USSD؛ یک بمب ساعتی

هنگامي که پرونده مؤسسات مالي و اعتباري به تجمعات خياباني و اعتراضات دامنه‌دار سپرده‌گذاران منجر شد،‌ جامعه ايران شاهد درگيري چند دستگاه کشور بر سر پذيرش مسئوليت اين مؤسسات بود. بانک مرکزي و وزارت تعاون، کار و رفاه اجتماعي در آن زمان تأكيد مي‌کردند که مجوز فعاليت اين مؤسسات از سوی طرف مقابل داده شده و حالا بايد پاسخ‌گوي نتايج آن باشند.

به گزارش شرق، حالا در ماجراي شرکت‌هاي USSD اگرچه با يک کلاهبرداري چند هزار ميليارد‌توماني روبه‌رو نيستيم؛ اما پاي يک تقلب در نظرسنجي تلويزيوني در ميان است که شرايط مشابهي را به وجود آورده است. درحالي‌که صداوسيما چند سالي است به قرق شرکت‌هاي ارائه خدمات USSD درآمده و در همه برنامه‌هاي آن ردپاي ستاره و مربع‌هاي گوناگون ديده مي‌شود، وزارت ارتباطات تأكيد دارد شرکت‌هاي USSD از اين وزارتخانه مجوز ندارند و تحت قوانين تجارت فعاليت مي‌کنند؛ ادعايي که نشان مي‌دهد شرکت‌هاي USSD درحال‌حاضر متولي مشخص و مسئوليت‌پذيري در کشور ندارند. نبود مسئوليت مشخص دستگاه‌هاي نظارتي و اجرائي کشور در قبال شرکت‌هايي که از يک پروتکل نا‌امن براي ذخيره اطلاعات بانکي مشترکان استفاده مي‌کنند و خطرات آن بارها از سوی کارشناسان بانکي و فناوري اطلاعات هشدار داده شده، يک نگراني عميق درباره احتمال بروز فاجعه را به وجود مي‌آورد و بمب ساعتي USSD‌ها را خطرناک‌تر از پيش مي‌کند.

يک بمب ساعتي
USSD يک مکانيسم انتقال اطلاعات است که مي‌تواند بين تلفن همراه و اپراتور پيام‌هاي 182 کارکتري ردوبدل کند. اين پيام‌ها که با استفاده از کليدهاي * و # ارسال مي‌شوند، امکان بانکداري و نقل‌و‌انتقال مالي، خدمات تلفن همراه، اعلام اخبار فوري و خدمات خبري، نظرسنجي، مسابقه و... را فراهم مي‌کنند؛ اما نکته مهم درباره اين مکانيسم انتقال اطلاعات نبود رمزنگاري و امنيت به‌شدت پايين اين روش انتقال اطلاعات است که به‌ویژه مي‌تواند در زمينه نقل‌و‌انتقالات مالي به فاجعه ختم شود. ايجاد هزينه ناخواسته براي مشترکان يا دستبرد به اطلاعات حساس کاربران مانند شماره‌کارت، تاريخ انقضا و رمز دوم که امکان هر نوع سوءاستفاده از اطلاعات شهروندان را فراهم مي‌کند، تنها گوشه‌اي از تهديدات استفاده از اين مکانيسم انتقال است که بارها از سوی کارشناسان درباره آن هشدار داده شده است.

براي درک اهميت اين خطر تنها کافي است به ياد بياوريم دو روز قبل بزرگ‌ترين شبکه پرداخت الکترونيک خاورميانه اطلاعات مشتريان خود را که روي يک فايل اکسل بدون پسورد و ايمني ذخيره کرده بود، اشتباها به همه آنها ايميل کرد. حال يک شرکت ارائه خدمات USSD در ايران را تصور کنيد که اطلاعات ميليون‌ها شهروند ايراني را که براي امور گوناگون مانند خريد شارژ تلفن همراه يا انتقال پول از خدمات اين شرکت استفاده کرده‌اند، در اختيار دارد. هرکسي که توانايي دسترسي به اطلاعات چنين شرکتي را داشته باشد، خواه يک کارمند متخلف يا مدير غيرمتعهد، مي‌تواند در يک لحظه تصميم بگيرد حساب‌هاي بانکي ميليون‌ها شهروند خدمات‌گيرنده را تخليه کند يا به شخص ديگري بفروشد. ‌اتفاقي که آن‌چنان در دسترس و محتمل است که توقف‌نيافتن آن، چيزي بيشتر از يک سهل‌انگاري به نظر مي‌رسد.

رفتار عجيب وزارت ارتباطات
کارشناسان بانکي و فناوري اطلاعات بارها درباره خطرات استفاده از USSD براي نقل‌و‌انتقال مالي هشدار داده‌اند و حالا که تنها يک تقلب در نظرسنجي صداوسيما کار را به آنجا رسانده که کسي مسئوليت مجوز اين شرکت‌ها را برعهده نمي‌گيرد، اين خطر جدي‌تر احساس مي‌شود که در صورت بروز فاجعه چه کسي مسئوليت آن را خواهد پذيرفت؟ محمد صادقي، معاون فناوري اطلاعات بانک اقتصاد نوين، سال گذشته در گفت‌وگو با «راه پرداخت» در‌اين‌باره گفته است: بستر USSD براي پرداخت امن نيست؛ زيرا اطلاعات وارد‌شده از سوی مشتريان مانند شماره‌کارت و رمز به صورت آشکار بر روي بستر ارتباطي تبادل مي‌شوند.

ساسان شيردل، مدير فناوري اطلاعات بانک مسکن، نيز در گفت‌وگو با همان خبرگزاري در‌اين‌باره گفته است: «بستر USSD نيز مانند يک‌سري از تکنولوژي‌ها که از ابتدا بررسي نشدند و هيچ سنجشي درباره آنها صورت نگرفته، به اشتباه استفاده شده است و به نظر بنده هر وقت و در هر جايي جلوي انجام فرايندي اشتباه را گرفت، حرکت درستي صورت گرفته است». عليرضا لگزايي، قائم‌مقام بانک ملت، يکي ديگر از مديران بانکي است که در‌اين‌باره گفته است: «اين بستر امن نبوده و چون کدهاي دستوري، اولين نسل از تکنولوژي تحت موبايل بودند، از ايمني لازم برخوردار نبوده و نيستند». نا‌امني شبکه USSD آن‌چنان آشکار و مورد توافق کارشناسان است که بانک مرکزي در بهمن سال گذشته در بخش‌نامه‌اي فوري به مديران عامل بانک‌ها و مؤسسات عضو مرکز شتاب دستور داد «از 15 بهمن 96 تراکنش‌هاي فاقد رمزنگاري از مبدأ تا مقصد در مسيرهاي بدون حضور کارت صرفا براي تراکنش‌هاي پرداخت قبوض عمومي مجاز است و تراکنش‌هاي مربوط به خريد شارژ يا قبوض ويژه پذيرش و پردازش نخواهد شد. از ابتداي ارديبهشت 97 نيز تراکنش‌هاي مجاز (قبوض عمومي) صرفا با اتکا به زيرساخت فراهم‌شده در سامانه پيوند و از طريق شماره تلفن همراه به جاي شماره‌کارت ميسر خواهد بود و تحت هيچ شرايطي شماره‌کارت در بسترهاي فاقد رمزنگاري مبدأ تا مقصد انتقال نخواهد يافت».

بخش‌نامه‌اي که کاملا عقلاني و ضروري به نظر مي‌رسيد؛ اما هرگز اجرائي نشد تا شرکت‌هاي USSD همچنان به فعاليت انتقال مالي خود ادامه دهند. حال پس از افشاي تقلب در نظرسنجي انتخاب بهترين برنامه صداوسيما، برنامه‌هاي خبري اين رسانه تحت مديريت واحد خبر، تأكيد مي‌کنند که شرکت‌هاي USSD با مجوز وزارت ارتباطات و فناوري اطلاعات فعاليت مي‌کنند و در مقابل وزارت ارتباطات و فناوري اطلاعات تأكيد مي‌کند که اين شرکت‌ها از اين وزارتخانه مجوز نگرفته‌اند. محمدجواد آذري‌جهرمي، وزير ارتباطات، روز گذشته درباره این موضوع در توييتر نوشت: «شرکت‌هاي ارزش افزوده و USSD مجوزي از وزارت ICT ندارند و فعاليت آنها مطابق قانون تجارت است. اگر آن‌گونه که در بخش‌هاي خبري ديشب سيما طرح شد، فعاليت آنها بايد با اخذ مجوز از وزارت ICT باشد، مطابق مصوبه ۱۹۲ کميسيون تنظيم مقررات، تبليغ يا فعاليت آنها سريعا در صداوسيما متوقف شود». درخواستي که قطعا با موافقت صداوسيما روبه‌رو نخواهد شد؛ اما نشان مي‌دهد وزارت ارتباطات خود را متولي اين شرکت‌ها که چنين کسب و کار پرمخاطره‌اي را اداره مي‌کنند، نمي‌داند.

نکته جالب در‌اين‌ميان آن است که با وجود موضع‌گيري وزير ارتباطات درباره دريافت‌نکردن مجوز فعاليت شرکت‌هاي USSD از اين وزارتخانه، يک منبع آگاه در بانک مرکزي به «شرق» گفت: «صحبت‌هاي آقاي وزير جالب است؛ زيرا هنگامي که بانک مرکزي تلاش کرد فعاليت انتقال مالي با بستر نا‌امن USSD را متوقف کند، اين وزارت ارتباطات و فناوري اطلاعات بود که به‌شدت مخالفت کرد و جلوي اين کار را گرفت». اظهارنظري که نشان مي‌دهد در‌حال‌حاضر هيچ‌کس مسئوليت شرکت‌هايي را که اطلاعات بانکي ميليون‌ها ايراني را در اختيار دارند و هر لحظه مي‌توانند منجر به يک کلاهبرداري بزرگ، نه در يک نظرسنجي رسانه‌اي؛ بلکه در نظام بانکي کشور شوند، قبول نمي‌کند.