راه پرداخت
رسانه فناوری‌های مالی ایران

ارزیابی امنیتی بخش صادرکنندگی کارت‌های شتابی

محمدجواد صمدی راد؛ عضو هیئت‌مدیره فناوری شهر / نادر مرتضی زاده؛ معاون فنی فناوری شهر / مجید یداللهی؛ مدیر دفتر برنامه‌ریزی فناوری شهر (وابسته به بانک شهر) / کاربردهای گسترده کارت‌های بانکی با الگوی شتاب، امری غیرقابل‌انکار بوده و ضرورت توجه به امنیت آن را صدچندان می‌نماید. خوشبختانه با ظهور شاپرک ساماندهی مناسبی در حوزه پذیرندگی کارت‌های شتابی به‌عمل‌آمده است و بخشی از تهدیدات امنیتی در این حوزه مدیریت شده است؛ اما در حوزه صادرکنندگی و تهدیدات امنیتی این حوزه، اقدام جدی و مؤثری صورت نپذیرفته است.

در این مقاله سعی شده است تا با بررسی آسیب‌های ذاتی فناوری کارت‌های مغناطیسی و چارچوب‌های امنیتی بکار گرفته‌شده توسط بانک‌های صادرکننده ایرانی مبتنی بر الگوی شتاب، برخی از این آسیب‌ها به‌صورت آماری و مستدل ارائه گردد؛ روش ارزیابی در این مطالعات مبتنی بر ارزیابی جعبه سیاه و بر اساس سناریوهای سوءاستفاده از کارت‌های جعلی است. بدیهی است به‌منظور عدم افشای آسیب‌پذیری بانک‌های مورد مطالعه در مقاله از بیان نام آن‌ها پرهیز شده است.

امیدوار است با برخی از نتایج ارائه شده در این مقاله برخی از تهدیدات حوزه صادرکنندگی نیز شفاف شده و موردتوجه فعالان حوزه پرداخت‌کارتی کشور قرار گیرد و بهبودهای امنیتی در حوزه صادرکنندگی کارت‌های شتابی را نیز شاهد باشیم.

.

مقدمه

کاربردهای گسترده کارت‌های بانکی با الگوی شتاب امری غیرقابل‌انکار بوده و ضرورت توجه به امنیت آن را صدچندان می‌نماید. خوشبختانه با ظهور شاپرک ساماندهی مناسبی در حوزه پذیرندگی کارت‌های شتابی به‌عمل‌آمده است و بخشی از تهدیدات امنیتی در این حوزه مدیریت شده است؛ اما در حوزه صادرکنندگی و تهدیدات امنیتی این حوزه اقدام جدی و مؤثری صورت نپذیرفته است. در این مقاله سعی شده تا با طرح یک سناریوی نفوذ، شرایط امنیتی کارت‌های بانکی صادر شده تحت الگوی شتاب را بررسی نموده و میزان آسیب‌پذیری کارت‌های فعال موجود در کشور را به نسبت این سناریوی نفوذ ارزیابی نماید.

دارندگان کارت‌های بانکی شتابی، بر این باور هستند که صرفاً با داشتن فیزیک کارت‌بانکی و رمز عبور می‌توان در پایانه‌های خرید و یا سایر ابزارهای پذیرندگی حضوری، نسبت به عملیات دریافت (یا خرید) اقدام نمود و لذا اعتماد خود را به امنیت سامانه‌های مرتبط با کارت‌های بانکی بر این اساس بنا نهاده‌اند و ازآنجایی‌که امنیت کارت‌بانکی خود را مبتنی بر دو عامل فیزیک کارت و رمز اول می‌دانند، معمولاً حساسیتی در افشای رمز عبور خود ندارند و شاهد آن هستیم که در فروشگاه‌ها، دارنده کارت، رمز اول خود را جهت وارد نمودن بر روی پایانه به پذیرنده افشا می‌نماید.

از سوی دیگر جرائم سایبری مرتبط با حوزه کارت‌های بانکی غالباً متمرکز بر کپی کردن کارت‌های بانکی است و با تهیه کپی از کارت‌بانکی و رمزهای افشاشده، جرائم مرتبط سازمان‌دهی می‌شوند. با توجه به ضعف ذاتی فناوری کارت‌های مغناطیسی، امکان کپی کردن کارت‌های مغناطیسی بسیار سهل است. ولی حداقل یک‌بار کارت باید در ترمینالی غیرمجاز کشیده شود تا امکان کپی آن فراهم گردد.

 در سناریوی نفوذ پیشنهادی در این مقاله سعی شده است تا برای تهیه کپی از کارت، حتی نیاز به کشیدن آن بر روی پایانه غیرمجاز هم نباشد و بتوان بخش عمده‌ای از اطلاعات نوارهای مغناطیسی کارت‌های بانکی را با اطلاعات دیداری آن‌ها که بر روی کارت چاپ شده است بازسازی نمود و با کارت‌های بازسازی شده شرایط سوءاستفاده از حساب‌های بانکی را فراهم نمود. البته در شرایطی که بانک‌های صادرکننده، حداقل شرایط امنیتی را برای کارت‌های مغناطیسی فراهم کرده باشند، این روش نفوذ ناموفق خواهد بود.

.

صادرکنندگی کارت‌های شتابی

بر اساس الگوی شتاب، مسئولیت صدور کارت‌های بانکی منطبق بر شتاب، بر عهده بانک‌ها و مؤسسات مالی مجاز است که توسط مرکز شتاب و اداره نظام‌های پرداخت احراز صلاحیت شده‌اند. بر اساس آخرین دستورالعمل منتشر شده در زمینه مرکز شتاب که در سایت بانک مرکزی قابل‌دسترس است، شرایط عضویت و اتصال یک عضو جدید به تشریح بیان شده است.

مستقل از تست‌هایی که در زمان عضویت انجام می‌پذیرد، در این دستورالعمل شرایط بازرسی‌های بعدی و نظارت بر رعایت اصول امنیتی در شرایط بهره‌برداری مغفول مانده است که پیشنهاد می‌گردد در این خصوص نیز رویه‌های نظارتی مناسبی تدوین و اجرا گردد.

از سوی دیگر در این مستندات، شرایط کنترل، تست و ارزیابی فیزیک کارت، بسیار کمرنگ بوده و صرفاً محدود به ارجاع به برخی از استانداردهای رایج این حوزه است.

pic-magh-1-index-way2pay-94-11-24

تصویر شماره 1- مستند فرآیند تراکنش‌های شتاب- فرآیند عضویت

.

امنیت در پردازش تراکنش‌های کارتی شتابی

با توجه به معماری شتاب و فرمت پیام‌های تعیین شده در مستندات فنی آن، مسئولیت احراز صحت پیام (به‌عنوان‌مثال تراکنش خرید) و احراز دارنده کارت (از طریق رمز) بر عهده بانک صادرکننده است. بر اساس همین مستندات، ارسال اطلاعات نوار مغناطیسی (Track 2) در کلیه تراکنش‌های حضوری (Card Present) الزامی بوده و صحت سنجی آن بر عهده صادرکننده کارت است.

pic-magh-2-index-way2pay-94-11-24

تصویر شماره 2- توپولوژی کلان شتاب

pic-magh-3-index-way2pay-94-11-24

تصویر شماره 3- شرح جزئیات اقلام اطلاعاتی و قالب تراکنش شتاب – شرایط بهره‌گیری از شیار 2 نوار مغناطیسی در شتاب

pic-magh-4-index-way2pay-94-11-24

تصویر شماره 4- شرح جزئیات اقلام اطلاعاتی و قالب تراکنش شتاب- الزامات امنیتی

.

جزئیات محتوای شیار 2 (Track 2) نوار مغناطیسی:

جزئیات محتوای شیار 2 نوار مغناطیسی در استاندارد ISO7813 به تشریح بیان شده است و دربرگیرنده اطلاعاتی مانند شماره کارت (PAN) و تاریخ انقضا است.

pic-magh-5-index-way2pay-94-11-24

تصویر شماره 5- اجزای اطلاعاتی شیار 2 نوار مغناطیسی

همان‌گونه که در تصویر فوق نمایان است، بخشی از این اطلاعات همان اطلاعات دیداری کارت (شماره کارت، تاریخ انقضا، PVV/CVV2) است و بخشی از اطلاعات مانند Service Code و CVV/CVC به‌صورت دیداری افشا نشده است و ضرورت دارد صادرکننده به نحوی این اطلاعات را در سمت سامانه صادرکنندگی خود نگهداری نماید. درصورتی‌که صادرکننده این بخش از اطلاعات را کنترل ننماید، امکان بازسازی اطلاعات شیار دوم با اطلاعات دیداری مقدور می‌گردد.

تشریح سناریوی نفوذ

با توجه به ساختار نوار مغناطیسی و ضرورت درج اطلاعاتی نظیر CVV/CVC در شیار دوم کارت و ضرورت کنترل صحت آن توسط صادرکننده، سناریوی نفوذی بر اساس همین ایده طراحی گردید:

1-    با بهره‌گیری از دوربین مداربسته یک پذیرنده، تصاویر کارت‌های بانکی استخراج گردید و اطلاعات دیداری آن‌ها استخراج شد.

2-    بر اساس اطلاعات دیداری کارت‌ها، کارت شبیه‌سازی شده معادل هر کارت تهیه گردید.

3-    به دلیل افشای رمز توسط دارندگان کارت در زمان استفاده از کارت، رمز کارت‌ها نیز به‌سادگی در اختیار نفوذگر قرار گرفت.

4-    به‌منظور ارزیابی امنیت بانک‌های صادرکننده در کنترل محتوای شیار دوم نوار مغناطیسی با کارت‌های شبیه‌سازی شده و رمزهای شنیده شده، تراکنش خرید 1002 ریالی انجام شد و نتایج زیر حاصل گردید.

تعداد بانک‌های عضو شتاب

33

تعداد بانک‌هایی که کارت آن‌ها در سناریو مشاهده گردید

25

تعداد بانک‌های آسیب‌پذیر

12

pic-magh-6-index-way2pay-94-11-24

تصویر شماره 6- درصد بانک‌های آسیب‌پذیر

.

پیش‌بینی تعداد کارت‌های آسیب‌پذیر

بر اساس آخرین آمار منتشر شده از سوی بانک مرکزی، تعداد کارت‌های فعال بانک‌های صادرکننده به شرح زیر است:

pic-magh-7-index-way2pay-94-11-24

با فرض آنکه کارت‌های صادر شده توسط هر یک از بانک‌های فوق توسط صرفاً یک سوییچ صادرکنندگی مدیریت می‌گردد و رفتار امنیتی با کلیه کارت‌های یک بانک یکسان است، تعداد کارت‌های آسیب‌پذیر در کشور به شرح زیر است:

pic-magh-8-index-way2pay-94-11-24

تصویر شماره 7- درصد کارت‌های آسیب‌پذیر

.

نتیجه‌گیری

1- وضعیت کنونی صادرکنندگی کارت‌های شتابی بسیار پر ریسک بوده و احتمال سوءاستفاده از حداقل 32 درصد از کارت‌های صادر شده مطابق با سناریو طرح شده مقدور است.

2- تهیه برنامه کوتاه‌مدت جهت بهبود وضعیت امنیت بانک‌های آسیب‌پذیر ضروری به نظر می‌رسد.

3- برنامه بلندمدت جهت مهاجرت به کارت‌های با فناوری امن (ترجیحاً سازگار با EMV)، توصیه می‌گردد.

4- تهیه برنامه کلان جهت ارتقاء شتاب از یک سوییچ واسط ملی به یک شپک استاندارد منطقه‌ای پیشنهاد می‌گردد.

.

منابع:

1- بانک مرکزی جمهوری اسلامی ایران، سال 1392، مستندات فنی شتاب – جلد یک تا پنج، نسخه 7.0.2

2- سازمان بین‌المللی استاندارد، سال 2006، ISO/IEC 7813:2006 Information technology — Identification cards — Financial transaction cards

3- وب‌سایت بانک مرکزی جمهوری اسلامی ایران

4 دیدگاه
  1. علیرضا قهرود - alirezaghahrood می‌گوید

    بسیار عالی
    متریک – ریسک
    و تشکر

  2. میهمان می‌گوید

    به نظر من این افراد هیچ تخصص خاصی در زمینه بانکی و پرداخت ندارند و با ارائه مطالب از رسانه شما به بدبینی و کج خلقی مخاطبان این سایت با ارزش و بار فنی بالا سبب می شود…

  3. پیام می‌گوید

    موضوع امنیتی طرح شده در مقاله جالب و چالش برانگیز hست و در صورتی که این ضعف امنیتی وجود داشته باشد مخاطرات زیادی بدنبال خواهد داشت که می تواند بانکهای صادرکننده به چالش و تامل وادارد.
    پرداختن و تحقیق در این خصوص جای تشکر دارد…

  4. وحید می‌گوید

    مقاله جالبی بود، جویا شدن نظر بانک های صادرکننده در این رابطه می تواند از سوی راه پرداخت پیگیری شود..
    ممنون از سایت شما با مطالب مفید آن

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.