آیا مشکل امنیت کدهای دستوری USSD با اپلت حل می‌شود؟

وزیر ارتباطات از توافق بر سر نصب اپلت بر سیم‌کارت‌های تلفن همراه برای حل دغدغه امنیت کدهای دستوری خبر داده است. فارغ از اینکه توافقی بر سر این کار به عمل آمده یا آقای وزیر آینده را پیش‌بینی کرده است، سؤالات اصلی عملیاتی بودن چنین راهکاری و تأثیر آن بر رفع ناامنی یواس‌اس‌دی است.

حکاک در گفت‌وگو با شاهین نوروزی کارشناس و فعال حوزه امنیت سایبری، پاسخ هر دو پرسش را جویا شده است.

نوروزی می‌گوید: «در پروتکل یواس‌اس‌دی هیچ نوع رمزنگاری بر روی اطلاعات انجام نمی‌شود، به همین خاطر هم بستر به شدت ناامنی برای تبادل هرگونه اطلاعات مهم خصوصاً اطلاعات بانکی است.»

نوروزی دغدغه بانک مرکزی درباره امنیت این بستر برای تراکنش‌های بانکی را که مستلزم انتقال اطلاعات حساس در این بستر است کاملاً درست و بجا می‌داند چون بسته‌های اطلاعاتی که تحت این پروتکل رد و بدل می‌شوند فاقد رمزگذاری هستند بنابراین شنود آن‌ها برای تمام عناصری که در مسیر انتقال این بسته‌ها قرار دارند میسر است و می‌توانند محتوای آن‌ها را ببینند.

مدیرعامل شرکت پندار کوشک ایمن منظور خود را از شنود این‌گونه توضیح‌ می‌دهد: «درواقع اپراتورها، شرکت‌های پرداخت و کسانی که سِروِرهای کدهای دستوری را در اختیار دارند، به این بسته‌های اطلاعاتی دسترسی دارند. به عبارت روشن‌تر وقتی هرکدام از ما تراکنشی با کدهای دستوری انجام می‌دهیم، شماره کارت، رمز دوم، تاریخ انقضا و… کارت و حساب بانکی ما در معرض دید افراد مختلفی قرار می‌گیرد و طبیعتاً احتمال سوءاستفاده از این اطلاعات هم مطرح خواهد بود».

این فعال حوزه امنیت سایبری تأکید می‌کند: «اگرچه شاپرک و بانک مرکزی به عنوان متولیان حوزه پرداخت کشور، نظارت سخت‌گیرانه‌ای بر بانک‌ها و شرکت‌های پرداخت الکترونیک دارند تا احتمال سوءاستفاده‌های احتمالی را به حداقل برسانند ولی باز هم امکان و احتمال لو رفتن اطلاعات بانکی از بین نمی‌رود خصوصاً اینکه متأسفانه طی یک دو سال اخیر شاهد فعالیت و تبلیغات گسترده شرکت‌هایی هستیم که کدهای دستوری تحت اجاره خود را تبلیغ می‌کنند و از آنجایی که نه بانک هستند و نه شرکت پرداخت، از حیطه نظارت بانک مرکزی و شاپرک خارج هستند و رگولاتورهای مخابراتی هم نظارتی بر آن‌ها ندارند.»

نوروزی در ادامه گفت: «این رویه ریسک استفاده از کدهای دستوری را به شدت بالا برده و به همین خاطر هم بانک مرکزی به دنبال محدود کردن این سرویس است.»

او به عنوان کارشناسان حوزه امنیت سایبری به مردم توصیه می‌کند که به هیچ‌وجه از این بستر برای انجام تراکنش‌های بانکی استفاده نکنند.

به‌تازگی صحبت‌هایی از سوی مسئولان حوزه ارتباطات مطرح شده مبنی بر اینکه بستر یواس‌اس‌دی را با تدابیری امن خواهند کرد حتی از توافق‌هایی صحبت شده که برای ایجاد این امنیت با بانک مرکزی انجام شده است.

مدیرعامل پندار کوشک در پاسخ به این سؤال که آیا روش‌هایی وجود دارد که پروتکل یواس‌اس‌دی را امن کرد، جواب ‌می‌دهد: «واقعیت این است که ذات پروتکل یواس‌اس‌دی به گونه‌ای نیست که اطلاعات را رمزنگاری کند ولی این امکان وجود دارد که با نصب نرم‌افزارهایی مانند اپلت بر روی سیم‌کارت تلفن همراه، اطلاعات را رمزگذاری کرد. با این حال نکته مهم این است که اطلاعات رمزگذاری شده در نقطه ارسال که همان گوشی تلفن همراه است در کدام نقطه رمزگشایی خواهد شد؟ اگر قرار باشد این اطلاعات در نقطه اپراتورها رمزگشایی بشود در واقع فقط اطلاعات در مسیر بین گوشی تا اپراتور امن شده و احتمال سوءاستفاده از این اطلاعات در سایر نقاط مسیر همچنان باقی خواهد ماند. از آنجایی که برای دستبرد و شنود اطلاعات در مسیر گوشی تا اپراتور نیاز به تجهیزات خاص و تخصص کافی است انجام این نوع حمله راه ساده و متداولی نیست به این ترتیب ارزش‌افزوده‌ای برای امنیت اطلاعات به وجود نیاورده‌ایم و مسئله شنود اطلاعات در هر نقطه‌ای به ویژه شرکت‌های واسطه اطلاعات به قوت خود باقی است.»

به گفته نوروزی راه دوم این است که بسته اطلاعاتی از گوشی رمزگذاری و در نقاطی که مورد تأیید بانک مرکزی یا شاپرک هستند، رمزگشایی شوند. لازمه این کار این است که ارائه‌دهنده سرویس‌های بانکی با تغییراتی در نرم‌افزارهای خود، اطلاعات رمزگذاری شده را باز کنند. با این حال یک چیز مسلم است؛ در هر دو روش، اگر کسی همچنان اصرار دارد از کدهای دستوری استفاده کند باید سیم‌کارت خود را عوض کند یا برای نصب «اپلت» روی سیم‌کارت خود به اپراتورها مراجعه کند؛ اقدامی که قطعاً پرهزینه، پرزحمت و شاید هم نشدنی باشد.

به اعتقاد او منطق حکم می‌کند به جای استفاده از پروتکلی که ذاتاً ناامن است و برای گوشی‌های نسل گذشته طراحی و کاربرد داشته و برای تبادل اطلاعات بانکی، نامناسب است، کاربران را به سمت استفاده از فناوری‌های جدید مانند اپلیکیشن‌های پرداخت سوق دهیم.