البته شکی نیست که پشت قضیه افشای اطلاعات توسط این شخص (با هر نیتی که بوده) امنیت پایین اطلاعات هم قرار داشته است. یعنی اگر امنیت به اندازه کافی بود امکان افشای آنها توسط حتی یک کارمند داخلی هم به حداقل میرسید. شخص افشا کننده اطلاعات (کارمند یکی از شرکتهای دست اندرکار امور بانکی) هم به راست یا دروغ مدعی بوده که با قصد اطلاع رسانی به عموم مردم راجع به پایین بودن امنیت اقدام به افشای اطلاعات کرده.
آیا این آخرین باری است که چنین اتفاقی خواهد افتاد؟ اگر همه دنیا فکر کنند که این آخرین بار است که چنین اتفاقی میافتد اما ما برنامهنویسان، کامپیوتریها، اینترنتیها و خصوصاً کارمندان بخش پشتیبانی شرکتها میدانیم که این آخرین بار نیست و حتی این که امکان تکرار آن بسیار هم بالاست. چرا؟ چون که:
۱- طراحان نرمافزار خیلی کم به فکر Hash کردن یکطرفه (روشی برای رمز نگاری) اطلاعات مهم خصوصاً کلمه عبور، کد ملی، شماره شناسنامه، کارت بانکی و غیره هستند. این یعنی این که اگر دیتابیس به دست آدم نامربوطی برسد در عرض چند دقیقه تمام اطلاعات افراد به سادگی آب خوردن لو خواهد رفت. دسترسی به دیتابیس هم برای یک کارمند داخلی کار چندان سختی حساب نمیشود.
۲- معمولا به خاطر ضعف در روشهای تست و پشتیبانی، برای آن که یک شرکت پیمانکار بتواند به شرکت کارفرما پشتیبانی نرمافزاری بدهد همه بانک اطلاعاتی آنها را درخواست میکند. اگر مدتی سابقه حضور در یک واحد پشتیبانی را داشتهاید حتماً با چشمان خودتان نسخههای مختلف اطلاعات مشتری را در جای جای شبکه، سیدیها و کامپیوترها بدون هیچ حفاظ و کنترلی دیدهاید. اصلاً اگر ایمیل کارمندان پشتیبانی و برنامهنویسی یک شرکت نوعی کامپیوتری را ببنید پر است از اطلاعات حساس مشتریان.
۳- بین کاربران ایرانی، چه امور بانکی چه امور غیر بانکی ساده انگاری وحشتناکی در استفاده از رمز عبور وجود دارد. همه رمز همدیگر را میدانند، رمزها سه سال یکبار هم عوض نمیشوند، رمزها بیش از حد ساده و کوتاه هستند و…
۴- استفاده ار پروتکلهای امن مثل https در بانکداری الکترونیک و تجارت الکترونیک بنا به دلایلی مثل ممنوعیتهای داخلی و تحریمهای خارجی بسیار سخت شده است. اگر در حال login به یک وبسایت بدون https هستید، اگر در حال وارد کردن رمز و اطلاعات بانکی خود از تلفن بانک هستید، اگر کلمه عبور یک نرمافزار را از طریق SMS برای کسی میفرستید و… مطمئن باشید که هر کس دیگری که در فاصله بین شما تا مقصد قرار دارد از جمله همکاران شما در شرکت یا اداره، کارمندان واحد IT، کارمندان شرکت ارائه دهنده اینترنت، کارمندان شرکت تامین کننده فضای اینترنتی و غیره و غیره به اطلاعات شما دسترسی کامل و ساده دارند. فکر نکنید که برای سرقت اطلاعات نیاز به نخبه بودن هست. بلکه ابزارهای زیادی برای این طور کارها وجود دارند که یک فرد اول دبیرستان هم میتواند با کمک آنها هر کاری بکند.
۵- استخدامها و واگذاری پروژهها به شرکتها گاهی اوقات بر اساس روابط پسرخالگی، همشهریگری، رفاقتی، همسو بودن گرایشات (…) و غیره انجام میشود. اثر این موضوع خیلی واضح است.
Comments
perfect !
مرسی از پستت ، این جمله رو خوب اومدی :
…::استخدامها و واگذاری پروژهها به شرکتها گاهی اوقات بر اساس روابط پسرخالگی ::…
سلام خدمت دوستان
به نظر من که اصلا به هیچ وجه هک خارج ا بانک ها صحت نداره چون حتی با حفره های امنیتی قوی هم نمیشه این طور سیستم ها رو هک کرد چونکه دیواره های حفاظتی چند لایه های برای این سیستم ها تعبیر شده که بیشترش هم برای شرکت های معتبری مثل مکافی و کسپراسکای هستش پس به هیچ وجه قضیه هک وجود نداره
و این جور بی کفایتی ها بر عهده خود مسئولان بانک ها هستش
ضمنا از نظرات همتون ممنون
بسیار جامع و مفید بیان کردید آقای محبی.(حرف دل ما رو زدید و ما رو از نوشتن کامنت اضافی معاف کردید.)
Lotfan in ra ham bebinid
http://ircard.blogspot.com/2012/04/blog-post_17.html
مکانیزم ارسال پیام در سیستم پرداخت بگونه ای است که امکان استفاده از رمز نگاری یک طرفه ( Hashing ) وجود ندارد. زیرا هر یک از سوئیچ های بین راه باید پین ارسال شده را از "رمز شده با کلید خود" به حالت "رمز شده با کلید سوئیچ بالاسر خود" تبدیل کند یا به عبارت دیگر باید آنرا Translate نماید.
جالب بود. این را نمیدانستم.
عالیه . مخصوصا همشهریگری !
بابا طرف باید متخصص باشه نه همشهری ! اینو به کی بگیم ؟
You’ll normally hаve tо go back and in addition enjoy
a vision thee ѕecond as well аs thirdly time ɑnd energy tоo tгy and complete thee actuzl objective’ersus challenge.
Јust about аll I desired tօ complete еnded up Ьeing
speak too corporations tɦat gοt loads wҺiсh woulԁ hɑve tօ be ppassed
ɑnd find vehicles tо advance thօse types оf weights. Everyday games сould bе whichever avid gamers label ߋf ɑll off them whіch
foliage meаns for limitless potentials aѕ well aas countless entertaining гegarding game player.
Allso visit mү paɡe … solitaire free download