کوپن آخری که خرج شد

نویسنده: رسول قربانی در تاریخ 31 فروردین سال 1391 ساعت 12:41 1

یکشنبه ۲۷ فروردین خبری روی سایت‌ها و خبرگزاری‌ها قرار گرفت با این مضمون که اطلاعات سه میلیون کارت بانکی افشا شده است.

این خبر موجی از نگرانی‌ ایجاد کرد که باعث شد خیلی زود آن را به صدر خبرهای رادیو و تلویزیون و روزنامه‌ها و بالاتر از موضوعات جنجالی‌ای مثل نشست اعضای۱+۵ و بی‌سابقه‌ترین تگرگ تهران در نیم قرن گذشته برساند.

هر لحظه اطلاعات بیشتری به این ماجرا اضافه می‌شد و باعث می‌شد نگرانی‌ها تشدید شود.

اینکه این اطلاعات را یکی را مدیران یکی از شرکت‌های پرداخت الکترونیک که زیر نظر بانک مرکزی است، منتشر کرده است، گفتگوی ویژه خسرو زارع‌فرید با بی‌بی‌سی فارسی و پراکندن این شایعه که عوض کردن رمز کارت‌ها مشکلی را حل نمی‌کند تا ذهن مردم را درگیر کند، اطلاعیه‌های بانک مرکزی که تا دو روز مرتب در همه اخبار تکرار می‌شد، اطلاعیه‌هایی که بانک‌ها روی سایت‌هایشان گذاشته بودند و پیامک‌هایی مبتنی بر عوض کردن رمز به مشترکانشان ارسال کردند، متوقف شدن عملیات بانکی از کار‌ت‌هایی که اطلاعاتشان افشا شده بود تا زمانی که رمز کارت عوض شود، همه و همه باعث شد تا خیلی زود صف‌های طولانی برای عوض کردن رمز کارت جلوی عابربانک‌ها تشکیل شود و این جمع‌ها زمزمه نگرانی از ناامنی از سیستم بانکی الکترونیک را راه انداخت…

ماجرا از این قرار است

انیاک شرکتی است که تجهیزات مورد نیاز برای ارائه خدمات پرداخت الکترونیک مانند خودپرداز و پایانه‌های فروش را برای بانک‌ها فراهم می‌کند و با آنها قرارداد می‌بندد تا نقش پرداخت الکترونیک را برای آنها ایفا کند. خسرو زارع‌فرید مدیر سابق یکی از بخش‌های شرکت انیاک است که به بخش قابل توجه و مهمی از اطلاعات بانکی مشتریان دسترسی داشته، در مذاکرات خودش با مدیران شرکت برای احقاق حقوقش موفق نمی‌شود و از آنجا که در اوضاع کاری‌اش به شرایط نامطلوبی می‌رسد تصمیم می‌گیرد شرایط باثبات شرکت را نیز در این موضوع درگیر کند و برای محقق شدن این منظور اطلاعاتی را که قبلا از شرکت کپی کرده بود در وبلاگش منتشر می‌کند تا توجه همه را به خود و شرکتی که در آن کار می‌کرده جلب کند و موجی از نگرانی راه بیفتد.

هک کردن

گاهی وقت‌ها مفاهیم بعضی از اصطلاحات را با هم قاطی می‌کنیم. هک کردن یک توانایی است.اینکه کسی با توجه به دانش و مهارت‌هایی که در حوزه برنامه‌نویسی و نرم‌افزار دارد بتواند وارد اطلاعاتیشود که به آن دسترسی ندارد. اما اتفاقی که افتاده از این دست نیست. زارع‌فرید کسی نیست که به زور و با صرف ساعت‌ها و یا به خاطر داشتن مهارت قابل توجه در نفوذ به اطلاعات این اطلاعات را به دست آورده باشد، بلکه او به این اطلاعات دسترسی داشته و خودش آنها را تهیه و پیاده‌سازی می‌کرده است و برای به دست آوردن این اطلاعات ساده‌ترین کار را انجام داده؛ آنها را برداشته است.

با این تفاسیر به نظر می‌رسد استفاده از واژه هکر و هک کردن در این مورد درست نیست.

چراکه این کلمه مضمون نفوذپذیری، رخنه کردن از بیرون و ناامن بودن را در بر دارد، در صورتی که سامانه بانکداری الکترونیک ما هنوز با این مشکل مواجه نشده است.

خیانت در امانت

همه ما جایی که کار یا زندگی می‌کنیم به مواردی دسترسی داریم که به واسطه عضویت در آن مجموعه به ما داده شده است و دیگران از آن بی‌بهره‌اند. در یک مثال ساده اگر این دسترسی را در مورد کلید خانه‌تان در نظر بگیرید، متوجه می‌شوید که افراد زیادی هستند که به آن دسترسی ندارند و شاید بیشتر ما این امکان را داریم که از این دسترسی‌مان -که به واسطه اعتماد افراد آن مجموعه به ما داده شده – سوء استفاده کنیم. مثلا می‌توانیم کلید خانه‌مان را به کسی بدهیم تا بیاید دزدی کند، آن وقت خودمان یا دیگران بگوییم این خانه امن نیست!

شاید چنین قضاوتی بسیار ساده‌انگارانه به نظر برسد،در صورتی که اتفاقی که در بانکداری الکترونیک ما اتفاق افتاده از همین جنس است و بیشتر از آنکه جنبه فنی داشته داشته باشد، جنبه انسانی دارد.

زارع‌فرید به عنوان مدیر بخشی از یک شرکت پرداخت به راحتی و با اعتمادی که مجموعه به او داشته به این اطلاعات دسترسی داشته و با برداشتن این اطلاعات خیانت در امانت و با افشا کردن آن عملی غیر اخلاقی مرتکب شده است.

البته این اتفاق به این دلیل افتاده که زارع‌فرید مدعی است حقو حقوقش را نگرفته و مسئولان هم نسبت به هشدارهای او بی‌توجه بوده‌اند و از هیچ راه دیگری نتوانسته آنها به راه بیاورد و مجبور شده اطلاعات را منتشر کند.

هر چند این اتفاق در کشمکش و جنگ قدرت و گرفتن حق و حقوق اتفاق افتاده ولی از طرفی منتشر کردن اطلاعات شخصی دیگران و به راه‌انداختن چنین فضای ملتهبی مسئله‌ای نیست که به سادگی بتوان از آن گذشت.

بانک مرکزی مقصر است

بانک مرکزی برای شرکت‌هایی که در این زمینه فعالیت می‌کنند استانداردی را اجباری نکرده و شرکت‌ها را به این منوط نکرده که امکانات، تجهیزات و قابلیت‌های حداقلی در زمینه رمزنگاری داشته باشند تا بتوانند در این حوزه فعالیت کنند.

حتی اگر بانک مرکزی در این زمینه نمی‌توانست وارد شود می‌توانست این مسئولیت را به شرکتی از طرف خودش از طرف خودش واگذار کند.

بانک مرکزی به عنوان تنها نهاد نظارت‌کننده بر فعالیت‌ها و امور بانکی با موضع حاکمیتی نسبت به اتفاقات و عملکردهایی که در این شرکت و بانکداری الکترونیک رخ داده اهمال کرده است.

اینکه این شرکت تجهیزات مورد نیاز را به هر دلیلی در اختیار نداشته در اولین رتبه مقام نظارت‌کننده را زیر سئوال می‌برد که بی‌توجه از کنار آن گذشته و اجازه داده با چنین امکاناتی به فعالیت خود ادامه دهند.

دیگر اینکه این بانک مرکزی بوده که بدون اینکه از امنیت و ساز و کارهای این شرکت اطمینان کامل حاصل کند با تمام کاستی‌ها و ضعف‌های این شرکت را به عنوان پیمانکار برای تعدادی از بانک‌ها پذیرفته است و با این امکان بوده که این شرکت توانسته به شبکه شتاب متصل شود. اگر این شرکت به شتاب متصل نبود امکان افشا شدن اطلاعات دیگر بانک‌هایی که با این شرکت کار نمی‌کردند، وجود نداشت.

پس در این مورد مقام ناظر در انجام وظایف نظارتی خود کوتاهی کرده و همان وقت ا مکان به وجود آمدن چنین اتفاقاتی را فراهم کرده است.

ما ایرانی‌ها عادت داریم وقتی می‌خواهیم کاری را انجام دهیم صفر تا صد آن را بدانیم و خودمان انجام دهیم واگر قراراست کاری خوب انجام شود پس من باید آن را انجام دهم.

بانک مرکزی به خوبی راه و رسم ایرانی‌ها را برای دست پیش گرفتن پیش گرفته و از طرفی برای ورود به حوزه اجرایی در پرداخت که جز حدود کاری‌اش نیست ادعا می‌کند اگر این حوزه را در دست داشت نظم بیشتری به آن داده می‌شد.

در هر حال موضع گیری بانک مرکزی در این ماجرا آن چیزی نیست که باید باشد.

انیاک هم مقصر است

هر چند نمی‌شود از این خیانت در امانت چشم‌پوشی کرد ولی انیاک هم در این زمینه بی‌تقصیر نیست. البته دارا بودن حداقل تجهیزات را باید بانک مرکزی به شرکت‌ها اجبار می‌کرده مثل داشتن یک سری امکانات امنیتی که این شرکت این حداقل‌ها را هم نداشته است.

نصب سخت‌افزار HSM از اولین مواردی است که در یک شرکت پرداخت باید در نظر گرفته شود. نصب این سخت‌افزار دسترسی افراد شرکت به اطلاعات را محدود می‌کند ولی اینطور نیست که احتمال درز اطلاعات به بیرون به صفر برساند چراکه بالاخره افرادی باید نرم‌افزار و برنامه‌های این اطلاعات را تولید، نظارت و مدیریت کنند.

پس خرید این سخت‌افزار به معنی اینکه دیگر دست کسی به این اطلاعات نخواهد رسید و دیگر اتفاقاتی از این دست رخ نمی‌دهد، نیست.

جای دیگری که شاید انیاک اشتباه کرده است آن جاست که شخصی را که امین نبوده جایی قرار داده که نباید آنجا قرار می‌گرفته است.

اگر شما کلید گاوصندوقتان را به کسی که ممکن است اشتباهی از او سر بزند و نسبت به او اعتماد و اطمینان و شناخت کامل ندارید بسپارید و روزی ببینید گاوصندوقتان خالی است، آن وقت مقصر چه کسی است؟

از طرف دیگر شرکت انیاک نباید هم مسئولیت تولید نرم‌افزار و هم پیاده‌سازی آن را با این حساسیت به عهده می‌داشت و از آن بدتر اینکه کسی که رمزها به کد تبدیل می‌کند و در قسمت تولید نرم‌افزار است نباید اجراکننده همان برنامه هم باشد. کسی که نرم‌افزاری را تهیه می‌کند یا برنامه‌ای را می‌نویسد بیشتر از هر کسی نقاط ضعف و ناامنش را می‌شناسد و وقتی خود او آن را پیاده و اجرا کند هم امکان دسترسی به همه قسمت‌ها را پیدا خواهد کرد و هم کسی است که می‌داند از کجا و چگونه می‌تواند نفوذ کند و اطلاعات را به دست آورد و آن وقت بیاید بگوید امن نیست.

باج ممنوع

زارع‌فرید مدعی است که هرچه به این در و آن در زده موفق نشده توجه مسئولان و مقامات بانکی را به این موضوع که سیستم امنیتی اشکالاتی دارد جلب کند. اما اشکال درست همین جاست که چون ایشان این برنامه و نرم‌افزار را طراحی کرده بودند و به آن دسترسی داشتند توانستند آنها را به نحوی ذخیره و سرانجام منتشر کنند. در واقع اگر این سیستم و نرم‌افزار اشکال داشته اولین نگاه‌ها سمت کسی است که آن را نوشته، طراحی و اجرا کرده است.

اگر ایشان مدافع امنیت سیستم بانکی بودند بهتر بود خودشان برنامه‌ای بنویسند که مشکلات امینی کمتری داشته باشد تا دیگر کار به هشدار دادن به مسئولان و جواب نگرفتن نرسد.

بعضی‌ها هم معتقدند بانک‌ها در این مورد مقصرند و به نسبت به حقوق مشترکانشان بی‌توجهند و زمانی که زارع‌فرید هشدار داد که اطلاعات مشتریان‌شان را منتشر می‌کند باید کاری می‌کردند و شاید پولی می‌دادند و به هر صورت اجازه نمی‌دادند چنین اتفاقی بیفتد.

اگر کسی آدم‌ربایی کند و بچه‌ای را بدزدد و برای آن پول بخواهد، در چنین مواقعی انتظار داریم پلیس وارد عمل شود و جلوی او را بگیرد چراکه اگر قرار باشد هر کسی به آدم‌رباها پول کلانی بدهد فردا همه قالپاق‌دزدهای شهر چاقویی می‌گیرند دستشان و آدم می‌دزدند و باید روشی اتخاذ شود که چنین جریان‌هایی باب نشود، ولی برای باج دادن در مورد اطلاعات چنین نظری نداریم و فکر نمی‌کنیم فردا هر کسی برای هر اطلاعاتی باج می‌خواهد.

اطلاعات بی‌مصرف

این موج نگرانی شاید بیشتر به این خاطر بود که خیلی‌ها گفتند با استفاده از این اطلاعات می‌شود از حساب شخص برداشت کرد یا به نحوی از آن سوءاستفاده کرد. در صورتی که رمز حساب‌هایی که منتشر شده به صورت کد است و کسی نمی‌تواند آن را رمزگشایی کند، مگر اینکه به توانایی‌های قابل توجه و دانش قابل اعتنایی در حوزه برنامه‌نویسی مسلط باشد تا بتواند کد رمزها را باز کرده و از آن استفاده کند که چنین احتمالی نه غیر ممکن ولی بعید به نظر می‌رسد.

آن هم در شرایطی مثل کشور ما که نه تنها کارت‌مان را به فروشنده می‌دهیم بلکه وقتی از ما می‌خواهد رمز خود را بگوییم آن را بلند می‌گوییم تا اشتباه نزند. برای دزدی کردن در چنین فرهنگی خیلی هم لازم نیست هکر قابلی باشی. همین که یک مغازه داشته باشی تا مردم موقع خرید رمز کارتشان را بگویند. به راحتی می‌‌توان دزدی کرد. خیلی بی‌زحمت!

بی‌خیال باش

ما قبل از این خیلی برای امنیت اطلاعات بانکی‌مان ارزش قایل نبودیم. به راحتی رمز کارت‌مان را به همه می‌گفتیم، برای عوض کردن رمز کارت‌مان وقت نداشتیم و بسیاری از این بی‌توجهی‌ها به امنیت بانکی‌مان برایمان عادی بود.

اگر کسی می‌خواست کارتش را خودش در دستگاه کارت‌خوان بکشد یا رمزش را خودش وارد کند به نظر ما یک وسواسی یا غیر معمولی بود.

حالا همین مایی که نسبت به چنین رفتارهایی کاملا بی‌توجه بودیم مثل کسانی که امنیت را جز اصلی‌ترین کارها و رمزشان را جز مخفی‌ترین اطلاعات می‌دانند عمل می‌کنیم و با سرعت خودمان را به خودپردازها می‌رسانیم تا رمزهایمان را عوض کنیم و حق به جانبیم که این چه فضای ناامنی است و… در حالیکه از این موضوع کمترین اطلاع را داریم و رمز کارتمان را همه می‌دانند مخصوصا بقال محله‌مان.

از آن جا زارع فرید چنذین ماه پیش ازکشور خارج شده و اطلاعات او برای حداقل چند ماه پیش است. پس کسانی که هرچند وقت یک‌بار رمز کارت خود را عوض می‌کنند و به امنیت بانکی‌شان اهمیت می‌دهند ازاین اتفاق مصون مانده‌اند و اگر اطلاعاتی از آنها منتشر شده مدت‌هاست که تغییر کرده است.