پیکنیک تحلیل

بررسی امنیت سامانه‌های معاملاتی کارگزاری‌ها بورس
#قسمت_دوم

(مطالعه قسمت اول)

2. کنترل ورود کاربران و انجام معاملات

الف) پیامک اطلاع‌رسانی ورود به سیستم:
وقتی وارد اینترنت بانک می‌شی، بدون توجه به رمز پویا، یه پیامک میاد که فلان ساعت و فلان روز وارد سیستم شدی. اما توی سامانه‌های معاملاتی همچین چیزی نیست! این قابلیت خیلی کاربردیه و باعث می‌شه اگه کسی غیر از خودت وارد شد، سریع متوجه بشی.

ب) جلوگیری از ورود همزمان یک کاربر از چند دستگاه:
مثلاً اگه یه نفر همزمان با کامپیوتر و گوشی وارد حسابش بشه، سیستم باید بلافاصله یکی از ورودها رو ببنده و از دستورات غیرمجاز جلوگیری کنه. حتی سامانه‌های هوشمند می‌تونن چک کنن که چطور ممکنه یه نفر همزمان از تهران و مشهد وارد سیستم بشه و سریع اقدام امنیتی انجام بدن.

ج) بستن دسترسی‌های قبلی بعد از تغییر رمز عبور:
توی سیستم‌های حرفه‌ای، وقتی رمزتو عوض می‌کنی، همه‌ی دستگاه‌هایی که قبلاً لاگین بودن، از سیستم خارج می‌شن. ولی بعضی کارگزاری‌ها این کارو انجام نمی‌دن و اگه یه هکر قبلاً وارد شده باشه، همچنان می‌تونه خرید و فروش کنه! (از نظر فنی توکن لاگین به علت ذخیره در حافظه موقت امکان از دسترس خارج کردن لاگینهای قبلی را ندارند و در حالیکه با ذخیره توکن ها در دیتابیس و... براحتی این مشکل بسیار مهم قابل حل شدن می باشد)

د) امکان مسدودسازی موقت حساب توسط خود کاربر:
توی بانک، اگه کارتت گم بشه، راحت می‌تونی از طریق اپلیکیشن یا عابربانک حسابتو مسدود کنی. اما توی کارگزاری‌ها همچین امکانی وجود نداره! در حالی که این مورد می‌تونه خیلی ضروری باشه. باید کاربر بتونه با تایید رمز پویا یا مراجعه به کارگزاری حسابش رو مسدود یا فعال کنه.

ه) بستن دسترسی از دستگاه یا آی‌پی‌های خاص:
اگه یه دستگاه یا آی‌پی مشکوک وارد حسابت شد، باید امکان بلاک کردنش وجود داشته باشه. این یکی از اصول اولیه‌ی امنیت حساب‌های مالیه.
و) اجبار به تغییر رمز در فواصل زمانی مشخص: 
خیلی از کارگزاری‌ها فقط یه پیام هشدار می‌دن که «مدت زیادی از تغییر رمزتون گذشته»، ولی اگه نخوای رمزتو عوض کنی، راحت می‌تونی پیام رو ببندی و به کارات برسی! در حالی که سیستم باید اجبار کنه که مثلاً هر سه ماه یه بار رمز عوض بشه و این کار فقط با تایید رمز پویا انجام بشه.  و از همه مهمتر اگر مدت زیادی از فعالیتت گذشته مثلا 1 ماه ، ورود با تغییر رمز جدید به همراه پیامک گزینه مناسبی می باشد

3. محدود کردن دسترسی به سامانه با آی‌پی خاص 
بعضی سیستم‌های مالی مثل درگاه‌های پرداخت بانکی، این قابلیت رو دارن که فقط یه آی‌پی مشخص بتونه تراکنش انجام بده. ولی توی سامانه‌های معاملاتی بورس این گزینه دیده نمی‌شه، در حالی که گرفتن آی‌پی استاتیک هزینه‌ی زیادی هم نداره! 

4. غیرفعال کردن حساب‌های غیرمورد استفاده در کارگزاری‌ها 
الان اکثر سهامدارا توی چند تا کارگزاری حساب دارن. اگه یکی از کارگزاری‌ها رو ترک کنی، حسابت همچنان فعاله و ممکنه یه نفر دیگه از طریق اطلاعات قبلی‌ات وارد بشه. تغییر ناظر بزنه و اقدام به معاملات کنه ،باید یه راهکاری باشه که بشه حساب‌های غیرفعال رو بست یا حداقل غیرفعالشون کرد.
5. فریز کردن سهام برای یه مدت مشخص 
اگه یه سهامدار بلندمدت باشی و نگران هک شدن حسابت، خوبه که یه گزینه داشته باشی که بتونی سهامتو برای یه مدت فریز کنی، یعنی هیچ‌کس نتونه بدون تاییدت اون‌ها رو بفروشه. یه چیزی مثل سهام جایزه که قبل از آزاد شدنش قابل معامله نیست. 

6. استفاده از هوش مصنوعی برای تشخیص ورودهای مشکوک 
بعضی سامانه‌های مالی از الگوریتم‌های هوش مصنوعی استفاده می‌کنن که اگه رفتار مشکوکی ببینن، سریع واکنش نشون بدن. مثلاً اگه یه نفر به‌صورت ناگهانی شروع کنه به خرید و فروش با حجم بالا (در مقایسه با معاملات قبلی‌اش)، سیستم باید ورودش رو ببنده و ازش تایید بگیره. 

پایان

@Piknikanalyst

بررسی امنیت سامانه‌های معاملاتی کارگزاری‌های بورس
#قسمت_اول


اگه قبول کنیم که سامانه‌های معاملاتی کارگزاری‌های بورس هم به اندازه‌ی بانک‌ها و مؤسسات مالی که توی اینترنت کار می‌کنن مهم هستن، پس امنیت این سیستم‌ها هم باید به همون اندازه جدی گرفته بشه. ساده‌تر بگم، اگه هک کردن حساب بانکی و برداشت غیرمجاز ازش یه خط قرمز برای بانک‌ها محسوب می‌شه، پس چرا هک کردن سامانه‌های معاملاتی کارگزاری‌ها که می‌تونه باعث خرید و فروش سهام بدون اطلاع کاربر بشه و ضرر سنگینی بهش بزنه، این‌قدر دست‌کم گرفته می‌شه؟

توی بانک، اگه چنین اتفاقی بیفته، کاربر می‌تونه شکایت کنه و معمولاً مقصد واریزی رو پیگیری کنه و پولش رو پس بگیره، اما توی بازار سهام همچین چیزی خیلی سخت‌تره.

چند تا راهکار ساده و کاربردی برای افزایش امنیت سامانه‌های معاملاتی

1. ورود دو مرحله‌ای به سامانه معاملاتی (رمز پویا)
یکی از بهترین روش‌های افزایش امنیت، استفاده از رمز پویاست که به موبایل کاربر پیامک می‌شه. اما مشکل اینجاست که همین روش هم توی کارگزاری‌ها درست و حسابی اجرا نمی‌شه.

الف) محدودیت در تغییر شماره موبایل:
نباید کاربر یا حتی کارکنان کارگزاری بتونن به‌راحتی شماره موبایل رو تغییر بدن. همون‌طور که توی بانک‌ها اگه شماره موبایل به اسم خودت نباشه، امکان ثبتش رو نداری. بهترین حالت اینه که شماره موبایل از سامانه سجام دریافت بشه که تاییدیه‌های لازم رو هم داره. ولی الان اگه یه هکر به سامانه‌ی آنلاین کارگزاری نفوذ کنه، به‌راحتی می‌تونه شماره موبایل رو عوض کنه!

ب) اجباری بودن رمز پویا توی همه‌ی بخش‌ها:
حتی کارگزاری‌هایی که این قابلیت رو دارن، همه‌جا اعمالش نمی‌کنن. مثلاً توی کارگزاری آگاه،حتی اگر در سایت اصلی رمز پویا را فعال کنید باز هم اگه از لینک قدیمی oldonline.agah.com یا اپ موبایل استفاده کنی، بدون رمز پویا هم می‌تونی وارد بشی!

ج) بعضی کارگزاری‌ها اصلاً این قابلیت رو ندارن یا ناقص!
کارگزاری‌هایی که اکسیر کار می‌کنن، که اصلا این گزینه را ندارند و کارگزاریهای که با نرم افزار تدبیر کار می کنند با اینکه این قابلیت دیده شده است با داشتن سامانه های موازی که از این گزینه پشتیبانی نمی کند امنیتشون خیلی پایین می باشد ، و حتی اگر صرفا از نرم افزار تدبیر استفاده کرده باشند باز هم یک بخشی به نام جامع مشتریان دارند که بدون رمز پویا می توان سفارشات افلاین ثبت کرد ......

(مطالعه قسمت دوم)


ادامه دارد.....

@Piknikanalyst

#هوش_سیاه
#قسمت_دوم
#اکبر_رحیمی مالک چای #دبش
■ 👈 (رفتن به قسمت اول)

بمب خبری اختلاس دبش در یک شب
و دستور قضایی برای مصادره اموال!

وقتی وارد کارخانه دبش میشید
بیش از ۲۰۰نفر کارگر (اکثریت خانم) و بیش از ۱۰۰نفر (مهندس و نیروی حراست) خواهید دید
که همگی نگران آینده شغلی‌شون هستن!
در واقع پرسش اول در لحظه ورود به این شرکت و در لحظه نخست اینه که این وسط گناه این کارگرها چیه؟!

دستگاه‌های مدرن ، زمین‌ها و...
اصولا اشتهارد شده شهر چای دبش!

هرچه جلوتر برید ؛ انبارهای جدیدتری دیده میشه و داستان دارکتر میشه!
و احتمالا پرسش بعدی اینه که
چه عشقی میکنن رقبا؟!
منظورم گلستان و شهرزاد و ... هستن!
لابد آتیش بیار معرکه با لابی‌کردن ؛
ریپورتاژ در فضای اجتماعی و مجازی با آکسان چای فاسد!(چای به سختی فاسد میشه!)

که قاعدتا دو هدف می‌تونه داشته باشه!
۱) چای دپو شده رو با کمترین قیمت خریداری کنن!
۲) برند رو در ذهن مردم مخدوش کنند!

و دلیل موجه برای این موضوع در پرسش بعدی مستتر است!

پرسش:
اگه واقعا چای فاسد هست چرا خریدار داره؟!
چای خیلی به ندرت فاسد میشه
ضمن اینکه چای‌ها نمونه برداری میشن و بخش فاسد که در مورد دبش ، حدود ۱۰ درصد از دپو هست صرف مصارف حیوانی میشه!

چایی که دپوی شرکت دبش هست واقعا معرکه هست (مخصوصا CTC) البته من نمونه‌ها رو دیدم و از روی کنجکاوی دم کردم. طبق اسناد موجود، ظاهرا پای دبش ۳/۵ میلیون تومن دراومده بود که رقبا با ۳۰۰ هزار تومان بردند!

و پرسش نهایی!
چای دبش فساد کرد؟
بلی!
چرا افشا شد و نقش واردات چای در این داستان چیست؟!

در ادامه خواهم گفت!

ادامه دارد...

(احتمالا داستان بررسی فساد در چای دبش
چن سال به طول خواهد انجامید
بقیه‌ش رو به مرور و سر فرصت براتون مینویسم
خسته شدم دیگه 😄❤️
فعلا 👋)

@PiknikAnalyst

‌
با هر شکلی که ممکن بود
پس از چند روز
بالاخره پلیس تونست
قاتلای امیر محمد خالقی رو
با وجود ماسک و پلاک مخدوش
دستگیر کنه!
پس شدنیه!!!
اگه امیرمحمد هم
باور داشت که دزدا دستگیر میشن،
شاید الان زنده بود!

@PiknikAnalyst
‌