2012/04/16

افشای اطلاعات بانکی و قصورات ما

در شرایطی که بیش از پیش نیاز به اعتماد سازی کاربران و جلب اطمینان عموم مردم داریم (به عنوان دست اندرکاران و مبلغان کامپیوتر، نرم‌افزار و اینترنت)، رمز سه میلیون کارت بانکی افشا می‌شود. حالا چطور می‌توان به مردم کوچه و خیابان و چه بسا هر آدم غیر کامپیوتری دیگری اثبات کرد که استفاده از خدمات اینترنتی و الکترونیکی باعث سهولت در زندگی، صرفه جویی در وقت، دقت بالا در انجام کارها، کاهش هزینه‌های جانبی، کاهش ترافیک، حفظ محیط زیست، عدالت اجتماعی و غیره می‌شود؟ چطور می‌توان به همه این آدم‌ها توضیح داد که این کار هک و نفوذ به سیستم نبوده بلکه یک کارمند داخلی که دسترسی قانونی به اطلاعات داشته این کار را کرده و این کار در هر جای غیر کامپیوتری دیگری قابل تکرار است. مثلا کارمند ناراضی ثبت احوال، دفاتر ثبت و حتی کارمند دفتری یک مدرسه هم می‌تواند اطلاعات دم دستش را به سادگی افشا کند حتی اگر اطلاعات صرفا روی کاغذ ثبت شده باشد؟

البته شکی نیست که پشت قضیه افشای اطلاعات توسط این شخص (با هر نیتی که بوده) امنیت پایین اطلاعات هم قرار داشته است. یعنی اگر امنیت به اندازه کافی بود امکان افشای آنها توسط حتی یک کارمند داخلی هم به حداقل می‌رسید. شخص افشا کننده اطلاعات (کارمند یکی از شرکت‌های دست اندرکار امور بانکی) هم به راست یا دروغ مدعی بوده که با قصد اطلاع رسانی به عموم مردم راجع به پایین بودن امنیت اقدام به افشای اطلاعات کرده.

آیا این آخرین باری است که چنین اتفاقی خواهد افتاد؟ اگر همه دنیا فکر کنند که این آخرین بار است که چنین اتفاقی می‌افتد اما ما برنامه‌نویسان، کامپیوتری‌ها، اینترنتی‌ها و خصوصاً کارمندان بخش پشتیبانی شرکت‌ها می‌دانیم که این آخرین بار نیست و حتی این که امکان تکرار آن بسیار هم بالاست. چرا؟ چون که:

۱- طراحان نرم‌افزار خیلی کم به فکر Hash کردن یکطرفه (روشی برای رمز نگاری) اطلاعات مهم خصوصاً کلمه عبور، کد ملی، شماره شناسنامه، کارت بانکی و غیره هستند. این یعنی این که اگر دیتابیس به دست آدم نامربوطی برسد در عرض چند دقیقه تمام اطلاعات افراد به سادگی آب خوردن لو خواهد رفت. دسترسی به دیتابیس هم برای یک کارمند داخلی کار چندان سختی حساب نمی‌شود.

۲- معمولا به خاطر ضعف در روش‌های تست و پشتیبانی، برای آن که یک شرکت پیمانکار بتواند به شرکت کارفرما پشتیبانی نرم‌افزاری بدهد همه بانک اطلاعاتی آنها را درخواست می‌کند. اگر مدتی سابقه حضور در یک واحد پشتیبانی را داشته‌اید حتماً با چشمان خودتان نسخه‌های مختلف اطلاعات مشتری را در جای جای شبکه، سی‌دی‌ها و کامپیوترها بدون هیچ حفاظ و کنترلی دیده‌اید. اصلاً اگر ایمیل کارمندان پشتیبانی و برنامه‌نویسی یک شرکت نوعی کامپیوتری را ببنید پر است از اطلاعات حساس مشتریان.

۳- بین کاربران ایرانی، چه امور بانکی چه امور غیر بانکی ساده انگاری وحشتناکی در استفاده از رمز عبور وجود دارد. همه رمز همدیگر را می‌دانند، رمزها سه سال یکبار هم عوض نمی‌شوند، رمزها بیش از حد ساده و کوتاه هستند و…

۴- استفاده ار پروتکل‌های امن مثل https در بانکداری الکترونیک و تجارت الکترونیک بنا به دلایلی مثل ممنوعیت‌های داخلی و تحریم‌های خارجی بسیار سخت شده است. اگر در حال login به یک وب‌سایت بدون https هستید، اگر در حال وارد کردن رمز و اطلاعات بانکی خود از تلفن بانک هستید، اگر کلمه عبور یک نرم‌افزار را از طریق SMS برای کسی می‌فرستید و… مطمئن باشید که هر کس دیگری که در فاصله بین شما تا مقصد قرار دارد از جمله همکاران شما در شرکت یا اداره، کارمندان واحد IT، کارمندان شرکت ارائه دهنده اینترنت، کارمندان شرکت تامین کننده فضای اینترنتی و غیره و غیره به اطلاعات شما دسترسی کامل و ساده دارند. فکر نکنید که برای سرقت اطلاعات نیاز به نخبه بودن هست. بلکه ابزارهای زیادی برای این طور کارها وجود دارند که یک فرد اول دبیرستان هم می‌تواند با کمک آنها هر کاری بکند.

۵- استخدام‌ها و واگذاری پروژه‌ها به شرکت‌ها گاهی اوقات بر اساس روابط پسرخالگی، همشهری‌گری، رفاقتی، همسو بودن گرایشات (...) و غیره انجام می‌شود. اثر این موضوع خیلی واضح است.




2012/04/02

‫دانلود برنامه‌های اندروید از Android Market

برای دریافت یک نرم‌افزار اندرویدی باید از Android Market که جدیداً به Google Play منتقل شده است استفاده کرد. انجام این کار بایستی از طریق خود گوشی یا Device انجام پذیرد. اما متاسفانه به دلیل تحریم‌های آمریکایی و محدودیت‌های اینترنت ایران، انجام این کار به سادگی امکان پذیر نیست.

دو تا از راه‌های جایگزین می‌توانند خرید DVDهای نرم‌افزارهای اندروید از فروشندگان موبایل مثل پاساژ علا الدین یا استفاده از نرم‌افزار و سایت ایرانی «بازار» باشد. مشکل این دو راه حل این است که همیشه به روز نیستند و نمی‌شود همه چیز را هم در آنها پیدا کرد. به سایت‌های خارجی هم خیلی نمی‌شود امیدوار بود. برنامه‌های اندروید را تقریباً از هیچ جایی به جز Android Market (جدیداً Google Play) نمی‌توان دریافت کرد. اما برای غلبه بر این مشکلات می‌توان از یک افزونه Chrome به نام APK Downloader استفاده کرد. بعد از نصب و کمی دستکاری می‌توان به سایت Google Play رفته و همه Applicationهای رایگان را دانلود کرد.