امنیت در پرداخت‌های USSD و تحلیل ابلاغیه شاپرک

نویسنده: آرش نكوئی‌مهر؛ کارشناس ارشد سيستم‌های تجارت الكترونیک / امروزه تلفن همراه تبدیل به جذاب‌ترین گجت الکترونیکی شده است، بسیاری از خدمات الکترونیکی به‌صورت روزمره بر بستر هوشمند این ابزار ارائه می‌گردد و به نحوی تک‌تک افراد جامعه را وابسته به خود نموده است، اما اولین تلفن همراه که توسط شرکت موتورولا در سال ۱۹۷۹ ساخته شده بود فقط امکان برقراری تماس صوتی را داشت و حتی قابلیت ارسال پیامک متنی ساده در آن وجود نداشت.

با افزوده شدن امکاناتی نظیر دوربین عکاسی، اتصال به اینترنت و مرور صفحات وب و ایجاد سیستم‌های عاملی با قابلیت تولید نرم‌افزارهای کاربردی بر روی تلفن‌های هوشمند، تلفن همراه جایگاهی تحت عنوان محبوب‌ترین گجت الکترونیکی در دنیا پیدا نمود.

در طی سال‌های ۲۰۰۱ تا ۲۰۰۷ صنعت مخابرات شاهد تولد و بلوغ سیستم‌عامل‌های گوناگونی برای تلفن‌های هوشمند بودند مانند  Palm OS، MS-Windows CE، ‌‌BlackBerry، Symbian و iOS که خصوصیات این گجت محبوب را بیش‌ازپیش به یک رایانه شبیه می‌نمود. این تغییرات به‌عنوان انقلابی در صنعت مخابرات و ارائه خدمات الکترونیک محسوب می‌شد و سبب گردید که تلفن همراه نفوذ خود را در زندگی روزمره افراد بیشتر نماید.

این انقلاب توجه صاحبان کسب‌وکار را نیز به خود جلب نمود، به‌طوری‌که تلفن همراه هوشمند تحت عنوان درگاهی جدید برای ارائه خدمات الکترونیک توسط این شرکت‌ها قرار گرفت. خدمات بانکداری الکترونیک و پرداخت الکترونیک نیز بخش عمده‌ای ازاین‌گونه خدمات را به خود اختصاص داده‌اند ولی در کشور ایران همچنان زیرساخت‌های انتقال داده بر بسترهای اپراتورهای تلفن همراه به بلوغ کامل جهت ارائه خدمات الکترونیکی نرسیده‌اند و لذا بسیاری از قابلیت‌های تلفن‌های هوشمند یا قابلیت استفاده ندارد و یا فقط در شهرهای بزرگ تحت پوشش شبکه 3G قابل‌ارائه هستند درنتیجه همچنان SMS و USSD جهت ارائه خدمات الکترونیک و بانکی موردتوجه و استفاده گسترده قرار می‌گیرند و نیاز است تا بررسی دقیق و اجمالی در این خصوص انجام گیرد.

.

برگی از تاریخ خدمات پرداخت بر بستر تلفن همراه

مهم‌ترین نیاز توسعه خدمات الکترونیکی بر روی تلفن همراه هوشمند، وجود بستر انتقال اطلاعات مناسب بود که در کشور ایران چنین بستری در زمان ورود این گجت الکترونیکی وجود نداشت و ارائه این‌گونه خدمات را سال‌ها به تعویق انداخت. این مشکل سبب گردید که پروتکل SMS در سال ۱۳۸۶ به‌عنوان بستر ارائه خدمات الکترونیک و ارزش‌افزوده در ایران مورداستفاده قرار گیرد.

در این دوران حوزه خدمات بانکداری و پرداخت الکترونیک شاهد تولد محصولات جدیدی بود، بانک‌ها و شرکت‌های PSP در این سال‌ها اقدام به ارائه خدمات خود بر روی تلفن‌های همراه با استفاده از SMS نمودند. خدماتی نظیر SMS بانک، پرداخت قبوض از طریق SMS و نرم‌افزارهای موبایل بانک مبتنی بر SMS روزبه‌روز بیشتر توسط بانک‌ها توسعه داده می‌شدند. ولی یک موضوع همیشه نقطه ابهام و توجه مشتریان بانک‌ها بود، آیا استفاده از این خدمات تهدیدات امنیتی دارد؟ آیا این خدمات قابل‌اعتماد هستند؟

در سال ۱۳۸۷ برای اولین بار و به‌صورت آزمایشگاهی، USSD  به‌عنوان بستر جدید ارائه خدمات بانکی به بوته آزمایش گذاشته شد و تیمی از کارشناسان حوزه بانکی و مخابرات برای اولین بار محصولی خلق نمودند که در سال ۱۳۸۹ به‌صورت تجاری درآمد و به‌وسیله یکی از شرکت‌های PSP شروع به ارائه خدمت نمود. مدل ارائه‌شده بسیار امن و مناسب‌تر برای ارائه خدمات پرداخت الکترونیک بود طوری که بسیار موردتوجه کاربران قرار گرفت. این روش ازنظر امنیتی کاملاً توسط بانک مرکزی موردقبول واقع شد و استاندارد امنیتی PCI-DSS را تا حد بسیار مطلوبی پوشش می‌داد.

حال پس از حدود ۵ سال که از تولد این محصول در صنعت بانکی کشور می‌گذرد، بسیاری از کارشناسان در خصوص ارائه خدمات توسط USSD مسائل امنیتی را موردبحث قرار داده‌اند و شاپرک نیز در اقدامی ضربتی، خدمات این حوزه را محدود یا ممنوع کرده است. در این مقاله سعی شده است تا با نگاهی موشکافانه و کارشناسی مسائل امنیتی در حوزه ارائه خدمات پرداخت بر بستر USSD را موردبررسی و بازبینی قرار دهیم تا به بسیاری از سؤالات و ابهامات پاسخ داده شود. (لیست کدهای USSD بانکی و پرداخت را از اینجا ببینید.)

.

اعتماد و امنیت در سیستم‌های تجارت الکترونیک و پرداخت‌های کارتی

در سیستم‌های الکترونیکی و خدمات الکترونیک، کلیه فعالیت‌ها و محتوی خدماتی توسط پروتکل‌ها و ابزارهای الکترونیکی تولید و منتقل می‌گردند. این اطلاعات شامل انواع فایل‌ها و داده‌های چندرسانه‌ای می‌باشند. در حوزه خدمات پرداخت و تجارت الکترونیک نیز اطلاعات مربوط به سفارش خرید و تراکنش مالی بر این بسترها منتقل می‌گردند. با توجه به وجود انواع تهدیدات امنیتی موجود در بسترهای انتقال اطلاعات، لازم است تا مکانیسم‌هایی برای به حداقل رساند تأثیرات و مخاطرات این تهدیدات پیاده‌سازی گردند تا بتوان امنیت این‌گونه خدمات را تضمین نمود.

مفهوم امنیت در تجارت الکترونیک در چند شاخه اصلی موردبحث قرار می‌گیرد که به‌عنوان خدمات امنیتی شناخته می‌گردند. در ادامه مطلب به بررسی بیشتر آن‌ها خواهیم پرداخت.

در سیستم‌های پرداخت الکترونیک مبتنی بر کارت‌های اعتباری و کارت‌های بدهی، کارت ابزار اصلی پرداخت است. به‌منظور امن‌سازی و تدوین استاندارهای یکپارچه در حوزه امنیت صنعت کارت مراجع و دستگاه‌های بین‌المللی وجود دارد. به‌طور خاص شورای بین‌المللی استانداردهای امنیتی پرداخت PCI (Payment Card Industry) به‌عنوان مرجع قانون‌گذار بین‌المللی در نظر گرفته می‌شود که در کلیه حوزه‌ها ابزار پرداخت، ابزار پذیرش کارت، نرم‌افزارهای پردازشگر تراکنش و محیط انتقال اطلاعات تراکنش استانداردهای گوناگونی را تدوین نموده است. استاندارد PCI-DSS (استاندارد امنیت داده‌های محیط انتقال و پردازش تراکنش)، استاندارد PA-DSS (استاندارد امنیت نرم‌افزارهای پرداخت) و استاندارد PCI-PTS (استانداردهای امنیتی مربوط به ماژول‌های سخت‌افزاری نقطه شروع تراکنش و ترمینال پذیرش کارت) به‌عنوان اصلی‌ترین استانداردهای مورداستفاده در سیستم‌های پرداخت الکترونیک هستند.

مهم‌ترین استانداردهایی که در خصوص سیستم‌های پرداخت توسط PSPها و شاپرک موردتوجه و پیاده‌سازی قرار می‌گیرد، استانداردهای PA-DSS و PCI-DSS است. استاندارد PCI-PTS مربوط به شرکت تولیدکننده دستگاه‌های پذیرش کارت‌های بانکی است. استاندارد PCI-DSS بیان می‌دارد که کلیه سازمان‌هایی که در تولید و انتقال و پردازش تراکنش با داده‌های کارت نقشی دارند می‌بایست الزامات امنیتی مشخصی را پیاده‌سازی نمایند.

با توجه به اینکه در شبکه‌های پرداخت موجود در ایران و سایر کشورهای دنیا از بسترهای مخابراتی مانند اینترنت، شبکه‌های دیتا شرکت مخابرات و اپراتورهای تلفن همراه برای انتقال تراکنش استفاده می‌گردد، نمی‌توان توقع داشت که ارگان‌های تأمین‌کننده این بسترها که غیر بانکی هستند، برای انتقال تراکنش‌های پرداخت، استاندارد PCI-DSS را پیاده‌سازی نمایند. چالش اصلی مورد در طراحی و پیاده‌سازی سیستم‌های پرداخت الکترونیک نیز همین است.

با استفاده از خدمات امنیتی می‌توان چالش ذکر شده را مدیریت نمود. خدمات امنیتی در سیستم‌های تجارت الکترونیک بر اساس زیرساخت کلید عمومی یا PKI (Public Key Infrastructure) پیاده‌سازی و ارائه می‌گردند. این خدمات شامل احراز هویت کاربر فرستنده اطلاعات (Authentication)، کنترل تمامیت و عدم امکان تغییر محتوی (Integrity)، محرمانگی اطلاعات (Confidentiality)، انکارناپذیر بودن محتوی و فرستنده توسط گیرنده (Non-Repudiation)، دسترسی‌های مجاز به داده‌ها (Access Control) بوده و برای تأمین امنیت در سیستم‌های تجارت الکترونیک موردنیاز هستند.

.

محرمانگی اطلاعات (Confidentiality)

بر اساس تعاریف موجود، در سیستم‌های تجارت الکترونیک، اطلاعاتی که درجه اهمیت بالا و حساس دارند باید فقط توسط افراد مجاز قابل‌دسترسی و خواندن باشد. این اطلاعات باید به نحوی از دسترس سایر افراد دور بوده و در تمامی مسیر انتقال محرمانه باقی بماند، مشابه نامه‌های محرمانه‌ای که در ادارات و سازمان‌ها منتقل می‌گردد.

برای این منظور از روش‌ها و پروتکل‌های رمزنگاری گوناگون استفاده می‌گردد. رمزنگاری دانشی است برای امن‌سازی محتوی توسط الگوها و الگوریتم ریاضی که بر اساس درجه اهمیت اطلاعات، متدولوژی‌ها و پروتکل‌های گوناگونی را در اختیار قرار می‌دهد. به کمک رمزنگاری، اصل متن پیام و محتوی اطلاعات به کمک کلید و الگوریتم ریاضی تبدیل به رمز می‌گردد و فقط توسط کسانی که الگوریتم و کلید رمزگشایی را در اختیار دارند قابل خواند خواهد بود.

رمزنگاری به‌صورت کلی به دو دسته متقارن و نامتقارن تقسیم‌بندی می‌گردد ولی موضوع پروتکل‌های رمزنگاری و مشخصات هرکدام بسیار مفصل بوده و از حوصله این مقاله خارج است. لازم به ذکر است که شیوه رمزنگاری، استفاده از رمزنگاری نامتقارن و زیرساخت کلید عمومی (PKI) است. با استفاده از خدمت محرمانگی و در صورت استفاده از الگوریتم متناسب می‌توان تا سطح بسیار بالائی اطلاعات تراکنش‌های مالی و سفارشات تجاری را از تهدیداتی نظیر تخریب، تغییر و خواندن غیرمجاز در زمان انتقال محافظت نمود.

.

احراز هویت کاربر فرستنده اطلاعات (Authentication)

در یک خدمت تجارت الکترونیکی که بر بستر شبکه انجام می‌گیرد، برای جلوگیری از هر نوع سوءاستفاده توسط هکرها و افراد غیرمجاز، نیاز است که یک شناسه‌ی غیرقابل تغییر که مدرک شناسایی فرستنده محتوی است به همراه محتوی ارسال گردد. به‌عنوان‌مثال در خدمات پرداخت الکترونیک، اگر فردی به‌جز فرد صاحب کارت یا حساب بخواهد درخواست انجام تراکنشی را برای بانک ارسال نماید، باید هویت وی را نشان دهد در غیر این صورت امکان پردازش تراکنش نباید داده شود تا از سوءاستفاده افراد غیرمجاز جلوگیری شود.

این خدمات امنیتی در حال حاضر در تراکنش‌های مبتنی بر کارت‌های مغناطیسی و بسته به نوع ترمینال و بستر انجام تراکنش توسط رمز اول، رمز دوم یا CVV2 و تاریخ انقضاء کارت پوشش داده می‌شود. این اطلاعات می‌بایست فقط در اختیار فرد دارنده کارت باشد در غیر این صورت سایر افراد نیز می‌توانند با داشتن این اطلاعات اقدام به انجام تراکنش به‌جای دارنده و مالک اصلی کارت نمایند. لذا در خدمت احراز هویت، هدف کنترل و شناسایی درخواست دهنده یا فرستنده تراکنش است. در زیرساخت کلید عمومی از امضاء دیجیتال و کلید خصوصی فرد فرستنده، اصالت هویت وی را می‌تواند تشخیص داد.

.

تمامیت، عدم‌تغییر محتوی (Integrity)

بسترهای عمومی انتقال داده‌های خدمات الکترونیکی مانند اینترنت در دسترس کلیه کاربران این خدمات قرار دارد. عمومی بودن این بستر سبب شده تا برخی افراد سودجو، خرابکار یا حتی بدافزارهایی مانند انواع ویروس‌ها، تهدیدات جدی برای خدمات تجاری و مالی محسوب گردند.

مجدد به یک مثال ساده در زمینه پرداخت الکترونیک می‌پردازیم. پیام‌هایی که برای یک تراکنش مالی منتقل می‌گردد، شامل فیلدهای اطلاعاتی بسیار مهمی است. اطلاعاتی مانند رمز دارنده کارت، مبلغ تراکنش، شناسه مربوط به پذیرنده و سایر اطلاعات حساس که هرکدام در زمان انتقال دچار تغییر شوند می‌تواند فاجعه‌بار باشد. فرض کنید محتوی مربوط به رمز کارت به‌وسیله بدافزار یا به علت خرابی شبکه دچار تغییر گردد، احراز هویت دارنده کارت با خطا مواجه می‌گردد. یا اگر مبلغ تراکنش دچار تغییر شود، مغایرت مالی رخ می‌دهد و اگر تغییری در شناسه مربوطه به پذیرنده رخ دهد، در فرآیند تسویه‌حساب اختلال و مغایرت روی می‌دهد. لذا مکانیسمی نیاز است که بتوانیم صحت و تمامیت اطلاعات را در مقصد کنترل نماییم.

در تجارت الکترونیک در دو حوزه، تمامیت محتوی تراکنش را کنترل می‌نمایند. حوزه اول، تمامیت و بی‌نقصی در محتوی (Content Integrity) یعنی محتوی در مقصد دقیقاً همانی باشد که در مبدأ ارسال شده است و دوم اصالت فرستنده (Integrity of Origin) یعنی اینکه مطمئن باشیم که خود فرد موردنظر، اطلاعات تراکنش را ارسال کرده است نه فردی به‌جای وی.

در تراکنش‌ها شبکه بانکی و تجارت الکترونیک، موضوع تمامیت محتوی توسط کلید MAC (Message Authentication Control) یا کلید کنترل اصالت پیام انجام می‌گیرد. این خدمت با استفاده از یک کلید اختصاصی و توافق شده بین مبدأ و مقصد تراکنش و توابع ریاضی درهم‌ساز (Hash) محتوی، پیاده‌سازی می‌گردند.

خدمات امنیتی و مکانیسم‌های ذکر شده، می‌توانند سایر خدمات امنیتی موردنیاز سیستم‌های تجارت الکترونیک را پوشش دهند. خدماتی مانند عدم انکار و کنترل دسترسی‌های غیرمجاز که همگی با زیرساخت PKI قابل پیاده‌سازی هستند.

.

امنیت در تراکنش‌های مالی بر بستر تلفن همراه

اصولاً تلفن همراه می‌بایست وسیله ارتباطی و تماس تلفنی سیار باشد، ولی بر اساس تکاملی که در سال‌های گذشته داشته است، خود را در بسیاری از حوزه زندگی روزمره کاربران وارد نموده است. حوزه بانکی و خدمات پرداخت نیز از موضوع مستثنا نمانده‌اند.

با توجه به حساسیت خدمات بانکداری، اولین و مهم‌ترین خصوصیت هر ترمینال و ابزار بانکی داشتن امنیت مناسب است. امن نمودن تلفن‌های همراه برای خدمات بانکی و پرداخت تاکنون بسیار موردتوجه کارشناسان حوزه امنیت سایبری و بانکداری بوده است ولی تاکنون راهکار جامع و قابل‌اطمینانی برای این منظور ایجاد نشده است. حتی PCI نیز تاکنون نتوانسته استاندارد امنیتی مناسبی را برای تلفن‌های همراه ارائه دهد و اصولاً تلفن‌های همراه را ازنظر سخت‌افزاری برای این منظور مجاز نمی‌داند. استفاده از زیرساخت کلید عمومی و پیاده‌سازی آن در تلفن همراه چالش اصلی طراحان راهکارهای بانکی است.

در زیر برخی از روش‌های امن‌سازی که در سال‌های اخیر در امن‌سازی راهکارهای پرداخت تلفن همراه مورداستفاده قرار گرفته است عنوان شده‌اند:

1. رمزنگاری داده‌های تراکنش در تلفن همراه با استفاده از کلید و استفاده از فضای سیم‌کارت به‌عنوان فضای امن نگهداری کلید
2.  سیم‌کارت‌های UICC و شبیه‌سازی  SE (Secure Element) به‌عنوان فضای امن نگهداری کلیدهای رمزنگاری
3. استفاده از اتصال امن بر SSL‌  بر بستر اینترنت و توکن‌های یک‌بارمصرف برای فعال‌سازی کد کاربری و ورود به App
4. استفاده از نرم‌افزارهای کاربردی با امکان رمزنگاری متقارن (روشی که بسیاری از موبایل بانک‌های مبتنی بر SMS‌ از آن استفاده کرده‌اند)
5. استفاده از شبیه‌سازی کارت به‌صورت نرم‌افزاری / مجازی و ثبت اطلاعات کارت در محیط امنی خارج از تلفن همراه و فراخوانی کارت به‌وسیله نام (Nickname) یا شناسه نگاشت شده به‌جای استفاده از شماره کارت (مدلی که در ابتدا برای خدمت USSD از آن استفاده می‌شد)
6. افزودن چیپ سخت‌افزاری SE جهت نگهداری کلید ‌(توسط شرکت اَپل) و پروتکل  Tokenization

 در بین روش‌های ذکر شده، مدل شبیه‌سازی کارت (مدل ۵) و استفاده از چیپ سخت‌افزاری SE (مدل 6) بسیار کاربردی و موفق بوده‌اند. شرکت اپل با استفاده از ماژول سخت‌افزاری SE (Secure Element) برای نگهداری کلیدهای رمزنگاری و پروتکل Tokenization خود انقلابی در این صنعت به پا کرد و توانست برای کلیه iPhone های نسل ۶ به بعد امکان انجام تراکنش‌های پرداخت را با استفاده از واسط سخت‌افزاری NFC به‌صورت امن پیاده‌سازی کند ولی استفاده از این فناوری‌ها را محدود به مدل پرداختی خود یا همان Apple Pay نموده است و سایر راهکارهای بانکی مجوز استفاده از این زیرساخت را ندارند.

مدل 4 در سال‌های گذشته توسط بانک‌های ایران بسیار استفاده شده است. این روش نیز تنها مقداری سطح امنیت را بالا می‌برد. در این روش از رمزنگاری متقارن بین App و سرویس‌دهنده اصلی استفاده می‌شود. کلید رمزنگاری در App به‌صورت نرم‌افزاری نگهداری می‌شود و تا زمانی که نرم‌افزار به‌روزرسانی نگردد امکان تعویض آن به‌صورت امن وجود ندارد. لذا مشکل اصلی در این روش عدم وجود فضای امن برای نگهداری کلید و عدم وجود زیرساخت تبادل و مدیریت کلید است و یک هکر با کمی تلاش می‌تواند هم از الگوی ثابت رمزنگاری پیام‌ها آگاه گردد و هم با استفاده از متن برنامه App  به کلید رمزنگاری دسترسی پیدا نماید.

در مدل سوم عملاً از تلفن همراه و زیرساخت اپراتور برای امن‌سازی تراکنش و انجام تراکنش استفاده نمی‌گردد و نمی‌توان این راهکار را به‌عنوان راهکار امن‌سازی تراکنش‌ها تلفن همراه تلقی نمود، بلکه در این روش تلفن همراه کاملاً مانند یک دستگاه رایانه با استفاده از بستر اینترنت اقدام به ارائه خدمات بانکی می‌نماید. این روش در حال حاضر دارای امنیت مناسب بوده و موردپذیرش جامعه بانکی قرار گرفته است.

مدل 5 یک شیوه شبیه‌سازی کارت بوده و به‌صورت خلاقانه‌ای برای اولین خدمت پرداخت با USSD پیاده‌سازی شد. در این روش اطلاعات کارت در یک پورتال اختصاصی خدمات USSD توسط شرکت PSP دریافت می‌شد و به سلیقه کاربر، یک نام برای کارت وی تخصیص می‌یافت. این روش به روش ثبت کارت شهرت داشت. با این روش، اطلاعات موردنیاز انجام یک تراکنش شامل نام کارت و رمز دوم بر بستر USSD منتقل می‌گشت و تا سطح مناسبی مصونیت دارنده کارت پوشش داده می‌شد. متأسفانه با گذشت زمان و ورود سایر کدهای USSD در حوزه خدمات بانکی، بانک مرکزی استفاده از این روش را نادیده گرفت و شرکت‌های PSP کلیه تراکنش‌ها را با دریافت اطلاعات شماره کارت و رمز دوم انجام می‌دادند. اتفاقی که در زمان خود نادیده گرفته شد و الآن سبب شده که شاپرک اقدامی ضربتی در خصوص محدودسازی و ممنوع سازی ارائه خدمات بر بستر USSD نماید.

.

تحلیل امنیتی پروتکل USSD و ارائه خدمات پرداخت مبتنی بر این بستر

در بخش‌های قبل ذکر شد که هیچ شبکه انتقال داده‌ای ضریب امنیتی ۱۰۰٪ نمی‌تواند داشته باشد، اما هر شبکه برای فراهم نمودن امنیت خود از راهکارهای خاصی استفاده می‌نماید. بستر انتقال تراکنش USSD استانداردهای امنیتی خاص خود را دارد. با توجه به اینکه اپراتور تلفن همراه ملزم به پیاده‌سازی استانداردهای PCI نیست لذا در طراحی این استانداردها به‌هیچ‌عنوان حساسیت داده‌های تراکنش‌های بانکی دیده نشده است؛ ولی بااین‌حال یکی از امن‌ترین شبکه‌های موجود در جهان شبکه‌های اپراتور تلفن همراه است. امنیت در این نوع شبکه‌ها از دیدگاه‌های مختلف موردتوجه قرار می‌گیرد؛ اما به‌طور کل دو نوع امنیت را می‌توان مورد واکاوی قرار داد: امنیت درون‌شبکه‌ای و امنیت برون شبکه‌ای.

در مورد دومی باید گفت سیستم‌های امنیتی تا حدی قدرتمند هستند که می‌توانند معدود مواردی که قابلیت تخریب و یا بروز مشکل برای آن‌ها را به وجود می‌آورد را ناچیز دانست اما امنیت درون‌شبکه‌ای به گونه دیگری موردبررسی قرار می‌گیرد که امنیت USSD نیز در این مقوله قابل‌تحلیل و بحث است. واقعیت این است که هرگونه اطلاعاتی که از سمت مشترک به سمت اپراتور انتقال میابد قابلیت شنود را دارد اما این بدان معنا نیست که اپراتور هر سیستمی (ماشین و یا انسان) دسترسی به این نوع اطلاعات را داشته باشد. بگذارید ببینیم درواقع USSD چگونه کار می‌کند.

در حالت سنتی (GSM) کدهای USSD به‌مانند SMS به‌صورت سیگنال به سمت شبکه اپراتور مخابره می‌گردد. این کدها درون شبکه SS7 تبدیل به دیتا می‌گردد. تا این نقطه به لحاظ امنیت درون‌شبکه‌ای هیچ مشکلی وجود ندارد. ولی از زمانی که پیام USSD با کدینگ ASCII یا UNICODE در بستر TCP-IP منتقل می‌گردند، قابلیت Log پیدا می‌کند. طبعاً Logهای مذکور قابل بازخوانی هستند. این اتفاقی است که در شبکه اپراتور موبایل به وقوع می‌پیوندد و طبعاً می‌تواند سبب نگرانی‌هایی سیستم بانکی یا دروازه پرداخت شود. لذا برای امن‌سازی تراکنش‌های انتقالی بستر USSD باید محیط امنی برای انتقال تراکنش ایجاد نمود که در آن اپراتور تلفن همراه در کل مسیر انتقال به‌صورت نامرئی باشد و حتی با Log برداری از اطلاعات تراکنش هیچ نوع سوءاستفاده‌ای از اطلاعات کارت افراد نتواند انجام دهد.

برای این کار تلاش‌هایی شده است که تاکنون توسط بانک مرکزی و شاپرک حمایت نشده‌اند. در حقیقت راهکارهای ارائه‌شده تاکنون به‌صورت آزمایشگاهی باقی مانده‌اند و نیاز است تا به‌صورت تجاری درآیند.

اگر بخواهیم خدمات امنیتی سیستم‌های تجارت الکترونیک را در یک پرداخت USSD مدل‌سازی نماییم، همچنان شماره کارت و رمز به‌عنوان ابزار شناسایی بانک و حساب دارنده و رمز کارت جهت احراز هویت وی بکار می‌رود و هیچ خدمت رمزنگاری و امنیتی دیگری برای محافظت از اطلاعات کارت وجود ندارد. همچنین مشخص نیست که دستور پرداخت توسط دارنده ثبت شده است یا اپراتور در حال انجام پرداخت به‌جای صاحب کارت است!

لذا دو خدمت امنیتی اساسی در مدل‌های موجود پرداخت با USSD نیاز است. یکی محرمانگی اطلاعات تراکنش در زمان انتقال بر بستر USSD و دیگری کنترل اصالت فرد پرداخت‌کننده در زمان پرداخت. برای رسیدن به امنیت در تراکنش‌ها USSD  نیاز است تا خدمات امنیتی مناسبی پیاده‌سازی گردند. مشابه خدمت شبیه‌سازی کارت یا رمزنگاری اطلاعات USSD با کلید رمزنگاری ذخیره‌شده در فضائی امن مانند سیم‌کارت یا SE.

.

آیا قوانین جدید در خصوص محدودسازی خدمات پرداخت بر USSD مشکلی را حل می‌کند؟

در نیمه مهرماه سال جاری، شاپرک با ذکر موضوع صیانت از حقوق دارندگان کارت‌های بانکی، محدودیت‌هایی را در ارائه خدمات پرداخت بر بستر USSD به شرکت‌های PSP‌ ابلاغ کرد. تراکنش‌ها مانده‌گیری و خرید کالا و خدمات به‌طور کامل ممنوع شدند و تراکنش‌ها پرداخت قبوض و خرید شارژ نیز با سقف مبلغ ۲ میلیون ریال مجاز به پذیرش خواهند بود.

ولي آيا با اعمال این محدودیت‌ها، صیانت از حقوق دارندگان محقق می‌گردد؟ آیا در ۴ سال گذشته که میلیون‌ها تراکنش USSD  انجام‌شده، اطلاعات کارت دارندگان اهمیتی برای بانک مرکزی و شاپرک نداشته است؟ آیا اطلاعات کارت دارندگان توسط اپراتورها ثبت و نگهداری شده است و امکان سوءاستفاده دارند؟ پاسخ تمامی این سؤالات واضح و مشخص است و تمامی کارشناسان حوزه بانکداری الکترونیک می‌دانند که با محدودسازی جدید، هیچ تغییری در حفاظت از اطلاعات کارت دارندگان صورت نمی‌پذیرد. همچنان اطلاعات کارت شامل شماره کارت و رمز بر بستر USSD به‌صورت حفاظت نشده برای تراکنش‌های خرید شارژ و پرداخت قبوض انتقال می‌یابند.

بزرگ‌ترین گاف در حوزه ارائه خدمات پرداخت با USSD زمانی رخ داد که مدل اولیه پیاده‌سازی خدمات پرداخت بر بستر USSD  از سوی بانک مرکزی نادیده گرفته شد. مدل شماره ۵ که در راهکارهای امن‌سازی پرداخت‌های همراه ذکر شد. کارشناسان و طراحان اولین سامانه ارائه خدمات پرداخت USSD، با استفاده از مدل شماره ۵ کلیه نیازمندی‌های امنیتی ذکر شده در استاندارد PCI-DSS را به‌طور کامل پوشش دادند و برای اولین و آخرین بار مجوز رسمی فعالیت در این حوزه را از بانک مرکزی دریافت نمودند. ولی با ورودPSP های دیگر به این عرصه، بانک مرکزی بدون توجه به مدل شماره ۵ و مجاب نمودنPSP های تازه‌وارد به پیاده‌سازی آن، توجهی به مدل ارائه خدمات این شرکت‌ها ننمود. مدلی که همچنان بدون وجود کوچک‌ترین امنیتی برای ارائه خدمات پرداخت USSD در کل شبکه بانکی ایران استفاده می‌گردد. این موضوع سبب گردید که شماره کارت و رمز دوم به‌صورت حفاظت نشده بر بستر USSD انتقال یابد. در حقیقت بانک مرکزی و اداره نظام پرداخت که مسئولیت صدور مجوز و نظارت بر پروتکل‌ها و ابزارهای پرداخت و شرکت‌های PSP را بر عهده داشت در آن زمان از کنار این مسئله به‌سادگی گذشت. شرکت شاپرک هم در طی ۳ سال گذشته توجهی به موضوعات امنیتی در حوزه پرداخت USSD‌ نداشته و با تصمیم‌گیری عجولانه و ابلاغیه ضربتی و هماهنگ نشده باPSP‌ ها، پذیرندگان USSD  را با ضرر و زیان مواجه نموده است.

محدودسازی جدید شاپرک نه‌تنها جلوی نقل‌وانتقال ناامن اطلاعات دارندگان را نگرفته است، بلکه نارضایتی و صدمات مالی زیادی را به ارائه‌دهندگان خدمات پرداخت و پذیرندگانشان تحمیل نموده است. با توجه به وضعیت فعلی بهتر است که شاپرک به این سؤالات پاسخ مناسب و قانع‌کننده‌ای ارائه دهد: آیا با این محدودیت‌های جدید، اطلاعات کارت مردم بر بستر USSD‌ امن شده است؟ چرا راهکار ارائه‌شده جهت ارائه خدمات پرداخت بر بستر USSD‌ که با مدل شبیه‌ساز کارت مورد حمایت برای امن‌سازی این بستر قرار نگرفت؟ چرا راهکارهای امنیتی مبتنی بر رمزنگاری و نگهداری کلید در سیم‌کارت یاApplet های رمزنگاری مبتنی بر سیم‌کارت مورد حمایت قرار نگرفتند؟ آیا بهتر نبود یک مهلت زمانی مناسب یا روشی جهت امن‌سازی ارائه می‌شد؟ و اما مهم‌ترین سؤال اینکه علت واقعی این اعمال محدودیت‌ها چیست؟

.

آینده خدمات USSD به کجا می‌رود؟

متأسفانه علیرغم اینکه پروژه USSD کار خود را به‌خوبی آغاز کرد اما با کمترین توجه به نکات امنیتی توسط شرکت‌های PSP  توسعه یافت. جالب آنکه شرکت‌ها و مشاغلی که از سامانه‌های USSD برای کسب‌وکار خود بهره برده و می‌برند هرگز سعی ننموده‌اند به این نکته توجه داشته باشند که ارائه‌دهندگان اولیه این خدمت راهکارهای متعددی چه به لحاظ کاربری و چه ازنظر امنیتی بر این پروژه داشته‌اند.

به‌عبارتی‌دیگر می‌توان گفت تعجیل در ورود به بازار سبب شد تا نقاط کور و گره‌هایی که می‌توانست در آینده برای این خدمت به وجود آید و توسط متخصصین آن موردبررسی و ایده پردازی شده بود در سیستم باقی ماند.

درنهایت علامت سؤالی در مقابل امنیت داده‌ها و اطلاعات به وجود آمد؛ اما اکنون سؤال این است که آیا می‌توان USSD را امن نمود در حدی که سیستم بانکی کشور با نگاه مثبت‌تری به آن نگاه کند؟ پاسخ مثبت است شاید بهتر باشد یک بار دیگر تیم متخصصین نظریه‌پرداز، طراح و تولیدکننده اولیه USSD کشور دوباره گرد هم آمده و وضعیت موجود را موردبررسی قرار داده و راهکارهای سیستماتیک خود را جهت شفاف نمودن وضعیت USSD به متولیان و قانون‌گذاران مرتبط با این کسب‌وکار را ارائه دهند.

از ابتدابه‌ساکن اعتقاد بر آن بوده است که USSD یکی از بهترین روش‌های نقل‌وانتقال داده است مشروط بر آنکه از نگاه غیرتخصصی به فرایندهای آن نگاه نشود. در وضعیت موجود به‌طور جد می‌توان گفت وضعیت نقل‌وانتقال اطلاعات بر این بستر به‌طور اسفناکی نامطمئن است. بهترین پیشنهاد این است که بدون توجه به وضعیت فعلی به چند سال گذشته بازگشت و مسیر را باز مهندسی نمود. قطع به‌یقین با تغییر معماری فعلی به آنچه قرار بود انجام گردد به سرویس پاک USSD  دست خواهیم یافت. در خصوص شیوه‌های امن‌سازی این سرویس روش‌هایی توسط این متخصصین طراحی شده است و امید است در آینده نزدیک شاهد پیاده‌سازی یکی از آن‌ها باشیم.