نقدی بر برنامه بی بی سی در مورد جریان انتشار پسورد سه میلیون کارت

این مطلب ، یکطرفه و نسبتا تند است. یک مطلب عادلانه نیست. من اینجا قاضی نیستم و نمی خواهم هم باشم. برای نقد موضع مخالف را گرفته ام و نقد کرده ام. گفتن اشکالات در کامنت ها برای متعادل شدن بحث خوب است ولی در کل این مطلب قرار نبوده قضاوت کند بلکه تلاشی است برای دیدن موضع مخالفی که در برنامه بی بی سی غایب بود

دیشب برنامه شصت دقیقه بی بی سی فارسی به سراغ آقای خسرو زارع پر سر و صدا رفت و چند دقیقه ای باهاش حرف زد. اینکه به سرعت طرف رو پیدا کردن و آوردن برنامه به عنوان یک کار خبری خوب بوده ولی از بی بی سی انتظاری خیلی بیشتر می‌رفت.

آقای زارع با افتخار توی برنامه نشست و صحبت کرد بدون اینکه از سابقه کارش حرفی زده بشه یا بعدش یک کارشناس امنیت نظر بده در مورد حرف هاش. بذارین قبل از بررسی کار بی بی سی خود جریان رو مرور کنیم:

  • آقای زارع این اطلاعات رو از طریق پست مدیریتی در شرکت اجرا کننده پروژه به دست آورده نه به عنوان یک آدم فنی مستقل. خودش هم چند بار توضیح می ده که کسانی به این اطلاعات دسترسی داشتن که پیمانکاران همون شرکت بودن. اینکار خیانت در امانت است. درسته که باید جلوش گرفته می شد ولی کار ایشون اصلا به این معنی نیست که یک آدم غیرمورد اعتماد هم می تونست به همین اطلاعات دسترسی داشته باشه. پس این الزاما یک حفره امنیتی نیست بلکه مشکل امنیتی پروسه های مبتنی بر اعتماد به افراد دخیل در سیستم است.
  • آقای زارع توی وبلاگش می گه که با این اطلاعات به سراغ مسوولین بانک ها رفته و درخواست کرده که به ازای هر پسورد که بهشون بده بهش پول بدن. اونها گفتن که اینکار رو قبول ندارن ولی حاضرن در مقابل نشون دادن محل نشت اطلاعات هزینه کنن. معامله صورت نگرفته و آقای زارع چاره رو در این دیده که از کشور خارج بشه و اطلاعات رو منتشر کنه. آیا اگر بهش پول می دادن الان با همون دسترسی که داشت بر اساس نیاز مالی هر روزش یکسری پسورد می داد و پولشون رو می گرفت و زندگی ادامه پیدا می کرد؟
  • چیزی که من از صحبت ها و شنیده ها درک کردم این بود که پسوردها از از یک بانک اطلاعاتی که افراد مختلفی بهش دسترسی دارن درز می کنه. قبول نکردن پیشنهاد نفوذ اخلاقی به بانک و نشون دادن محل نشت پسوردها و در مقابل درخواست پول در مقابل پسوردهای کارت ها این حدس رو تقویت می کنه. به هرحال این حدس ممکنه درست نباشه ولی اگر درست باشه معنی اش اینه که شرکت مورد نظر کاملا مبتنی بر اعتماد به افراد و مشاوران کار می کنه. این کاملا اشتباهه ولی کسانی که به این بانک اطلاعاتی دسترسی دارن و اطلاعاتش رو کپی می کنن هم کارشون شدیدا غیراخلاقی است، بخصوص اگر شروع کنن به خاطر داشتنش درخواست پول بدن
  • آقای زارع می گه پسورد رو بین ده رقم دیگه مخفی کرده و در پسورد قابل استفاده نیست. این کاملا اشتباهه. پایینتر در این مورد حرف می زنم. به نظر من اینکار شدیدا تجاوز است به حریم خصوصی افراد.
  • ایشون بعد از اینکه با مدیر شرکت به مشکل برخورده و نتونسته از بانک ها هم به خاطر هر پسوردی که داره پول بگیره به خارج رفته و پسوردها رو لو داد و مدعی شده که باید مجامع جهانی ازش حمایت کنن یا مردم بهش کمک مالی کنن؟!! حمایت از کی؟ کسی که پسوردهایی که بهشون دسترسی داشته رو یکضرب منتشر کرده روی وب ؟ اینکار در قانون ایران و هر جایی از دنیا که قانونی مربوط به حفاظت اطلاعات، حریم خصوصی، نفوذ به اطلاعات غیر مجاز، انتشار اطلاعات محرمانه و … داشته باشه جرمه و جرم سنگینی هم هست. نظر شخصی ام اینه که هر قاضی ای حکم خواهد داد که این آدم رو به ایران پس بدن. از این جریان ناراحت می شم چون می دونم تو ایران عادلانه باهاش رفتار نمی شه.
  • حرکت بی بی سی در بعد از مصاحبه با آقای زارع بسیار ضعیف بود. کسی که به وضوح مجرم است نباید بیاد توی تلویزیوین یک خبرگزاری و یکطرفه حرف بزنه و بعدش هم یک نفر در این مورد صحبت کنه که چقدر مهم است که پسوردها رو عوض کنیم هر چند وقت یکبار و توصیه های عمومی امنیتی بکنه – این توصیه ها بسیار لازمن و خوب بود همراه این خبر می بودن ولی به شرطی که یک منتقد یا متخصص هم در بعد از توضیحات یکطرفه و گمراه کننده آقای زارع، صحبت می کرد. من از رسانه و قواعد آوردن آدم ها توش سر در نمی یارم ولی به سادگی می فهمم که اگر به خاطر ابعاد خبر و نزدیکی اش به تک تک ما ایرانی ها این آدم لازم بود بیاد تو تلویزیون، بعدش باید یک متخصص امنیت یا یک نفر که حقوق سایبری بدونه میومد و صحبت می کرد و نظرات مخالف رو هم می گفت. الان جوری عمل شده انگار یک نفر آدم دلسوز مشکلی رو پیدا کرده و در داخل کشوری کسی بهش گوش نداده و حالا رفته بیرون داره سعی می کنه فسادی رو افشا کنه. این آدم دلسوز نیست. پایینتر حرف می زنم.
  • آقای زارع خودش مسوول این برنامه بوده! اگر هم مشکلی هست مستقیم باید به خودش برگرده! این رو چرا کسی نمی گه؟ درسته که توی شرکت مدعی مشکلات متنوع و عدم همکاری و فساد و غیره است ولی مثل اینه که من کلیدساز باشم و بعد که کل کلیدهای شهر رو نصب کردم بگم «این قفل ها به یک روشی که من می دونم قابل باز شدن هست دوستان» و ادعا کنم که همه باید با من مهربون باشن و بهم باج بدن تا نرم از خونه شون دزدی و در ضمن رییس قبلی من هم خیلی آدم بدیه

اما گفته بودم یکی دو تا از نکات رو کاملتر توضیح می دم… اول اینکه آیا این آدم حریم خصوصی افراد رو نقض کرده و‌آیا این اطلاعات منتشر شده قابل استفاده و دوم صحبت در مورد خیرخواه بودن این آدم.

حریم خصوصی آدم ها توسط این آدم نقض شده

پسوردها قابل پیدا کردن هستن. این «متخصص آی تی» باید قبل از انجام چنین کار بزرگی به این فکر می کرد که داره یک پسورد چهار رقمی رو بدون فاصله انداختن بین عددهاش «لای» یک عدد ده رقمی «مخفی» می کنه. یعنی چی؟ یعنی مثلا اگر پسورد من باشه 1111 اون به شکلی مخفی نوشته 5555511115555. درسته که الان من و شما راحت می بینیمش ولی اگر کسی ندونه چی؟ خب اگر کسی پسورد دقیق رو ندونه به راحتی می دونه که پسورد من هست 5555 یا 5551 یا 5511 یا 5111 یا 1111 یا 1115 یا 1155 یا … و ده حالت بیشتر نداره! یعنی احتمال درست بودن اولین حدس ۱۰٪ است و چون طرف سه تا حدس می تونه بزنه احتمال درست بودن یکی از حدس ها (با ضریب اشتباهی کوچیک) ۳۰٪ است. به عبارت دیگه یک دزد می تونه با خوندن اطلاعات یک کارت بانکی سالم، تغییر بخش شماره حساب خونده شده به یکی از کارت های منتشر شده توسط این فرد و نوشتن اطلاعات روی کارت جدید شانس این رو داشته باشه که در سی درصد مواقع از اون کارت پول برداره. دقت کنین که دزد روی شما تمرکز نکرده که حتما از کارت شما پول برداره بلکه کارت های مختلف رو امتحان می کنه و طبق محاسبات بالا از نظر آماری می تونه از یک سوم این کارت ها (سی درصدشون) یعنی تقریبا از یک میلیون کارت پول برداره.

این محاسبه فقط جنبه آماری داره. مطمئنا جلوی اینکار همین الان گرفته شده. شماره کارت من بین این کارت ها نبود ولی اگر هم بود امکان عوض کردن پسورد رو الان نداشتم و به هیچ وجه هم نگرانش نبودم چون می دونستم در عمل اتفاقی نمی افته. این بحث فقط به این سمته که این روش «مخفی کردن رمز چهار رقمی در یک عدد چهارده رقمی» بسیار بچه گونه است. قول هم می دم اگر این بخش رو یک متخصص آمار بازنویسی کنه فقط با داشتن چند پارامتر کوچیک مثل احتمال استفاده بیشتر از یک رقم خاص در پسورد (پسورد شما توش شش یا دو داره؟ (; )) می تونست احتمال حدس درست عدد پسورد در یک عدد چهارده رقمی رو بالاتر هم ببره.

در ضمن ! بحث فقط بانک نیست. آدم ها معمولا پسوردهای ثابت دارن. الان شماره گاوصندوق اتاق هتل من با شماره کارت بانکی ام یکیه و این آدم ممکن بود شماره گاوصندوق بانک من رو هم منتشر کرده باشه. همینطور رمز ورودم به داخل ساختمون شرکت رو. این آدم بدون شک حریم خصوصی آدم های زیادی رو نقض کرده. من کماکان برای کارش خطر اقتصادی فیزیکی قایل نیستم (سلب امنیت روانی و ایجاد استرس و احساس عدم امنیت و غیره به کنار.. منظورم اینه که حس نمی کنم الان ممکنه کسی که قبلا اینکار رو نمی کرده از حساب کسی پول برداره با این اطلاعات) ولی معتقدم این آدم با اینکار حریم خصوصی انسان ها رو نقض کرده

این آٔدم خیرخواه نیست – هکر هم نیست

هکر برای ما واژه مهمیه. رسانه ها به کسی می گن هکر که وارد سیستم های مردم بشه ولی ما به کسی می گیم هکر که دنیا و چیزهای توش رو عمیق تر از بقیه ببینه – مثل ماتریکس. این آدم هکر نیست و چیزی هم این وسط هک نشد. این آدم مسوول نوشتن یک نرم افزار بوده و الان می گه که اون نرم افزار مشکل امنیتی داره و من پسوردهای شما رو کپی کردم بردم پیش بانک ها و گفتم به ازای هر دونه اش باید بهم پول بدن و اونها گفتن نه و حالا من رفتم خارج و اینها رو منتشر کردم.

اینکار برای من شبیه انتقام گیریه و بدون شک جرم. درخواست هایی مثل «درخواست از سازمان های جهانی و حقوق بشر برای حفاظت از من» یا حتی درخواست مسخره تر از مردم برای کمک مالی فقط و فقط معنی همون توهمی رو می دم که وقتی کسی یک قاضی رو ترور کرد فکر کرد بعدش باید بره خارج خودش رو به سفارت آمریکا معرفی کنه تا اونها بهش پناهندگی سیاسی بدن. قتل جرمه و مجرم به کشوری که توش جرم انجام داده تحویل می شه. اینکار هم جرمه و هیچ ربطی به حقوق بشر نداره. به اون سناریو فکر کنین که بانک ها به اون پیشنهاد آقای زارع مبنی بر اینکه در مقابل هر پسوردی که نشون بده بهش پول بدن عمل می کردن تا بدونین چقدر خیرخواهی توی اینکار هست.

از طرفی حتی اگر ایشون می خواست اینکار اشتباه رو بکنه می تونست بسیار با احتیاط تر و اخلاقی تر و کم ضربه زننده تر ثابت کنه که این اطلاعات رو داره. مثلا می تونست به جای اون روش بچگونه مخفی کردن یک عدد چهار رقمی لای ده رقم اضافی که ۳۰٪ احتمال حدس درست رو به هر کسی می ده (که روی سه میلیون شماره می شه حدس درست پسورد یک میلیون کارت) اینکار رو بکنه که هر کارت رو فقط با دو رقم اول پسوردش منتشر کنه. اینطوری دارنده کارت و مسوول بانک مطمئن می شدن که طرف پسورد رو داره (چون مثلا می دونه کارت من به شماره X پسوردش با 84 شروع می شه) و احتمال حدس صمیم توسط یک هکر رو هم ده برابر کمتر می کرد (در حد سه درصد بعد از سه تلاش). در عین حال این آدم اگر نیازمند توجه بود می تونست هر جمعه، مثلا صد هزار کارت رو منتشر کنه (با گفتن تنها دو رقم اول پین کد) و اینجوری هر هفته کلی آدم رو بکشه به وبسایتش و هر لحظه که توجه کافی بهش شد و به نتیجه دلخواهش (مثلا رفتن آبروی فلان شرکت یا اومدن مسوولین به میز مذاکره یا حمایت سازمان های حقوق بشری ازش یا هر چی) رسید کار رو متوقف کنه.

پس این آدم از نظر من به هیچ وجه خیرخواه نیست. بنا به گفته های خودش بعد از اینکه با شرکتش به مشکل برخورده ، اول سعی کرده از شرکت صاحبکارش که دسترسی به این اطلاعات رو از اون طریق داشته و بعد بانک ها که می تونستن متضرر بشن پول بگیره و وقتی پول ندادن با نقض حریم خصوصی دارنده سه میلیون کارت و افشای اطلاعات محرمانه سعی کرده ضربه محکمی بزنه.

جمع بندی

این رو نوشتم که بگم کار بی بی سی به نظرم حرفه ای نبود. باید از دیدگاه مقابل هم کسی می بود برای حرف زدن و باید به گذشته و پروسه رسیدن این جریان به اینجا هم توجه می کردن. به نظر من این آدم آدمی می یاد که به خاطر شغلش به اطلاعات مهمی دسترسی داشته – که دیگران هم داشتن و اون از این ناراحت بوده – و در لحظه ای فکر کرده می تونه پولدار بشه ولی بانک فقط قبول کرده در مقال نشون دادن دقیق محل مشکل پول بده و نه به ازای هر پسورد هر کارت و این معامله سر نگرفته. بعد این آدم سعی کرده ضربه ای کاری بزنه و به اشتباه ترین وجه ممکن حریم خصصوی یکسری آدم رو نقض کرده بدون اینکه واقعا بهش نیازی باشه. دیشب هم بی بی سی به خاطر خبر بزرگ و هیجان مصاحبه مستقیم با کسی که همه ایران دارن بهش نگاه می کنن به سراغش رفته بدون اینکه دقت کنه باید نظر مقابل و انگیزه طرف رو هم در این جریان لحاظ کنه. درسته که زارع توی برنامه کراوات زده بود و سنش بالا بود و سعی کرد از کسی اسم نبره و خودش رو خیرخواه مردم نشون بده ولی با استدلال های بالا این حداقل برای من شدیدا مورد شکه و خیلی خوب بود اگر بی بی سی بعدش به جای صحبت در مورد اینکه پوز چیه و چقدر عوض کردن پسورد کارت مهمه به سراغ این می رفت که یک نفر این جریان رو نقد کنه تا اعتبار خبری حرفه ای اش برای من حفظ بشه.

البته چلنج در مورد نقض حریم شخصی حین مصاحبه نسبتا خوب بود و بعدش هم گفته شد که تلاش کردن با اون شرکت تماس بگیرن که جواب نگرفتن. مشخصه. اون شرکت فعلا گیجه و تحت فشار. احتمالا کاملا مقصره در این جریان ولی این دلیل کافی نیست برای صحبت های یکطرفه و حق به جانب یک مجرم احتمالی توی بی بی سی.

این دو تا نکته رو هم نگم ممکنه خفه بشم:

  • بی بی سی تنها رسانه ای است که من اگر بخوام اخبار فارسی رو دنبال کنم می خونم. اینها رو نوشتم که بهتر بشه. کلا قابل قیاس با بقیه رسانه های فارسی نیست ولی باید شدیدا مواظب باشه که نیافته توی تله VoA شدن . بی بی سی مین استریم مدیا است و مال و غیره و غیره ولی بین چیزهایی که من بهش دسترسی دارم اولویت اول رو داره برای گرفتن اخبار منطبق بر واقعیت.
  • این اطلاعات روی سرورهای گوگل و بلاگ اسپات فرانسه منتشر شدن. احتمالا یک تذکر پلیس بین الملل می تونه این اطلاعات رو از این سایت حذف کنه و پروسه های قضایی مختلفی رو به جریان بندازه ولی ظاهرا ما واقعا آماده مقابله با تهدیدات سایبری نیستیم و جنگ سایبری رو کلا با دیفیس کردن سایت ها و کامنت گذاشتن تو وب اشتباه گرفتیم. احتمالا تو خیلی کشورها اینکه یک روز خودپردازها تعطیل بشن ضربه عظیمیه چه برسه به اینهمه ماجرای مرتبط با این اتفاق.

واقعا نمی دونم چند نفر ممکنه تا اینجا رو بخونن (((: به هرحال اگر تا اینجا رو خوندین یک مدال tl;dr بهتون تقدیم می شه با احترام