تبلیغات
تبلیغات متنی
محبوبترینها
قیمت انواع دستگاه تصفیه آب خانگی در ایران
نمایش جنگ دینامیت شو در تهران [از بیوگرافی میلاد صالح پور تا خرید بلیط]
9 روش جرم گیری ماشین لباسشویی سامسونگ برای از بین بردن بوی بد
ساندویچ پانل: بهترین گزینه برای ساخت و ساز سریع
خرید بیمه، استعلام و مقایسه انواع بیمه درمان ✅?
پروازهای مشهد به دبی چه زمانی ارزان میشوند؟
تجربه غذاهای فرانسوی در قلب پاریس بهترین رستورانها و کافهها
دلایل زنگ زدن فلزات و روش های جلوگیری از آن
خرید بلیط چارتر هواپیمایی ماهان _ ماهان گشت
سیگنال در ترید چیست؟ بررسی انواع سیگنال در ترید
بهترین هدیه تولد برای متولدین زمستان: هدیههای کاربردی برای روزهای سرد
صفحه اول
آرشیو مطالب
ورود/عضویت
هواشناسی
قیمت طلا سکه و ارز
قیمت خودرو
مطالب در سایت شما
تبادل لینک
ارتباط با ما
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
آمار وبسایت
تعداد کل بازدیدها :
1834528448
کدهای USSD چقدر امن هستند؟ / چند سوال از بانک مرکزی و شرکت های پرداخت الکترونیک
واضح آرشیو وب فارسی:ریسک نیوز: شاپرک هفته گذشته و به دنبال ممیزی های خدمات پرداخت الکترونیکی، محدودیت های جدیدی را برای ارائه خدمات USSD اعمال و اعلام کرد. این محدودیت ها شامل قطع کامل دو سرویس خرید و مانده گیری توسط کدهای USSD و تعیین سقف ریالی برای پرداخت قبض ها وخرید شارژ تلفن همراه است. این اقدام شاپرک که بنا بر تصریح بخشنامه ابلاغی به شرکت های PSP به دستور بانک مرکزی انجام گرفته است واکنشها و مباحثات مختلفی به دنبال داشت. اگرچه این محدودیتها به طور مستقیم کسب و کار شرکتهای خدمات پرداخت الکترونیکی را تحت تاثیر قرار می دهد ولی مدیران این شرکت ها ترجیح دادند هرگونه عکس العمل را به پس از هماهنگی با شاپرک و بانک مرکزی و اطلاع از ضرورتهایی که اعمال چنین محدودیتهایی را به دنبال داشته است، موکول کنند. با این وجود برخی موضعگیری های تندی علیه این اقدام بانک مرکزی و شاپرک داشتند که جای دارد در فرصتی مغتنم بحث و بررسی شود. اخیرا هم که گویا مد شده عده ای برای آسمان آبی یا آفتابی هم کمپین راه می اندارند. ریشه این واکنشهای عجولانه خیلی مبهم نیست. عدم دانش کافی و وابستگی مالی به برخی شرکتها و.. براحتی راه اندازی کمپین ها و فضاسازی ها را می تواند توجیه نماید. در کنار این مباحث ذکر چند نکته در خصوص این تصمیم شاپرک ضروری است: طی سال های اخیر ارائه و استفاده از تلفن همراه و خدمات آن در ایران به شدت افزایش یافته است.شاید عمده ترین علل این گسترش چشمگیر، سهولت استفاده از آن برای کاربران در غیاب بستر اینترتنی مناسب در حوزه تلفن همراه بوده است. به عبارت دیگر از آنجایی که استفاده از یو اس اس دی نه نیازمند گوشی های هوشمند و نه اینترنت بر بستر موبایل است، استفاده از آن با اقبال فراوانی روبرو شد تا جایی که توانسته تغییرات معناداری در سهم تراکنشهای موبایلی در مقایسه با سایر ابزارهای پرداخت الکترونیکی بوجود آورد. در چنین شرایطی و به همراه افزایش سهم ارائه خدمات پولی بانک ها و حوزه پرداخت الکترونیکی، شرکت های ارائه دهنده خدمات، بانک مرکزی و حتی شاپرک اقدام قابل ملاحظه ای را در خصوص ارتقای امنیت استفاده از سرویس یو اس اس دی انجام ندادند البته بانک مرکزی و شاپرک نیز چابکی لازم در تدوین استاندارهای امنیتی را نداشته و از سوی اپراتورهای تلفن همراه نیز اقدامات امنیتی لازم صورت نگرفت. هر چند این اقدام بانک مرکزی و شاپرک و اعمال محدودیت بر روی سرویس USSD از توجیه منطقی برخوردار است ولی جای چند سئوال از نهاد حاکمیتی محفوظ است: 1. بانک مرکزی، شاپرک و سایر نهادهای ناظر سطح پایین امنیت را در USSD می دانسته اند و بارها در کنفرانس ها و یادداشت های کارشناسان به آن اشاره شده بود. چرا با وجود امنیت ضعیف این سرویس اجازه گسترش استفاده آن را طی سال های اخیر داده اند؟ 2. چه عاملی اکنون آنها را به اعمال محدودیت در سرویس های USSD وادار کرده است؟ 3. محدودیتهای اعمال شده برای چه منظوری بوده و تا چه حدی می تواند احتمال و ابعاد بروز مشکلات امنیتی را در استفاده کاربران از سرویس USSD کاهش دهد؟ 4. در بحث امنیت فنی، لایه انتقال اطلاعات از بستر GSM/CDMA امنیت تبادل اطلاعات باید توسط اپراتورهای موبایل تضمین شود. تایید ارسال کننده پیام در شبکه با استفاده از الگوریتم های رمزنگاری کلید عمومی (Public Key Infrastructure) صورت می پذیرد. در این صورت نیاز به مرکز صدور گواهی (CA) و اتصال به مراکز آن وجود دارد. با وجود مرکز زیر ساخت کلید عمومی در بانک مرکزی و امکان استفاده از آن چرا تا کنون برای صدور گواهی امضاء کاربران به منظور احراز هویت و رمزنگاری اطلاعات اقدامی صورت نگرفته است؟ 5. چه راهکار و ابزارهایی را برای افزایش امنیت این سرویس و توسعه کاربری آن در نظر گرفته اند. بر همین مبنا می توان از روش های مختلفی برای افزایش امنیت در این حوزه استفاده کرد. مانند: بکارگیری مرکز صدور گواهی (CA) بمنظور احراز هویت کاربران استفاده ازمکانیزم های رمزنگاری مناسب برای حفاظت از اطلاعات بکارگیری ابزار ها و سخت افزارهای رمزنگاری مانند HSM در مسیر اطلاعات به بانک ها بمنظور رمزنگاری اطلاعات حساس و مهم تولید برنامه های بانکداری موبایل و تجهیز آن ها به ابزار زیر ساخت کلید عمومی و رمزنگاری عدم ذخیره اطلاعات حساس احراز هویت مشتریان ) شامل و نه محدود به CVV,CVV2 اطلاعات کامل شیارمغناطی سیم کارت، (PIN,PIN Block بررسی راهکارهای جدید در جهان که امروزه به منظور توسعه استفاده از سرویس های موبایل و افزایش امنیت تبادل اطلاعات در این حوزه بکارگرفته شده اند. از آن جمله می توان به راهکار Google Pay و Apple Pay اشاره کرد. * کارشناس حوزه امنیت سایبری /محمدجواهری منبع:خبرانلاین
دوشنبه ، ۲۰مهر۱۳۹۴
[مشاهده متن کامل خبر]
این صفحه را در گوگل محبوب کنید
[ارسال شده از: ریسک نیوز]
[مشاهده در: www.risknews.ir]
[تعداد بازديد از اين مطلب: 29]
-
گوناگون
پربازدیدترینها