خداحافظی با #*/ کُدهای USSD به فراموشی سپرده خواهد شد؟
دو سالی میشود که بانک مرکزی مخالفت خود با استفاده از کدهای USSD را اعلام کرده و معتقد است که خدمات مبتنی بر این کدها چندان امن نیست و ممکن است رمز عبور کاربران به راحتی به دست هکرها و خرابکاران سایبری بیفتد.
اقتصاد آنلاین - انوش ممتازپور؛ اولین اقدم مقابله با این خدمات از مهرماه سال گذشته برای مشترکان بانکها کلید خورد و بانک مرکزی طی ابلاغیهای از همه بانکها خواست تا ارایه خدمات اعم از صورتحساب و انتقال وجه روی بستر USSD را از دسترس خارج کنند. البته در آن روزها بنا بود تا این محدودیت موقتی باشد و پس از مدتی دوباره در دسترس عموم قرار گیرد؛ حالا بماند که تا به امروز این اتفاق نیفتاده است و همچنان دسترسی به حسابها و تراکنشهای بانکی از این طریق میسر نیست و حتی قرار است گستره این محدودیتها گریبانگیر مشترکان تلفن همراه نیز شود.
هفته گذشته بانک مرکزی اعلام کرد: « به منظور صیانت از اطلاعات دارندگان کارت، ارتقاء امنیت و بهبود خدمات بدون حضور کارت در شبکه شتاب اقداماتی را انجام میدهد که بر اساس آن، از روز یکشنبه پانزدهم بهمن ماه ۱۳۹۶ تراکنشهای فاقد رمزنگاری از مبدا تا مقصد در مسیرهای بدون حضور کارت صرفاً برای پرداخت قبوض عمومی نظیر قبوض آب، برق، گاز و تلفن شهری مجاز است و تراکنشهای مربوط به خرید شارژ و یا قبوض ویژه در شبکههای شتاب و شاپرک پذیرش و پردازش نخواهد شد و در صورت مشاهده ارسال تراکنشهای غیرمجاز توسط بانک و یا ارائه دهنده خدمات پرداخت مسیر متناظر بانک با موسسه متخلف به صورت کامل برای تمامی تراکنشها در شبکههای شتاب و شاپرک مسدود میشود.»
بعد از اعلام این خبر نارضایتیهایی نسبت به آن مطرح شد و مسئولان وزارت ارتباطات خواستار به تعویق انداختن آن برای مدت چهار ماه شدند، که گفته میشود مدیران بانک مرکزی با آن موافقت نکرده و همچنان بر اجرایی شدن آن مصر هستند.
پس از اعلام مخالفتها با این ابلاغیه مسئولان بانک مرکزی موضعگیری خاصی نکرده و ترجیح میدهند تا درباره اجرایی شدن یا نشدن آن صحبت صریح و شفافی نکنند.
ناصر حکیمی معاون فناوریهای نوین بانک مرکزی درگفتوگو با اقتصادآنلاین با بیان اینکه مطابق استاندارد هانی، نباید اطلاعات حساس کارت به صورت ساده یا غیر رمز شده روی شبکه یا سیستمها رد و بدل یا ذخیره شود، گفت: بعضی از سرویسهای مخابراتی نظیر کدهای دستوری به صورت ذاتی plain text هستند یعنی دادهها به صورت رمز نشده ارسال و ذخیره سازی میشوند و این ایراد مهمی است چون اطلاعات حساس که باید فقط در اختیار مشتری و بانک باشد در جاهای دیگر نظیر اپراتورها ذخیره شده و قابل بازیابی است.
وی افزود: نفس این عمل ایراد دارد و تا قبل از سرویسهای داده، امکان دیگری برای پرداختهای همراه نبود؛ بنابراین بانکها این سرویس را برای خدمات محدودی استفاده کردند و رشد آن سریع بود.
حکیمی ادامه داد: حالا که بسترهای امن وجود دارد، دیگر نیازی به استفاده از بسترهای قدیمی و ناامن نیست و باید مهاجرت صورت گیرد و در مهاجرت به گونهای عمل خواهد شد که خللی در خدمات دریافتی مردم اتفاق نیفتد.
معاون فناوریهای نوین بانک مرکزی در پاسخ به این سوال که با توجه به اینکه مسئولان وزارت ارتباطات درخواست برای به تعویق افتادن توقف USSD ها به بانک مرکزی ارایه دادند آیا این درخواست اجرایی میشود؟ گفت: امن سازی باید در هر صورت اتفاق بیفتد.
درحالی که این مقام مسئول بر لزوم عدم اختلال در خدمات دریافتی مردم تاکید دارد، کارشناسان معتقدند که محدود کردن کدهای USSD خدمات به مشترکان را با چالش مواجه خواهد کرد.
فربد دامنافشان کارشناس فناوری اطلاعات در این باره به اقتصادآنلاین میگوید: بدون شک با قطع کدهای USSD خدمات به مردم و به ویژه مشترکان اپراتورها با مشکل مواجه خواهد شد.
وی افزود: سطح اطلاعرسانی در این زمینه بسیار پایین بود و هنوز معلوم نیست که آیا این محدودیتها از فردا اجرایی خواهد شد یا خیر؟ و به نظر من این موضوع چندان خوشایند نیست.
حسین صالحزاده کارشناس بانکداری الکترونیک نیز در پاسخ به علت عدم امنیت در خدمات USSD به اقتصادآنلاین میگوید: این کدها از نظر سطح امنیتی، بسیار ضعیف عمل میکنند و در بیشتر کشورها استفاده از آنها منسوخ شده به حساب میآید .
وی افزود : البته این کدها همچنان در دنیا استفاده میشوند ، اما نه در موارد حساس بانکی؛ چون واقعا امنیت استانداردی ندارد.
صالحزاده با بیان اینکه خدمات حساس بانکی بر بستر USSD در ایران هم باید مسدود شود گفت: به طور کلی میتوان گفت که خط مشی بانک مرکزی درست است؛ اما بهتر بود قبل از اعلام خبر مسدودسازی، راههایی سادهتری را برای مشترکان فراهم و بعد ارایه خدمات بر بستر USSD را مسدود کند .
این کارشناس افزود: درحال حاضر برای پرداخت صورتحساب قبوض یا خرید شارژ برای سیمکارتهای اعتباری، باید رمز دوم کارت بانک از مشترکان دریافت شود که اگر هکر ها بتوانند به گوشی مشترک نفوذ کنند، به راحتی میتوانند حساب وی را در چند ثانیه خالی کنند.
وی اظهار کرد: علاوه بر این هکرها میتوانند به اطلاعات رد و بدل شده بین مشترک و بانک دسترسی پیدا کنند که این موضوع نیز بسیار نگران کننده است و بهترین کار برای مبارزه با آن ، محدودیت برای کدهای USSD است.
بازدید کنندگان و علاقمندان وبلاگ سود نیوز epsnews.blogfa.com از این پس می توانند در زمان های عدم سرویس از طریق بلاگفا از وبلاگ دوم این گروه epsnews.blogsky.comدر این مجموعه بازدید کنند. وبلاگ سوم این گروه نیز epsnews.mihanblog.com می باشد. مطالب قابل ارائه وبلاگ عبارت است از: 1- آموزش کاربردی و اثربخش سرمایه گذاری در بازار سهام 2- ارائه اخبار مهم روزانه بازار سهام 3- ارائه اخبار مرتبط با اقتصاد جهانی و اقتصاد داخلی مرتبط با بازار سهام 4- بررسی وضعیت شرکتهای پذیرفته شده در بورس و فرا بورس 5- ارائه اخبار مربوط به سود اعلامی شرکتها و تحلیل آنها 6 -مروری بر شایعات و تیپ شناسی آنها 7- سایر موارد بورسی اطلاعیه رفع مسولیت : این وبلاگ فقط جنبه آموزشی و اطلاع رسانی دارد و به هیچ عنوان بر اساس مطالب وبلاگ، بخش نظرات و ایمیلهای ارسالی خرید و فروش نفرمایید. در ضمن بخش نظرات ممکن است حاوی مطالب مختلف از افراد با نیات گوناگون باشد، لطفا مراقب معاملات خود در بازار باشید. نخست دانش و دوم تجربه خود را در بازاربالا ببرید و نهایتا در صورت آمادگی کامل با حداقل سرمایه در این بازار مشغول شوید. بدون آموزش و بررسی توسط خودتان وارد هیچ بازاری نشوید. مسولیت سرمایه گذاری با خودتان است، پس خوب بررسی کنید. جمله مهم برای فعالیت در بازار: هـر حـقـیـقــتی در بازار از سـه مـرحـلـه می گـذرد: ابـتـدا، بـه مـسـخره گـرفـتـه مـی شود بـعـد بـه شـدت بـا آن مـخالـفـت مـی شـود و در آخـر، بـه عـنـوان امـری بـدیهـی پـذیـرفـتـه می شـود. محل تشکیل کلاس های آموزشی بورس مدیر وبلاگ: ................................