اپلت‌؛ راهکاری برای رفع ناامنی یو‌اس‌اس‌دی

 بانكداري ايراني - وزیر ارتباطات از توافق بر سر نصب اپلت بر سیم‌کارت‌های تلفن‌همراه برای حل دغدغه امنیت کدهای دستوری خبر داده‌است. فارغ از اینکه توافقی بر سر این کار بعمل آمده یا آقای وزیر آینده را پیش‌بینی کرده‌است، سوالات اصلی عملیاتی بودن چنین راهکاری و تاثیر آن بر رفع ناامنی یو‌اس‌اس‌دی است.

حکاک در گفت‌وگو با شاهین نوروزی کارشناس و فعال حوزه امنیت سایبری، پاسخ هر دو پرسش را جویا شده‌است.

نوروزی می‌گوید: "در پروتکل یو‌اس‌اس‌دی هیچ نوع رمزنگاری بر روی اطلاعات انجام نمی‌شود، به همین خاطر هم بستر به شدت ناامنی برای تبادل هرگونه اطلاعات مهم خصوصا اطلاعات بانکی است.  نوروزی دغدغه بانک‌مرکزی درباره امنیت این بستر برای تراکنش‌های بانکی را که مستلزم انتقال اطلاعات حساس در این بستر است "کاملا درست و بجا می‌داند چون بسته‌های اطلاعاتی که تحت این پروتکل رد و بدل می‌شوند فاقد رمزگذاری هستند بنابراین شنود آن‌ها برای تمام عناصری که در مسیر انتقال این بسته‌ها قرار دارند میسر است و می‌توانند محتوای آن‌ها را ببینند”.

مدیرعامل شرکت پندار کوشک ایمن منظور خود را از شنود این‌گونه توضیح‌می‌دهد که "در واقع اپراتورها، شرکت‌های پرداخت و کسانی که سِروِرهای کدهای دستوری را در اختیار دارند، به این بسته‌های اطلاعاتی دسترسی دارند. به عبارت روشن‌تر وقتی هر کدام از ما تراکنشی با کدهای دستوری انجام می‌دهیم، شماره کارت، رمز دوم، تاریخ انقضا و… کارت و حساب بانکی ما در معرض دید افراد مختلفی قرار می‌گیرد و طبیعتا احتمال سوءاستفاده از این اطلاعات هم مطرح خواهدبود”. این فعال حوزه امنیت سایبری تاکید‌می‌کند "اگرچه شاپرک و بانک‌مرکزی به عنوان متولیان حوزه پرداخت کشور، نظارت سختگیرانه‌ای بر بانک‌ها و شرکت‌های پرداخت الکترونیک دارند تا احتمال سوءاستفاده‌های احتمالی را به حداقل برسانند ولی باز هم امکان و احتمال لو رفتن اطلاعات بانکی از بین نمی‌رود خصوصا اینکه متأسفانه طی یک دو سال اخیر شاهد فعالیت و تبلیغات گسترده شرکت‌هایی هستیم که کدهای دستوری تحت اجاره خود را تبلیغ می‌کنند و از آنجایی که نه بانک هستند و نه شرکت پرداخت، از حیطه نظارت بانک‌مرکزی و شاپرک خارج هستند و رگولاتورهای مخابراتی هم نظارتی بر آن‌ها ندارند”.

به اعتقاد نوروزی "این رویه ریسک استفاده از کدهای دستوری را به شدت بالا برده و به همین خاطر هم بانک‌مرکزی به دنبال محدود کردن این سرویس است”.

او به عنوان کارشناسان حوزه امنیت سایبری به مردم توصیه می‌کند "به هیچ‌وجه از این بستر برای انجام تراکنش‌های بانکی استفاده نکنند”.

بتازگی صحبت‌هایی از سوی مسئولان حوزه ارتباطات مطرح شده مبنی بر اینکه بستر یو‌اس‌اس‌دی را با تدابیری امن خواهند کرد حتی از توافق‌هایی صحبت شده که برای ایجاد این امنیت با بانک‌مرکزی انجام شده‌است.

مدیرعامل پندار کوشک در پاسخ به این سوال که  آیا روش‌هایی وجود دارد که پروتکل یو‌اس‌اس‌دی را امن کرد، جواب‌می‌دهد”واقعیت این است که ذات پروتکل یو‌اس‌اس‌دی به گونه‌ای نیست که اطلاعات را رمزنگاری کند ولی این امکان وجود دارد که با نصب نرم‌افزارهایی (اپلت) بر روی سیمکارت تلفن‌همراه، اطلاعات را رمزگذاری کرد. با این حال نکته مهم این است که اطلاعات رمزگذاری شده در نقطه ارسال که همان گوشی تلفن‌همراه است در کدام نقطه رمزگشایی خواهدشد؟ اگر قرار باشد این اطلاعات در نقطه اپراتورها رمزگشایی بشود در واقع فقط اطلاعات در مسیر بین گوشی تا اپراتور امن شده‌ و احتمال سوءاستفاده از این اطلاعات در سایر نقاط مسیر همچنان باقی خواهدماند. از آنجایی که برای دستبرد و شنود اطلاعات در مسیر گوشی تا اپراتور نیاز به تجهیزات خاص و تخصص کافی است انجام این نوع حمله راه ساده و متداولی نیست به این ترتیب ارزش افزوده‌ای برای امنیت اطلاعات بوجود نیاورده‌ایم و مسئله شنود اطلاعات در هر نقطه‌ای به ویژه شرکت‌های واسطه اطلاعات به قوت خود باقیست”.

به گفته نوروزی راه دوم این است که "بسته اطلاعاتی از گوشی رمزگذاری و در نقاطی که مورد تأیید بانک‌مرکزی یا شاپرک هستند، رمزگشایی شوند. لازمه این کار این است که ارائه‌دهنده سرویس‌های بانکی با تغییراتی در نرم‌افزارهای خود، اطلاعات رمزگذاری شده را باز کنند. با این حال یک چیز مسلم است؛ در هر دو روش، اگر کسی همچنان اصرار دارد از کدهای دستوری استفاده کند باید سیم‌کارت خود را عوض کند یا برای نصب "اپلت” روی سیم‌کارت خود به اپراتورها مراجعه کند؛ اقدامی که قطعا پرهزینه، پرزحمت و شاید هم نشدنی باشد”.

به اعتقاد او "منطق حکم می‌کند به جای استفاده از پروتکلی که ذاتا ناامن است و برای گوشی‌های نسل گذشته طراحی و کاربرد داشته و برای تبادل اطلاعات بانکی، نامناسب است، کاربران را به سمت استفاده از فناوری‌های جدید مانند اپلیکیشن‌های پرداخت سوق دهیم”.