راه پرداخت
رسانه فناوری‌های مالی ایران

از تضمین امنیت اطلاعات تا تحلیل دیتا در گفتگو با قائم مقام شرکتی که ادعا می‌کند در ایران HSM تولید کرده

امنیت و تضمین آن در دنیایی که به عصر ارتباطات شهرت دارد، از اهمیت بالایی برخوردار است و نمی‌توان به‌ سادگی از کنار آن گذشت. همین مسئله باعث شده همزمان با ظهور و گسترش شرکت‌های بزرگ طراحی و تولید نرم‌افزار، شرکت‌های امنیتی هم شکل بگیرند. حصین‌ایمن یکی از این شرکت‌ها است. این سازمان کوچک یکی از شرکت‌های زیرمجموعه هولدینگ حصین محسوب می‌شود و از نخستین شرکت‌هایی بود که سال 88 به صورت مستقل از هولدینگ حصین فعالیت کرد.

حصین ایمن در ابتدا کار خود را با سه نفر از اعضای اصلی شرکت حصین آغاز کرد، اما اکنون بیش از بیست نفر پرسنل دارد و محصولات و خدمات زیادی ارائه می‌کند. مخاطبان این شرکت را اپراتورهای تلفن همراه، شرکت‌های بانکی و پرداخت و شرکت‌های ارائه‌دهنده سرویس‌های اینترنتی تشکیل می‌دهد. از ابتدا تاکنون مهندس سجاد بنابی یکی از مؤسسان حصین،  مدیرعامل شرکت حصین ایمن بوده است و از تابستان 91 علیرضا دانش به عنوان قائم‌مقام مدیرعامل در حصین ایمن فعالیت می‌کند. گفتگوی راه پرداخت با علیرضا دانش در زمینه دامنه فعالیت‌های حصین ایمن و محصولات این شرکت در ادامه آمده است.

 

بازار امنیت حصین ایمن

شرکت حصین از ابتدا حوزه کاری بانکی را برای فعالیت خود انتخاب کرده بود و محصولاتی مانند دستگاه کارت‌خوان، کارت‌های هوشمند و راهکارهای سخت‌افزاری و نرم‌افزاری بانکی را ارائه می‌کرد. اما پس از گذشت زمان، بازار فناوری‌های امنیتی در کشور بیشتر مورد توجه قرار گرفت. به گفته علیرضا دانش همین مسئله در ادامه منجر به تأسیس شرکت حصین ایمن شد.

دانش درباره بازار امنیت در ایران و جهان می‌گوید:‌ «بازار امنیت در ایران دو بخش دارد. یکی بخش خدماتی است که شرکت‌ها به صورت سخت‌افزاری و نرم‌افزاری به مشتریان خود ارائه می‌کنند. بخش دیگر هم شامل فروش تجهیزات سخت‌افزاری می‌شود. این بخش عملاً کار بازرگانی است و واردات، فروش و پشتیبانی محصول را پوشش می‌دهد.»

او در ادامه توضیح می‌دهد:‌ «در بخش خدمات، کارهایی مانند نصب و راه‌اندازی نرم‌افزارهای امنیتی وجود دارد که جزو حوزه کاری ما محسوب نمی‌شود. بخش دیگر، خدمات ارزیابی محصول نرم‌افزاری و سخت‌افزاری به لحاظ امنیتی است که ما آن را انجام می‌دهیم. به عنوان مثال شما یک نرم‌افزار مانند هلو برای سازمان خود تهیه می‌کنید که شناخته شده هم هست. شرکت تولید نرم‌افزار آن را تولید می‌کند و به دست مشتری هم می‌رسد و نرم‌افزار کارایی خوبی هم دارد. اما در همه جای دنیا این نگرانی هست که آیا ایراد امنیتی در این نرم‌افزار وجود دارد؟ آیا می‌توان آن را هک کرد یا اطلاعات را به نحوی از داخل نرم‌افزار از آن خارج کرد؟ آیا فردی از خارج از شرکت می‌تواند به این اطلاعات بدون اینکه متوجه شویم دسترسی پیدا کند؟»

به گفته دانش این نگرانی‌ها از ده پانزده سال پیش برای شرکت‌هایی که می‌خواستند از چنین نرم‌افزارهایی استفاده کنند، به وجود آمده و از همان زمان هم که حصین ایمن تأسیس شد، اهمیت بیشتری پیدا کرده است. او درباره علت اهمیت تست نرم‌افزارها می‌گوید: «شرکت‌ها به مرور زمان با مواردی شبیه به این مواجه شده‌اند. نرم‌افزاری از خارج از کشور تهیه کرده و استفاده کرده‌اند و بعد از مدتی متوجه شده‌اند به لحاظ امنیتی مشکل دارد و باید حتماً آن را تست کرد. این نشت اطلاعات از آنجا اتفاق می‌افتد که نرم‌افزاری را بدون اینکه آن را تست کنند به بازار می‌دهند.»

 

تست نرم‌افزار، مهم‌تر از طراحی و تولید آن

برای تست نرم افزارها سازمان NIST آمریکا یک سند تهیه و تنظیم کرده است که در آن نرم‌افزارها به محک گذاشته می‌شوند و به لحاظ امنیتی رده‌بندی می‌شوند. در انتها درجه خطر آن‌ها اعلام خواهد شد. به عنوان مثال مشخص می‌شود نرم‌افزار موجود ریسک درجه B ،A و یا C دارد. اما آیا خود شرکت‌های تولید نرم‌افزار نمی‌توانند محصولات تولیدی خود را تست کنند؟ دانش در پاسخ می‌گوید: «برخی از شرکت‌های نرم‌افزاری بزرگ دنیا گاهی تست را انجام می‌دهند. به عنوان مثال گوگل گروه تست نرم‌افزاری معروفی دارد که که محصولات تولیدی این شرکت را تست می‌کند. نرم‌افزار به صورت کلی دو مرحله دارد. مرحله طراحی و تولید نرم‌افزار و مرحله تست و آزمون. تست نرم‌افزار دانش مجزایی دارد و پایه آن محسوب می‌شود. در طراحی‌های نرم‌افزاری مدرن اول نرم‌افزار تست می‌شود و بعد آن را تولید می‌کنند. اما به صورت کلی پس از تولید نرم‌افزار از دو بعد امنیتی و کارایی مورد آزمون قرار می‌گیرد.»

با این همه تست نرم‌افزار در شرکت‌های داخلی اتفاق نمی‌افتد. به عقیده قائم‌مقام حصین ایمن، شرکت‌های تولید نرم‌افزار داخلی نه دانش کافی برای تست نرم‌افزار را دارند و نه تمایل انجام آن را دارند. علت ساده است. هزینه تست نرم‌افزار از هزینه تولید آن بیشتر است و همین مسئله باعث می‌شود شرکت‌های تولید نرم‌افزار تمایلی برای تست آن نداشته باشند.

دانش در توضیح می‌گوید: «در ایران قوانین مشخصی برای حقوق مشتری و کپی‌رایت وجود ندارد. بنابراین شرکت‌های تولید نرم‌افزار کارایی و امنیت محصول خود را تضمین نمی‌کنند. اخیراً این فرهنگ جا افتاده که شرکت‌های تولیدکننده، تست نرم‌افزاری را جدی می‌گیرند و یا خودشان آن را انجام می‌دهند یا به شرکت دیگری برون سپاری می‌کنند. به تازگی از سال 91 به بعد نهاد ریاست‌جمهوری مجموعه‌ای درست کرده است تا شرکت‌های تست امنیتی نرم افزار را قانونمند کند.»

بنابراین خط اصلی کاری در حصین‌ایمن تست نرم‌افزارها و به‌دنبال آن تضمین امنیت محصولات است. کارشناسان در این شرکت می‌توانند به استفاده‌کنندگان از یک نرم‌افزار اطلاع دهند خطایی که در نرم‌افزار پیدا کرده‌اند طبیعی یا قابل سؤاستفاده است.

این شرکت از ابتدای شروع فعالیت خود تاکنون چیزی حدود 65 پروژه تست نرم‌افزار دریافت کرده است و یکی از پنج شرکتی است که مجوز انجام چنین کاری را دارند.

 

جای خالی تضمین امنیت در تولید نرم‌افزار

مشتریان حصین ایمن جالب توجه هستند. آن‌ها مشتریان نرم‌افزارها هستند، نه تولیدکنندگان آن‌ها. سازمان‌ها و شرکت‌هایی که می‌خواهند از نرم‌افزاری استفاده کنند به دنبال تست امنیت و کاربری آن هستند و شرکت‌های تولیدکننده و طراح نرم‌افزاری چنین مسئولیتی را به‌عهده نمی‌گیرند. به صورتی که از بین 65 پروژه‌ای که تنها شرکت حصین ایمن دریافت کرده است، تنها دو مورد از طرف قرارداد آن‌ها شرکت‌های تولید نرم‌افزاری هستند. این درحالی است که نه مشتریان، بلکه شرکت‌های تولیدکننده باید هزینه تست نرم‌افزار خود را پرداخت کنند. این وضعیت به ایران محدود نمی‌شود و در سایر شرکت‌های دیگر بین‌المللی هم تست نرم‌افزار به عهده مشتریان است.

دانش درباره علت این مسئله می‌گوید:‌ «هزینه بالای تست نرم‌افزار باعث می‌شود شرکت‌های تولیدکننده به دنبال تست محصول خود نباشند. هزینه تست ویندوز از هزینه ساخت آن بیشتر است. بنابراین شرکت مایکروسافت هیچ‌گاه این هزینه را به عهده نمی‌گیرد تا تست آن را به شرکت دیگری برون‌سپاری کند.» علت بالا بودن هزینه این است که افرادی که این کار را انجام می‌دهند باید به دانش نرم‌افزاری بیش از طراحان این حوزه احاطه داشته باشند و بتوانند مهندسی معکوس انجام دهند. به این معنی که حدس بزنند مهندس طراح چه چیزهایی را در نظر داشته است تا ایراد کار را بیابند. کارشناسان تست نرم‌افزار هیچ اطلاعی از خود نرم‌افزار در اختیار ندارند و اطلاعاتی از طرف شرکت تولیدکننده نیز به آن‌ها ارائه نمی‌شود. در نتیجه باید تلاش کنند به صورت مستقل به اطلاعات نرم‌افزار دسترسی پیدا کنند و در عین حال هم به لحاظ امنیتی آن را محک کنند.

 

شرکت‌های تولیدکننده و طراح گاوصندوق و حتی گاهی نیروهای پلیس در دنیا همیشه افرادی را استخدام می‌کنند که می‌توانند به بهترین گاوصندوق‌ها نیز نفوذ کنند و ایراد فنی آن‌ها را بیابند. کارشناسان حصین ایمن، کاری شبیه به آن‌ها دارند.

 

تحقق رویای تولید رمزنگار غیرقابل نفوذ

فعالیت‌های حصین ایمن به تست نرم‌افزاری ختم نمی شود و آن‌ها پروژه‌های دیگری را نیز در کنار خود دنبال می‌کنند. یکی از آ‌ن‌ها تولید HSM یا Hardware Security Module است که به گفته دانش حدودا 10 شرکت دیگر در دنیا قادر به تولید آن هستند و از این تعداد چهار شرکت اعتبار جهانی دارند و شناخته‌شده هستند. این دستگاه تکنولوژی پیچیده‌ای دارد و تولید انبوه آن کار ساده‌ای نیست.

دانش درباره کارکرد این محصول توضیح می‌دهد: «زمانی که شما به عنوان کاربر پشت دستگاه عابربانک می‌روید و رمز خود را وارد می‌کنید و کلید ثبت را فشار می‌دهید، پسورد و اطلاعات کارت را در اختیار دستگاه قرار داده‌اید. این خطر وجود دارد که فردی بتواند پشت نرم‌افزار دستگاه قرار گیرد و به اطلاعات کارت دسترسی پیدا کند. کپی کردن این اطلاعات کار ساده‌ای است و راه‌های سؤاستفاده از آن بسیار زیاد است. اطلاعات شما در شبکه شتاب به سمت بانکی می‌رود که کارت شما را صادر کرده است و پس از تأیید به شما برمی‌گردد و عملیات انجام می‌شود. برای جلوگیری از سرقت این اطلاعات باید آن‌ها را پیش از آنکه وارد شبکه شتاب شود رمزنگاری کرد. اطلاعات رمزنگاری شده به مقصد می‌رسد، رمزگشایی می‌شود و پس از تأیید به جای اصلی خود بازمی‌گردد.»

قائم‌مقام حصین ایمن درباره وضعیت قبلی امنیت این دستگاه‌ها می‌گوید: «تا پیش از این نرم‌افزار امنیتی وجود داشت که می‌توانست همه اطلاعات را کنار هم به صورت رشته بچیند و پس از رمزنگاری، آن اطلاعات را ارسال می‌کرد. این نرم‌افزار یا روی دستگاه کار گذاشته شده بود و یا در شبکه امنیت اطلاعات را به عهده می‌گرفت. اما پس از مدتی مشخص شد این فرآیند به اندازه کافی امن نیست. چرا که فردی می‌تواند کنترل نرم‌افزار را به عهده بگیرد و امنیت تمام اطلاعات شبکه به خطر خواهد افتاد. در نتیجه سخت‌افزاری تهیه شد که فرآیند رمزنگاری را انجام می‌دهد. ما تنها دستور رمزنگاری را به دستگاه می‌دهیم، اما دیگر نمی‌گوییم با چه کلیدی باید آن را رمزنگاری کند و از چه منطق و دستورالعملی باید استفاده کند. اطلاعات رمزنگاری شده این دستگاه در شبکه سفر می‌کند و به پایگاه اطلاعات و دستگاه دیگر می‌رسد. تنها سخت‌افزار HSM می‌تواند اطلاعاتی را که رمزنگاری شده، رمزگشایی کند.»

به گفته او با حذف عامل انسانی در کنترل چنین محصولی، امنیت اطلاعات تضمین شده است. به صورت دستی و غیردستی و با هیچ نرم‌افزاری نمی‌توان به داخل دستگاه HSM راه پیدا کرد. دانش می‌گوید: «اگر در دستگاه را باز کنید، اطلاعات درون دستگاه پاک می‌شود. اگر فردی تلاش کند با مته آن را سوراخ کند، از آنجا که به لرزش حساست دارد، اطلاعات را پاک می‌کند. اگر بخواهند آن را با آهن‌ربا یا جریان‌های مغناطیسی باز کنند، بخاطر حسگرهای درون دستگاه، اطلاعات مجددا پاک خواهد شد. این دستگاه به نور هم حساس است و اگر داخل آن چراغ قوه انداخته شود، اطلاعات همه از بین می‌روند.»

این دستگاه به صورت محدود طراحی و تولید شده و ساخت آن تا اواخر آبان ماه به اتمام می‌رسد. به گفته دانش یک بانک بزرگ که شعب و دستگاه‌های آن در سطح کشور به طور گسترده پراکنده است به بیش از چهار دستگاه HSM نیاز پیدا نخواهد کرد. چراکه توان پردازشی آن‌ها بالاست، می‌توانند اطلاعات زیادی را در خود پردازش کنند و نه تولید آن ساده است و نه خرید آن.

حصین ایمن همچنین نمایندگی انحصاری شرکت آلمانی UTIMACO را نیز که به تولید محصولات HSM مشغول است، دریافت کرده تا بتواند بازار محصولات خارجی این دستگاه را نیز در خود داشته باشد. در حال حاضر نیاز بانکی کشور به دستگاه‌های HSM از طریق محصولات خارجی تأمین می‌شود. جالب اینجاست که این محصولات قیمت بیشتری نسبت به محصول داخلی خود دارند.

این شرکت محصولات خارجی HSM را که تولید UTIMACO است با قیمت 130 تا 140 میلیون تومان به فروش می‌رساند، درحالی که قیمت نسخه‌های مشابه این محصولات از شرکت‌های خارجی دیگر تا 200 و 300 میلیون هم می‌رسد، درحالی که محصول حصین ایمن 80 میلیون قیمت دارد.

حصین ایمن از SSM، نسخه اول محصول خود که ترکیب نرم‌افزار و سخت‌افزار بود، هشت محصول تولید کرد که توانست شش تای آن‌ها را به فروش برساند. از HSM به عنوان محصول دوم نیز که مراحل ساخت آن ماه آینده به اتمام می‌رسد، چهار محصول تولید شده و تخمین زده می‌شود در سال جاری دوتا از آن‌ها به فروش برسد.

به گفته دانش فروش این محصولات به علت وجود گواهینامه FIPS دشوار است. او توضیح می‌دهد: «FIPS گواهینامه‌ای است که سازمان NIST آمریکا صادر می‌کند و کارایی سخت‌افزار را تأیید می‌کند. ما نمی‌توانیم محصول خود را در اختیار این شرکت قرار دهیم و در نتیجه گواهینامه FIPS را هم نمی‌توانیم دریافت کنیم. برای دریافت گواهینامه ما باید طراحی کامل این سخت‌افزار را در اختیار آن‌ها قرار دهیم. اما از آن‌جایی که ما می‌خواهیم این محصول را در کشور به فروش برسانیم و بخشی از بازار ما را مشتریان بانکی و نظامی تشکیل می‌دهد، نمی‌توان چنین کاری کرد.»

در ایران مرکزی با نام ریشه وجود دارد که کار مشابه سازمان NIST را انجام می‌دهد. حصین ایمن مذاکراتی با این شرکت انجام داده و اطلاعات مورد نیاز را در اختیار آن‌ها قرار داده است.

تاکنون چیزی حدود سه تا چهار میلیارد تومان برای تولید این محصولات هزینه صرف شده است. دستگاه‌های HSM‌ نمونه‌های آزمایشگاهی هستند و هزینه مطالعات تحقیق و توسعه روی آن‌ها محاسبه شده است. بنابراین در صورتی که به صورت انبوه از این دستگاه تولید شود، قیمت آن کاهش پیدا می‌کند. به گفته دانش تنها برخی تجهیزات پایه این دستگاه خریداری شده و سایر موارد مانند طراحی کل محصول و تهیه مدار الکتریکی آن با خود کارشناسان این مجموعه بوده است.

 

این دستگاه جاسوسی نمی‌کند!

بوردی که حصین ایمن برای ساخت دستگاه HSM طراحی کرده است، محصولی عمومی است و استفاده‌های زیادی دارد. یکی از این استفاده‌ها محصولی با عنوان ترافیک آنالایزر است. هدف این محصول در وهله نخست به گفته دانش، جاسوسی یا دخالت در حریم شخصی افراد نیست، بلکه ترافیک اینترنتی خارج شده از شرکت را بررسی می‌کند. دانش در این زمینه توضیح می‌دهد: «این نرم‌افزار از روی ترافیک خروجی یک سازمان یک نسخه کپی می‌کند و با الگوریتم‌های خاصی آن را تحلیل می‌کند و تشخیص می‌دهد کاربران در طول روز از چه سایت‌هایی بازدید کرده‌اند، چه میزان اطلاعات از سازمان خارج و چه میزان دریافت کرده است. تحلیل این نرم‌افزار می‌تواند انعطاف بالایی داشته باشد و حتی مشخص کند کاربران از چه اپلیکیشن‌هایی استفاده کرده‌اند. حتی اگر کاربری عکسی در تلگرام فرستاده باشد را می‌تواند بازیابی و مشخص کند.»

نظارت بر ترافیک اینترنت به مفهومی با نام APT برمی‌گردد که در فارسی به «تهدید مقاوم پیشرفته» ترجمه شده است. اطلاعات در سازمان‌ها و شرکت‌ها حیاتی است و صاحبان کمپانی‌های بزرگ نمی‌خواهند دچار نشت اطلاعات شوند. این اطلاعات هرچیزی می‌تواند باشد. یک شرکت تولید فیلم که نمی‌خواهد زودتر از موعد فیلم ساخته شده‌اش منتشر شود، شرکت داروسازی که دستور ساخت محصولاتش را نزد خود نگه می‌دارد و بسیاری از شرکت‌ها که علاقه‌ای ندارند اطلاعات درون شرکت از آن سازمان توسط کارکنان به بیرون ارسال شود. محصولی که حصین ایمن ارائه می‌کند، تنها می‌تواند اطلاعات ردوبدل شده آنلاین را نظارت کند و اینترنت را بررسی کند. با این همه به گفته دانش این شرکت در حال تهیه و طراحی محصولی است که تمام اطلاعات آنلاین و آفلاین سیستم‌های متصل به شبکه را می‌تواند بررسی کند.

با این همه، نظارت روی اینترنت می‌تواند مسئله بحث‌برانگیزی باشد. شاید شرکتی بخواهد و بتواند روی ترافیک اینترنت خود نظارت داشته باشد و دلایل خوبی هم برای این کار ارائه کند. اما نظارت روی اینترنت عمومی می‌تواند چالش‌برانگیز باشد. دانش در این زمینه می‌گوید: «نظارت روی اینترنت، چه بخواهیم و چه نخواهیم وجود دارد. سؤاستفاده در همه زمینه‌ها می‌تواند وجود داشته باشد و در نتیجه زمینه پیشگیری از آن نیز باید فراهم شود. من از اینکه در ایران نظارت روی اینترنت عمومی و شرکتی هست یا نه، اطلاع ندارم، اما این جزو حقوق کاربران است که بدانند اگر نظارتی روی ترافیک اینترنت آن‌ها هست، از آن مطلع شوند. با این حال قوانین در ایران در این زمینه مرزبندی مشخصی ندارند و نظارت‌ها در کلی‌ترین سطح ممکن وجود دارد. به عنوان مثال اپراتور تلفن همراه شما اعلام می‌کند خارج از کشور از دیتای تلفن استفاده کرده‌‌اید و در نتیجه باید تعرفه متفاوتی بپردازید. آن‌ها در این سطح می‌توانند روی مشتریان خود نظارت داشته باشند و بیشتر از آن حجم اطلاعات جمع‌آوری شده به قدری زیاد می‌شود که عملاً تحلیل و بررسی آن‌ها برای هیچ سازمان و اپراتوری به‌صرفه نیست.»

طراحی و ساخت این نرم‌افزار از ابتدای سال 95 شروع شد و بهمن همان سال به بازار عرضه شد. شرکت حصین ایمن همچنین نسخه سخت‌افزاری این محصول را از سال 96 آغاز کرد و هنوز به مرحله عرضه به بازار و فروش نرسانده است. قیمت نرم‌افزار ترافیک آنالایزر از 10 میلیون آغاز می‌شود و تا سقف 180 میلیون می‌تواند افزایش پیدا کند. این تفاوت قیمت به میزان عمق پردازش بستگی دارد. همچنین دستگاه سخت‌افزاری مربوط به این محصول شروع قیمتی با مبلغ 40 میلیون تومان خواهد داشت.

 

کمبود نیروی انسانی حرفه‌ای، چالش دیگر

به گفته دانش، تست نرم‌افزار و تولید دو محصولی که در دست دارند به اندازه کافی برای اعضای این شرکت زمانگیر است. علاوه بر کمبود نیروی کاری متخصص، چالش دیگری است که این مجموعه مانند بسیار از شرکت‌های مطرح ایرانی دیگر با آن مواجه است. او توضیح می‌دهد: «حصین ایمن در حال حاضر 20 نفر پرسنل دارد که به سه دسته تقسیم می‌شوند. هشت تا 9 نفر از آن‌ها مسئولیت بخش سخت افزار را به عهده دارند، سه نفر تست‌های نرم افزاری را انجام می‌دهند و بین شش تا هفت نفر هم به تولید نرم‌افزار مشغول‌اند.»

دانش وجه تمایز حصین ایمن را با رقبای داخلی خو در همین نیروی انسانی می‌داند و می‌گوید: «نخست آنکه حصین ایمن از هیچ رانتی استفاده نمی‌کند و به واسطه آن وارد هیچ مناقصه‌ و مزایده‌ای‌ نمی‌شود و تلاش دارد قیمت‌های معقولی داشته باشد. همچنین بودجه و سرمایه‌گذاری از خارج از شرکت نداشته‌ایم و همه مواد لازم برای تولید محصولات را خودمان تهیه کرده‌ایم. به همین خاطر نمی‌توانیم نیروی انسانی زیادی داشته باشیم، چراکه هزینه‌های زیادی خصوصاً در بخش تحقیق و توسعه داریم و مجبوریم شرکت را کوچک نگه داریم. البته میانیگن حقوقی ما نیز بالاست و افرادی که با آ‌ن‌ها همکاری داریم در حوزه کاری خود بهترین هستند. علاوه بر این، مشتری مداری و رعایت اخلاق برای ما اهمیت بالایی دارد. گاهی خدماتی بسیار بیشتر از آنچه به ما پرداخت شده انجام داده‌ایم و گاه حتی پس از مدت زمان گارانتی محصولی با ما تماس گرفته شده و پشتیبانی رایگان داشته‌ایم.»

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.