در حیطهٔ وظایف شرکتهای ارائه‌دهندهٔ خدمات پرداخت نیست که متاسفانه نظیر سایر سرویس‌های دیگری که این شرکتها در نرم افزارهای موبایلی که ارائه کرده‌اند، به فروش آنها اقدام می‌کنند؛ و از این جالبتر اینکه در درگیری که با ذینفعان صنف جدید دارند، نهاد قدرتمند رگولاتور نیز دخالت کرده و با امضای ریاست شاپرک نامه‌ای تهدیدآمیز برای اپراتور ارسال می‌کند! و با عباراتی گنگ که چنین برمی‌آید که در صورتی که در قیمت‌های خود تجدید نظر نکنند، اقدام به بستن مسیر تراکنش‌های آنان خواهد کرد؛ و بلافاصله و بعد از چند ماه نیز شاهد رخ دادن مسائلی هستیم که امروزه در بستن تراکنش‌های شارژ مشاهده می‌کنیم.

بدیهی است که به راحتی این مسئله قابل تعمیم است؛ چه بسا فردا مثلاً در فروش الکترونیکی بلیت‌های قطار نیز شاهد تکرار همین رفتار باشیم و رگولاتور تهدید نماید در صورتی که مثلاً شرکت رجاء قیمت‌های فروش خود را به شرکتهای پرداخت کاهش ندهد مردم باید فقط حضوری به ایستگاه‌های راه‌آهن مراجعه کرده و با پول نقد نسبت به خریداری بلیت اقدام نمایند! و همینطور در امور دیگر؛ بنابراین روشن است که این بدعت بسیار خطرناک و نابجاست و اساساً یک مقام قانون‌گذار، نمی‌تواند و نمی‌بایست در یک جایگاه صنفی قرار بگیرد و قدرت خود را در حمایت از کسب‌وکار این و آن اعمال کند؛ اما با تأسف، زمانی که نامه ریاست شاپرک، در حمایت از شرکتهای پرداخت در موضوع فروش شارژ رسانه‌ای شد، رسانه‌ها واکنش درخوری به این رفتار نگران‌کننده نشان ندادند در حالی که به عقیدهٔ بنده، بیش از سایرین، آن‌ها در این عرصه وظیفه و مسئولیت داشتند.

 

7-در خصوص این فرمایشات نیز چندان موافق نیستم؛ بدون شک بسیاری از افرادی که از خطوط اعتباری استفاده می‌کنند از اقشار کمتر برخوردار هستند که از بستر رایگان USSD که آموزش آن هم برایشان سخت نبوده بهره می‌برند؛ این لزوماً به معنای عدم پوشش شبکه‌های مخابراتی نیست؛ جالب اینکه در بسیاری از کشورهای دیگری که از این بستر استفاده می‌کنند نیز ارزانتر بودن این سامانه، نسبت به بسترهای اینترنتی دلیل اصلی رویکرد به آن بوده است؛ تا جایی که مردم حاضرند هزینه‌های مربوط به ارسال تراکنش را نیز پرداخت کنند اما به سوی استفاده از ترکیب بستر اینترنت و گوشی هوشمند نروند. البته هزینه اینترنت همراه در کشور ما در مقایسه با دنیا، بسیار پایین است که در راستای سیاستهای حمایتی دولت از این حوزه صورت گرفته و میزان پایداری آن در دولت‌های بعدی نیز مشخص نیست، اما جالب است که فعالین شرکتهای استارتاپی خود به خوبی می‌دانند که وقتی از تهران خارج می‌شوند و حتی به سایر کلان‌شهرها نیز پا می‌گذارند در خصوص بهره‌گیری عموم مردم از گوشی‌های هوشمند مبتنی بر بستر اینترنت به مشکل برمی‌خورند؛ عدم توفیق بالای تاکسی‌یاب‌های آنلاین در سایر شهر نیز مرهون همین مسئله است که قابل اغماض نیست.

 

8-در این خصوص نیز البته بنده صحبتهای فرد مورد اشارهٔ ایشان را ندیده‌ام، اما بی شک اگر کسی ادعا کند به دلیل عدم راه‌اندازی NFC کدهای دستوری باید ادامه پیدا کند سخنی صحیح نرانده است. همانطور که شرح آن گذشت، حتی پس از به‌کارگیری این تکنولوژی، نیاز برخی از اقشار جامعه به این کدها کماکان پابرجاست. البته در خصوص راه‌اندازی بستر NFC خوشبختانه اپراتورها اقداماتی انجام داده‌اند و آنطور که بنده مطلعم، تصور می‌کنم در آیندهٔ نزدیک نویدهای خوبی در این خصوص وجود داشته باشد.

 

9-در خصوص مشکلاتی که بانک مرکزی برای استارتاپها، خصوصاً در حوزه فین تک ایجاد کرده که ما خود به نوعی درد کشیده‌ایم، و به خوبی می‌دانیم که در یک دههٔ اخیر چه خون دل‌هایی اصحاب این صنعت و اقتصاد کشور از عدم همراهی این نهاد پولی با فناوری‌های نوین متحمل شده است؛ و راه پرداخت نیز خود از منتقدین جدی این شرایط بوده است؛ البته خوشبختانه به مدد اعتراضات فعالین و تلاش رسانه‌ها، اخیراً بانک مرکزی حرکت‌های خوبی را آغاز کرده که البته برخی با اما و اگرهایی روبروست؛ اما با این حال این حرکت‌ها نمی‌تواند بخش نامطلوب سابقه عملکرد آن، و اثرات عمیقی که در گذشته بر اجتماع و سبک زندگی مردم گذارده است را به سادگی تطهیر کند در حقیقت، این بانک در این موضوع چندان خوش سابقه نیست.

 

10-با ایشان موافقم و بی شک، قصور و تقصیر هیچ نهادی، رافع مسئولیت مشکلاتی که سایر نهادها و سازمان‌ها احیاناً ایجاد کرده‌اند نیست.

 

11-اما برسیم به موضوع پر اهمیت امنیت؛ که شاه بیت مطالبی است که علیه کدهای دستوری مطرح می‌شود. البته پیش از آن عرض شود که هنوز هم بسیاری از گوشی‌های مقاوم قدیمی نظیر نوکیا 1100 پرتقاضا هستند و این خنده‌دار نیست که مشاهده کنیم امثال این گوشی‌ها در سبد مصرف‌کنندگان قرار دارند. اما به هر ترتیب، در خصوص موضوع امنیت در یادآوری و تکمیلی عرائضی که اخیراً در مصاحبه‌ای با ایسنا مطرح کردم، نخست لازم به توجه به این نکته است که همانطور که می‌دانیم، اساساً امنیت موضوعی نسبی و نه مطلق است؛ و در هر روش، ابتدا ریسک‌ها بررسی شده و تلاش می‌شود به بهترین نحو مدیریت شوند. بله البته ممکن است شیوه‌ای، حداقل‌های امنیتی را نیز دارا نباشد یا آسیب‌پذیری‌های امنیتی آن تحت هیچ عنوان قابل مدیریت تلقی نشود که بی شک در صورت وجود راهکار جایگزین، به صورت کامل کنار گذاشته می‌شود؛ اما سؤال اساسی این است که آیا حقیقتاً USSD نیز از همین سنخ است؟ و موضوع بعد نیز اینکه آیا این بستر، در حال حاضر ناامن‌ترین اتفاقی است که در صنعت بانکداری الکترونیک و پرداخت ما در حال وقوع است؟

همانطور که در گفتگوی اخیر عرض کرده بودم، این تصور صحیحی نیست که گمان شود این بستر، کاملاً بی‌دفاع است و هک کردن آن به سهولت میسر است بلکه واقعیت این است که مکانیزمهای امنیتی مختلفی را داراست؛ اما جان کلام این است که اولاً در حالی که نظیر پرداخت مبتنی بر بستر اینترنت، آسیب‌پذیری‌هایی را می‌توان برای آن در نظر گرفت این موارد قابل مدیریت هستند؛ و ثانیاً این بستر بعضاً مزایایی را دارست که بسترهای دیگر از آن محروم هستند که توجه ویژه‌ای را طلب می‌کند.

در متن منتشر شده در یادداشت جناب قربانی در نفی امنیت این بستر به دو شاهد استناد شده که به نظر می‌رسد چندان دقیق بیان نشده‌اند؛ یکی لینک ویدئویی در یوتیوب که عنوان شده با صد میلیون تومان پول آموزش می‌دهد چطور می‌توان اطلاعات بانکی را در USSD سرقت کرد که در این زمینه باید عرض کرد برخلاف این ادعا، این ویدئو آموزش یک حمله ساده از نوع جعل درخواست (CSRF) است که بدون هر گونه سرمایه‌گذاری اولیه قابل انجام بوده و به هیچ وجه توان سرقت اطلاعات را دارا نیست و با حدس زدن رمز کارت بانکی، که به گفتهٔ جوان هندی گوینده، رمز بیش از 90 درصد مردم اعداد 1234 یا امثال آن است، در شیوه‌ای که در برخی گوشهای تلفن قدیمی قابل اجراست تلاش می‌کند تا درخواستی را جعل نماید که نمونه‌ای ساده و مبتدی است که منحصر به بستر USSD نیز نیست و در بستر اینترنت نیز کاملاً و بلکه بسیار بیشتر مطرح است و راه‌حل‌های پیش‌پاافتادهٔ زیادی در راستای سطوح مختلف مدیریت ریسک را داراست که در نمونهٔ بیان شده در فیلم، با یک اجبار سادهٔ سرویس دهنده در خصوص عدم استفاده از رمزهای ساده، قابل مدیریت است.

البته جالب است که بنده نیز در گفتگوی اخیرم با صراحت به این حمله اشاره و راهکار اساسی برای پیشگیری از حرفه‌ای‌ترین حملات از این دست را بیان کرده بودم. اما مورد بعدی که در ضعف این بستر توسط دوست بزرگوارمان بیان شده است، حمله به پروتکل SS7 است که البته حمله‌ای قابل توجه و مهم تلقی می‌شود؛ این پروتکل که در سال 1975 توسعه یافته بود، یک پروتکل سیگنالینگ محسوب می‌شود و در حمله‌ای که به مدد تغییرات تکنولوژیک به شبکه‌های مخابراتی بر مبنای این پروتکل صورت می‌گیرد و انجام آن نیازمند تهیه برخی تجهیزات مخابراتی است می‌تواند خطراتی را در شنود و دست‌کاری برخی داده‌ها ایجاد نماید.

نکتهٔ اولی که در این خصوص وجود دارد این است که دامنهٔ اثرگزاری این حمله، صرفاً کدهای دستوری و شنود و دست‌کاری آن‌ها نیست، بلکه کل شبکه را تحت تأثیر قرار می‌دهد و در صورت موفقیت، نفوذگر می‌تواند موقعیت دقیق جغرافیایی قربانی را به دست بیاورد، تماس‌های او را شنود کند و …! بدین ترتیب، این آسیب‌پذیری در صورت وجود، نه یک تهدید در حوزهٔ پرداخت الکترونیک، بلکه یک تهدید امنیت ملی است! که البته به خودی خود هست؛ و صرفاً منحصر به کشور ما نیز نیست.

البته این موضوع به شکل جدی در انجمن جهانی مخابرات سیار طرح شده و برای آن نیز توصیه‌نامه‌هایی از سوی این نهاد برای اپراتورها در سراسر جهان صادر شده است و راهکارهای مختلفی برای مقابله با آن، بدون تغییرات اساسی در شبکه وجود دارد، که نظیر به‌کارگیری سامانه‌های قوی مدیریت تقلب و یا استفاده از دیواره‌های آتش است؛ اما حتی احتمال چنین تهدیدی نیز با رمزنگاری ابتدا به انتها (End To End) که ما در آن مصاحبه نیز عرض کرده بودیم و اتفاقاً مورد توافق بانک مرکزی و رگولاتوری مخابراتی نیز واقع شده از میان می‌رود و این خود نویددهندهٔ امکان افزایش چشمگیر سطح و تنوع خدمات بر روی این بستر است؛ اما حتی اگر این اتفاق نمی‌افتاد و یا نیفتد نیز به معنای این نیست که بستر و شرایط فعلی بسیار وحشتناک و غیرقابل قبول است.

شبهه را قوی بگیریم و تصور کنیم که کلیهٔ اطلاعات ارسالی در بستر فعلی به سادگی شنود می‌شود؛ بسیار خوب سؤال این است که از شنود این بستر در حال حاضر چه چیزی نصیب هکر می‌شود؟ وقتی در سامانهٔ پیوند، شماره کارت کاربر تبادل نمی‌شود و صرفاً یک توکن به همراه رمز دوم ارسال می‌شود طبیعی است که این کار امکان خاصی برای یک فرد خرابکار ایجاد نمی‌کند. همینطور در صورتی که این اطلاعات دست‌کاری شوند نیز، از سویی برای این تراکنش‌ها سقف‌های محدودی قرار داده شده و از سوی دیگر نیز پذیرندگان آن بسیار محدود هستند و نهایتاً هکر می‌تواند چندهزار تومان بیشتر پول به حساب اپراتور بریزد و سیم کارت اعتباری فرد را بیشتر شارژ نماید!

حال حتماً حق می‌دهید که در حالی که همه این تدابیر سخت‌گیرانه توسط بانک مرکزی اعمال شده است ناباورانه این پرسش را مطرح کنیم که چرا باید چنین سامانه‌ای با این حجم از ابعاد اجتماعی آن و رضایت مشتریانش تعطیل شود؛ در حالی که موارد بسیار پر اهمیتی در حوزهٔ پرداخت وجود دارد که تهدیدهای بسیار عینی و واضحی را ایجاد کرده و همه روزه قربانی‌های بسیاری می‌گیرد اما همچنان به طور کامل مسکوت مانده است. بله اینجا دقیقاً همان‌جاست که ذهن برخی از فعالین و مطلعین، به این سو می‌برد که موضوع همان بحث‌های تجاری است که چه بسا مرتبط با منفعت فراوانی است که در تصور اولیه، از انتقال بخشی از سهم این بستر، به بستر فروش شارژ اینترنتی که شرکتهای پرداخت در آن سهم بالایی دارند ریخته می‌شود؛ یا اینکه ادامهٔ همان خط و نشان کشیدن رگولاتوری پرداخت است برای نقره داغ کردن اصناف. بی شک البته این‌ها سؤالات مهمی است که نباید بی پاسخ از کنار آنها عبور کرد اما همانطور که عرض کردم، معتقدم همهٔ اینها نباید موجب شود تا امثال بنده، هرکسی که در دفاع از این اقدام بانک مرکزی سخن می‌گوید را تطمیع شده و یا تهدید شده توسط عوامل آن نهاد بنامیم و بدون استثناء هر گوینده‌ای را تکفیر بکفر مزدوری کنیم.

 

12-بسیار از مثالی که ایشان در این بند از فرمایشات خود ارائه می‌کنند متشکریم؛ بنابراین می‌توان گفت دست کم ایشان نیز اعتقاد داشته‌اند که USSD به خودی خود و در هر حال ناامن نیست، بلکه شیوهٔ استفاده فعلی آن نامناسب است و اگر به مدلی شبیه آنچه پرداخت الکترونیک سامان در جزیره زیبای کیش، از آن بهره برده بود تغییر یابد هم راهکار موجهی است و هم بانک مرکزی نیز به خوبی بدان آگاه است و پیش از این تأیید کرده که راهکار امنی است؛

بنابراین ناخودآگاه به همان سوالی باز می‌گردیم که در آن گفتگو نیز پرسیده بودیم و آن اینکه اگر USSD مشکلاتی دارد و قابل اصلاح است چرا بانک مرکزی نوک پیکان خود را نه در راستای اصلاح آن، بلکه به منظور حذف آن نشانه رفته بود؛ و اگر پادرمیانی وزیر نبود، چه بسا امروز که ما سخن می‌گوییم این بستر به طور کامل از دسترس مردم خارج شده بود و به تاریخ این صنعت پیوسته بود! براستی آیا تأمین منافع و مصالح مردم با این روش‌های حذفی غیرقابل درک سنخیت دارد؟! دریغ که از این همه نقدی که علیه این کدهای دستوری در این روزها مشاهده کردیم که از زبان فعالین و کارشناسان نیز بیان می‌شد همگی یا به شکل عجیبی مطالبی کاملاً مخدوش و عاری از صحت بود یا به نوعی در توجیه کلی این رفتار عمیقاً عجیب بانک مرکزی صورت می‌گرفت، و ادبیات فنی و تخصصی مشابه آنچه در این مقالهٔ جناب قربانی مشاهده شد که شرح آن گذشت، کمتر مشاهده می‌شد.

 

سخن آخر

بنده همانطور که در متن اشاره کردم، معتقد نیستم که حذف کدهای دستوری به زیان اپراتورهاست و این را یک تصور باطل می‌دانم؛ حقیقت این است که دارندگان خطوط اعتباری در هر حال نیازمند خرید شارژ برای سیم کارت خود هستند؛ حال اگر سیستم پرداخت الکترونیک بخواهد با مداخله‌ای که به هیچ عنوان در دایرهٔ وظایف و وجاهت قانونی آن نباشد از ارائهٔ خدمات پرداخت خودداری کند، اپراتورها طبیعتاً گزینه‌های مختلفی دارند؛ آن‌ها ممکن است به طور ساده، فروش بر روی بستر اینترنت را، نظیر تمامی سازمان‌ها و ارگانهایی که فروش الکترونیکی خدمات خود را محدود کرده‌اند، محدود ساخته و دقیقاً همین مدل درآمدی را نیز برای متقاضایان فروش بر روی بستر اینترنت ارائه کنند که طبیعتاً برای آنها کار دشواری نیست؛ تا باز مجدداً به همان مشکل جاری در مدل قراردادی با شرکتهای پرداخت برسند و عملاً تفاوتی خاصی برایشان ایجاد نخواهد شد؛ و اما در نهایت تنها بازندگان و محرومین این ماجرا، عموم مردمی هستند که حالا یا باید به پوزها و خودپردازها یا سوپرمارکت‌ها برای خرید شارژ مراجعه کنند یا ملزم به پرداخت هزینه‌های تهیهٔ بستر اینترنت و تلفن‌های هوشمند باشند که برای برخی از مردم کشور حقیقتاً سنگین است.

مجدداً از سعهٔ صدری که عزیزان راه پرداخت در انتشار این یاداشت به خرج دادند سپاسگزاری می‌کنم که بی شک نشان‌دهندهٔ رفتار حرفه‌ای این عزیزان و همچنین اثباتی مجدد بر حسن نیت ایشان است.

1 دیدگاه
  1. مهدی عبادی می‌گوید

    مطلب مفصل و به نسبت دقیقی بود که سعی بر آن داشت تا تمام وجوه اتفاق را پوشش دهد. فقط یک نکته در خصوص امنیت. وقتی در خصوص امنیت صحبت می‌کنیم، بایستی با اشاره به فریم‌ورکهای موجود صحبت کنیم. فریم‌ورک موجود در حوزه پرداخت، . PCI-DSS است و اگر قرار باشد به شبکه‌های پرداخت بین‌المللی متصل شویم، انطباق با این فریم‌ورک و استاندارد الزامی و غیر قابل گفتگو است. در این استاندارد دقیق اشاره شده که که دیتای با اهمیت باید در دو لایه شبکه و نرم‌افزار رمزنگاری شوند. فرض را بر این بگیریم که در سامانه پیوند این دیتا از نظر نرم‌افزاری رمزنگاری شده (توکنایز). در این حالت، خود آن توکن تبدیل به دیتای با اهمیت می‌گردد و باید در لایه شبکه و در بستر انتقال رمزنگاری گردد. مگر اینکه نخواهیم منطبق باشیم با استانداردهای امنیتی، که آن بحث دیگری است. البته در خصوص امنیت این مطلب خود قابل نقد است بر اساس فریم‌ورکها، که اگر فرصتی ایجاد شد، در مورد آن خواهم نوشت. در نقد سامانه پیوند که خود یکی از اشتباهات بزرگ بانک مرکزی است مطلبی نوشته‌ام، که لینک آن را در زیر ارائه می‌‌کنم.

    https://goo.gl/nPSrNw

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.