آنچه می‌خواهید درباره خسرو زارع فرید بدانید/ چه کسی رمز کارت‌های ما را دزدید؟


آنچه می‌خواهید درباره خسرو زارع فرید بدانید/ چه کسی رمز کارت‌های ما را دزدید؟
در روزهایی که افت قیمت طلا و ارزان شدن دلار می توانست خوشحال کننده ترین خبر اقتصادی سال جدید باشد، لو رفتن اطلاعات حساب های بانکی اولین بحران پولی سال 91 را برای مردم رقم زد. بحرانی که حتی بارندگی سیل آسای روز گذشته تهران و نشست 1+5 و کشمکش های سیاسی در خلیج فارس هم نتوانست از داغی آن کم کند.

مجله مهر: ماجرا از وقتی شروع شد که فردی به نام خسرو زارع فرید در وبلاگ خود شماره کارت 3میلیون حساب را به همراه رمز عبورشان منتشر کرد تا به این بهانه توجه مدیران بانک ها را به ناامن بودن سیستم بانکی کشور جلب کند؛ کسی که اگرچه این روزها به عنوان یک هکر شناخته می شود، اما در واقع مدیر سابق نرم‌افزار شرکت انیاک است که سعی داشت اطلاعات محرمانه زمان مدیریت خود را به بانک ها بفروشد.

زارع فرید، دو سال قبل که هنوز به عنوان مدیر نرم افزار شرکت انیاک فعالیت می کرد، در بیوگرافی کوتاهی از خود نوشته بود که متولد تبریز است و با وجود 20سال سابقه کار نرم افزاری، از سال 85 در تهران مشغول به کار شده و با بیست کارمند، واحد نرم افزاری شرکت انیاک را مدیریت می کند.

شرکت فنآوران انیاک، یکی از شرکتهای طرف قرارداد بانک مرکزی برای تامین دستگاه‌های خودپرداز کشور است که در سال 84 موافقت نامه دائم P.S.Pرا از بانک مرکزی دریافت کرد تا تنها متولی بازاریابی، نصب و پشتیبانی دستگاه های خودپرداز بانکی در کشور باشد. این شرکت در جشنواره صنعت و فناوری اطلاعات سال 89 تندیس شرکت برتر در حوزه بانکداری الکترونیک را هم دریافت کرد اما در کمتر از دو سال بعد، افشای اطلاعات محرمانه آن باعث شد تا بحرانی ترین اتفاق بانکی سال رقم بخورد.

 

شهرت در سومین وبلاگ

از خسرو زارع فرید، تا چند هفته قبل، تنها می توانستید یک بیوگرافی کوتاه در اینترنت پیدا کنید و دو وبلاگی که یکی از آنها به عکاسی هایش اختصاص داشت و دیگری تنها یک پست از سال 2005 را نمایش می داد. اما سومین وبلاگی که زارع فرید در فروردین ماه امسال ساخت، او را به جنجالی ترین چهره فروردین ماه 91 تبدیل کرد.

او سه شنبه هفته قبل در وبلاگ جدید خود مطلبی نوشت و از اتفاقات یک سال گذشته و رایزنی هایی که با مدیران بانکی داشته گفت. او مدعی بود که در تیرماه سال گذشته، به مدیران تمام بانک های کشور ایمیل فرستاده نواقص موجود در سیستم امنیتی کارت بانک ها را هشدار داده و اعلام آمادگی کرده است که در ازای یک قرارداد کاری، این نواقص را برطرف کند. اما در این بین تنها مدیری که نسبت به این هشدار واکنش نشان داده، خاوری، مدیر عامل سابق بانک ملی بود؛ کسی که دو ماه بعد به اتهام دست داشتن در بزرگترین فساد مالی کشور فرار کرد و به کانادا پناه برد.

در نتیجه زارع فرید با افشای شماره حساب و رمز عبور 3 میلیون حساب بانکی این هشدار را به یک بحران بانکی در فروردین ماه 91 تبدیل کرد.

او، در وبلاگ خود دلیل این افشاگری را این طور توضیح می دهد: «جوابی که از بانک ملی و بانک ملت دریافت نمودم تقریبا مشابه بود. آنها اعلام آمادگی کرده بودند که با عقد قرارداد نفوذ اخلاقی با اینجانب، محل نشت اطلاعات را شناسائی و از بین ببرند. و من نیز سوال نمودم که به ازای هر کارت بانکی که اطلاعاتش را در اختیار بانک قرار میدهم آماده هزینه کردن چه مبلغی هستند؟ این سوال به هیچ عنوان پاسخ داده نشد... برعکس ارتش سایبری مامور پیدا کردن من گردید... مجبور شدم به جای همکاری جهت اصلاح ایرادات، مقدمات فرار خودم را از ایران فراهم کنم و گریختم. هم اکنون نیز نیاز به کمک محافل حقوق بشری و سازمان های بین الملی دارم تا با حمایت خود مرا از آزار و اذیت این مدیران در امان نگه دارند.»

  آقای هکر رونمایی شد

خسرو زارع فرید که مدتی قبل از انتشار اطلاعات حساب ها از کشور خارج شد، در اولین حضور تلویزیونی اش، با بی بی سی فارسی گفتگو کرد تا مردم و رسانه ها اولین بار چهره او را در این شبکه ببینند. او گفت: «تغییر رمز عبور کارت ها هم مشکلی را حل نمی کند، هر وقت کارت را با رمز جدید روی POSشرکت انیاک کشیدید، هم رمز شما و هم اطلاعات کارت شما یک جایی ثبت می شود، پس تنها تغییر رمز عبور، مشکلی را حل نمی کند. اگر بانک مرکزی بخواهد مشکل را به صورت اساسی حل کند، باید مسائل و استاندارد های امنیتی را با نظارت دقیق کنترل کند و ببیند آیا شرکت ها آنها را رعایت می کنند یا نه.»

زارع فرید اگرچه مدعی است که «تنها گناه من سعی در رفع یک خطر بزرگ برای حساب های بانکی هموطنان خودم می باشد. و حتی به خاطر این گناه از تمامی حقوق خویش در مقابل نرم افزارهائی که تولید کردم و تحویل انیاک دادم محروم شدم.» اما ماجرای افشای رمز کارت بانک ها بیشتر از خیرخواهی، یک خصومت شخصی با مدیران شرکت انیاک به نظر می رسد. زارع فرید در توضیحات وبلاگ خود نوشته است: «اطلاعات سه میلیون کارت بانکی در این وبلاگ پخش می شود. تنها چاره اطلاع رسانی به مردم و دارندگان کارت هاست. کدام مدیران انفورماتیک بانکها با دریافت رشوه چشم بر کج روی ها بستند؟ مدیریت ناشایست شرکت انیاک توسط دو برادر مالک آن ..... چنان غرق در تجهیز املاک و دارائی های خود در آن سوی مرزها شدند که تمامی هزینه های مربوط به تامین امنیت لازم برای سرویس دهی به دارندگان کارت های بانکی را فراموش کردند.»

 

در جستجوی کلاه سفید

زارع فرید 7سال قبل در اولین پست از وبلاگ شخصی اش نوشته بود: «داشتن امکان سخن و تبادل افکار با دیگران نعمتی است و امیدوارم این دفتر شروع مناسبی باشد برای یافتن همفکرانی که در گوشه و کنار این دنیای پهناور دغدغه های فکری مشابهی دارند. به امید روزی که بتوانیم رو در رو سخن بگوئیم، تحمل حرف های همدیگر را داشته باشیم و از تبادل نظرات و اندیشه ها، دنیای بهتری برای خود و دیگران فراهم نمائیم.» جمله هایی که با چهره امروزی زارع فرید در رسانه ها سنخیت چندانی ندارند؛ مردی که دوست داشت یک هکر کلاه سفید باشد اما حالا به جرم افشای اسرار محرمانه سه میلیون ایرانی تحت تعقیب ماموران اینترپل و پلیس سایبری ایران قرار گرفته است.

برچسب‌ها: خسرو زارع فريد, افشاي اطلاعات كارت بانكي, امنيت بانك
+ نوشته شده در پنجشنبه سی و یکم فروردین ۱۳۹۱ ساعت 14:17 توسط حسين دقاق زاده  | 

حرف هاي جديد خسرو زارع فريد!!

مطالب زير از وبلاگ افشا كننده اطلاعات كارت بانك آقاي خسرو زارع فريد كپي شده است و عنوان آن نقدی بر اظهارات آقای ناصر حکیمی مدير اداره نظام های پرداخت بانک مرکزی است
توجه:من مطالب زير را تاييد نكرده و فقط در مقام نقل قول از وبلاگ خسرو زارع آنها را كپي كردم.

" حکیمی : هیچ گونه نفوذ، دسترسی یا هک اتفاق نیفتاده است تنها یکی از مسئولان یکی از شرکت هایی که برای انجام امور خدماتی خود باید به این گونه اطلاعات دسترسی مي‌داشت، به علت اختلافاتی که پیدا کرده بود این اطلاعات اولیه را سرقت کرد."

پیش از پاسخ به این مورد لازم میدانم جهت اطلاع هموطنان موادی از مقررات ناظر بر ارایه دهندگان خدمات پرداخت ویرایش 1 آن مورخه اول شهریور 1383 که جزء مقررات خود بانک مرکزی میباشد و از وظایف اصلی آقای ناصر حکیمی نظارت صحیح در مورد اجرای دقیق این مواد توسط شرکت انیاک بوده است را ذکر کنم متن کامل این مقررات در سایت بانک مرکزی وجود دارد.
( بند ب الزامات مقرراتی
ماده 17: اطلاعات تراکنشهای دارندگان کارت و پذیرندگان محرمانه بوده و مسئولیت تامین ایمنی و حفاظت از ابزارهای پذیرش خطوط اتصالی آنها و سوئیچ جهت جلوگیری از دسترسی افراد غیر مجاز و یا هرگونه سوء استفاده احتمالی دیگر به عهده موسسه ( انیاک ) است.
ماده 19: موسسه موظف است از نرم افزارها و تجهیزات اصل دارای لیسانس معتبر و خدمات پشتیبانی کامل خصوصا در مورد اصلاحیه های ایمنی استفاده نماید.
ضمیمه 2: مشخصات فنی سوئیچ
الف مشخصات اجباری:
رمزگشایی رمز مشتری و رمزنگاری مجدد آن به صورت سخت افزاری و مستقل از نرم افزار سوئیچ. )
رمز گشایی رمز مشتری و رمز نگاری مجدد به صورت سخت افزاری موردی بود که در شرکت انیاک رعایت نشده بود و به رغم پیگیریهای بنده در طی مسئولیت خودم در آن شرکت انجام نگردید. بنابر این رمز بانکی دارنده کارت جزء اطلاعات اولیه نبوده و نبایستی در دسترس هیچ کسی چه در شرکت و یا بانک قرار گیرد. آقای ناصر حکیمی عزیز سرقت به معنی برداشت و استفاده از مالی است که متعلق به ما نمیباشد. کاری که بنده انجام دادم افشای خیانت در امانت مدیران شرکت است. که میبایستی در صف اول امانتدارانی باشند که وظیفه انتقال پول الکترونیکی مردم را به عهده دارد. شما به جای قدردانی از این حرکت به جا و سنجیده قصد جو سازی و منحرف کردن افکار عمومی را از بی لیاقتی خودتان در امر نظارت شایسته به عملکرد موسسات مالی دارید. تمنا میکنم شما و تمامی مدیران بانکی که امانتدار اموال مردم هستید. اگر توان امانت داری را ندارید به معتمدین با لیاقت واگذار نمائید. اختلاف بنده با انیاک دقیقا همین بود بنده اطلاع رسانی در مورد خطری که کارتهای بانکی را تهدید میکند را لازم میدانستم و آنها نمیخواستند این اقدام صورت گیرد.

" حکیمی : علت بروز این سرقت را سهل انگاری در نرم افزاری در بایگانی مناسب اطلاعات و نیز عدم کنترل کافی و اخذ تضمین های لازم از افرادی که دسترسی به اطلاعات دارند، ذکر و تصریح کرد: اطلاعات منتشر شده شامل شماره کارت و کدی 14 رقمی است که رمز اول کارت به صورت کد شده در آن وجود دارد در حالی که برای انجام تراکنش باید خود کارت و نیز رمز اصلی آن در دست باشد."

از آقای حکیمی برای تائید عدم پخش اطلاعات محرمانه دارندگان کارت توسط اینجانب سپاسگزارم. اما مشکل وجود اطلاعات محرمانه در بایگانی شرکت و دسترسی افراد متعدد به آن موردی بود که بنده نیز در شرکت با آن مخالفت نموده ام. فلسفه این اطلاع رسانی نیز از همین نقطه ناشی میشود. سوال من اینست که اگر شرکت انیاک از بنده تضمین های لازم را اخذ کرده بود باعث میشد که: این دسترسی در انیاک وجود نداشته باشد؟ امکان سوء استفاده نباشد؟ یا امکان اطلاع 
رسانی به مردم نباشد؟. من دارندگان کارتهای بانکی که مالکان اطلاعات هستند را در جریان این سهل انگاری قرار داده ام. نام این امانتداری است سرقت نیست آقای حکیمی به عنوان مدیر اداره پرداخت های بانک مرکزی آیا از وارد کردن تهمت سرقت برای این اقدام در مقابل میلیونها نفر خجالت نمیکشید.

" مدیر اداره پرداخت های بانک مرکزی درباره احتمال سوء‌استفاده از اطلاعات منتشر شده در تراکنش های اینترنتی هم به مردم اطمینان داد و گفت: برای خرید اینترنتی علاوه بر رمز دوم کارت، نیاز به دو مولفه تاریخ انقضا و کد اعتبارسنجی (سی سی وی 2) دارد که روی خود کارت حک شده است از این رو در مورد تراکنش های اینترنتی هیچ اتفاقی نیافتاده و در مورد خود کارت ها هم مشکلی رخ نداده چون کارت ها در دست مردم است."

جناب آقای حکیمی مطمئنا اطلاعات منتشر شده قابل سوء استفاده نیست. اما تاریخ انقضا و کد CVV2 جزء اطلاعات تراک دوم کارت میباشد که در اطلاعات قابل دسترسی شرکت انیاک بایگانی گردیده است. ضمنا تنها با داشتن تراک دوم و رمز کارت امکان ساخت کارت تقلبی بدون حضور کارت اصلی وجود دارد. همین دلیل تخصصی باعث میشود که تغییر رمز کارت برای تامین امنیت کارت کافی نباشد. و میبایستی کارتهای استفاده شده در سویچ انیاک ابطال شده کارت جدید صادر گردد. شما قصد مخفی کردن واقعیتها را دارید.

" حکیمی اطلاعات منتشر شده را غیرمحرمانه دانست و گفت: با این حال شرکت طرف قرارداد موظف به حفظ آنها بوده است و اگر چه این نشت اطلاعات در شرکتی غیربانکی رخ داده ولی مسئولیت آن با نظام بانک است که این مسئولیت را می پذیرد. حکیمی تصریح کرد: از طرف نظام بانکی از مردم پوزش می خواهیم به این علت که برای اطمینان صد در صدی ناچار شدیم تا از آنها بخواهیم که رمز خود را تغییر دهند."

شما از وجود اطلاعات محرمانه در بایگانی شرکت انیاک اطمینان دارید به همین خاطر در خواست تغییر رمز کارتها را از مردم کردید. ولی بهتر بود به خاطر عدم انجام نظارت دقیق و مدیریت صحیح از مردم عذرخواهی میکردید. و خواهش میکنم حد اقل الان کاری کنید که بعدا دوباره مجبور به عذرخواهی نباشید. ابتدا امنیت شبکه بانکی را تامین کنید سپس کارتهای مردم را تعویض کنید.

" وی تصریح کرد: خطر این گونه اتفاق ها وجود دارد و نمی شود صد در صد تضمین کرد که چنین مشکلی دیگر رخ نخواهد داد ولی مهم این است که مشکل به موقع تشخیص داده و جلوی بروز خسارت گرفته شود در این مورد هم ما به موقع موضوع را تشخیص دادیم و با واکنش مناسب حسابها مصون ماند و شاهد هیچ دسترسی غیرمجاز نبودیم."

آیا شما به موقع موضوع را تشخیص دادید یا با پخش این اطلاعات مصونیت برای حسابها ایجاد شد؟ آیا به جز انیاک نقاط دیگری نیز نا امن هستند؟ ضمنا متاسفم که نمیتوانید صد در صد امنیت حسابهای بانکی را تضمین کنید .

" مدیر اداره پرداخت های بانک مرکزی خاطرنشان کرد:با این حال با توجه به اهمیت حفظ امنیت که حتی در هنگام تحویل کارت های بانکی، از دارندگان خواسته می شود تا هر سه ماه رمز خود را عوض کنند، درخواست تغییر رمز همچنان معتبر است."

جناب آقای حکیمی یک مستمری بگیر پیر که رمز چهار رقمی خود را به سختی حفظ میکند چرا باید به خاطر بی لیاقتی شما مجبور باشد هر سه ماه یکبار رمز خود را عوض کند؟

اینجانب که در سال 1368 و 1369 اولین نرم افزار ضد ویروس کامپیوتری را در دوران دانشجوئی خود طراحی و تولید کرده ام به هیچ عنوان عقده شهرت و یا حقارت ندارم چرا که در دوران جوانی در صدر اخبار و رسانه های کشور قرار گرفته ام واقعا افسوس می خورم که اکنون بایستی الفبای ایجاد امنیت در شبکه بانکی را به مدیر اداره نظامهای پرداخت بانک مرکزی در یک کلاس 70 میلیون نفری آموزش دهم.

آقای حکیمی: رمز کارت بانکی محرمانه ترین اطلاعاتی هست که در سیستم پرداخت کارتی بایستی به آن توجه ویژه ای داشت. این رمز میبایستی در سویچ صادر کننده کارت یعنی بانک ارائه کننده کارت توسط سخت افزارهای ویژه تولید شود. توسط دستگاههای اتوماتیک چاپ در کاغذ محرمانه و درون پاکت در بسته قرار گیرد. و پس از تحویل به دارنده کارت توسط وی دریافت و استفاده شود. این رمز در سویچ صادر کننده کارت به صورت رمزنگاری شده در بانک اطلاعاتی ذخیره میشود. به جز سویچ صادر کننده کارت رمز کارت بانکی در هیچ نقطه دیگری از شبکه بانکی نبایستی ثبت و نگهداری شود حتی به صورت رمزنگاری شده و یا درون لاگ فایل رمز کارت بانکی به هنگام استفاده از کارت در دستگاه ترمینال فروشگاهی و یا خودپرداز در همان نقطه توسط کلیدهای امن ( تولید شده توسط سخت افزارهای موسسه پذیرنده کارت ) رمزنگاری شده و برای سویچ پذیرنده کارت مانند سویچ انیاک ارسال میگردد این رمز در سویچ پذیرندگی نیز همچنان که در مقررات بانک مرکزی ذکر شده توسط سخت افزارهای موسسه پذیرنده رمز گشائی و رمزنگاری مجدد با کلید سویچ بعدی انجام گرفته بدون ثبت در هیچ نقطه ای توسط تراکنشها به سویچ بعدی ارسال میگردد. سویچ بعدی میتواند سویچ شتاب – سویچ شاپرک یا سویچ بانک صادر کننده کارت باشد. این تغییر کلید رمزنگاری تا سویچ صادر کننده کارت در تمامی سویچهای بین راهی با رعایت عدم ثبت و استفاده از سخت افزار رمزنگاری انجام میشود. بنا براین عبارت شما :" یکی از مسئولان یکی از شرکت هایی که برای انجام امور خدماتی خود باید به این گونه اطلاعات دسترسی مي‌داشت، به علت اختلافاتی که پیدا کرده بود این اطلاعات اولیه را سرقت کرد." کاملا اشتباه و غلط میباشد. چرا که ثبت و نگهداری اطلاعات رمز دارندگان کارت به هیچ عنوان نبایستی در سیستمهای پذیرندگان کارتها و یا سویچهای بین راهی اتفاق بیافتد. نه تنها بنده بلکه هیچ فرد دیگری نبایستی امکان برداشت این اطلاعات را داشته باشد. این اطلاعات متعلق به دارندگان کارتهای بانکی است که به صورت غیر استاندارد و بدون رعایت موارد ایمنی در شرکت نگهداری میشد. و بنده با افشاء این سهل انگاری قصد اصلاح اینگونه خطرات جدی در سیستم بانکی کشور را داشته ام. بایستی دقت کنید که امکان استخراج اطلاعات محرمانه کارتهای میلیونها نفر از یک سیستم با در نظر گرفتن امکان اطلاع از مبالغ موجودی کارتها و مبالغ تراکنشهای کارتهای بانکی این خطر را دو چندان میکند. تعجب میکنم که شخص شما بدون اطلاع از بدیهی ترین نکات امنیتی در سیستمهای بانکی مسولیت اداره نظامهای پرداخت را به عهده گرفته اید. و به کسی که سعی در اصلاح موارد ایمنی را دارد تهمت سرقت میزنید. و کسانی که خیانت در امانت مردم کرده اند را به عنوان شرکتی بزرگ که سالها در خدمت مردم بوده اند معرفی میکنید. بنده پس از خروج از انیاک ابتدا سعی نمودم به صورت محرمانه این خطر را به بانکهای صادر کننده کارتها گوشزد نمایم که نا امید شدم سپس سعی کردم با علنی کردن آن برای معاونت و مدیریت انفورماتیک بانک رفاه به صورت حضوری در دفتر کار آقای مهدویانی و در حضور همکار ایشان جلوی این خطر گرفته شود. که اقدامی صورت نپذیرفت و نهایتا با توجه به خطری که برایم به وجود آمده بود. مجبور به ترک کشور و اطلاع رسانی عمومی شدم. در حقیقت از دستهائی که از شرکت انیاک حمایت میکنند اطلاعی ندارم. و یا از میزان امنیت سایر نقاط شبکه بانکی مطلع نیستم اما اطمینان دارم با این شیوه مدیریت شما هیچ جای این شبکه بانکی امنیت لازم را ندارد.

" وی در خصوص دستگيری عامل اين تهديد بانکی افزود: بانک مرکزی در اين زمينه هيچ اطلاعی ندارد و مراجع امنيتی پيگير موضوع هستند."
الان من با این افشا گری مانع سوء استفاده از حسابهای بانکی شدم. آیا این کار تهدید بانکی است؟ آیا من عامل تهدید بانکی هستم؟ همین شیوه برخورد مدیران بانکها بود که باعث نا امن شدن کشورم برای من شد. و جهت اطلاع رسانی و دفاع از حقوق دارندگان کارتهای بانکی از کشور خارج شدم. علت دستپاچگی و تهمتهائی که به من وارد میشود فاش شدن عدم وجود امنیت در شبکه بانکی است. چون با این اقدام دارندگان کارتها با دیدن رمز بانکی خودشان به صحت ادعای این وبلاگ پی بردند. چگونه ممکن است یک آدم عاقل با به خطر انداختن جان خود و خانواده اش قصد انتقام گیری از یک شرکت را داشته باشد. آنهم بابت کارهائی که در مدت سه سال و نیم همکاری انجام داده است. آیا این شایعات برای دور کردن اذهان عمومی از عدم وجود امنیت در شبکه بانکی نیست؟

آقای ناصر حکیمی , آقایان حجازیان شما خطری هستید که حسابهای بانکی مردم را تهدید میکنید. آیا مراکز امنیتی موضوع شما را پیگیری میکنند؟

خبرنگاران و رسانه های متعددی از داخل کشور سعی در برقراری مصاحبه با اینجانب را نموده اند. به اطلاع این عزیزان میرسانم که تمامی نظرات بنده تنها از رسانه های آزاد و بی طرف پخش خواهد شد. و علت مصاحبه من با BBC نیز رعایت همین اصل هست. ضمنا مواردی که نیاز به پاسخ دارند را در این وبلاگ قرار میدهم. و میتوانید از مطالب آن استفاده کنید.
از تمامی هموطنان گرامی درخواست دارم با توجه به اتهامات واهی که به بنده وارد میشود در اطلاع رسانی به مردم با این وبلاگ همکاری کنند و مطالب این وبلاگ را به اطلاع دیگران برسانند. جو سازیهای مصموم کننده در فضای رسانه ای کشور ایران تمام تلاش خود را برای مخدوش کردن چهره بنده خواهند نمود تا مشکلات افشاء شده در این وبلاگ به وادی فراموشی سپرده شود.
برچسب‌ها: خسرو زارع فريد, افشاي اطلاعات بانك
+ نوشته شده در سه شنبه بیست و نهم فروردین ۱۳۹۱ ساعت 18:55 توسط حسين دقاق زاده  |