متخصص و مدرس امنيت  شبكه

(افشاي اطلاعات كارت بانكي توسط خسرو زارع)

حرف هاي خودماني و دلنوشته هايي در باب اتفاقات امنيتي اخير بانك ها

نويسنده:حسين دقاق زاده

اين روزها هك اطلاعات كاربران 10 بانك كشور بد جور خبر ساز شده و همه در اين مورد حرف مي زنند

امروز از يك روزنامه با من تماس گرفتند و خواستند نظر من را در مورد امنيت سيستم هاي بانكداري بپرسند  كه من گفتم من كيم كه بخواهم نظر بدم ولي خانم سمج با خوندن چنتا از فعاليت هاي مرتبط من در گذشته با امنيت اطلاعات (بعضياشو خودم هم فراموش كرده بودم) سعي كرد مجابم كنه كه نظر بدهم منم گفتم وايسا مطالبم را آماده كنم دوباره شنبه زنگ بزن! فعلا به قول معروف پيچوندمشJ  !

دوستان، دانشجويان و اخيرا مطبوعات سوالاتي را در اين زمينه مي كنند كه دوست دارم چند خط در وبلاگم در اين مورد بنويسم.

اولا كه احساس مي كنم مشكلات امنيتي و هك سيستم ها و كلا سو استفاده در فضاي سايبر اخيرا زياد شده است و با توجه به شغلم اخيرا ازين موارد زياد مي بينم و احساسم اين است كه قبلا كمتر بود و يا حداقل فضاي اينترنت و دنياي سايبر در زندگي مردم نقش جدي تري پيدا كرده و طبيعتا خطرات آن بيشتر

براي مثال در چند ماه اخير پرونده هاي مختلف سوء استفاده از چند پزشك در تهران، اصفهان، تبريز را ديدم و يا يك وكيل دادگستري كه با هك ايميل شخصي وارد حريم خصوصيش شده بودن و قصد اخاذي داشتند  و يا خانم مديري كه كارمند ناقلايش نرم افزار كي لاگر روي سيستمش نصب كرده و حساب خانم را خالي كرده(تاره اينها مواردي هست كه من مي بينم) و ازين دسته موارد اخيرا در مطبوعات زياد به چشم مي خورد.

خب برگرديم سر مسئله بانك ها!

راستش به نظر من اين اتفاقات اخير اصلا هك نبوده است،‌خوب اگر معني دقيق هك را بدانيم مي بينيم كه اصلا هكي صورت نگرفته است!!!!!

يه كارمند ناراضي(خسرو زارع فريد) شركت مسئول امنيت بانك ها(ايناك) با دسترسي به سيستم بانك ها(دسترسي كه برايش تعريف شده و اصلا به زور و روشهاي خاص وارد نشده است) گزارش هاي را در وبلاگش قرار داده است.

ولي چند "چرا":

چرا بايد شركتي، دسترسي به  اطلاعات تراكنش كاربران داشته باشد مگر ما در امنيت اطلاعات نمي گوييم هر كس به اندازه نيازش دسترسي داده شود مگر چنين اطلاعاتي محرمانه نيست؟!!

چرا سيستم بانك ها از رمزنگاري سخت افزاري استفاده نمي كنند سيستم هايي مانند HSM و  FIPS-140-2

(ماژول امنیتی سخت‌افزاری (HSM) نوعی از پردازندهٔ رمزی امنی است که مدیریت کلیدهای دیجیتال و شتاب پردازنده‌های رمزنگاری را از لحاظ خریدهای دیجیتال / ثانویه به منظور تأمین قوی اعتبار برای دسترسی به کلیدهای حیاتی برای برنامه‌های کاربردی سرور را هدف قرار داده‌است. آن‌ها دستگاه‌های فیزیکی هستند که به طور مرسوم در قالب یک کارت پلاگین یا دستگاه‌های امنیتی تی‌سی‌پی/آی‌پی خارجی آمده‌است که می‌تواند مستقیما به سرور یا کامپیوتر هدف کلی متصل شده باشد.(

چرا ما هنوز بايد از سيستم هاي پرداخت نقدي مثل  debit‌استفاده كنيم مگر الان همه دنيا از سيستم هاي اعتباري  credit‌استفاده نمي كنند.

چرا ارزيابي بانك ها آنقدر از شركت هاي طرف قرارداد ضعيفه

چرا بانك مركزي متولي درست و حسابي در زمينه فناوري اطلاعات نداره

چرا بانك نبايد خو تامين كننده امنيت اطلاعاتي خود باشد مگر اين همه كارمند نداره مگر نگهداري چنين سيستمي چقدر براي بانك با اون حجم مالي عظيم هزينه داره

اگر بانك مركزي بخواهد مي تواند بهترين متخصصين امنيت اطلاعات كشور را به كار گيرد و چون شغل دولتي است احتمالا بهترين هاي كشور را مي تواند دور هم جمع كند و چرا بايد آنقدر منفعل عمل كند

چرا امنيت اطلاعات در كشور ما يه چيز ضروري تلقي نمي شود و همه شركت ها(مخصوصا دولتي) هزينه كردن در اين مورد را بيهوده و يك كالاي لوكس مي داند و ضرورت آن را درك نمي كنند(اخيرا به يك مدير شركت دولتي مي گويم بايد براي تامين امنيت فلان ديواره آتش سخت افزاري را خريداري كنيد- به من مي گويد چرا؟حالا فوقش سيستممون هك بشه مگه چه اطلاعاتي توش داريم هان!!!(لطفا جمله قبل را با لهجه اصفهاني بخوانيد!)يعني وقتي اين جمله را گفت مي خواستم با سر برم تو ديوار!!!!)

و هزار تا چراي ديگر كه فرصتي نيست در اين نوشتار آنها را بيان كنم ولي به زودي يك آناليز فني از معماري سيستم بانك ها در حد بضاعت خود در همين وبلاگ خواهم نوشت.

با تشكر

حسين دقاق زاده

91/01/29