কেমন আছেন সবাই ? আশা করি অনেক ভালো আছেন অনেক দিন পর লিখতে বসেছি সুতরাং নতুন বছরের অনেক অনেক শুভেচ্ছা জানিয়ে শুরু করছি আমার আজকের টিউন। আমরা অনেকেই ওয়েব ডেভেলপার হিসাবে আছি আসলে ওয়েব ডেভেলপ করলেই হলোনা সিকিউরিটির ব্যপারটা মাথায় রেখে কাজ করতে হয় আসলে আমাদের মত সল্প উন্নত দেশে অনেক টাকা দিয়ে আইটি সিকিউরিটি এক্সপার্ট রাখাটা অনেক কষ্ট সাধ্য ব্যাপার তাই আমাদের নিজেদের কিছু ব্যাপারে সিকিউর না থাকলে তাহলে সাধের সাইটটি নিয়ে মারাত্নক ভোগান্তি পোহাতে হবে সুতরাং আমি একজন আইটি সিকিউরিটি রিসার্চচার হিসাবে চেস্টা করি বিনা খরচে বা কম খরচে আপনাদের এই ভোগান্তির হাত থেকে রক্ষা করার উপায় বলে দিতে।
আমরা অনেকেই চাই আমাদের সাইট টি একটু সিকিউর থাকুক তাই অনেকেই SSL(Secure Socket Layer) ব্যবহার করি । এই SSL এর কাজ হল সাইটের ডাটা সিকিউর রাখা। মানে ব্যপার টা আমি বুঝিয়ে দিচ্ছি যখন আপনি রেজিস্ট্রেশন কিংবা ওয়েবসাইট এ কোন ইনফরমেশন চেয়ে রিকোয়েস্ট করলে কিংবা লগিন করে রিকোয়েস্ট করলে তা সার্ভার এর নিকট পাঠায় সেই রিকোয়েস্ট টি পড়ে সার্ভার উত্তর টি আবার ওয়েবসাইট এর নিকট পাঠায়।
যেমনঃ SSL সম্বলিত কোন সাইট দেখতে ঠিক এই রকম হবে তা হল নিচের ছবিটির মত।
চিত্রঃ HTTPS বা SSL
এখন যদি এই ইনফরমেশন টি সরাসরি লেটার কিংবা ডিজিট ফরমেট থাকে যা আমরা কোন না কোন ভাবে সরাসরি পড়তে পারি তাকে আমরা স্ট্যাটিক ইনফরমেশন বলি আর যদি এই ইনফরমেশন গুলি কোন ভাবেই যদি পড়া না যায় তাহলে তাকে সিকিউর ইনফরমেশন বলে।
আমরা ইনফরমেশন সিকিউর করতে নানা রকম জিনিস ব্যবহার করি কিন্ত সবচেয়ে ব্যবহৃত টুলস হল SSL আর SSl বলতে আমরা প্রাথমিক ভাবে বোঝি যে HTTPS নামক জিনিস যা ডাটা ইঙ্ক্রিপশন করে সার্ভার এ পৌঁছে দেয় তাতে মিডেল ম্যান এটাক থেকে ইনফরমেশন সুরক্ষা রাখা যায়।
চিত্রঃ ওয়েব ফাইল ট্রান্সার সিস্টেম
আমরা সাধারণত দুধরনের SSL ব্যবহার করে থাকি একটা OPEN SSL এবং প্রিমিয়াম SSL। আসলে আজকে যে বিষয় নিয়ে আলাপ করবো অনেক বড় জিনিস তা হল HEART BLEED(হার্ট ব্লিড)। এই হার্ট ব্লিড এর হাত থকে পৃথিবীর অনেক বড় বড় সাইট google ও বাদ যায় নি তাহলে আপনার সাইটি কতটুকু সুরক্ষিত। অনেক ব্যাঙ্ক এই থ্রেড এ আক্রান্ত হয়ে বিপুল পরিমান ইজার ইনফরমেশন ও বিপুল পরিমান ক্রেডিট কার্ড হারিয়েছে । এই বাগ টি আবিষ্কৃত হয়েছে ফেব্রুয়ারি ২০১২ সালে এবং প্রকাশিত হয়েছে এপ্রিল ২০১৪ সালে।
হার্ট ব্লিড এর সংজ্ঞা অনেক জটিল একটি বিষয় যদি আমাকে বলা হয় এর একটি সহজ সংজ্ঞা দিতে তাহলে আমি বলবো এটি এমন একটি সমস্যা যা আপনার SSL কে বুড়ো আংগুল দেখিয়ে আপনার সিকিউর এনক্রিপশন কে ভেঙ্গে আপনার সকল ইনফরমেশন নিয়ে যেতে পারে এমন কি আপনি DNS(DOMAIN NAME SERVER) হাইজাকিং বা পয়জনিং এ পরতে পারেন।
সাইট কিভাবে হার্ট ব্লিড এ আক্রান্ত হয় তা নির্ণয় করার জন্য আমরা অনেক রকম এর মেথড রয়েছে তার মধ্যে সবচেয়ে সহজ পদ্ধতির কথা আমি বলছি সেটা হল এই বাগ টি নির্ধারণ করার জন্য একটি সাইট রয়েছে সাইটির নাম হল filippo.io এখানে আপনি আপনার লিঙ্কটির HTTPS এবং WWW টুকু বাদ দিয়ে বাকি অংশ টুকু দিন যেমন xyz.com
চিত্রঃ হার্ট ব্লিড চেক করার চিত্র
দেয়ার পর যদি সাইটি তে এধরনের কোন বাগ থেকে থাকে তাহলে এই ধরনে ছোট ছোট লাল লেখা সম্বলিত কিছু এঙ্ক্রিপটেড হেক্স কোড দেখতে পারবেন।
যদি তা দেখা যায় তাহলে এই পাইথন এক্সপ্লয়টি চালু করুন । আমি অফেন্সিভ কোন কাজ এখানে দেখাবো না কারন এটি নিয়ম বহির্ভূত যদি আপনি গুগল থেকে দেখে নিতে পারেন এই এক্সপ্লয়টটি কিভাবে কাজ করে কারন এটি শেষ হ্যাকিং ম্যাথড গুলির মধ্যে সবচেয়ে মারাত্নক মেথড। যদি আপনি এক্সপ্লয়টটি সঠিক ভাবে রান করাতে পারেন তাহলে আপনি নিচের ছবির মত হেক্স কোড পাবেন।
তার পর এটা কে কোন একটি নাম দিয়ে abc.txt নামে সেভ করুন এটা আপনার ডেস্কটপ এ সেভ হবে তার পর আপনি ওই abc.txt ফাইল টি ওপেন করলে আপনার সকল ইনফরমেশন এখানে পেয়ে যাবেন শুধু কষ্ট করে খুজে নিতে হবে কারন এটি সাজানো থাকবে না ব্যাস কাজ শেষ।
আসলে আমরাও অনেক পর্যালোচনা করে দেখেছি শুধু Open SSL নয় আরও নিম্ন মানের SSL বা HTTPS এর কারনে আপনি আক্রান্ত হতে পারেন অনেকের মনে বদ্ধমুল ধারনা যে এটা শুধু মাত্র Open SSL এর সাথেই হয়ে এটা নিম্ন মানের এই SSL বা HTTPS এর সাথে ও হয় থাকে কারন নিম্ন মানের এই SSL বা HTTPS গুলো ডাটা ঠিক মত এঙ্ক্রিপশন করতে পারেনা তার পরবর্তীতে তা হুমকির মুখে ফেলে দেয়। সুতরাং কম টাকার লোভে নিম্ন মানের SSL বা HTTPS থেকে বিরত থাকুন তার থেকে SSL বা HTTPS বিহীন ডোমেইন ও ভালো আবার ভালো মানের ডোমেইন ব্যবহার করুন 1$ বা 3$ এর ডোমেইন কিনা থেকে বিরত থাকুন।
ধন্যবাদ আপনাদের সবাই কে ভালো থাকবেন আপনারা যদি অনুপ্রেরণা দেন তাহলে আমার পরবর্তী টিউন হবে মেটাস্পলিট হ্যাকিং নিয়ে।
আমি দাঁড় কাক। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 11 বছর 4 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 6 টি টিউন ও 13 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 0 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।
আমি আইটি সিকিউরিটি রিসার্চার । আমি আইটি সিকিউরিটি ও প্রোগ্রামিং নিয়ে কাজ করতে ভালোবাসি । আমাদের মত সল্প উন্নত দেশে আমি চেস্টা করবো বিনামূল্যে বা সল্প মূল্যে উন্নত মানের আইটি সিকিউরিটি আপনাদের কাছে পৌঁছে দিবো । চেস্টা করবো খুলে দিতে সিকিউরিটির প্রত্যেকটি দুয়ার সত্যি কারের সিকিউরিটি কি তা জানাবো আপনাদের...