PDA

View Full Version : نکاتی دیگر در باب سرقت از بانک ملی



Inprise
شنبه 20 دی 1382, 11:46 صبح
سلام

منبع مطلب : روزنامه شرق - به نقل از : آی تی ایران دات کام

-------

وقتی قرن ۲۱ از راه رسید علم و تکنولوژی آن قدر پیشرفت چشمگیری پیدا کرد که تمامی امور زندگی انسان ها را تحت الشعاع خود قرار دهد تا آن جا که سارقین بانک ها نیز در قرن ۲۱ به جای نقاب بر چهره گذاشتن و با تهدید و گروگان گیری تنها با اکتفا به علم و تکنولوژی روز در کمتر از چند ساعت بدون بهره جستن از هر نوع خشونت فیزیکی در محیطی کاملاً رایانه ای ، بانکی را سرقت می کنند. گرچه امروزه داستان این نوع سرقت های دیجیتالی دستمایه بسیاری از فیلم های پرفروش و پرمخاطب شده است اما به نظر می رسد برای اکثر مردم این نوع سرقت ها تنها در فیلم های سینمایی عینیت و جذابیت داشته باشد و به ذهن هیچ کس خطور نمی کند که شاید روزی هم در کشور خودمان یکی از همین سرقت های اینترنتی از قالب فیلم و داستان به حقیقت نزدیک شود و...

سناریوی واقعی
در یکی از روزهای پاییز امسال بر روی خروجی یکی از سایت ها، خبر سرقت اینترنتی از بانک [...] درج شد خبری که ناخودآگاه شوک عجیبی را در جامعه به وجود آورد. همه به دنبال یک گروه خرابکار بودند. سارقان با سابقه، مجرمانی با پرونده های سنگین. اما نه، آنها نه گروه خلافکار بودند و نه یک باند تبهکار چند دانشجو بودند که تحت رهبری یک فارغ التحصیل الکترونیک که درحقیقت یک دانشجوی نمونه کشوری هم به شمار می رفت به این سرقت دست زده بودند. رهبر گروه با ورود به سیستم نگهداری کننده اطلاعات مشتریان توانسته بود بخشی از پول های حساب های افراد را به یک کارت خودپرداز وصل کند و به این ترتیب دوستانش را برای دریافت این پول ها به داخل بانک و یا مقابل دستگاه های خودپرداز بفرستد.
اما با مشخص شدن این سرقت، او به عنوان متهم بلافاصله دستگیر می شود و در تحقیقات اولیه هر گونه اطلاع از جریان سرقت را انکار و در مورد استفاده از کارت خودپرداز خود در این زمینه می گوید: چندی قبل هنگامی که در اینترنت مشغول چت کردن بودم به یک آگهی برخوردم که کارتی خالی را به قیمت خوبی می خریدند به بانک رفتم و با اعلام گم شدن کارت های اعتباری خود در این زمینه از رئیس بانک اطلاعاتی کسب کردم و بعد با قرار ملاقات کارت اعتباری خودم را به خریداران فروختم. پلیس با این اظهارات و با توجه به نداشتن مدرک کافی به سراغ بانک ها می رود و از آنها می خواهد که جا به جا شدن مبالغ بالا در حساب های خودپرداز را کنترل کنند آنها نیز این کار را انجام می دهند و به فردی برمی خورند که می خواهد با استفاده از شیوه ای مشابه مبلغ کلانی را برداشت کند ، اما قبل از آنکه پلیس بخواهد کاری کند فرد درخواست کننده متواری می شود اما با ردپایی که از وی برجای می ماند چندی بعد او دستگیر شده و اعتراف می کند که به صورت گروهی اقدام به این کار کرده است، با این اعتراف همه باند پنج نفره دستگیر می شوند و به شیوه فیلم های پلیسی همان متهمی که از اول گمان می رفت گناهکار است ولی بعداً با مظلوم نمایی خود را بی گناه نشان می دهد دوباره و در پایان داستان به عنوان گرداننده اصلی این باند دستگیر می شود. به هر حال اعترافات متهم اول بسیار قابل توجه و تا اندازه ای سینمایی است.
او در مورد این سرقت می گوید: به هیچ وجه انگیزه مادی نداشتم و فقط برای اینکه علم خود را به رخ دیگران بکشم اقدام به این کار کردم و بعد از اینکه کم کم به راحتی وارد حساب های اینترنتی شدم وسوسه برداشت پول از حساب ها نیز به سراغم آمد. اما این ها سناریوی یک فیلم سینمایی نیست یک ماجرای واقعی از یک سرقت اینترنتی است که توسط سید عیسی حسینی بازپرس پرونده و در یک گفت و گو بعد از دوماه سکوت برای افکار عمومی بازگشایی شده است با این تفاوت که با سخنان وی ابعاد پرونده از چند دانشجو فراتر رفته است.

خیانت به ملت
به گفته بازپرس حسینی فرد، نفوذگر در اعترافات خود خاطر نشان کرده بود که سیستم کامپیوتری بانکی کشور بسیار شکننده و قابل نفوذ است و همین او را به نفوذهای مکرر و برداشت غیر قانونی ترغیب کرده است، برای پیگیری این موضوع تحقیقات قضایی مسیر خود را تغییر و به سراغ نقاط نفوذ پذیر بانک ها می روند و پس از بررسی ها متوجه می شوند که بعضی مسئولان در خرید، سرویس و نگهداری این سیستم ها پول های هنگفتی را از بیت المال دریافت کرده اند و در قبال این کار سرویسی ارایه نداده اند.
به گفته بازپرس پرونده علاوه بر این، سرویس دهی و نگهداری سیستم امنیتی مذکورنیز از سوی مسئولان مربوطه بدون انجام مناقصه به یک شرکت خاص واگذار شده بود. این مقام قضایی تاکید می کند که همچنین تخلفات عدیده ای در این زمینه انجام گرفته است که با همکاری مسئولان در حال بررسی است تا برخورد قانونی لازم با آنها صورت گیرد.
این بازپرس همچنین به صراحت موضوع خرید این سیستم را نیز مورد انتقاد قرار داده و می گوید: متاسفانه در زمینه خرید این سیستم به کشور ما خیانت شده و می توان گفت از همان ابتدا این سیستم ها معیوب بوده چرا که کشور طراح این سیستم بعد از دو ماه نصب متوجه می شود که این سیستم ایراد دارد و آن را طرد می کند اما متاسفانه کشور ما نسبت به خرید این سیستم اقدام می کند همچنین سرویس دهی و نگهداری این سیستم نیز ناقص است البته پیشگیری های اولیه صورت گرفته و راه دسترسی اینترنتی به حساب ها بسته شده به طوری که برای کوتاه مدت جای نگرانی وجود ندارد.
بازپرس شعبه اول دادسرای ناحیه یک عمومی و انقلاب تهران با تاکید بر این که باید شخص یا شرکت ثالثی هم باشد تا نگهداری و سرویس این سیستم را بر عهده بگیرد و به صورت شبانه روزی فعال باشد می گوید: مردم باید در نگهداری رمزها و کارت های خودپرداز دقت کنند و به راحتی آن را در اختیار افراد ثالث قرار ندهند و بانک ها نیز امین مردم هستند و باید تمام تلاش خود را صرف نگهداری امانت مردم کنند.
سخنان این قاضی نشان می دهد که تحقیقات او نشان داده سیستم بانکی کشور خصوصاً در بخش مربوط به خودپرداز ها دچار نقص های امنیتی جدی است، هر چند در کوتاه مدت می شود جلوی نفوذهایی از این دست را گرفت اما در درازمدت نیاز به اصلاح جدی در این سیستم ها وجود دارد. همچنین با این حال سخنان این قاضی نشان دهنده باز شدن ابعاد این پرونده نیز هست و احتمالاً با چنین اظهاراتی باید منتظر بود که آیا مسئولانی که قاضی از سهل انگاری و بعضاً خیانت آنها سخن به میان آورده مورد بازخواست قرار خواهند گرفت.
هرچند دستگیری افرادی که اقدام به این سرقت اینترنتی کرده بودند به سرعت انجام گرفت و نشان از افزایش قدرت پلیس در زمینه جرایم رایانه ای است اما معضل اساسی نبود قانون جرایم کامپیوتری است. قاضی حسینی در پاسخ به پرسشی در مورد این که با استناد به چه قانونی این افراد را مجرم می دانید، می گوید: در مورد جرایم اینترنتی در قوه قضائیه لایحه خاصی تدوین شده است که در حال حاضر استادان فن مشغول تدوین خاص در این زمینه هستند ولی اکنون برای تعیین مجازات جرایم رایانه ای و اینترنتی مانند همین جرم رایانه ای فقط به قوانین عادی استناد می شود. وی می افزاید: به نظر اینجانب در رابطه با این جرم، سرقت معنایی ندارد زیرا ربایشی در کار نبوده است بلکه رموز بانکی مربوط به حساب بانکی شخص دیگری جعل شده و با استفاده از شگردهای خاص اموالی به سرقت رفته و در حقیقت از طریق اینترنت برداشت صورت گرفته است.
با این حال کارشناسان حقوقی تاکید می کنند که حتی در صورت نداشتن قانون نمی توان به پرونده رسیدگی نکرد. رضا پرویزی دبیر کمیته مبارزه با جرایم رایانه ای قوه قضائیه می گوید :در قانون اساسی در ماده ۱۶۷ آمده است که نباید قاضی به بهانه نداشتن قانون، پرونده را رسیدگی نکند آئین نامه به ما ابلاغ می کند که حتماً به جرم رسیدگی شود، در مورد این پرونده نیز قاضی باید حتماً حکم بدهد، هر چند قانونی در مورد این جرایم نداریم و قانونی که به آن استناد شده است در مورد کلاهبرداری است و به نظر من استفاده از این قانون در مورد این پرونده چندان درست نیست اما باز به دلیل همان اصل ۱۶۷ قاضی ناچار است به همین ماده قانون برای دادن حکم اکتفا کند. پرویزی درباره این سرقت توضیح زیادی ارائه نمی دهد و صرفاً اشاره می کند: این سرقت نشان می دهد که این سیستم از حداقل امنیت برخوردار نبوده و مشکل به اتصال شبکه این بانک ها با اینترنت و فقدان نرم افزارهای فایروال برمی گردد.

سرقت و اطلاع رسانی
سه ماه قبل در جریان دستگیری و خبر دستبرد اینترنتی به بانک [...] روابط عمومی این بانک اعلام کرده بود که اساساً با پیگیری های انجام شده و مراقبت های مسئولان دستبرد اینترنتی با شکست روبه رو شده است در حالی که در سخنان قاضی پرونده صحبت از دستبرد و برداشت و دستگیری و جرم به میان آمده است! نکته جالب توجه این جاست که بانک [...] و حساب خودپرداز در جریان این سرقت بیشترین ضرر تبلیغاتی را داشته در حالی که آن گونه که کارشناسان می گویند سرقت اطلاعات و نفوذ به سیستم و ضعف امنیتی مربوط به شرکت خدمات دهنده کارهای انفورماتیکی بانک های کشور است و احتمالاً بخشی از اشاره های قاضی پرونده نیز به مسئولان این شرکت بوده است با این حال مسئولان این بانک نیز به این اندازه که موضوع امنیت حساب های مشتریان خود را مورد دقت قرار نداده اند می توانند مورد سئوال قرار گیرند.
اما آنچه مسئولان قضایی پرونده در مورد آن سخنی نگفته اند وضعیت متهمان این پرونده است. مشخص نیست آیا دادگاهی برای این سرقت برگزارمی شود و یا می توان این سارقان را با تمهیداتی مورد عفو قرار داد و یا محکومیت آنها را صرف تقویت ضعف های امنیتی سیستم های کامپیوتری بانکی کرد. در حالی که برخی افراد افشای خبر سرقت های اینترنتی را به ضرر توسعه تکنولوژی کامپیوتر در عرصه بانکداری و بی اطمینانی مردم به این سیستم ها می دانند کارشناسان کامپیوتر تاکید می کنند که با استفاده ازتکنولوژی های اطلاعاتی می توان میزان خسارت های ناشی از سرقت را به حداقل رساند.
به گفته این کارشناسان سیستم های کامپیوتر مثل هر چیز دیگری که وابسته به عنصر انسانی هستند می توانند دارای ضعف هایی نیز باشند که اغلب از عناصر انسانی سرچشمه می گیرند همچنان که در این زمینه قاضی پرونده به خرید ناآگاهانه دستگاه های خودپرداز معیوب و یا سوءاستفاده از حساب های اشخاص اشاره می کند.یک کارشناس در این باره می گوید: توجه مردم به سرقت کامپیوتری از این نظر بیشتر جلب می شودکه این نوع سرقت پدیده تازه ای است وگرنه در همین مورد اخیر هم میزان سرقت در مقایسه با سرقت های سنتی که معمولاً انجام می گیرد بسیار پایین است، ضمن این که چنین مشکلاتی در تمام کشورهای دنیا وجود دارد که با سرمایه گذاری شرکت های بیمه می توان آن را جبران و اطمینان مشتریان را جلب کرد. به هر حال این سرقت اینترنتی با خود مزایایی را نیز به همراه داشته است و آن توجه مسئولان بانک ها به بالا بردن امنیت شبکه ها است.

------------

خوش باشید :wink:

Inprise
شنبه 20 دی 1382, 19:49 عصر
مسئولان شرکت خدمات انفورماتیک :نرم‌افزار خودپرداز بانک‌ها از ضریب ایمنی بالایی برخوردار است

منبع : ایسنا - به نقل از : آی تی ایران دات کام

در پی انتشار خبری در خصوص سرقت رایانه‌یی از بانک ملی در برخی از سایت‌های داخلی به علت ضعف امنیتی در نرم‌افزار خودپرداز این بانک، رئیس سابق شرکت خدمات ملی انفورماتیک، گفت: انعکاس مواردی با تیتر بزرگ، متهم به خیانت‌کار بودن افراد بدون دادن فرصت برای دفاع به طرف مقابل، خلاف اخلاق اسلامی است.
دکتر الهی، در گفت‌وگو با خبرنگار سرویس IT ایسنا، اظهار داشت: متاسفانه طی چند ماه گذشته با حملاتی مواجه شدیم که بعضا دست‌اندرکاران به جهت عدم اطلاع با تضعیف سرمایه‌ی بزرگ ملی از متخصصان داخلی، راه را برای خریدهای ده‌ها میلیون دلاری توسط سایر شرکت‌ها در داخل کشور باز کردند.
وی، ادامه داد: این در حالی است که بسیاری از این امکانات قبلا تهیه شده و پروانه‌های نرم‌افزار برای کل کشور اخذ و سال‌ها برای بومی سازی آنها مطابق قوانین اسلامی داخل کشور زحمت کشیده شد.
وی، ادامه داد: همچنین آشنایی با جزییات این نرم افزار به جهت بزرگ آنها کار آسانی نیست. در این آب گل آلود افرادی هم به آن چشم دوخته‌اند که البته سازمان‌های نظاتی با دقت کامل بر مسایل اشراف دارند اما در هر صورت مطالبی بعضا عنوان می‌شود و سایرین هم که بر اساس عادت صحبت‌های منفی را راحتتر در مورد خدمتگذاران و مسؤولان داخل کشور می‌پذیرند.
عضو هیات مدیره‌ی شرکت خدمات ملی انفورماتیک، خاطر نشان کرد: ما سال‌ها درگیر انجام فعالیت‌های فرعی خود بودیم طبعا هر کار بزرگی با ضعف‌هایی روبرو بوده و کسی ادعا نمی‌کند که اقدامات انجام شده صد در صد درست است اما باید گفت که تحقیقات و خدمات عظیم علمی و فنی و تجارب بسیار بزرگی در کشور حاصل شده که با نادیده گرفتن آنها و برگشت به نقطه صفر صدمات بسیاری به اقتصاد کشور و به سیستم بانکی و روحیه متخصصانی که در شرکت زحمت کشیده‌اند وارد خواهد شد.
وی افزود: ادعای خارج از رده بودن نرم‌افزارهای خریداری شده‌ی خارجی کاملا خلاف واقع است و بررسی روند تهیه‌ی این نرم‌افزار و نحوه‌ی فعالیت آن در سایر مکان‌ها دلیلی بر این مساله خواهد بود؛ مگر می‌شود تعداد زیادی کارشناس فنی همراه با مسؤولان رده‌های مختلف و روسای بانک ملی و مرکزی از نزدیک فعالیت های نرم افزار را مشاهده و به خرید نرم افزاری اقدام کنند که طرد شده و از رده خارج باشد.

سیسم خودپرداز بانکها سرمایه ملی است
در پی انتشار خبری در خصوص سرقت رایانه‌یی از بانک ملی در برخی از سایت‌های داخلی، معاون بخش اتوماسیون شرکت خدمات انفورماتیک، گفت: تهیه‌ی نرم‌افزار مورد استفاده‌ برای سیستم خودپرداز بانک‌ها یک سرمایه‌گذاری ملی بود و خرید ما با دید انتقال تکنولوژی انجام گرفته است.
مهندس محسن قادری، معاون بخش اتوماسیون شرکت خدمات انفورماتیک به عنوان نماینده‌ی این شرکت، در رابطه با تهیه‌ی نرم‌افزار جهت استفاده در شعب و سیستم خود پرداز بانک ملی ایران در گفت و گو با خبرنگار سرویس ‌IT خبرگزاری دانشجویان ایران (ایسنا)، اظهار داشت: انتخاب نرم افزار مذکور از میان نرم افزارهای فراوانی که در آن زمان در دنیا وجود داشت، با همکاری و مشارکت کارشناسان شرکت خدمات انفورماتیک و بانک ملی ایران انجام گرفت. این بررسی‌ها که حدود یک سال به طول انجامید از مراحل مطالعه‌ی مستندات نرم افزارهای مختلف، امتیاز دهی آنها بر اساس قابلیت‌های نرم افزاری و ارزیابی پیاده‌سازی موفق آن در سایر بانک‌های جهان و آزمایش عملی توانایی‌ها تشکیل شده است.
وی، خاطر نشان کرد: با توجه به اینکه تهیه‌ی این نرم‌افزار یک سرمایه‌گذاری ملی بود و به منظور انتقال تکنولوژی انجام می‌گرفت، ما نیز خرید خود را با دید انتقال تکنولوژی انجام دادیم به این معنی که source code نرم افزار را نیز خریداری کردیم. این مساله به خصوص برای پرهیز از وابستگی به خارج در شرایط سیاسی آن زمان کشور حائز اهمیت فراوان بود.
وی، تصریح کرد: این نرم افزارها نه تنها خارج از رده نبودند، بلکه از بهترین نرم‌افزارهای موفق در سایر بانک‌های دیگر به شمار می‌رفتند و با توجه به داشتن source code در زمان نه چندان زیاد، جوانان متخصص کشور توانستند اشتراک کامل به این نرم‌افزارها را پیدا کرده و نه تنها بدون کمک خارجی‌ها تغییرات مورد نیاز سیستم بانکی کشور را به کمک کارشناسان بانک‌ها در آنها انجام دهند، بلکه بخش‌های جدیدی نیز به مرور زمان به آنها افزودند که از جمله بخش عقود اسلامی به نرم افزار شعب و بخش کارت هوشمند به نرم افزار خود پردازها می‌باشد.
وی، ادامه داد: نرم‌افزار مذکور از ضریب ایمنی بالا برخوردار است و بهترین دلیل آنکه میزان سوء استفاده از این سیستم‌ها به مراتب پایین تر از آمار سوء استفاده از سیستم‌های قدیمی است.
وی، تصریح کرد: اتصال این نرم‌افزار به اینترنت و ارائه‌ی خدمات اینترنتی همزمان با ایجاد سهولت استفاده برای مشتریان خوب بانک‌ها، شاید افراد متخلف بیشتری را به فکر سوء استفاده از آن بیاندازند، اما همین که در سرقت اینترنتی بانک ملی فرد متخلف بنابر اظهار بازرس محترم علی رغم اینکه از فارغ التحصیلان برجسته بود، حدود 2 سال طول کشید تا بتواند کمتر از 70 میلیون تومان سرقت کند و این نکته همان طور که بازرسی پرونده ابراز داشت در مقابل آمار تخلفات از بانک‌های کشور بسیار ناچیز است. به خصوص باید تاکید کرد که این سیستم امکانات نظارتی و کنترلی بسیار بالایی دارد که در همین سرقت از بانک ملی کارشناسان شرکت توانستند با استفاده از همین امکانات به سرعت سارق را شناسایی و معرفی کنند.
مهندس قادری، در مورد نحوه‌ی سرویس و نگه‌داری سیستم سیبا، افزود: این سیستم علی رغم بدهی کلان بانک ملی به شرکت با سرویس دهی بسیار عالی در 24 ساعت و 365 روز از طرف شرکت نگهداری و پشتیبانی می‌شود که استاندارد بالایی در سطح بین المللی محسوب می‌شود و البته این میزان قطعی مربوط به بخش مرکزی و شبکه‌ی ماهوارهای تحت پشتیبانی شرکت بوده و شامل قطعی‌های ناشی از خرابی سخت‌افزارهای شعب و سایر مسایل که در حیطه اختیارات بانک است، نمی‌شود.
وی ادامه داد: قطعی سیستم و نرم‌افزارهای کارت نیز که در مرکز و تحت کنترل شرکت مربوط است، به طور متوسط در یک سال گذشته حدود 4 درصد و یا کمتر بوده است که شامل خرابی خودپرداز و پول نداشتن آنها و یا حسابداری شعبه و غیره است که در حیطه‌ی مسؤولیت‌های بانک نیست.


-------------

الف . نمیدونم چرا وقتی این مطلب رو خوندم یاد ایادم دفاع مقدس افتادم ! :wink: جوانان "متخصص" و متعهد این مرز و بوم و انتقال تکنولوژی و عدم وابستگی و ... :wink: 8)

ب. پیدا کنید ایمیل پرتقال فروش را ! :D

ج . کما فی السابق خوش باشید

linux
یک شنبه 21 دی 1382, 00:29 صبح
:)
:))
این هایی توی بانکها کار می کنند کارشون درسته!
50 سال شایدم هم بیشتر هست که هیچ تغیر توی روش کارشون ندادند. فکر هم می کنند که همیشه به روز هستند.
از کامپیوتر هم بعنوان یه ماشین حساب بزرگ استفاده می کنند.
ببینن الان اون شرکتی که برنامه را با سورسش به اینا قالب کرده چه حالی کرده!!
این ها هم فکر کردن دیگه بهترین کار را انجام دادن به نظر من اونی که دزدی کرده یه ذره احمق تشریف داشته که لو رفته!
احتمالا هم خودش خودشو لو داده یعنی اینور انور نشسته خواسته مثلا بگه منم آره که ... این طوری شده