برای نخستین بار یک هکر کلاه سفید با حضور در یک برنامه زنده تلویزیونی، امنیت سایت‌های اینترنتی را به چالش کشید.

در برنامه "۲ نیم ساعت" شبکه خبر این کارشناس امنیت در کنار مهمانان برنامه به اعلام نظرات و پیشنهادهای خود در خصوص امنیت فضای مجازی کشور پرداخت.

این هکر کلاه سفید با اشاره به وب سایت مهمان برنامه که خود در خصوص امنیت سایت‌ها اعلام نظر می کرد، آن را دارای نقاط ضعف فراوانی دانست که نیازمند توجه بیشتر برای امنیت است.

این برنامه یک ساعته که غالبا موضوعات سیاسی و اقتصادی را پیگیری می‌کند، پنجشنبه شب موضوع امنیت در فناوری اطلاعات را با حضور مهندس "ریاضی"، معاون سابق فناوری اطلاعات وزارت ارتباطات و فناوری اطلاعات و مهندس "افشار"، عضو دبیرخانه شواری عالی اطلاع رسانی بررسی کرد.

در بخش دوم این برنامه یک هکر کلاه سفید به صورت تلفنی در برنامه حضور یافت و در بخش اول صحبت خود، وب سایت یکی از مهمانان برنامه را مورد نقد جدی قرار داد.

وی در ادامه با اشاره به ارزش‌های شکل گرفته در دنیای سایبری، بر ضرورت حفاظت و برنامه ریزی در جهت صیانت از آن اشاره کرد.

کارشناس امنیت سایبری با تقسیم فضای امنیت الکترونیک به ۳ گروه حاکمیتی، بنگاه ها و مردم، درک فضای جدید و برنامه ریزی برای ایجاد امنیت به عنوان زیرساخت حضور در این فضای جدید را مورد تاکید قرار داد.

هکر کلاه سفید در پایان خواستار توجه جدی مسئولان و مدیران IT کشور به دام های پیش رو به ویژه در بخش نرم افزارهای رایگان شد.

وی نرم افزارهایی مانند واژه نامه "Babylon" را یک دام الکترونیک دانست که توانایی جاسوسی از سیستم های رایانه ای را دارد و متاسفانه در بسیاری از ادارات دولتی نیز استفاده می‌شود. منبع گرداب
برچسب‌ها: Babylon, هکر کلاه سفید

حتما برای شما هم پیش آمده وقتی وارد یک فروشگاه یا مغازه می شوی و قصد پرداخت الکترونیک را دارید با انبوه کارت خوانهایی مواجه می شوید که هرکدام متعلق به یک بانک است.

به گزارش بانکی دات آی آر, بانک ها برای افزایش تراکنش هاشان هر کدام می کوشند سهم بیشتری از بازار تراکنش ها را از آن خودشان بکنند و از جایزه دادن به صاحبان کارت خوان ها گرفته تا قرعه کشی های متنوع برای صاحبان کارت های بانکی می کوشند مشتریان بیشتری را جذب کنند.

اما حقیقت این است که وجود کارت خوان های مختلف نه تنها چهره فروشگاه ها را زشت کرده و باعث سردرگمی مشتریان شده بلکه نظارت بانک مرکزی بر روی سیستم بانکی را سخت تر کرده و حتی امکان پولشویی یا سرقت اطلاعات کاربران را به شدت افزایش داده است.

در حال حاضر«شتاب به عنوان شبكه ملي تبادل اطلاعات بانكي، 29 بانك و موسسه مالي و اعتباري، 17 شركت ارايه‌دهنده خدمات پرداخت PSP 25465 دستگاه خودپرداز (ATM)، دو ميليون پايانه فروش (POS) و 171 ميليون كارت بانكي. از مجموع 171 ميليون كارت بانكي 72% كارت برداشت، 27% كارت‌هاي خريد و هديه، يك درصد كارت اعتباري و كمتر از يك درصد كيف پول الكترونيك است.»

که همه آنها در شرایطی نابسامانی کارمی کنند و دشواری های فراوانی را برای مردم و صاحبان فروشگاه ها ایجاد کرده اند.

اما چاره کار کجاست؟

شاپرک یا شبكه الكترونيكی پرداخت كارتی قرار است تمام مشکلات را مرتفع کند. به عبارت ساده تر بانک مرکزی قصد دارد تمامی دستگاه های پوز یا کارت خوان را از سطح فروشگاه ها و مغازه ها جمع آوری کند و به جای آنها کارت خوان هایی با نام شاپرک جایگزین شود که همه کارت ها بتوانند از آنها استفاده کنند.

کارشناسان اعتقاد دارند شاپرک یک تحول اساسی در صنعت پرداخت الکترونیک کشور ایجاد و در عین حال این شبکه نیز بیشتر همانند یک پلی برای گذار از شرایط فعلی به شرایط مطلوب عمل خواهد کرد.


راه اندازی شاپرک از یک سو زمینه استقلال شرکتهای PSP و ساماندهی شبکه های پایانه های فروشگاهی را بدنبال خواهد داشت از سوی دیگر از حجم تراکنش ها روی شبکه شتاب به شکل معنا داری خواهد کاست.

مهمترین اهداف راه اندازی شاپرک از دیدگاه قطبی مدیر عامل شاپرک:

- كنترل و نظارت متمركز در شبكه پرداخت كشور

- افزايش رضايت مصرف‌كننده

- ساده‌سازي و تسهيل خدمات پرداخت

- ايجاد سازوكار يكسان براي فعاليت شركت‌ها

- يكسان‌سازي خدمات قابل عرضه

- هدايت به سمت استفاده بهينه از منابع

- گسترش بازار ابزارهاي كارتي

- مديريت ريسك و امنيت

مشکلات شاپرک

شاپرک، ظاهرا قرار است به مشکلات فراوان صنعت پرداخت الکترونیکی سر و سامان بدهد. اما به علت اطلاع‌رسانی نادرست و ضعیف از یک طرف و پاسخ‌ ندادن مدیران بانک مرکزی از طرف دیگر، هنوز ابهامات فراوانی در مورد این طرح وجود دارد. اگر پای صحبت کارشناسان صنعت پرداخت الکترونیکی بنشینید مزایای این طرح را بیان می‌کنند، اما بلافاصله از بیم‌ها و امیدها می‌گویند؛ از اینکه بانک مرکزی به صورت تجویزی و بدون توجه به بازیگران این صنعت، می‌خواهد تغییراتی ایجاد کند که ابعاد آن ناشناخته است. گفته می‌شود ما نزدیک به دو میلیون فروشگاه و کسب و کار خرده‌فروشی در کشور داریم.

تعداد پایانه‌های فروش هم به بالای یک و نیم میلیون رسیده است. اما هنوز بسیاری از فروشگاه‌ها صاحب پایانه فروش نیستند و در عوض در برخی از فروشگاه‌ها دو یا سه پایانه فروش از چند بانک مختلف دارند. این موضوع بیش از هر چیز به چشم و هم چشمی بانک‌ها باز می‌گردد. از حدود ۱۰ سال پیش که شاهد رشد صنعت پرداخت الکترونیکی در کشور بوده‌ایم تا به امروز، بازیگران اصلی این میدان شرکت‌های ارائه‌دهنده خدمات پرداخت الکترونیکی (PSP) بوده‌اند. این شرکت‌ها زیرمجموعه بانک‌ها هستند و بانک‌ها به دلیل قدرت مالی فراوان نگاهی به سود در این صنعت نداشته‌اند. بانک‌ها حاضر بودند سودی از صنعت پرداخت الکترونیکی نداشته باشند، اما مردم از درگاه‌های پرداخت آنها استفاده کنند. چرا؟

چون به این طریق سپرده‌های مردم نزد بانک افزایش می‌یابد و به این طریق بانکی‌ها عدم کسب سود در یک صنعت را با سودهای بیشتر درسایرحوزه‌ها در صنعت بانکداری، جبران خواهند کرد. این روال معمول دنیا نیست و در دنیا صنعت پرداخت مستقل از صنعت بانکداری است. بانک‌ها بانکداری می‌کنند و شرکت‌های ارائه‌دهنده خدمات پرداخت کار پرداخت را انجام می‌دهند. همان طور که اشاره شد، به دلیل رشد بیمارگونه این صنعت در ایران و فقدان حضور موثر نهادهای قانونگذار مانند بانک مرکزی شاهد رشد کج و معوج این صنعت بوده‌ایم. این رشد ناقص و اشتباه باعث شد که بانک مرکزی کلید واژه‌ای به نام شاپرک را وارد ادبیات فعالان صنعت بانکداری و پرداخت الکترونیکی کند.

تاخیر ها ی چند باره در افتتاح این طرح و مباحثات مختلفی که در خصوص نحوه اجرای فازهای مختلف شاپرک مطرح می شود آینده آن را در هاله ای از ابهام فرو برده است.

منبع:http://banki.ir/akhbar/1-news/12783-گزارش-اختصاصی-چرا-شاپرک-ضروری-است؟

بانک رفاه به جامعه پزشکی کشور بدون در نظر گرفتن شرط میانگین مانده حساب ، تا سقف 2 میلیارد ریال با وثیقه سفته و یا قرارداد لازم الاجرا و تا سقف 4 میلیارد ریال با وثیقه گروه نقدی و غیر منقول تسهیلات مالی پرداخت می کند.
به گزارش روابط عمومی بانک رفاه؛ این بانک در راستای تامین نیازهای مالی پزشکان و با هدف توسعه و ارتقاء بیش از پیش ارائه خدمات درمانی و بهداشتی در سطح کشور در قالب طرح سپیدان 1 به جامعه پزشکان اعم از پزشکان فوق تخصص، متخصصین، جراحان، دندانپزشکان، دکترهای علوم آزمایشگاهی، رادیولوژی، داروسازی، پزشکان عمومی و سایر رشته های مرتبط با علوم پزشکی اعم از فیزیوتراپیست ها، سونوگرافیست ها، اپتومتریست ها، پیراپزشکان و ... بدون شرط میانگین مانده حساب، تسهیلات مالی تخصیص می دهد.
بر اساس این گزارش حداکثر مبلغ تسهیلات قابل تخصیص به پزشکان فوق تخصص، متخصصین، جراحان، دندانپزشکان، دکترهای علوم آزمایشگاهی و رادیولوژی با تضمین سفته و یا قرارداد لازم الاجرا، مبلغ 2 میلیارد ریال و با تضمین وثائق گروه نقد و غیر منقول مبلغ 4 میلیارد ریال و به دکترهای داروساز و پزشکان عمومی با تضمین سفته و یا قرارداد لازم الاجرا به ترتیب 1 میلیارد ریال و 500 میلیون ریال و با تضمین وثائق گروه نقد و غیر منقول به ترتیب 2 میلیارد ریال و 1 میلیارد ریال می باشد. همچنین این تسهیلات برای سایررشته های مرتبط با علوم پزشکی به شرح صدرالاشاره با تضمین سفته و یا قرارداد لازم الاجرا مبلغ 750 میلیون ریال و با تضمین وثائق گروه نقد و غیر منقول مبلغ 2 میلیارد ریال می باشد.
مدت اجرای این طرح تا تاریخ 21/5/1391 خواهد بود و متقاضیان واجد شرایط می توانند جهت تهیه و تامین تجهیزات مورد نیاز و مرتبط با فعالیت خود از این تسهیلات استفاده کنند.
متقاضیان جهت دریافت اطلاعات بیشتر می توانند به پایگاه اطلاع رسانی بانک به نشانی www.refah-bank.ir مراجعه و یا با مرکز اطلاع رسانی و پاسخگویی بانک رفاه به شماره 8525 تماس بگیرند.

گروه هدف : جامعه پزشکی اعم از پزشکان فوق تخصص ، متخصص ، جراحان ،دندانپزشکان متخصص و عمومی ، پزشکان عمومی ،دکترهای علوم آزمایشگاهی ، رادیولوژی ،داروسازی و سایر رشته های مرتبط با علوم پزشکی اعم از فیزیوتراپیستها ، سونوگرافیستها ،پیراپزشکان، اپتومتریستها ، کارشناسان ارشد وکارشناسان رشته های پیراپزشکی نظیر مامایی ، سونوگرافی، فیزیوتراپی و ....( دارنده مجوز فعالیت )
مدت اعتبار طرح : از تاریخ 24/2/91 لغایت 21/5/91 به مدت 90 روز
نحوه پرداخت تسهیلات :

• نوع عقد : مشارکت مدنی با قابلیت کاهش سهم الشــرکه بانک طی دوره مشـارکت (بازپرداخت دوره ای ) برای گروه پزشکان

• سهم الشرکه بانک حداکثر 80% کل سرمایه مشارکت مدنی

• سهم الشرکه شریک حداکثر20% کل سرمایه مشارکت مدنی

• مدت مشارکت مدنی : حداکثر 36 ماه (با توجه به عمر مفید تجهیزات و متناسب با موارد موضوع مشارکت )

• موضوع مشارکت : تهیه و تامین ابزار و تجهیزات مورد نیاز و مرتبط با موضوع فعالیت

- به پزشکان داروساز دارای پروانه مسئول فنی داروخانه ، ضمن اخذ اسناد مالکیت یا اجاره نامه معتبر محل فعالیت متقاضی ، پرداخت تسهیلات در قـالب عقد مضاربه و متناسب با ظرفیتها و فعالیت توزیعی متقاضیان امکانپذیر بوده و حداکثر مدت تسهیلات در این موارد 12 ماه می باشد .

شرایط :

• دارا بودن یا افتتاح حساب جاری همراه (با دسته چک / بدون دسته چک با قابلیت برداشت از طریق رفاه کارت )

• ارائه مجوزهای فعالیت متقاضیان بر اساس ضوابط و مقررات جاری بانک به همراه مستندات مربوط به میزان درآمد متقاضیان

• معرفی ضامن و ارائه مدارک و مستندات مورد نیاز مطابق با دستورالعملهای جاری بانک(در صورتیکه پرداخت تسهیلات در قبال سفته یا قرارداد لازم الاجرا باشد)

• اخذ مدارک ملک مورد وثیقه (در صورتیکه پرداخت تسهیلات در قبال وثیقه ملکی می باشد) شامل تصویر اسناد ملک مورد وثیقه ، گواهی پایانکار ساختمان به تاریخ روز ، پاسخ استعلام طرح تفصیلی از شهرداری مربوطه و سایر مدارک مرتبط

• احراز توانایی مالی متقاضیان جهت بازپرداخت تسهیلات اعطایی پس از تهیه گزارش اطلاعات اعتباری از متقاضیان با توجه به ضوابط جاری

• ارائه اسناد مالکیت یا اجاره نامه معتبر محل فعالیت متقاضی

• پیش فاکتور معتبر بابت تهیه لوازم و تجهیزات پزشکی مورد نیاز (مرتبط با موضوع فعالیت متقاضی )

• اخذ سایر مدارک در چارچوب ضوابط و مقررات جاری بانک ( اخذ کد اعتباری ، استعلام وضعیت تعهدات و تسهیلات ، استعلام سوابق چکهای برگشتی ،اخذ مفاصاحساب مالیاتی وسایر مدارک لازم در چارچوب ضوابط و مقررات جاری بانک )
  

برچسب‌ها: سهیلات, بانک رفاه, سپیدان, جامعه پزشکی

بنابر تازه‌ترین گزارش بانک مرکزی در خصوص عملکرد بانک های کشور در حوزه پرداخت الکترونیک، تعداد کارت‌های صادره توسط بانک سامان با رشد 114 درصدی روبرو شده است.

به گزارش اداره روابط‌عمومی بانک سامان، بر اساس اعلام بانک مرکزی تعداد کارت‌های صادرشده بانک سامان به بیش از سه میلیون و 70 هزار کارت رسیده است.

بر اساس این گزارش، بانک سامان در راستای ارتقا رضایت‌مندی مشتریان، تنوع بخشی به محصولات و توسعه بانکداری الکترونیک در حال حاضر انواع کارت‌های بانکی را بنا به درخواست مشتری در انواع بن کارت، سامان کارت، کارت اعتباری، کارت خانواده, کارت هدیه در مبالغ مختلف و با طرح‌های دلخواه در اختیار مشتریان قرار می دهد.

این گزارش حاکی است، تعداد خودپردازهای بانک سامان تا پایان سال 90 از رشدی 36درصدی و تعداد پایانه‌های فروش نیز از رشدی 64 درصدی برخوردار شده است.

شایان ذکر است بانک سامان با راه اندازی سامانه صدور آنی کارت در شعب خود امکان صدور و تحویل کارت های بانکی مورد نیاز مشتریان را در شعب فراهم کرده است.

سامانه مرکزی مسکن مهر برای ثبت نام اینترنتی دانشجویان و اعضای هیات علمی دانشگاه ها از روز 12 اردیبهشت ماه در وزارت علوم فعال خواهد شد.


چندی پیش وزارت علوم از دانشگاه ها خواست تا اسامی متقاضیان مسکن مهر دانشجویی را اعلام کنند اما تاکنون فهرستی از طرف دانشگاه ها ارائه نشده است و به همین منظور، سامانه مرکزی مسکن مهر دانشجویی از 12 اردیبهشت ماه راه اندازی می شود تا از این پس ثبت نام ها به صورت متمرکز صورت گیرد.

محمود ملاباشی - رئیس سازمان امور دانشجویان وزارت علوم اعلام کرد که دانشجویان تحصیلات تکمیلی برای دریافت مسکن مهر می‌توانند تا 10 میلیون تومان پیش پرداخت کنند و مابقی آن به صورت وام خواهد بود که در حال رایزنی هستیم تا پیش پرداخت 5 تا 8 میلیونی را از منابع دیگر تامین کنیم.

وی ادامه داد: پس از اعطای مسکن مهر به دانشجویان متاهل و تحصیلات تکمیلی، در مرحله بعدی این مسکن به دانشجویان کارشناسی اعطا خواهد شد.

برچسب‌ها: سامانه ثبت‌نام مسکن مهر دانشجویی

رئیس کمیسیون نظارت و پیگیری اجرای اصل ۴۴ قانون اساسی، با مثبت ارزیابی کردن ادغام موسسه‌های مالی و پولی و ایجاد یک بانک خصوصی، از بررسی اعتبارات این ادغام در لایحه بودجه ۹۱ در کمیسیون تلفیق خبر داد.

حمیدرضا فولادگر، با اشاره به ادغام ۴ بانک خصوصی و تشکیل ۲ بانک بزرگ تر، در خانه ملت یادآور شد: در اوایل انقلاب ما تجربه ادغام بانک‌ها را داشتیم، اما چند بانک خصوصی ادغام و تبدیل به یک بانک دولتی شد.

نماینده مردم اصفهان در مجلس شورای اسلامی، افزود: اما اینکه موسسات پولی و مالی غیردولتی با هم ادغام شوند، مغایرتی با قانون و سیاست‌های مالی و پولی ندارد و می‌تواند حرکت مثبتی در جهت تقویت عملکرد بانک‌ها باشد.

عضو کمیسیون صنایع و معادن مجلس هشتم، ادامه داد: اگر این موضوع در احکام بودجه لحاظ شده باشد، قابل بررسی است و به طور قطع در بودجه و در کمیسیون تلفیق بررسی خواهد شد.

دو بانک خصوصی که یکی از آنها با گذشت بیش از پنج سال از فعالیت خود عملکرد قابل توجهی نداشته و در مقایسه با رقبای هم سن، توفیق کمتری داشته است در یک بانک دیگر ادغام خواهد شد تا با تشکیل بانکی بزرگ تر، عملکرد قابل توجیه تری را برای سهامداران به همراه داشته باشند.
غلامرضا مصطفی پور سرپرست صندوق مهر امام رضا(ع) نیز در این رابطه اعلام کرده است: فرآیند قانونی ادغام صندوق و بانک قرض الحسنه مهر پس از تصویب بودجه سال ۹۱ دولت در مجلس اجرایی خواهد شد.

به گفته وی، با توجه به تصویب بودجه دولت در اردیبهشت یا خرداد ماه سال جاری موضوع ادغام به لحاظ بستر‌های قانونی به تاخیر افتاده است.

شایعه ها از اذغام بانک قرض الحسنه مهر و صندوق مهر امام رضا (ع) در نخستین گام خبر می دهد

برچسب‌ها: ادغام بزرگ بانک ها

در شرایطی که بیش از پیش نیاز به اعتماد سازی کاربران و جلب اطمینان عموم مردم داریم (به عنوان دست اندرکاران و مبلغان کامپیوتر، نرم‌افزار و اینترنت)، رمز سه میلیون کارت بانکی افشا می‌شود. حالا چطور می‌توان به مردم کوچه و خیابان و چه بسا هر آدم غیر کامپیوتری دیگری اثبات کرد که استفاده از خدمات اینترنتی و الکترونیکی باعث سهولت در زندگی، صرفه جویی در وقت، دقت بالا در انجام کارها، کاهش هزینه‌های جانبی، کاهش ترافیک، حفظ محیط زیست، عدالت اجتماعی و غیره می‌شود؟ چطور می‌توان به همه این آدم‌ها توضیح داد که این کار هک و نفوذ به سیستم نبوده بلکه یک کارمند داخلی که دسترسی قانونی به اطلاعات داشته این کار را کرده و این کار در هر جای غیر کامپیوتری دیگری قابل تکرار است. مثلا کارمند ناراضی ثبت احوال، دفاتر ثبت و حتی کارمند دفتری یک مدرسه هم می‌تواند اطلاعات دم دستش را به سادگی افشا کند حتی اگر اطلاعات صرفا روی کاغذ ثبت شده باشد؟

البته شکی نیست که پشت قضیه افشای اطلاعات توسط این شخص (با هر نیتی که بوده) امنیت پایین اطلاعات هم قرار داشته است. یعنی اگر امنیت به اندازه کافی بود امکان افشای آنها توسط حتی یک کارمند داخلی هم به حداقل می‌رسید. شخص افشا کننده اطلاعات (کارمند یکی از شرکت‌های دست اندرکار امور بانکی) هم به راست یا دروغ مدعی بوده که با قصد اطلاع رسانی به عموم مردم راجع به پایین بودن امنیت اقدام به افشای اطلاعات کرده.

آیا این آخرین باری است که چنین اتفاقی خواهد افتاد؟ اگر همه دنیا فکر کنند که این آخرین بار است که چنین اتفاقی می‌افتد اما ما برنامه‌نویسان، کامپیوتری‌ها، اینترنتی‌ها و خصوصاً کارمندان بخش پشتیبانی شرکت‌ها می‌دانیم که این آخرین بار نیست و حتی این که امکان تکرار آن بسیار هم بالاست. چرا؟ چون که:

۱- طراحان نرم‌افزار خیلی کم به فکر Hash کردن یکطرفه (روشی برای رمز نگاری) اطلاعات مهم خصوصاً کلمه عبور، کد ملی، شماره شناسنامه، کارت بانکی و غیره هستند. این یعنی این که اگر دیتابیس به دست آدم نامربوطی برسد در عرض چند دقیقه تمام اطلاعات افراد به سادگی آب خوردن لو خواهد رفت. دسترسی به دیتابیس هم برای یک کارمند داخلی کار چندان سختی حساب نمی‌شود.

۲- معمولا به خاطر ضعف در روش‌های تست و پشتیبانی، برای آن که یک شرکت پیمانکار بتواند به شرکت کارفرما پشتیبانی نرم‌افزاری بدهد همه بانک اطلاعاتی آنها را درخواست می‌کند. اگر مدتی سابقه حضور در یک واحد پشتیبانی را داشته‌اید حتماً با چشمان خودتان نسخه‌های مختلف اطلاعات مشتری را در جای جای شبکه، سی‌دی‌ها و کامپیوترها بدون هیچ حفاظ و کنترلی دیده‌اید. اصلاً اگر ایمیل کارمندان پشتیبانی و برنامه‌نویسی یک شرکت نوعی کامپیوتری را ببنید پر است از اطلاعات حساس مشتریان.

۳- بین کاربران ایرانی، چه امور بانکی چه امور غیر بانکی ساده انگاری وحشتناکی در استفاده از رمز عبور وجود دارد. همه رمز همدیگر را می‌دانند، رمزها سه سال یکبار هم عوض نمی‌شوند، رمزها بیش از حد ساده و کوتاه هستند و…

۴- استفاده ار پروتکل‌های امن مثل https در بانکداری الکترونیک و تجارت الکترونیک بنا به دلایلی مثل ممنوعیت‌های داخلی و تحریم‌های خارجی بسیار سخت شده است. اگر در حال login به یک وب‌سایت بدون https هستید، اگر در حال وارد کردن رمز و اطلاعات بانکی خود از تلفن بانک هستید، اگر کلمه عبور یک نرم‌افزار را از طریق SMS برای کسی می‌فرستید و… مطمئن باشید که هر کس دیگری که در فاصله بین شما تا مقصد قرار دارد از جمله همکاران شما در شرکت یا اداره، کارمندان واحد IT، کارمندان شرکت ارائه دهنده اینترنت، کارمندان شرکت تامین کننده فضای اینترنتی و غیره و غیره به اطلاعات شما دسترسی کامل و ساده دارند. فکر نکنید که برای سرقت اطلاعات نیاز به نخبه بودن هست. بلکه ابزارهای زیادی برای این طور کارها وجود دارند که یک فرد اول دبیرستان هم می‌تواند با کمک آنها هر کاری بکند.

۵- استخدام‌ها و واگذاری پروژه‌ها به شرکت‌ها گاهی اوقات بر اساس روابط پسرخالگی، همشهری‌گری، رفاقتی، همسو بودن گرایشات (...) و غیره انجام می‌شود. اثر این موضوع خیلی واضح است.

منبع:http://blog.afsharm.com/2012/04/blog-post.html

برچسب‌ها: خدمات اینترنتی و الکترونیکی, امنیت, افشای اطلاعات, کارمند داخلی

1. آیا این ماجرا به علت امنیت پایین سیستم‌های بانکداری و پرداخت الکترونیک کشور رخ داده و یک هک بانکی بوده است؟

هم بله و هم نه. این ماجرا یک حمله از درون (inside attack) بوده و به هیچ وجه هک از بیرون نیست. یکی از مدیران سابق یکی از شرکت‌های پرداخت الکترونیک کشور به دلیل مشکلات شخصی و به علت داشتن دسترسی به اطلاعات حساس از این موقعیت سواستفاده کرده و اطلاعات را با خود بیرون برده و منتشر کرده است. بنابراین این ماجرا بیشتر از آن که یک مورد امنیتی (security) باشد یک تقلب (fraud) است.

۲٫ آیا این مشکل و نشت اطلاعات حساس بانکی باز هم ممکن است رخ دهد؟

بله. به نظر می‌رسد این مشکل ریشه در مسائل مدیریتی سازمان‌های فناوری اطلاعات ایران داشته باشد. مدیریت منابع انسانی در چنین مجموعه‌هایی در ایران ضعیف است و هنوز برای حل دعواهای شخصی روش‌های قابل قبولی وجود ندارد. در بسیاری از سازمان‌های ایرانی هنوز ثبت و ضبط دسترسی‌های افراد به درستی انجام نمی‌شود و مدیریت صحیحی بر منابع انسانی وجود ندارد. اگر شرکتی که این مشکل از آنجا ناشی شده فرایند صحیحی برای اخراج یا تسویه حساب می‌داشت به احتمال بسیار زیاد چنین مشکلی رخ نمی‌داد. در سیستم‌های امن دسترسی افراد به منابع مشخص و کنترل شده است.

۳٫ برای مقابله با این مشکل چه باید بکنم؟

اولین و بهترین کار تغییر رمز عبور است. البته کارشناسان امنیت توصیه می‌کنند در فاصله‌های زمانی مشخص مثلا هر سه ماه یک بار نسبت به تغییر رمزهای عبور خود اقدام کنید. در صورتی که اطلاعات کارت شما لو رفته باشد با تغییر رمز عبور امان سواستفاده را از بین خواهید برد.

۴٫ شرکت‌ها چه باید بکنند؟

شرکت‌های حوزه فناوری اطلاعات باید با روش‌های صحیح مستندسازی و تفکیک مراحلی مانند طراحی، پیاده‌‎سازی، تست و استقرار یک محصول راه هر گونه تخلف را ببندند. شخصی که اطلاعات را نشت داده توسعه دهنده محصول بوده است و دلیلی برای دسترسی او به اطلاعات عملیاتی وجود نداشته است. بنابراین پیاده کردن صحیح چارچوب‌های استانداد در رفع این مشکل در آینده و پیش‌گیری آن بسیار کمک خواهد کرد.

۵٫ آیا با اطلاعات منتشر شده می‌توان از حساب‌های بانکی سواستفاده نمود؟

در صورتی که صاحب کارت نسبت به تغییر رمز عبور خود اقدام نکند بلی. حتی بدون داشتن کارت و با اطلاعاتی مانند شماره کارت، رمز عبور و … می‌توان از کارت‌ها استفاده نمود.

۶٫ آیا این مشکلات مختص ایران است؟

مطلقا نه. اگر چنین بود این اندازه سازمان‌هایی که در زمینه امنیت فعالیت می‌کنند رشد نمی‌کردند. در جهان امروز و هر چند وقت یک بار خبری مبنی بر نشت اطلاعات حساس بانکی مردم منتشر می‌شود. تفاوت در فرایندهای آنهاست که بلافاصله راه سواستفاده را می‌بندند.

۷٫ در دنیا برای مقابله با این مشکل چه کرده‌اند؟

استاندارد امنیتی PCI DSS برای مقابله با چنین مشکلاتی است. با تطبیق با این استاندارد راه بر سواستفاده از سیستم‌های پرداخت الکترونیک بسته می‌شود. به نظر می‌رسد سیستم‌های شرکت‌های پرداخت الکترونیک ایران با معیارهای این استاندارد تطبیق ندارند.

۸٫ شرکتی که اطلاعات از آن درز کرده چند مشتری مشخص دارد. چرا اطلاعاتی که منتشر شده شامل اطلاعات ۳ میلیون کارت از تعداد زیادی از بانک‌های کشور است؟

ذخیره سازی اطلاعات حساس کارت‌های بانکی مردم نباید انجام می‌شده است. یعنی نه تنها نباید اطلاعات کارت‌های بانکی بانک‌هایی که مشتری این شرکت نبودند ثبت و نگهداری می‌شده بلکه اطلاعات کارت‌های بانکی بانک‌های مشتری این شرکت هم نباید در جایی ثبت و نگهداری می‌شده است. احتمالا زمانی که مردم با کارت‌های بانک‌هایی که مشتری این شرکت نبودند از پایانه‌های فروش بانک‌های مشتری این شرکت استفاده می‌کردند این اطلاعات در سوئیچ بانکی این شرکت ذخیره می‌شده است. این اقدام احتمالا به دلیل اشکالاتی در سوئیچ رخ می‌داده و توسعه دهنده آن از این مشکلات با خبر بوده است و اکنون با استفاده از این اطلاعات قصد سواستفاده دارد.

۹٫ آیا امکان دارد نشت این اطلاعات اقدامی در راستای تخریب شرکت‌های پرداخت الکترونیک ایران بوده باشد؟

بعید نیست. هر چند هیچ منبعی این موضوع را تائید نمی‌کند اما به نظر می‌رسد انتشار این اطلاعات در این مقطع زمانی برنامه‌ای هدفمند برای تخریب برندهای فعال در حوزه پرداخت الکترونیک ایران باشد. این ماجرا قدرت چانه‌زنی را از شرکت‌های پرداخت الکترونیک ایران خواهد گرفت.

۱۰٫ آیا اگر به جای کارت‌های نقدی در ایران کارت‌های اعتباری استفاده می‌شد این مشکل ابعاد کمتری می‌یافت؟

بلی. در دنیا برخلاف ایران به جای استفاده وسیع از کارت‌های نقدی که مستقیم به حساب‌های بانکی مردم متصل است از کارت‌های اعتباری استفاده می‌شود که صرفا در آنها اعتبار وجود دارد. البته این مشکل نشت اطلاعات در مورد کارت‌های اعتباری هم وجود دارد. اما در صورتی که اطلاعات کارت‌های اعتباری لو برود بانک‌ها و فروشندگان و پذیرندگان کارت‌ها هم مسئول بودند و برای رفع مشکل اقدامات جدی‌تری می‌کردند. مثلا بلافاصله این کارت‌ها را وارد فهرست سیاه می‌کردند و از پذیرش آنها خودداری می‌کردند. در حال حاضر و با وجود تعداد زیاد کارت‌های نقدی دست مردم این مشکل بیشتر سمت مردم است و مردم باید نسبت به تغییر رمزهای خود اقدام کنند. در کشورهایی که کارت‌ها اعتباری به طور وسیع استفاده می‌شوند حق واقعا با خریدار است و جنس فروخته شده هم پس گرفته می‌شود!

و اما نقد آن

 

مورد اول: نقص امنیتی سیستم PSP و ارتباط آن با مرکز شتاب محرز است و باید ایمن تر گردد که کسی نتواند حتی برنامه نویس مرتبط رمز شخصی کارتها را استخراج کند.

مورد دوم: لطفا کوتاهی های مدیریتی امنیتی کلان در سطح بانک مرکزی ، شبکه شتاب ، و PSP ها را به گردن منابع انسانی نیاندازید !!! … آخر اگر شما فرایند کامل تسویه و با رضایت کامل هم داشته باشید ، آیا لاگ کردن رمز شخصی کارتهای مغناطیسی ۳ میلیون نفر آنقدر فریبنده جهت سوء استفاده نیست؟!

مورد سوم: راهکار شما بی فایده است ، به محض انجام تراکنش از طریق PSP انیاک ، رمزتان فاش خواهد شد. متاسفانه اعتماد با این مساله از بین رفته است.

مورد چهارم: مهمتر از این مساله سیاستگذاری صحیح و اجبار به استفاده از تجهیزات و استانداردهای امنیتی از سوی بانک مرکزی است.

مورد پنجم: کپی کردن کارتهای مغناطیسی مانند آب خوردن است.

مورد ششم: در این حجم و افشای رمز کارتها !!! بعید است.

مورد هفتم: جیک جیک مستونت بود …. فکر زمستونت بود! (خطاب به مدیران بانکها: آیا نباید استفاده از کارتهای هوشمند و EMV بعد از این همه سال در دستور کار قرار می گرفت)

مورد هشتم: به نظر شما آیا لاگ کردن رمز کارت های مردم می تواند هدفی جز سوء استفاده از سمت شرکت انیاک داشته باشد؟!

مورد نهم: خیر ، به نظرم هدف فقط تخریب شرکت انیاک است ، اتفاقا برای برخی شرکت های دیگر که از تکنولوژی های امن استفاده می کنند سود خواهد داشت. در مجموع در جهت اهداف امنیتی در آینده این کار منفعت داشته و موجب به فکر افتادن مدیران خواهد شد.

مورد دهم: هیچ تفاوتی نداشت ، اگر از کارت اعتباری سوء استفاده شود ، چطور می توانید اثبات کنید که شما استفاده کرده اید یا دیگری؟! … آیا به نظر شما بانکهای ما خسارت استفاده از کارتهای اعتباری فعلی در دستان مردم را می پذیرند؟! … شما فکر می کنید در این سه میلیون کارت ، کارت اعتباری نبوده است؟!

منبع:http://way2pay.ir/10-%DA%86%DB%8C%D8%B2-%DA%A9%D9%87-%D8%AF%D8%B1-%D9%85%D9%88%D8%B1%D8%AF-%D8%A7%D9%81%D8%B4%D8%A7%DB%8C-%D8%A7%D8%B7%D9%84%D8%A7%D8%B9%D8%A7%D8%AA-%DA%A9%D8%A7%D8%B1%D8%AA%E2%80%8C%D9%87%D8%A7%DB%8C/

به گزارش ایران وب نیوز ، در پی انتشار شماره و رمز اول ۳ میلیون کارت بانکی فعال در شبکه بانکی کشور در یک وبلاگ، بانک مرکزی با انتشار اطلاعیه‌ای از کلیه هموطنان خواست تا نسبت به تغییر رمز کارت‌ها اقدام نمایند.

+ لینک بانک مرکزی : http://www.cbi.ir/showitem/9177.aspx

به گزارش ایران وب نیوز هکر مدعی شده است در تاریخ ۱۵/۴/۱۳۹۰ حفره امنیتی را که با استفاده از آن امکان به دست آوردن رمز کارت بانک های ، بانک های ایرانی میسر می شده است را به مدیران عامل بانک های ایرانی گزارش داده است که بعد از دریافت نکردن پاسخی ، نسبت به انتشار رمز ها و شماره کارت ها اقدام نموده است. متن کامل خسرو زارع فرید که در وبلاگ خود انتشار داده است ، ذر انتهای این خبر آماده است.

به گزارش وبلاگ نیوز ، روابط عمومی بانک مرکزی جمهوری اسلامی ایران اعلام کرد: به اطلاع می‌رساند در پی بروز برخی شایعات در فضای مجازی و به منظور ارتقای سطح ایمنی، ایجاد محدودیت در دسترسی غیرمجاز در شبکه کارتی کشور و حفاظت مشتریان در مقابل مخاطرات احتمالی ناشی از آن، به بانک‌های کشور ابلاغ شده ضمن اعلام مراتب به دارندگان کارتهایی که طی چند ماه گذشته رمزخود را تغییر نداده‌اند، با مراجعه به خودپردازها یا شعب بانک مربوطه نسبت به تغییر رمز کارت اقدام نمایند.

بانک مرکزی در ادامه این اطلاعیه، با عذرخواهی از مشتریان بانک‌ها افزوده است: ضمن پوزش از برخی مشتریان بانک‌ها که ناچار به تغییر اجباری رمز خود هستند، لازم به ذکر می‌داند اتخاذ این تمهیدات صرفاً به منظور ارتقای سطح ایمنی کارتها صورت پذیرفته و درادامه توصیه‌های قبلی این بانک و بانک‌های کشور مبنی بر رعایت نکات ایمنی در خصوص نگهداری و کاربری کارت‌ها به مشتریان اکیداً توصیه می‌شود، حداقل هر سه ماه یک بار نسبت به تغییر رمز اول و دوم (اینترنتی) کارت خود اقدام نموده و از قراردادن رمزهای کارت در اختیار اشخاص دیگر تحت هر عنوان جداً اجتناب فرمایند. گفته می‌شود یک سارق اینترنتی امروز اطلاعات شماره و رمز اول ۳میلیون کارت فعال در شبکه بانکی کشور را در یک وبلاگ سرویس‌دهنده “بلاگ اسپات” منتشر کرده است.

+ خبرگزاری ایلنا این ادعا را تکذیب کرده است. اما با اقدامات بانک ها ، باید گفت ، ظاهرا اتفاقی رخ داده است. لینک خبرگزاری ایلنا : http://ilna.ir/newsText.aspx?id=255838 مبنی تکذیب خبر هک شدن رمز اول عابربانک ها.

متن منتشر شده در وبلاگ هکر به شرح زیر است:

در تاریخ ۱۳۹۰/۴/۱۵ وجود خطر سوء استفاده از اطلاعات کارتهای بانکی را با ارسال اطلاعات کامل یکهزار کارت همان بانک برای ایمیل مدیران عامل آنزمان بانکهای کشور اقدام نمودم.
بانکها و مدیرانی که اطلاعات برایشان ارسال گردید عبارت بودند از بانکهای:
( ملی ” خاوری ” , صادرات “جهرمی” , ملت “دیواندری” , تجارت “داوری” , پارسیان “شایسته” , سپه “پاشائی فام” , کشاورزی “طالبی” , پاسارگاد “قاسمی” , رفاه “ایمانی” , مسکن “شریفی” , اقتصاد نوین info@enbank.ir , سامان ebb@sb24.com , سینا “همتی” )
این ارسال با مخفی کردن اطلاعات ارسال کننده برای بررسی عکس العمل مدیران فوق و در صورت مناسب بودن برخوردها ارسال اطلاعات کامل و همکاری برای حل این مشکل بود. متاسفانه برخوردی که صورت گرفت در شان هیچ یک از مدیران فوق نبود و به هیچ عنوان اقدام شایسته ای برای حل مشکل مشاهده ننمودم. یکی از دلایل پخش این اطلاعات در این سایت نیز نشان دادن وخامت اوضاع مدیریتهای کلان در کشور میباشد.
تنها بانک ملی و بانک ملت به ایمیل ارسالی پاسخ دادند. و بقیه مدیر عاملها هیچ گونه پاسخی ارسال نکردند. شاید هیچگاه در عمرشان ایمیل نداشتند و این ایمیلهائی که در سایت بانکها قرار میدهند تنها برای خالی نبودن عریضه گذاشته شده است. حتی یک مدیر عامل مبتدی هم اگر خودش وقت بررسی ایمیلهای اداری را نداشته باشد مسئول دفترش را مامور اینکار میکند. به هر حال قضاوت در مورد این واقعیت را به شما هموطنان عزیز واگذار میکنم.
جوابی که از بانک ملی و بانک ملت دریافت نمودم تقریبا مشابه بود. آنها اعلام آمادگی کرده بودند که با عقد قرارداد نفوذ اخلاقی با اینجانب محل نشت اطلاعات را شناسائی و از بین ببرند. و من نیز سوال نمودم که به ازای هر کارت بانکی که اطلاعاتش را در اختیار بانک قرار میدهم آماده هزینه کردن چه مبلغی هستند؟ این سوال به هیچ عنوان پاسخ داده نشد و تنها چیزی که از من درخواست کردند تماس از طریق یک تلفن همگانی با آقای ژان صیاد بانک ملی و گفتگوی مستقیم با ایشان بود و سپس ایمیل دیگری نیز دریافت نکردم. برعکس ارتش سایبری مامور پیدا کردن من گردید. موضوع اختلاس و بانک آریا مطرح شد آقای خاوری فرار کردند تمامی مدیران مسئول در بانک ملی یکی یکی تعویض شدند از اعضاء هیات مدیره درگیر تا مدیران انفورماتیک و سداد. سپس بانک ملی کارتهای بانکی خود را در مقابل سرقت تا سقف دویست هزار تومان بیمه کرد. بدون اینکه شرکت بیمه ایران از این نشت اطلاعات مطلع باشد.
مجبور شدم به جای همکاری جهت اصلاح ایرادات مقدمات فرار خودم را از ایران فراهم کنم و گریختم. هم اکنون نیز نیاز به کمک محافل حقوق بشری و سازمانهای بین الملی دارم تا با حمایت خود مرا از آزار و اذیت این مدیران در امان نگه دارند. تنها گناه من سعی در رفع یک خطر بزرگ برای حسابهای بانکی هموطنان خودم میباشد. و حتی به خاطر این گناه از تمامی حقوق خویش در مقابل نرم افزارهائی که تولید کردم و تحویل انیاک دادم محروم شدم.
من در این سایت اختصاصا به موضوع خطر شرکت انیاک پرداختم تا از یکسو خطری که تمامی هموطنان و سیستم بانکی را تهدید میکند آشکار شود و از سوی دیگر مدیرانی که دانسته و با اینکه امکان جلوگیری وجود داشت اقدام نکردند معرفی شوند. نظرات و سایر موضوعات و دیدگاههای من را میتوانید از وبلاگ شخصی و دیگر وبلاگهایم تعقیب کنید. هم اکنون نیز که این اطلاعات را با شما هموطنان خودم در میان گذاشته ام در مورد این موضوع خیالم آسوده شده و احساس میکنم آنچه باید انجام میشد انجام شده است. ( فروردین ۱۳۹۱ )