چرا باگ های امنیتی اطلاعات نظام بانکی ایران جدی گرفته نمیشه ؟

امروز داشتم یه پرداخت آنلاین انجام میدادم که از روی کنجکاوی رفتم ببینم اطلاعات گواهی نامه امنیتی درگاه شاپرک چی هست . طبیعتا برای درگاهی با این حساسیت باید یه سرور اختصاصی برای رمز نگاری https در داخل کشور وجود داشته باشه منتها در کمال ناباوری گواری ssl درگاه شاپرک رو یه شرکت هلندی با نام certum داره انجام میده .

این یعنی تمامی اطلاعات پرداخت ایران یه بار برای رمزنگاری میره به certum و این یعنی فاجعههههه . یعنی این که این شرکت دقیقا مثل اداره امور مالیات و دارایی میتونه بفهمه ترکنش های هر شرکت چقدر بوده و از اون مهم تر اطلاعات حساب بانکی هر کسی که از پرداخت آنلاین استفاده میکنه رو داشته باشه !!!

بگذریم از این واقعیت که تمام سرور های بانکی ایران داخل کشور قرار دارن ( جالبه که به این موضوع افتخار میکنه بانک ! ) و آدرس تمامی سرور های نظام بانکی کشور رو میشه با یه سرچ ساده از اینترنت در آورد و مثل فیلم mr robot با یه نفوذ تمام بک آپ ها و خود سرور رو رمز نگاری کرد . یا حتی بد تر از اون یه نفر با یه عملیات تروریستی کل سرور ها رو به صورت فیزیکی بمب گذاری کنه و این یعنی هر کسی هر مقدار پول تو حسابش داشته تمام حقوق بازنشستگیش هر سرمایه ای که جمع کرده کلا به صورت غیر قابل برگشت میره هوا …

این قضیه برای سرور های سازمان های بزرگی مثل تامین اجتماعی ؛ اوقاف و بیمه هامون هم صدق میکنه .

ضربه ای که یه حمله سایبری اینجوری میتونه به کشور بزنه تقریبا غیر قابل بازگشت هست . با این حال به نظرم تو موارد امنیت الکترونیکی خیلی سهل انگاری میشه تو کشو . واقعا چرا ؟

پی نوشت : تکنولوژی های نوین مثل ذخیره اطلاعات در بلاکچین کاملا میتونن این مشکلات رو به صورت همیشگی حل کنه .

2 Likes

خوب سناریو بمب‌گذاری کمی تخیلی به نظر میاد هرچند با احتمال اندکی قابل انجامه. ولی حس میکنم که نقد اول (رفتن اطلاعات به شرکتی خارج از ایران برای رمزگذاری) با نقد دوم (بودن سرورها در ایران) در تناقضه. به هرحال تکنولوژی بانکها نمیتونه به سادگی به سمت تکنولوژیهای جدید بره تا وقتی که رواج کافی و اطمینان بالا از عملکرد به دست نیومده.

اطلاعی دارین که در کشورهای دیگه اینکار چطور انجام میشه؟

سرور هایی که اطلاعات رو ذخیره میکنن داخل ایران هستن . منتها گواهی نامه ssl که پروتکل https رو فراهم میکنه برای شاپرک توسط شرکت خارجی انجام میشه .

سایت های بزرگی مثل msdn یا yahoo برای گواهی نامه امنیتی خودشون از سرور های سازمانی خودشون استفاده میکنن . یا فرضا b2b bank کانادا از خدمات .entrustdatacard استفاده میکنه که برای خودش هست .

اینجا اطلاعات گواهی نامه شخصی ماکروسافت رو میتونید ببینید .

خیلی از کشور ها به صورت آزمایشی دارن این کار رو انجام میدن . از جمله آلمان .

البته اینم بگم . تکنولوژی بلاکچین برای بانکداری امکان هر گونه تقلب و یا حتی مشاهده اطلاعات توسط شخص ثالث رو میگیره . وقتی اطلاعات داخل بلاک چین قرار میگیره حتی سازنده نرم افزار هم نمیتونه اطلاعات رو بخونه . فقط کسی که صاحب اطلاعات هست به اطلاعات دسترسی داره .

همین موضوع شاید یه جورایی عدم تمایل دولت ها به تکنولوژی بلاکچین باشه . چون کنترلی نمیشه روش داشته باشن
در صورتی که تو شبکه بانکداری سنتی قرار باشه به حساب کسی پول واریز بشه خیلی راحت میشه یه عدد رو جا به جا کرد . منتها تو بستر بلاکچین اگر قرار باشه یه سند ثبت بشه این سند باید اول توسط گره های شبکه تایید بشه .

1 Like

خوب میشه این حق رو داد که فعلا به اون سمت نرن تا وقتی که در حد معقولی فراگیر نشده.

البته منظورم مثالهای کلیتر بود. به هر حال ساختار فشل ایران رو نباید با شرکتهای عظیم مقایسه کنین.

این رو قبول دارم که در سیاستگذاری و مخارج امنیتی در ایران، مشتری پایینترین درجه اهمیت رو داره و دلیلش هم بسیار ساده‌ست: عدم رقابت! من و شما اگر که نخوایم از این سیستم استفاده کنیم، چه راه دیگه ای داریم؟ مثال بسیار ملموستر داستانهای واضح فیشینگ هست که با کمی نظارت میتونه به درصد پایینی برسه ولی به سادگی ایگنور میشن و مسئولیت رو به گردن مشتری میندازن و با مصیبت رمز پویا میخوان از خودشون رفع مسئولیت کنن!

1 Like