بررسی امنیت کدهای USSD ؛ حذف کدهای USSD درست است یا اشتباه؟

این روزها اخبار مختلفی در مورد حذف کدهای USSD منتشر شده است. آیا حذف این کدها ‌کار درستی است یا اشتباه؟ میزان امنیت این کدها چقدر است؟

به گزارش تکراتو و به نقل از ایسنا، یک کارشناس ارتباطات و فناوری اطلاعات، به بررسی مباحث مرتبط با  کدهای USSD پرداخت و حذف کدهای USSD را ایجاد دردسر برای مردمی دانست که به اینترنت دسترسی ندارند و یا از گوشی‌های هوشمند استفاده نمی‌کنند.

استقبال مردم از کدهای USSD

محمدجواد حبیبی اعلام نمود که پرداختن به مباحث مرتبط با حذف کدهای USSD در کشور موضوع جدیدی نیست و ادامه داد که پس از بازتعریف این بستر توسط اپراتورها، استقبال گسترده‌ای توسط مردم از آنها اتفاق افتاد. به گفته وی مردم برای حل بسیاری از نیازهای روزانه خود در حوزه پرداخت الکترونیکی از این کدها استفاده می‌کنند. وی در چنین شرایط حذف کدهای USSD را مناسب ندانست و تاکید نمود که شاید محبوبیت استفاده از این کدها به دلیل جمع شدن چندین عامل متقابل با یکدیگر باشد.

به گفته این کارشناس فناوری اطلاعات، همیشه تبلیغات متفاوتی برای استفاده از این کدهای ساده و روان در جای جای شهرها انجام می‌گیرد و این مسئله توانسته است تا علاوه بر درگیر کردن ذهن مردم، ذهن متخصصان و فعالان دو صنعت مخابرات و پرداخت الکترونیکی را نیز به خود معطوف کند. وی همچنین استفاده از کدهای USSD را محل نزاع آراء مختلف دانست و اعلام کرد که بانک مرکزی استفاده از این کدها را ناامن دانسته است و تا به حال نیز سعی کرده تا محدودیت‌هایی را در استفاه از این روش  در نظر بگیرد.

آیا حذف کدهای USSD اقدامی صحیح است؟

حبیبی در مورد اینکه آیا حذف کدهای USSD صحیح است تا خیر سخن گفت و ادامه داد که بسیاری از افراد چون استفاده از این روش را فاقد امنیت لازم می‌دانند، با حذف آن موافق هستند. وی ادامه داد که درست است این کدها از امنیت لازم برخوردار نیستند اما در مورد حذف کدهای USSD بهتر است به اقشار ضعیف‌تر جامعه نیز توجه داشت.

وی تاکید نمود که اقشار پایین جامعه منظور افرادی است که به اینترنت دسترسی ندارند و یا اینکه تلفن همراه آنها هوشمند نیست و قادر نیستند تا از سایر امکانات به روز و امن که در این زمینه وجود دارد استفاده کنند.

حبیبی ادامه داد که تصمیم گیری صحیح در مورد حذف کدهای USSD ، تنها به استانداردهای شناخته شده بانکداری و پرداخت الکترونیکی وابسته نیست، بلکه مکانیزم‌های امنیتی که در بسترهای داخلی اپراتورهای کشور استفاده می‌شوند و عموماً نیز محرمانه تلقی می‌شوند هم می‌تواند با این نتیجه‌گیری ارتباط مستقیم داشته باشد. به گفته وی بررسی دقیق مکانیزم‌های امنیتی اپراتورهای داخلی کشور، جز با مجوزهای خاص امکان پذیر نیست.

استفاده از استانداردهای جهانی مخابرات در کشور

حبیبی اعلام نمود که استفاده از استانداردهای جهانی مخابرات در کشور در حال بهره‌برداری است. به گفته وی امنیت تبادلات در سه سطح تامین می‌شود، احراز هویت کاربر، رمزگذاری داده‌ها و سیگنال‌های تبادلی و حفظ محرمانگی هویت کابران. وی تاکید نمود که تمامی این عملیات‌ از طریق الگورتیم‌های رمزنگاری متقارن و کلیدهایی که در تراشه‌های هوشمندی با نام سیم کارت وجود دارند، به عنوان ماژول ایمن (security module) پشتیبانی می‌شوند.

وی همچنین در مورد ساختار ارتباطی اپراتورها سخن گفت و اعلام نمود که در این ساختار بخش‌هایی وجود دارند که مدیریت تقلب را انجام می‌دهند و شامل لیست‌هایی نیز هستند. از جمله این لیست‌ها می‌توان به لیست سیاه، شامل مشترکین محروم از دریافت خدمات، لیست خاکستری، شامل مشترکینی که فعالیت‌های مشکوک دارند و تحت نظارت‌های خاص قرار می‌گیرند و لیست سفید که عموم مشترکین را شامل می‌شود اشاره کرد.

به گفته‌ی این کارشناس فناوری اطلاعات، هم اکنون تمام ارتباطات موبایلی از جمله مکانیزم‌های محاسبه صورتحساب، توسط همین مکانیزم‌های امنیتی تامین و پشتیبانی می‌شوند و اگر چنین چیزی وجود نداشت و عبور از آنها به راحتی امکان پذیر بود، امروزه نرم افزارها و سخت افزارهایی زیادی موجود بود که با استفاده از آنها هک شبکه‌ها و جعل هویت به راحتی انجام می‌گرفت. به عنوان مثال اگر در این حالت امنیت وجود نداشت، امکان برقراری تماس‌های رایگان فراهم می‌شد و تا کنون اپراتورها ورشکست شده بودند.

وی تاکید نمود که برای تایید امنیت عملیات بانکی و پرداخت‌ها، فقط وجود امنیت قابل قبول در کانال بین فرستنده پیام و اپراتور شبکه مخابراتی کافی نیست بلکه قبل و پس از آن هم باید وجود امنیت مورد بررسی قرار گیرد.

دستکاری یا شنود داده‌ در دستگاه مبدا امکان پذیر است!

این کارشناس فناوری اطلاعات اعلام نمود که امکان شناسایی هویت مشترکین از طریق اپراتورهای مخابراتی وجود دارد. به گفته وی این عملیات با بهره گیری از کلید ذخیره شده در سیم کارت که همان نقش توکن‌های سخت افزاری متعارف را دارد، انجام می‌گیرد. وی ادامه داد که  با مکانیزم امنیتی چالش، پاسخ (Challenge-Response) و با بهره‌گیری از ضریب بالای امنیتی، قابلیت اعتماد فراهم می‌شود، به گونه‌ای که هم اکنون نیز کلیه نرم‌افزارهای موبایلی اعم از نرم‌افزارهای بانکی و پرداخت از همین مکانیزم برای احراز هویت کابران خود استفاده می‌کنند.

وی تاکید نمود که دریافت متون تصادفی ارسال شده در پیامک‌ها نیز به منزله تصدیق اصالت کاربر قلمداد می‌شود و برخی بانک‌ها برای اینکه اجازه انتقال وجوه بالا را به مشتری بدهند، از طریق ورود رمزهای یکبار مصرفی که از همین سامانه برای احراز هویت مشترکین ارسال می‌شود، استفاده می‌کنند.

به گفته حبیبی سیم‌کارت‌ها به دلیل دارا بودن توانمندی‌های بسیار بالا، در واقع ماژول‌های هوشمند شخصی تلقی می‌شوند که به علت اتصال همیشگی به مبدا، برخلاف کارت‌های هوشمند، امکان ابطال و مسدود کردن آنها در هنگام مفقودی و یا سرقت به راحتی وجود دارد. وی در ادامه تاکید نمود که با وجود چنین شرایطی این بستر امروزه یکی از مطمئن‌ترین بسترهای احراز هویت کاربران است.

وی بیان کرد که این بستر با دارا بودن ضریب نفوذ بسیار بالا، کمترین میزان ریسک را در معماری‌های امنیتی خود دارد و ادامه داد که راه حل‌های نرم افزاری که برای فروش شارژ توسط کدهای دستوری وجود دارد، مستقیماً از اطلاعات هویتی که اپراتورها در اختیار آنها قرار می‌دهند، استفاده می‌کنند. به گفته وی در این باره کمترین میزان ریسک وجود دارد و این میزان از امنیت، از هیچ یک از متخصصان حوزه فناوری اطلاعات پوشیده نیست.

به گفته حبیبی اگر فرض بر این باشد که داده‌ها در کانال هم رمزگذاری نشوند و یا رمزگذاری آنها شکسته شود و در مبدا هم امکان دستکاری و شنود آنها وجود داشته باشد، همکاران بانکی راهکارهای بسیاری برای مدیریت و کاهش ریسک در این شرایط دارند. به عنوان مثال، از طریق همین سامانه پیوند که به منظور جلوگیری از تبادل شماره کارت بانکی (PAN) ایجاد شده است، می‌توان رمز دیگری را برای متقاضیان در نظر گرفت که در صورتی که افشاء شد و یا جعل گردید نیز امکان سوءاستفاده از آن وجود نداشته باشد و یا برای پذیرندگان و سقف تراکنش‌های روزانه محدودیت‌هایی ایجاد کند.

وی همچنین به وجود حملاتی مانند جعل درخواست (CSRF) اشاره کرد و ادامه داد که امکان استفاده از مقادیر تصادفی به سادگی در حین عملیات امکان پذیر است. به گفته این کارشناس فناوری اطلاعات نکته بسیار جالبی که در مورد استفاده از کدهای USSD وجود دارد این است که، بسیاری از مخاطراتی که در بستر اینترنت وجود دارند، بی معنی هستند. وی در ادامه به فیشینگ اشاره کرد و ادامه داد که این مشکل یکی از معضلات جدی دنیای پرداخت مبتنی بر اینترنت است و همه روزه بسیاری از هموطنان به این دلیل متضرر می‌شوند.

نقش اپراتورها در افشای اطلاعات بانکی

حبیبی در ادامه صحبت‌های خود در مورد استفاده از کدهای USSD و همچنین حذف کدهای USSD ، به مشکل افشای اطلاعات بانکی توسط اپراتورها اشاره کرد و ادامه داد در صورتی که اطلاعات با امنیتی مناسب توسط اپراتورها دریافت شوند، چه تضمینی وجود دارد که اطلاعات در این حلقه دچار آسیب نشود؟! حبیبی اعلام نمود که پاسخ این ابهام روشن است و ادامه داد که این امر در مورد شرکت‌های ارائه دهنده خدمات پرداخت که به اطلاعات بانکی دسترسی دارند و رمزنگاری داده‌های حساس از پایانه‌های پرداخت تا آنها انجام می‌گیرد نیز صدق می‌کند. به گفته حبیبی این داده‌ها پس از رمزگشایی، مجددا رمز می‌شوند و به سوئیچ‌های مرتبط بعدی ارسال می‌گردند.

مشکل امنیتی کدهای USSD قابل حل است!

حبیبی اعلام نمود که مشکل امنیتی کدهای USSD قابل حل است و تاکید نمود که برای حل این مشکل باید انگیزه لازم وجود داشته باشد. به گفته وی همین مکانیزم‌های نظارتی با همکاری طرفین، در خصوص اپراتورها نیز قابل اعمال است و تاکید نمود که توانمندی فنی و سازمانی اپراتورهای مخابراتی از ۱۳ شرکت فعلی که مجوز ارائه خدمات پرداخت را دارند کمتر نیست.

وی در ادامه به نکته مهمی اشاره کرد و اعلام نمود که زیرکدهای دستوری با اعمال برخی تغییرات، قابلیت رمزگذاری مضاعف را به شکل انتها به انتها (End To End) بین دستگاه موبایل و اپراتور مخابراتی دارند. به گفته وی اغلب کشورها نیز از این بستر جهت مبادلات مالی و پولی استفاده می‌کنند. وی بر استفاده از این روش تاکید کرد و اعلام نمود که اپراتورهای داخلی نیز می‌توانند به آنها مجهز شوند و بانک مرکزی نیز باید اپراتورها را به استفاده از این روش تشویق کند نه اینکه در فکر حذف کدهای USSD باشد و حقوق مصرف کنندگان را به خطر بیندازد.

امنیت ابزارهای پرداخت پایین است!

حبیبی در ادامه اعلام نمود که امنیت ابزارهای پرداخت در حال حاضر بسیار پایین است و با حالت مطلوب فاصله دارد. به گفته وی آمار مربوط به کلاهبراداری از طریق کارت‌های مغناطیسی ناامن کنونی بسیار بالاست اما تاکنون هیچ گزارشی در مورد هک شبکه‌های مخابراتی اپراتورها و نشت اطلاعات و آسیب پذیری‌های امنیتی آنها در حوزه پرداخت وجود نداشته است.

وی ادامه داد که راه‌های بسیاری برای ادامه و حتی گسترش سرویس‌های مختلف بر بستر کدهای دستوری که تجربه کاربری بالایی نیز در بین مخاطب ایرانی پیدا کرده است وجود دارد. به گفته وی این کدها از پتانسیل‌های بالایی برخوردار هستند و سرمایه‌گذاری‌های کلان صورت گرفته بر روی آنها در این سال‌ها، می‌توانند پوشش دهنده همه دغدغه‌های امنیتی این حوزه باشد. این کارشناس در پایان اعلام نمود که بهتر است تصمیم گیری در مورد حذف کدهای USSD به عهده کاربران باشد و آنها خود آزادانه حق انتخاب داشته باشند و تصمیم بگیرند که بستر نامناسب حذف گردد.

بیشتر بخوانید :

• ارائه خدمات پرداخت با کد USSD فعلا ادامه دارد؛ تضمین امنیت توسط اپراتورها
• عدم امنیت کارت های بانکی مغناطیسی در بانکداری کشور
• مهم ترین تاکید برنامه ششم پیاده سازی دولت الکترونیک است

.