طنزی به نام بانکداری الکترونیکی

همه ما در روز چیزهای با پسوند الکترونیک می شنویم. بانکداری،دولت،شهروند و چندها واژه دیگر برای آنکه خود را در دنیا الکترونیک بدانیم. شرکت‌ها و مدیران ارشد و رده پایین برای آنکه برای بالا دستان خود حرف پر طمطراقی برای روساء خود بگویند چند کلمه الکترونیک و  پروژه الکترونیک دار در میانه کلام خود خواهند گنجاند اما آیا ما به سمت فناوریهای الکترونیک در حال حرکت هستیم؟

آنچه که امروز قصد دارم درباره آن چند خط برایتان بنویسیم درباره مشکلات بسیار بسیار سطحی اما با تاثیرات عمیق در مسئله بانک‌داری الکترونیک در کشورمان است. بانکداری الکترونیک در کشور ما با آنکه تبلیغات فروانی درباره آن از سوی بانک ها می شود اما هنوز در خم اول گیر کرده است. یکی از پایه‌های بسیار ضروری در مقوله بانکداری الکترونیک بودن اتصالات امن میان مشتری بانک و عوامل آن بانک است. مشتری به هر طریقی که به سیستم بانکی مورد نظر ارتباط برقرار کرد باید از طرف بانک برای او اطمینان خاطر ایجاد شود که تا پایان کلیه عملیات چیزی میان این دو،یعنی بانک و مشتری، قرار نمی گیرد.

سوای همه مشکلات عدیده‌ای که در مباحث فنی و حقوقی درباره این مسئله وجود دارد اما بانک‌ها ما هنوز مشکلات خیلی ساده‌ای را نتوانسته‌اند حل کنند. یا به عبارت دیگر خبری از چنین اشکلات ندارند یا دارند و نمی خواهند رفع کنند فقط برای رفع مسئولیت و گذاشتن پسوندی به نام الکترونیک این کارها را انجام داده اند.

حال مشکل اول را بررسی کنیم. ما همیشه حتی در سایت خود بانک‌ها و فروشگاه‌های اینترنتی برای اینکه به مشتری خود هشدار دهیم دچار مشکل نشود حتما در نوار آدرس چک کند که به صورت امن به سایت مورد نظر وصل است یا خیر؟آیا در بالا آدرس را به صورت https می بیند؟ بعد از این کنترل کاربر می تواند مشخصات بانکی خود را وارد کند تا تراکنش بانکی صورت گیرد. اما ای دل غافل لطفا به آدرس‌های زیر نگاه کنید تا فاجعه را درک کنید:

۱. بانک ملت

۲. بانک ملی

۳. بانک کشاورزی

چگونه بانک‌های ما بدون آنکه از یک ارتباط ایمن میان مشتری و بانک برخورد دار باشند از بانکداری الکترونیک حرف می زنند؟

همه سایت های بالا که به عنوان نمونه آورده شد از یک گواهی امنیتی خودساخته برای ایجاد یک بستر امن استفاده می کنند. به عبارت دقیق تر وب سرور چنین سایت‌های از یک گواهی امنیتی معتبر برای ایجاد ارتباط HTTPS استفاده نمی کند. مدیر سرور فقط با نوشتن دو دستور چنین گواهی نامعتبری تولید کرده و برای بانک گذاشته است.

خوب مشکل این کار کجاست؟ مرورگرهای به روز مانند موزیلا و یا اینترنت اکسپلورر نسخه جدید در هنگام ورود به چنین سایت‌های با چنین گواهی نامه‌هایی اخطار می دهند و به کاربر گوشزد می کنند که خودش شخصا چنین گواهی‌نامه‌ای را تایید کند تا بتواند از این مسیر عبور کند. اگر کسی به عنوان یک میانگر،یا مرد وسط، در این ارتباط قرار گیرد به راحتی می تواند با شکستن قفل آن گواهی‌نامه به تمامی اطلاعات بانکی رد و بدل شده دسترسی یابد. چون این گواهی‌نامه‌ها با چندین برنامه و رایانه‌ به راحتی فقل گشایی می شوند. این قفل ضامن کدگذاری میان شما تا بانک است. حالا تصور کنید پولتان را به کسی از آشنایان می دهید به حساب شما در بانک واریز کند. او در بین راه یک نفر با چهرهٔ آشنا می بینید و همه آن پول و اطلاعات شما را در اختیارش قرار می دهد تا او اینکار را انجام دهد اما دریغ که او راهزنی بیش نبوده است.

مگر گواهی‌نامه‌ها معتبر با غیر معتبر چه فرقی دارند؟ گواهی‌های معتبر معمولا در مرورگر شما شناسایی می شوند و نیاز به تایید اعتبار آنها از سمت شما نیست چون سیستم آنها را تایید می کند. دیگر آنکه شرکت‌های در دنیا هستند که کار آنها انحصارا تولید چنین گواهی‌نامه‌هایی است. آنها برای تولید این گواهی‌نامه‌های از مدرن ترین و پیچیده ترین روش‌های کدگذاری استفاده می کنند. آنها به گونه این کدگذاری را انجام می دهند که حتی ابررایانه قدرتمند بعد از گذشتن چند صد سال پردازش شاید به کدگشایی یک گواهی برسند.

چرا بانک‌های ما چنین ریسکی را انجام می دهند؟

یکی از دلیل این مسئله عدم توجه به مقولهٔ امنیت سایت‌ها و سرورها از طرف مسئولین بانکی است. امنیت تبدیل داده‌ها در بستر شبکهٔ بانکی اهمیت بسیار حیاتی دارد. اما متاسفانه مدیران ارشد کمتر از نظرات کارشناسی در این زمینه استفاده می کنند. وگرنه چنین ریسک بزرگی با پرداخت هزینه‌ای بسیار بسیار پایین قابل جلوگیری است.

فاکتور:

– هزینه داشتن یک آی‌پی در سال برای هر سایتی که بخواند در آن ارتباط امن ایجاد کنند: ۱۵۰۰۰۰ ریال در سال

– یک گواهی‌نامه وری‌ساین با اعتبار یک ساله با ضمانت ۲۵۰۰۰۰ دلار: ۱۸۰۰۰۰۰۰ ریال

جمع هزینه امن سازی ارتباط بانک محترم:‌ ۱۸۱۵۰۰۰۰ ریال

خودنوشت۱: سه هفته است که رمزساز بانک ملی من قفل شده است و برای بازگشایی آن باید به بانک مراجعه می کردم. حالا بماند آن داستان‌های من با بانک اما متاسفانه هنوز رمزی برای رمزساز ارسال نکرده‌اند. کاری که در سایت بانک با دو تا کلیک می توانست حل شود.

خودنوشت۲: بانکهای خصوص،یعنی از اول خصوصی بوده‌اند در این زمینه کمی بهتر عمل کرده‌اند.

خودنوشت۳: بانک صادرات هم از این شیرین کاری‌ها دارد اما خوشبختانه الان که این نوشته را می نویسم کل آی‌پی و سایت خوابیده است.

نوشته‌های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

۸ دیدگاه

  1. سایت nic.ir هم به همین شکل گواهینامه معتبر نداره
    یکی از دوستان باهاشون تماس گرفته و جواب گرفته که به دلیل تحریم‌ها نمیتونیم گواهینامه بخریم
    شاید بانک‌ها هم این مشکل رو دارند!
    در هر شکل از اونجا که توی بلاد فرنگ سایتهای کوچکی رو میبینیم که از گواهینامه معتبر استفاده میکنن واقعا جای تاسف داره که بانکها و سازمانهای به این مهمی توی ایران از گواهینامه‌های غیر مکنند.

  2. علت دولتی بودن و در لیست تحریم بودنشونه… چون گواهی SSL چیزیه که به نام مالک دامین ثبت میشه و مالکین این دامین ها همگی موسسات و ارگان های دولتی هستند بهشون نمی دهند…
    @مصطفی: سامان یا پارسیان به دلیل ماهیت خصوصی تونستند بگیرند

    این ماجرا سر دراز داره و قرار بود وزارت بازرگانی بشه CA موسسات و سازمان های دولتی و اگه CA های بین المللی Certificate نمیده، وزارت بازرگانی برای داخلی ها رو بده و اون validation رو انجام بده…(مرورگزها کماکان خطا بدهند ولی حداقل اصل بودن یا جعلی بودن گواهی رو بشه از سرور وزارت بازرگانی چک کرد) که اونم به دلیل درک بالای مدیران سازمان ها از امنیت عملیاتی واقعی نشد

  3. @مصطفی: من اصلا قصد حمایت، حتی خیلی کم از سیاست ها، نا آگاهی، بیخیالی و عدم دلسوزی مدیران دولتی رو ندارم (از سطح کارشناس امنیت اطلاعات یک بانک تا سطوح بالاتر) ولی همون طور که میدونی اسم بسیاری از بانک ها، سازمان و شرکت های دولتی در بهرست تحریم ایالات متحده است، و هر شرکتی که با اعضاء این فهرست وارد رابطه تجاری شه مورد تحریم امریکا قرار خواهد گرفت (اگر خاطرت باشه چندی پیش ایالات متحده چندین شرکت که یکیشون هم اسرائیلی بود در فهرست تحریم خودش قرار داد به دلیل مراوده با ایران)، من این موضوع ترکیه رو دقیقا در جریان نیستم و از اظهارنظر صریح پرهیز میکنم ولی میشه حدث زد که اون ها مراودات با امریکا رو به فروش Certificate به یک بانک ایرانی ترجیح ندهند، باز هم اگر شما اطلاعات دقیق تری دارید ممنون میشم از این طریق به اشتراک بگذاری… 🙂

    –> شاید تاسیس شرکت های خصوصی و واگذاری تبادلات بانکی الکترونیک به اون ها برای مدت کوتاه (شاید هم خیلی کوتاه) بتونه راه حل موقت باشه، ولی قطعا راه حل بلندمدت و صحیح اصلاح سیاست و خط مشی کشور و روابط پیکارجویانه ی ایران با مابقی دنیا به جز سوریه و ونزوئلا باشه :))

    1. turktrust.com.trبانک سپه فک کنم از یک شرکت لهستانی گواهی داره. ترکیه به برخی بانک های ایران گواهی معتبر داده http://www.turktrust.com.tr/en/index.html. در کل موضوع دوتا راه حل نداره یکی همون راه حل معمولا استفاده از گواهی های معمولی فروکش کردن این دعاوی،یا تولید گواهی های ملی و ایجاد پچ برای مرورگرها حال پچ در کل مجموعه اعمال بشه یا به صورت داخلی و ملی استفاده کنن