گول نخوریم؛ USSD نا امن است!

ادامه فعالیت یک فناوری نخ‌نما

گول نخوریم؛ USSD نا امن است!

محمدرضا عیوضی – در حالی که براساس ابلاغیه بانک مرکزی قرار بود جلوی ارایه خدمات مبتنی بر کدهای دستوری تا ۱۵ بهمن گرفته شود اما وزیر ارتباطات از منتفی بودن اجرای این تصمیم با ارسال پستی در توئیتر خبر داد.

«در تفاهمی که با ولی‌ا… سیف؛ رییس کل بانک مرکزی داشتم، بنا شد با رعایت الزاماتی از سوی اپراتورهای تلفن همراه، موضوع توقف خدمات پرداخت با استفاده از کدهای دستوری USSD فعلاً منتفی شود. از توجه ویژه جناب آقای دکتر سیف و تیم بانک مرکزی به توسعه کسب‌وکارهای نوپا و بازار ICT کشور قدردانی می‌کنم.»

کدهای ussd به معنای شماره‌هایی با فرمت *…# است که در روزهای اخیر توقف این فناوری نخ نما در میان متخصصان بانکداری الکترونیکی چالشی را ایجاد کرده است که چرا فناوری که به عنوان یک مرحله‌ گذار در ابتدای بانکداری الکترونیکی شناخته می‌شود به این اهمیت رسیده است؟!

بانک مرکزی جمهوری اسلامی ایران به عنوان متولی و سیاست‌گذار حوزه بانکداری الکترونیک کشور، نگرانی‌های به جایی را در خصوص بهره‌برداری از بستر USSD احساس می‌کند و در دو راهی انتخاب سهولت دسترسی و امنیت کاربران، مقوله امنیت را مد نظر قرارداده است که این موضوع در نهایت صلاح عموم کاربران را در پی خواهد داشت.

تراکنش‌‌‌‌ها برروی بستر USSD رمزگذاری و رمزگشایی نمی‌شود. استفاده از این بستر از سال‌های گذشته تاکنون نیز به این دلیل بوده است که مشتریان به‌راحتی و حتی بدون در اختیار داشتن اینترنت و شبکه می‌توانستند از آن استفاده کنند. درواقع آنها به‌راحتی و با یک پیامک پرداخت‌های خود را انجام می‌دادند.

مهرماه سال ۱۳۹۴ یعنی بیش‌تر از دو سال پیش بانک مرکزی به علی‌اصغرعمیدیان، رییس وقت سازمان تنظیم مقررات و ارتباطات رادیویی نامه‌ای نوشت و در آن خواسته بود ارایه خدمات بانکداری و پرداخت بر بستر USSD صرفاً توسط بانک‌ها و شرکت‌های پرداخت دارای مجوز پرداخت انجام شود. بانک مرکزی همان زمان هم گفته بود که بستر USSD امن نیست و اطلاعات حساس مشتریان بانک‌ها در آن ذخیره و نگهداری می‌شود و ممکن است زمینه سوءاستفاده را فراهم کند

بنابراین بانک مرکزی حداقل دو سال است که نسبت به ناامن بودن این بستر هشدار داده است و هرچند انتقادهایی به بانک مرکزی وارد است ولی این بار گول نخوریم.

در این‌یک مورد خاص اسیر استدلال حامیان حقوق مصرف‌کننده که ناگهان کاربر را ارزشمند توصیف می‌کنند، نشویم.

ارزش مصرف‌کننده و کاربر در وهله اول حفظ امنیت اطلاعات او را می‌طلبد نه سادگی عملیات بانکی در عین ناامنی!

آنهایی که می‌گویند بانک مرکزی ناگهان به این فضا ورود کرده دو سال زمان داشته‌اند در اسرع وقت خدمات سایر شرکت‌ها، نهاد‌‌‌ها و دستگاه‌هایی که کار بانکداری و پرداخت انجام می‌دادند را متوقف کنند. چرا در این دو سال باز ادامه دادند؟

مدافع مواضع بانک مرکزی نبوده‌ایم، بلکه معتقدیم بانک مرکزی هم کوتاهی داشته و مماشات به خرج داده است اما‌ ای کاش وزیر جوان ICT یک بار برای همیشه اجازه انسداد فعالیت بانکی بر بستر USSD را به بانک مرکزی محول می‌کرد.(فراموش نکنیم دغدغه وزیر ارتباطات برای توسعه استارت‌آپ‌‌‌ها قابل تقدیر است)

فرق USSD با نرم‌افزار‌های امن موبایلی در این است که در اپلیکیشن‌های تلفن همراه از الگوریتم‌های رمزنگاری استاندارد، برای رمز کردن اطلاعات و تبادل اطلاعات به صورت رمز شده استفاده می‌شود. برای امنیت در اپلیکیشن موبایل استاندارهایی همچون pci mobile payment نیز تدوین شده است.

اما در بعد امنیتی، USSD دارای ساختاری مجزا برای تأمین امنیت نمی‌باشد و از استاندارد‌‌‌ها و مکانیزم‌های امنیتی شبکه GSM/UMTS استفاده می‌کند.

اما در انتها امیدواریم، وزیر ارتباطات با توجه به ادامه فعالیت بانکی در بستر USSD الزامات امنیتی را از سوی اپراتورهای همراه پیگیری کنند تا شاید بتوان با USSD و امنیت نداشته‌‌اش کنار آمد!

که جالب است در لحظه نگارش این گزارش اظهارنظری از وزیر ارتباطات و فناوری اطلاعات درباره قطع سرویس USSD در کشور منتشر شد که امیدواری را هدیه داد!

 

« اگر اپراتور‌‌‌ها نتوانند از عهده تضمین امنیت بسترهای USSD بربیایند، قطعاً نظر ما هم این است که این شیوه ادامه پیدا نکند.»