আপনার সাধের সাইট টি সুরক্ষিত রাখতে চান তাহলে এই হুমকিটি সম্পর্কে আপনার সচেতন থাকা উচিত !!! না দেখলে সত্যিই মিস করবেন !!!!

কেমন আছেন সবাই ?  আশা করি অনেক ভালো আছেন অনেক দিন পর লিখতে বসেছি সুতরাং নতুন বছরের অনেক অনেক শুভেচ্ছা জানিয়ে শুরু করছি আমার আজকের টিউন। আমরা অনেকেই ওয়েব ডেভেলপার হিসাবে আছি আসলে ওয়েব ডেভেলপ করলেই হলোনা সিকিউরিটির ব্যপারটা মাথায় রেখে কাজ করতে হয় আসলে আমাদের মত সল্প উন্নত দেশে অনেক টাকা দিয়ে আইটি সিকিউরিটি এক্সপার্ট রাখাটা অনেক কষ্ট সাধ্য ব্যাপার তাই আমাদের নিজেদের কিছু ব্যাপারে সিকিউর না থাকলে তাহলে সাধের সাইটটি নিয়ে মারাত্নক ভোগান্তি পোহাতে হবে সুতরাং আমি একজন আইটি সিকিউরিটি রিসার্চচার হিসাবে চেস্টা করি বিনা খরচে বা কম খরচে আপনাদের এই ভোগান্তির হাত থেকে রক্ষা করার উপায় বলে দিতে।

আমরা অনেকেই চাই আমাদের সাইট টি একটু সিকিউর থাকুক তাই অনেকেই  SSL(Secure Socket Layer)  ব্যবহার করি । এই  SSL এর কাজ হল সাইটের ডাটা সিকিউর রাখা। মানে ব্যপার টা আমি বুঝিয়ে দিচ্ছি  যখন আপনি রেজিস্ট্রেশন  কিংবা ওয়েবসাইট এ কোন ইনফরমেশন চেয়ে রিকোয়েস্ট করলে কিংবা লগিন করে রিকোয়েস্ট করলে তা সার্ভার এর নিকট পাঠায় সেই রিকোয়েস্ট টি পড়ে সার্ভার  উত্তর টি আবার ওয়েবসাইট এর নিকট পাঠায়।
যেমনঃ SSL সম্বলিত কোন সাইট দেখতে ঠিক এই রকম হবে তা হল নিচের ছবিটির মত।

চিত্রঃ HTTPS বা SSL

এখন যদি এই ইনফরমেশন টি সরাসরি লেটার কিংবা ডিজিট ফরমেট থাকে যা আমরা কোন না কোন ভাবে সরাসরি পড়তে পারি তাকে আমরা স্ট্যাটিক ইনফরমেশন বলি  আর যদি এই ইনফরমেশন গুলি কোন ভাবেই  যদি পড়া না যায় তাহলে তাকে সিকিউর  ইনফরমেশন বলে।
আমরা ইনফরমেশন সিকিউর করতে নানা রকম জিনিস ব্যবহার করি কিন্ত সবচেয়ে ব্যবহৃত  টুলস হল SSL আর SSl বলতে আমরা প্রাথমিক ভাবে বোঝি যে  HTTPS নামক জিনিস যা ডাটা ইঙ্ক্রিপশন করে সার্ভার এ পৌঁছে দেয় তাতে মিডেল ম্যান এটাক থেকে ইনফরমেশন সুরক্ষা রাখা যায়।

চিত্রঃ ওয়েব ফাইল ট্রান্সার সিস্টেম

আমরা সাধারণত দুধরনের SSL ব্যবহার করে থাকি একটা OPEN SSL এবং প্রিমিয়াম SSL।  আসলে আজকে যে বিষয় নিয়ে আলাপ করবো অনেক বড় জিনিস তা হল HEART BLEED(হার্ট ব্লিড)। এই হার্ট ব্লিড এর হাত থকে পৃথিবীর অনেক বড় বড় সাইট google ও বাদ যায় নি তাহলে আপনার সাইটি কতটুকু সুরক্ষিত। অনেক ব্যাঙ্ক এই থ্রেড এ আক্রান্ত হয়ে বিপুল পরিমান ইজার ইনফরমেশন ও বিপুল পরিমান ক্রেডিট কার্ড হারিয়েছে । এই বাগ টি আবিষ্কৃত হয়েছে ফেব্রুয়ারি ২০১২ সালে এবং প্রকাশিত হয়েছে এপ্রিল ২০১৪ সালে

Heart Bleed (হার্ট ব্লিড)

 

 

আসলে হার্ট ব্লিড কিঃ

হার্ট ব্লিড এর সংজ্ঞা অনেক জটিল একটি বিষয় যদি আমাকে বলা হয় এর একটি সহজ সংজ্ঞা দিতে তাহলে আমি বলবো এটি এমন একটি সমস্যা যা আপনার SSL কে  বুড়ো আংগুল দেখিয়ে আপনার সিকিউর এনক্রিপশন কে ভেঙ্গে আপনার সকল ইনফরমেশন নিয়ে যেতে পারে এমন কি আপনি DNS(DOMAIN NAME SERVER) হাইজাকিং বা পয়জনিং এ পরতে পারেন।

কিভাবে বোঝবো যে সাইটটি হার্ট ব্লিড এ আক্রান্তঃ

সাইট কিভাবে হার্ট ব্লিড এ আক্রান্ত হয় তা নির্ণয় করার জন্য আমরা অনেক রকম এর মেথড রয়েছে তার মধ্যে সবচেয়ে সহজ পদ্ধতির কথা আমি বলছি সেটা হল  এই বাগ টি নির্ধারণ করার জন্য একটি সাইট রয়েছে সাইটির নাম হল filippo.io এখানে আপনি আপনার লিঙ্কটির HTTPS এবং  WWW টুকু বাদ দিয়ে বাকি অংশ টুকু দিন যেমন  xyz.com

চিত্রঃ হার্ট ব্লিড চেক করার চিত্র

দেয়ার পর যদি সাইটি তে এধরনের কোন বাগ থেকে থাকে তাহলে এই ধরনে ছোট ছোট লাল লেখা সম্বলিত কিছু  এঙ্ক্রিপটেড হেক্স কোড দেখতে পারবেন।

যদি তা দেখা যায় তাহলে এই পাইথন এক্সপ্লয়টি চালু করুন । আমি অফেন্সিভ কোন কাজ এখানে দেখাবো না কারন এটি নিয়ম বহির্ভূত যদি আপনি গুগল থেকে দেখে নিতে  পারেন এই এক্সপ্লয়টটি কিভাবে কাজ করে কারন এটি শেষ হ্যাকিং ম্যাথড গুলির মধ্যে সবচেয়ে মারাত্নক মেথড। যদি আপনি এক্সপ্লয়টটি সঠিক ভাবে রান করাতে পারেন তাহলে আপনি নিচের ছবির মত হেক্স কোড পাবেন।

 

তার পর এটা কে কোন একটি নাম দিয়ে abc.txt নামে সেভ করুন এটা আপনার ডেস্কটপ এ সেভ হবে তার পর আপনি ওই  abc.txt  ফাইল টি ওপেন করলে আপনার সকল ইনফরমেশন এখানে পেয়ে যাবেন শুধু কষ্ট করে খুজে নিতে হবে কারন এটি সাজানো থাকবে না ব্যাস কাজ শেষ।

কিভাবে এর হাত থেকে বাঁচবোঃ

আসলে আমরাও অনেক পর্যালোচনা করে দেখেছি শুধু Open SSL নয় আরও নিম্ন মানের SSL বা HTTPS এর কারনে আপনি আক্রান্ত হতে পারেন অনেকের মনে বদ্ধমুল ধারনা যে এটা শুধু মাত্র Open SSL এর সাথেই হয়ে  এটা নিম্ন মানের এই SSL বা HTTPS এর সাথে ও হয় থাকে কারন নিম্ন মানের এই SSL বা  HTTPS গুলো ডাটা ঠিক মত এঙ্ক্রিপশন করতে পারেনা তার পরবর্তীতে তা হুমকির মুখে ফেলে দেয়।  সুতরাং কম টাকার লোভে  নিম্ন মানের SSL বা HTTPS থেকে বিরত থাকুন তার থেকে SSL বা HTTPS বিহীন ডোমেইন ও ভালো  আবার ভালো মানের ডোমেইন ব্যবহার করুন 1$ বা 3$ এর ডোমেইন কিনা থেকে বিরত থাকুন।

এই বিষয় টি নিয়ে আমি ব্লগ লিখার কথা চিন্তা করিনি কিন্তু বাংলাদেশের একটি জনপ্রিয় দৈনিক পত্রিকা ইনকিলাব (www.dailyinqilab.com)তাদের সাইট এ এই হার্ট ব্লিড বাগে আক্রান্ত হয়ে তাদের সাইটির কার্যক্রম বন্ধ রেখেছে। তারাও ঠিক একই রকম নিম্ন মানের SSL ব্যবহার করেছিলেন।

ধন্যবাদ আপনাদের সবাই কে ভালো থাকবেন আপনারা যদি অনুপ্রেরণা দেন তাহলে আমার পরবর্তী টিউন হবে মেটাস্পলিট হ্যাকিং নিয়ে।

টিউনটি পড়ে ভালো লাগলে ঘুরে আসতে পারেন আমার ফেসবুক থেকেঃ
আমার ফেসবুক আইডি
আমার ফেসবুক গ্রুপ
ফ্যান পেইজ

Level 0

আমি দাঁড় কাক। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 11 বছর 4 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 6 টি টিউন ও 13 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 0 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।

আমি আইটি সিকিউরিটি রিসার্চার । আমি আইটি সিকিউরিটি ও প্রোগ্রামিং নিয়ে কাজ করতে ভালোবাসি । আমাদের মত সল্প উন্নত দেশে আমি চেস্টা করবো বিনামূল্যে বা সল্প মূল্যে উন্নত মানের আইটি সিকিউরিটি আপনাদের কাছে পৌঁছে দিবো । চেস্টা করবো খুলে দিতে সিকিউরিটির প্রত্যেকটি দুয়ার সত্যি কারের সিকিউরিটি কি তা জানাবো আপনাদের...


টিউনস


আরও টিউনস


টিউনারের আরও টিউনস


টিউমেন্টস