مرور مجدد بر ساختار امنیت کارتهای بانکی شهروندان
حمیدرضا نورصالحی، مشاور و طراح سیستمهای پیشرفتهٔ علم و فنآوری نوشت: راهاندازی سامانه ۶۰ در بانک ملی بهانهای شد تا یک مرور مجدد بر ساختار امنیت کارتهای بانکی شهروندان الکترونیکی کشورمان داشته باشیم. همانطور که پیشتر در طی نقدهایی که پیرامون ارتقاء امنیت شبکه پرداخت کارتی پس از ایجاد ساختار توکنایزیشن به رشته تحلیل درآمدهاند، به نظر میرسد حداقل تا زمانی که مدل کارتهای اعتباری جهانی در کشور پیادهسازی نشده است سرمایهگذاری برای اعمال تغییرات گسترده در شبکه پرداخت داخلی که تماماً مدل Debit را شامل میشوند، کار اشتباهی است.
از سوی دیگر کارتهای مگنت که بهسادگی قابل کپی شدن بوده و رمز کارتهای بانکی که برای پذیرندگان محترم فریاد میزنیم، یک تهدید امنیتی کاملاً جدی بوده و میبایستی از خیلی وقت پیش برای این منظور اقدامات لازم صورت میگرفت. اما امروز، هرچند با تأخیر بسیار زیاد خبر میرسد که بانک ملی در این رابطه پیشقدم شده و اقدام به دینامیک کردن رمز کارت بانکی از طریق سرویسی به نام ۶۰ نموده است به نحوی که مطابق تعریف، بدون اعمال کوچکترین تغییراتی در ساختار شبکه شتاب، شاپرک یا شرکتهای پرداخت الکترونیکی، صرفاً بانک صادرکننده با ایجاد یک هماهنگی الگوریتمی با مشتری نهایی، رمزهای متغیری ایجاد میکند که بعد از یکبار استفاده، مجدداً قابلمصرف نخواهند بود.
لذا پس از ذکر این مقدمه و توجه به این نکته که نقد پیش رو صرفاً بر اساس یک مدلسازی Black Box در یک محیط آزمایشگاهی و اعمال نویز به مدل مذکور صورت گرفته و شامل یک بررسی فنی یا مصاحبه با عوامل تولید نبوده است، نخستین نکتهای که به عنوان مانع جدی برای توسعه این حرکت خوب به نظر میرسد، مراحل سخت و طولانی نصب و احراز هویت آن است که قطعاً اجرای دقیق آن از حوصله خیلیها – حتی نگارنده این مقاله – خارج است.
درواقع بحث تولید و تخصیص کلیدهای رمزنگاری در حین نصب سیستم تولیدکننده رمز یکبار مصرف (Token Provisioning) از آنچنان اهمیتی برخوردار است که ابداعکنندگان روشهای ساده تخصیص کلید برای چنین سیستمهایی با ثبت اختراع در این زمینه سعی در حفظ برتری در بازار دارند. برای نمونه شرکت Symantec در طی اختراع به شماره ۸,۰۱۵,۵۹۹ یک روش ساده تخصیص و انتقال امن کلید برای سیستمهای تولید رمز یکبار مصرف را در مالکیت فکری خود قرار داده است.
نکته قابلتوجه دوم مربوط به چرایی استفاده از روش تولید رمز یکبار مصرف مبتنی بر زمان برای چنین مورد کاربری است. استفاده از چنین ساختاری توسط شرکت سامسونگ در پروتکل TMS که در طی آن توکن ها بر اساس زمان معتبر بودهاند، بارها توسط متخصصین امنیت سایبری موردحمله قرار گرفته است (رجوع شود به مستندات مربوطه در کانال باران ایده @baranidea در پیامرسان تلگرام) کارت مغناطیسی که با رمزهای مبتنی بر زمان مورد محافظت قرار بگیرند، درواقع رمزهای یکبار مصرف نبوده و در مدت ۶۰ ثانیه بارها قابلاستفاده مجدد خواهند بود.
بهطور مثال در طی یک سناریو حمله فرضی، یک فروشنده میتواند دو مرتبه اقدام به کشیدن کارت نموده و پس از اعلام رمز توسط مشتری، اقدام به ارسال مشخصات کارت و رمز مربوطه به یک ایستگاه کاری دیگر نموده و اقدام به برداشت غیرمجاز نماید. همچنین، هر نوع تغییر در ساعت دستگاه تلفن همراه مشتری میتواند باعث بروز ایرادات جدی در هماهنگی الگوریتمی بین سرورهای بانک صادرکننده و دستگاه مشتری گردد.
نکته قابلتوجه سوم مربوط به یک تذکر همیشگی به همکاران محترم در شبکه بانکی است که معمولاً با حوصله و دقت کافی همه محتویات RFC های منتشر شده از طرف IETF را مدنظر قرار نداده و صرفاً با مطالعه بخشهای فنی اقدام به توسعه میکنند. تولید رمز عبور یکبار مصرف خصوصاً اگر بر اساس یکی از متدهای عمومی معرفی شده در RFC 4226 یا RFC 6287 باشد، نمیتواند مجوز ارسال مقادیر تولید شده به سمت سرورهای بانک بر یک بستر غیر امن انتقال داده را دریافت کند.
فریاد زدن رمز عبور توسط مشتری برای پذیرنده مصداق بارز عبور دادن رمزهای یکبار مصرف تولید شده بر بستر ناامن بوده و ناقض پروتکل است. یک مجرم سایبری ماهر با در اختیار داشتن توالی رمزهای یکبار مصرف تولید شده شما میتواند کلیدهای تولید شده برای توکن را کشف کرده و راسا اقدام به تولید رمز نماید.
و در نهایت، اگر بهمنظور پوشش دادن به عبور مقادیر رمز تولید شده از طریق بستر ناامن انتقال داده، از الگوریتمهای رمزنگاری نامتقارن استفاده گردد، درصورتیکه کلید خصوصی به تنهایی درگیر تولید مقادیر رمز یکبار مصرف باشد، در محدوده مالکیت معنوی اختراع شرکت Vasco به شماره ۷,۹۳۰,۵۵۴ و درصورتیکه هر دو کلید عمومی و خصوصی بهصورت همزمان درگیر تولید رمز باشند در محدوده یک ثبت اختراع داخلی به شماره ۸۲۳۰۵ قرار میگیرند و میبایستی نهایت دقت در طراحی و توسعه سیستمهایی که حرکت در مسیر صحیح ژتونایزیشن را در دستور کار قرار دارند، اعمال گردد.
منبع : پرداخت برتر