تبلیغات
مسعود جویبار - مشکل امنیتی سیستم های بانکی
مسعود جویبار
مسعود جویبار
گروه طراحی قالب من گروه طراحی قالب من گروه طراحی قالب من گروه طراحی قالب من گروه طراحی قالب من
درباره وبلاگ


اینجا یه اتاقک کوچولو واسه داد زدنه . ما هم کم و بیش جونی داریم تا بخوایم خرج فریاد بکنیمش . شما هم اگه خواستی سبک شی فریاد بزن . کی به کیه ؟ خوش اومدی

مدیر وبلاگ : مسعود جویبار
نویسندگان

موضوع امنیت، یکی از اصول مهم در ایجاد و گسترش شبکههای کامپیوتری است، و امروزه با توسعه روزافزون استفاده از شبکه در امور مختلف زندگی، توجه و به کارگیری آن به ویژه پس از خطرات و حملات فراوان به شبکهها، اهمیت خود بیش از پیش نشان میدهد.
   متاسفانه در کشور ما، با وجود زمینه و علاقه فراوان به گسترش شبکه
ها و استفاده از آن، هنوز آنچنانکه باید به موضوع امنیت توجه نمیشود، و طبیعی است در زمینههای حساس و مهم مانند بانکداری (که هنوز در ابتدای راه به کارگیری آن هستیم) نیز این مشکل وجود دارد.
  به بهانه خبری که اخیرا در باره حمله به یک سیستم شبکه بانکی در کشور، و نتیجتا بروز خسارات فراوان منتشر شد، با مهندس بهرنگ فولادی کارشناس شبکههای کامپیوتری که به ویژه در زمینه امنیت شبکهها فعالیت دارد گفتوگویی کردهایم که نظراتش را در این خصوص می خوانید.

 

موضوع امنیت، یکی از اصول مهم در ایجاد و گسترش شبکههای کامپیوتری است، و امروزه با توسعه روزافزون استفاده از شبکه در امور مختلف زندگی، توجه و به کارگیری آن به ویژه پس از خطرات و حملات فراوان به شبکهها، اهمیت خود بیش از پیش نشان میدهد.
   متاسفانه در کشور ما، با وجود زمینه و علاقه فراوان به گسترش شبکه
ها و استفاده از آن، هنوز آنچنانکه باید به موضوع امنیت توجه نمیشود، و طبیعی است در زمینههای حساس و مهم مانند بانکداری (که هنوز در ابتدای راه به کارگیری آن هستیم) نیز این مشکل وجود دارد.
  به بهانه خبری که اخیرا در باره حمله به یک سیستم شبکه بانکی در کشور، و نتیجتا بروز خسارات فراوان منتشر شد، با مهندس بهرنگ فولادی کارشناس شبکههای کامپیوتری که به ویژه در زمینه امنیت شبکهها فعالیت دارد گفتوگویی کردهایم که نظراتش را در این خصوص می خوانید.

س: قبل از هر چیز، اصولا فكر میكنید در كشور ما پیشرفتی در زمینه بانكداری الكترونیك به وجود آمده است؟

ج: از چند سال پیش با پیشرفت شبکههای رایانهای در سیستمهای بانکی کشور، شکلهای محدودی از خدمات بانکداری الکترونیک در اختیار مشتریان بانکها قرار داده میشود. عمده این خدمات شامل حسابهای سراسری و کارتهای خودپرداز (به شکل Debit Card) قابل استفاده در ماشینهای خودپرداز(ATM) میشوند و هنوز خدماتی به شکل Credit-card , Merchant account به علت وجود مشکلات قانونی و فنی عرضه نمیشود.

س: این سرویسها و خدمات مورد ارزیابی هم قرار گرفتهاند؟

ج: تا این زمان مشتریان و افراد زیادی از مشکلات زیاد این سرویسها مانند وقفههای پیاپی در سرویس و کندی آن اظهار نارضایتی داشتهاند.

س: در خصوص این مشكلات، معمولاً چه توضیحاتی ارائه میشود؟

ج: مشکلات مربوط به وقفههایی كه مشتریان غالباً با آنها موجه میشوند، عمدتاً به عواملی مانند پارازیت و عوامل جوی نسبت داده میشود، در صورتی که افراد آشنا به مسائل ارتباطات ماهوارهای (که در بیشتر این سیستمها بکار گرفته شده) اطلاع دارند که علت این مشکلات در نوع سرویس ارتباطی و پهنای باند خریداری شده است. مطرحترین این سیستمها از روش TDMA درسرویس ارتباطی خود استفاده میکند که بر اساس اشتراک زمانی در استفاده از پهنای باند عمل میکند. این روش با وجود ارزان بودن دارای نواقصی چون کندی شبکه و ناپایداری ارتباط در پهنای باند کم و تعداد node زیاداست (کارکرد این نوع شبکهها مشابه شبکههای حلقهای Ring است). پهنای باند کلی خریداری شده برای یکی از مطرحترین این سیستمها 1Mbps/s است که در مواقعی جوابگوی حجم بالای دادهها نیست.

س: با توجه به تخصص شما در زمینه امنیت شبكه، بیشتر منظور ما ارزیابی امنیت موجود در این خدمات است...

ج: متاسفانه ضعفهای امنیتی این سیستمها كم نیست، ولی خیلی كم به آنها توجه شده است. در باره ضعفهای امنیتی این نوع سیستمها، انتظار میرفت که طراحان و مجریان سرویسها از تجربیات و روشهای امنیتی بکار گرفته شده در سیستمهای بانکی کشورهای پیشرفته که حداقل 10 سال جلوتر از ما این سرویسها را پیادهسازی کرده و در محیط پر خطر از نظر میزان نفوذ و حملهها، تجربه عملی کسب کردهاند، استفاده میکردند. اما متاسفانه در مواردی به علت عدم آگاهی و دانش کافی مجری سیستم و نیز عدم رقابتی بودن اجرای چنین پروژه هایی نکات امنیتی و حفاظتی نادیده گرفته شده اند.

س: با توجه به اهمیت امنیت در سیستمهای بانكی به دلیل تاثیرات مستقیم مالی بر مردم و دولت، منشاء بیشتر این ضعفهای امنیتی از نگاه شما چیست؟

ج: در کل فرهنگ استفاده از مشاورههای امنیتی و تستهای امنیتی (Penetration Test) در جامعه IT کشور و متولیان اجرای پروژههای IT ضعیف است. از طرفی در این مورد خاص انحصاری نمودن اجرای پروژههای بانکی به یک مجموعه یا شرکت خاص باعث شده که مجال ارائه مشاوره و پیشنهادات در مورد امنیت سیستم از گروههای فعال و متخصص در این زمینه گرفته شود. به عنوان مثال مواردی وجود داشته است که گزارش یک ضعف امنیتی داده شده و برای ارائه راهکار اعلام آمادگی شده است اما عموما با موضعگیری مجموعه مقابل یا پیمانکاران آنان مواجه شدهایم و عملا از پیگیری موضوع دلسرد شدهایم. متاسفانه این دید در بسیاری از شرکتهای متخصص اجرای طرحهای نرمافزاری یا سیستمهای رایانهای وجود دارد که کد یا سیستم طراحی شده توسط آنان هیچ ایراد یا ضعف امنیتی ندارد در صورتی که متخصصان آنان شاید در زمینه برنامهنویسی ، تولید نرمافزار یا پیادهسازی شبکههای رایانهای خبره باشند اما نمیتوان ادعا کرد که در زمینههای امنیتی نیز که خارج از تخصص شرکت است، احاطه کامل دارند. به قول معروف همه چیز را همگان دانند.
 در صورت ادامه چنین روندی، متاسفانه می
توان پیشبینی کرد که در آیندهای نزدیک در سیستمهای رایانهای عمومی دیگر شاهد بروز چنین وضعی باشیم.

س: با توجه به خبر منتشره در یكی از سایتها در باره خسارت مالی زیاد یك بانك به دلیل نقائص امنیتی، از آنجا كه جزئیات زیادی از آن منتشر نشده، شما در این زمینه چیزی شنیدهاید؟ و نقص مورد نظر از دید شما چه بوده است؟

ج: در مورد نام بانک و شرکت مجری سیستم آن به علت تبعات احتمالی آن نمیتوانم اظهار نظر کنم. سیستمهای بانکی فعلی یک سری ضعفهای امنیتی مشترک و کلی در بستر ارتباطی خود دارند که البته در این مورد خاص بعید میدانم که از این ضعف برای نفوذ استفاده شده باشد. بیشتر احتمال روی نفوذ به شبکه شرکت مجری طرح که وظیفه مونیتورینگ سیستم را داشته از طریق یک اتصال اینترنتی محافت نشده مانند Gateway خرید Online بانک یا خطوط Dial-up است.

س: آیا از وجود برنامه و ساختار فنی مناسب برای بررسی امنیتی سرویسهای مختلف در بانكها اطلاعی دارید؟

ج: مسلما مجری این طرحها که تابحال یک شرکت خاص بوده است، در این زمینه ادعا دارد که البته قابل توجه و بررسی است. اما چیزی که واضح است این است که امور امنیتی چنین طرحهای حساسی باید به شرکتها و مجموعههای متخصص در زمینه امنیت رایانهای سپرده شود.

س: آیا برنامه و نگاه كلان در مدیران و نیز تمهیدات لازم در سیستم بانكی برای توجه به موضوع امنیت در شبكههای بانكی وجود دارد؟

ج: خوشبختانه از چند ماه پیش طبق خبری که در مطبوعات اعلام شد، بانکها در اجرای چنین پروژههایی ملزم به استفاده از خدمات یک مجموعه خاص نیستند. به این ترتیب در صورت اثبات ضعف یا عدم توانایی یک مجموعه، امکان استفاده از تواناییها و استعدادهای داخلی برای اصلاح یا اجرای این سیستمهایی وجود دارد.، که طبیعتا این میتواند گامی در بهبود امنیت این سیستمها باشد.





نوع مطلب : رایانه ( بخش هک )، 
برچسب ها :
جمعه 1 آبان 1388




آمار وبلاگ
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :
به سایت ما خوش آمدید
نام و نام خانوادگی      
آدرس ایمیل      
کلیه حقوق این وبلاگ برای مسعود جویبار محفوظ است