বাংলাদেশের দিকে ধেয়ে আসছে ভয়ংকর এক সাইবার হ্যাকিং!
আমার এই লেখার টাইটেল'টি দেখে অনেকেই অনেক কিছু মনে হতে পারেন - হয়তো ক্লিকবেইট নয়তো পুরানো কাসুন্দিতে নতুন আলুপুরি আরকি!
তবে যাই মনে করেন আর তাই মনে ভাবেন আসলেই যে বাংলাদেশের দিকে ভয়ংকর এক সাইবার হ্যাকিং তথা সাইবার দূর্যোগ এগিয়ে আসছে সেটা নিয়ে কি আপনি সচেতন আছেন? সচেতনতার প্রসঙ্গে আসলে আসাটাই ভুল কেননা "আপনি নিজেই তো জানেন না যে কি দূর্যোগ আসছে" তাহলে সজাগ হবেন'টাই বা কিভাবে?
কিছুদিন আগেই বাংলাদেশের একটি ওয়েবসাইট হতে NID (National Identification Document) এর উন্মুক্ত তথ্য ভান্ডার এর সন্ধান পাওয়া যায় Techcrunch নামক ওয়েবসাইটের
Techcrunch Article এই আর্টিকেলের মাধ্যমে; কিন্তু এটা কি আদতে জানা গিয়েছে কতো আগের থেকে এই ঢাকনা বিহীন খাবারে কতোগুলো মাছি বসে সেই তথ্য নামক খাবার দূষিত তথা হ্যাক [ডাউনলোড অর্থে] করেছে?
হ্যা.হয়তো লগ ফাইল হতে চেক করা যেতে পারে কিন্তু যেখানে নিজেদেরই Lock ঠিক নেই সেখানে Key নিয়ে কিসের কাড়াকাড়ি?!
যাই হউক মূল আলোচনায় ফিরছি.
বাংলাদেশের সরকারী টেলিকমিউনিকেশান অপারেটিং সিস্টেম হলো Teletalk - এই টেলিটকের নিয়ন্ত্রণাধীন বিভিন্ন সরকারি সেবা প্রযুক্ত আছে যেমন নগদ, বাংলাদেশ টিউনাল সার্ভিস ইত্যাদি - এমনকি মাধ্যমিক বা উচ্চমাধ্যমিক পরীক্ষায় বোর্ড চ্যালেঞ্জ বা খাতা পুনঃনিরীক্ষণের আবেদন করতে ঐ Teletalk এর দ্বারস্থ হতেই হয়; তো এই Teletalk যখন বাংলাদেশের টিউনাল সার্ভিসে জড়িত হলো বা জড়িত করা হলো তখন টেলিটক তাদের একটি সাব-ডোমেইনে ক্রিয়েট করে দায় মেটালো মাত্র; কিন্তু ভুলে গেলো যে নূন্যতম একটি SSL সার্টিফিকেট সিপ্যানেল হতে ইনস্টল করতে আহামরি টেকনিক্যাল কারিশমা লাগে না.
লাগে না.লাগে না.আবার লাগেও?!
হয়তো মনে হতে পারে মূল আলোচনা বাইরের আলাপ করছি কিন্তু না - সম্পূর্ণটাই আপনার জানা আবশ্যক নয়তো ডিম ভেঙ্গে শুধু কুসুম খেতে গিয়ে ডিজিটাল স্বচ্ছ লালা মিস করে ফেলবেন!
এই সাব-ডোমেইনে লগেই লাগালাগি [আমি হেডার এবং ফুটার বুঝিয়েছি] করে যে আবার গুগল এডসেন্সের এড বসানো হয়েছে
এখন একজন বাংলাদেশী নাগরিক হিসেবে জানতে ইচ্ছে হয় (১) সরকারী ওয়েবসাইটে সেবার বিপরীতে আমি এডভারটাইজমেন্ট দেখতে কেন বাধ্য হবো? (২) এখন যদি দেখতেও হয় তাহলে সেই গুগল এডভারটাইজমেন্টে গুগল এডসেন্সের টাকা'টা কিন্তু রাস্ট্রীয় কোষাগারে জমা হওয়া উচিত - কেননা আমি তো সরকারী সেবা নিতেই এড দেখতে বাধ্য হচ্ছি - আদতে তা হচ্ছে তো?
অনেক বেশী বকে ফেলছি তবে বাগ (Bug) যদি থাকে তখন একটু বকাবকি মানা যায় কিন্তু; এই যদি আর কিন্তুর সুযোগে http://bdpost.teletalk.com.bd/validation.php ফাংশনে যে ফটো এবং সিগনেচার ভেরিফিকেশন সিস্টেম যুক্ত করা আছে - তাতে Store হওয়া ডাটার লোকেশন কোথায়?
এইসব ডাটা চলে জমা হচ্ছে এই http://bdpost.teletalk.com.bd/images/ ডিরেক্টরীতে - যা সম্পূর্ণ ন্যাকেড তথা উন্মুক্ত [যেকেউ চাইলেই সেখানকার ফোল্ডার বাই ফাইল ব্রাউজ করতে পারবেন; এমনকি সেইসব ডাটা ডাউনলোড বা সেইভ করে রাখাও সম্ভবপর]!
এতোক্ষন লেখাগুলো পড়ে আপনার নিশ্চিয়ই মনে হচ্ছে যে এ আর এমন কি? শুধুই তো ফটো তাইনা? ইন্টারনেট ঘাটলেই তো কতো ফটো পাওয়া যায় তাহলে শুনুন (১) এখানে আপনারা পাসপোর্ট সাইজের অফিশিয়াল ফটো পাওয়া যাচ্ছে - সেটা নিশ্চয়ই আপনার নিকট একদম ফেলনা নয়; এই ফটো এর ভ্যালু আছে বলেই তো যেমন তেমন পোজে ফটো আপ করলে সেটা অফিশিয়াল বলে প্রফোশনাল সিভিতে জমা করতে পারেন না (২) এখানে সবচেয়ে সেনসিটিভ আপনার সিগনেচার তথা স্বাক্ষর পাওয়া যাচ্ছে - এবং এটা যে আপনারই স্বাক্ষর তা একই ফোল্ডার হতে আইডিয়েন্টিফাইড!
আপনি নিশ্চয়ই এটাও শুনেছেন আপনি সিগনেচার জালিয়াতির মাধ্যমে শুধু আগেকার দিনের জমি জমার দলিল নয় বরং চেক জালিয়াতি হতে শুরু করে আরও জঘন্য ক্রাইম অবধি হতে পারে!
শুনতে চান কেমন সেই ক্রাইম? শুনুন "কেউ হয়তো একটি অপকর্ম করে গেলো এবং সেখানে আপনার সিগনেচারের নকল রেখে গেলো তাহলে প্রাইম সাসপেক্ট কিন্তু আপনিই" - আর হ্যা, বলতে ভুলেই গিয়ছি যে "আমরা যেহেতু সরল বাঙালি তাই সোজা মনে সহজ সিগনেচারে যে নাম লিখে দিই" সেটা কিন্তু ঐ ডিরেক্টরী হতে দুইটা ফাইলের বিপরীতে তিনটা তথ্য জানান দেয় (১) আপনার ফটো বা সত্যিকারের চেহারা (২) আপনার স্বাক্ষর এবং (৩) স্বাক্ষর স্বাপেক্ষে আপনার নাম!
আপনার হাতের আঙ্গুলের ছাপ যেমন বায়োলজিকালিক্যাল আইডিয়েন্টেকটিউনস বহন করে তেমনি আপনার হাতের "স্বাক্ষর" আপনার পরিচয় মূল্যায়ন করে - সুতরাং যেখানে আপনার ছবি এবং মূল্যায়ন লব্ধি হচ্ছে সেখানে জালিয়াতি হওয়া নিতান্তপক্ষে অসম্ভব কিছু কি? উপরন্তু আপনার নামটাও আবার সরল স্বাক্ষরে জানা যায়.
আজও টিউন অফিসে সঞ্চয়ী হিসাবের বিপরীতে জমা বই এর টাকা উত্তোলনের সময় শুধুমাত্র চেহারা এবং হাতে করা স্বাক্ষর চোখে দেখে মূল্যায়ন করা হয় - সেখানে একটি সঞ্চয়ী বই এর নকল বা ক্লোন করে যে কাউকে মেকআপ করিয়ে সাজিয়ে আর স্বাক্ষর শিখিয়ে অন্যের একাউন্ট হতে টাকা তোলা এক ম্যানুয়াল হ্যাকিং!
আবার ইদানীং কিছু "অনলাইন সঞ্চয়ী হিসাব বই" এর প্রচলন হয়েছে - তবে গোড়ায় যে গলদ যেখানে ভেরিফাই করবেন আপনার চেহারা আর স্বাক্ষর সেটাই তো ন্যাংটো ডিরেক্টরী http://bdpost.teletalk.com.bd/images
এছাড়াও যাদের টিউন অফিসে বই আছে তারা যে শুধু সঞ্চয়ী হিসাব বই রাখেন এমন নয় বরং সঞ্চয়পত্র, সেভিংস ইত্যাদি আরও বহু সেবার প্রচলন বিদ্যমান যেখানে আপনার ফটো এবং স্বাক্ষর'ই মূল মূল্যায়ন ডাটা! আবার যাদের টিউন অফিসে বই আছে তাদের ব্যাংক একাউন্ট'ও থাকতে পারে [যেহেতু ইদানীং টিউন অফিস টাকার পরিবর্তে চেক গ্রহণে উৎসাহী বেশী - পর্যবেক্ষণপূর্বক বলা হলো] সুতরাং একজন অথেন্টিক ব্যক্তির সিগনেচার'ও অথেন্টিক ও অভিন্ন হবে এটাই স্বাভাবিক- সুতরাং গ্রাহকের টিউন অফিস হতে সিগনেচার এর মাধ্যমে ব্যাংক কেলেংকারী হওয়ারও সম্ভাবনা রয়েছে!
এছাড়াও কেবলমাত্র 'স্বাক্ষর' দিয়েই এমন বহু অপরাধের নজীর এই আমাদের দেশেই বিদ্যমান আছে - সেসব বলতে গেলে ওয়েবপেইজ শুধু লম্বা হবে মাত্র!
শুধু কি তাই যে এখান হতে যে কারোর ফটো, সিগনেচার, নাম ইত্যাদি ডাটা সংগ্রহ করা সম্ভব - এমনকি এখানে ঐ সাইটে যে কারোর নাম ও সিগনেচার সিপ্যানেলের ফাইম ম্যানেজারের ডিরেক্টরী হতেও বদল করা খুব সম্ভব; তাতে বাংলাদেশ টিউনাল অফিসের যেকোন সেবায় ভেরিফিকেশন বাইপাস করে বড় দূর্ঘটনার জন্ম হতে পারে; উদাহরণস্বরূপ দেখতে পারেন এই ডিরেক্টরীতে http://bdpost.teletalk.com.bd/images/08LQWP/ ফটো হিসেবে চিত্রনায়িকা মৌসুমি এবং সিগনেচার হিসেবে বারাক ওবামার ফটোর কাটা অংশ ইমপোর্ট করে দেওয়া হয়েছে!
হয়তো এটা অতিরিক্ত শোনাতে পারে কিন্তু ইন্টারনেটে যেসব চেহারা পাওয়া যায় তার সবই সহজলভ্য - সুতরাং ঐসব চেহারা গুগল লেন্সে ম্যাগনিফাই করলে অরিজিন জানা সম্ভব বলে তা দিয়ে ডিপ ফেইক বানিয়ে লাভ হয়না! অন্যদিকে আপনার চেহারা অথেন্টিক ও ইউনিক বলে ডিপ ফেইক দিয়ে এক ভার্চুয়াল আপনার প্রায় জীবন্ত প্রতিরূপ বানানো সম্ভবপর; নিশ্চয়ই বলে দিতে হবে না যে ডিপ ফেইক দিয়ে ফান নয় বরং কেলেংকারী করতে ব্ল্যাকমেইল, পর্ণোগ্রাফি, ক্রিমিনাল এক্টিভিটি হয়ে থাকে!
আপনার কাছে হয়তো মনে হতে পারে যে এটা খুবই সামান্য বা তুচ্ছ কিছু ডাটা মাত্র; কিন্তু এইসকল ডাটা'ই আপনার ফটো - অথেন্টিক সিগনেচার - নাম ইত্যাদি ব্ল্যাক মার্কেটে ভালো দামেই বিক্রি হতে পারে; তখন আপনি কোনরূপ ক্রাইম না করেও হয়তো ফেসে যেতে বাধ্য হবেন- তদুপরি নিজেকে ব্ল্যাক মার্কেটের পণ্য ভাবতে কতোটুকু স্বস্তি পাবেন আপনি?
আচ্ছা এইসব টিউনে না বলে অথোরিটির নিকট বললেই তো সবচেয়ে ভালো হতো - এগুলো তো টিউন করার বিষয় নয়!
হ্যা, জানি.কিন্তু যখন ছোট উচ্চপদস্থ দায়িত্বশীলরা এতোটাই যে উপরে উঠে যায় তখন নিচ হতে এই সতর্কবাণী শোনার অবকাশ কি সত্যিই হয়?!
উপরন্তু একটা নির্মম মজার ফ্যাক্ট হলো "আমাদের দেশে যে সবার প্রথম যে Bug আইডিয়েন্টিফাই করেন তাকেই সাসপেক্ট হিসেবে যেন বাঘের গর্জন শোনানো হয়" অনেকটা এমন যেন " তুমি এটা খুঁজে বের করেছো? / কেন বের করেছো? / তোমার উদ্দেশ্য কি? / এটা কিন্তু হ্যাকিং তুমি জড়ালে কেন.ব্লা ব্লা ব্লা " অথচ এতোসব ভ্যালুলেস আলাপে মূল যে রোগ সেটার চিকিৎসা আদৌ হয় কি? একবার বিপদ হলে সেটা নিয়ে আলোচনার ঝড়ে ভাইরাল হয় গোটা দেশ কিন্তু যে বিপদ সামনে আসছে সেটা আমরা বড়ই কিংকর্তব্য বিমূঢ়!
যাই হউক তবুও এই বিষয়টা অনেক চেস্টার পর একসময়ের অতিরিক্ত সচিব জনাব মাহবুবুর কবীর মিলন স্যারের নজরে আনা হয়.
তিনি মাথা ঠান্ডা করে বিষয়টা দেখার আশ্বাস দিলেও আদতে পেরিয়ে গিয়েছে অনেক সময় - তার মাথা কি এখনো ঠান্ডা হয়নি?!
বলা বাহুল্য যে এটা হয়তো তার সেকশন নয় ইত্যাদি ইত্যাদি - তবে একজন বাংলাদেশী নাগরিক হিসেবে এটা শুধু কর্তব্য নয় বরং দায়িত্বও বটে যেখানে লাখো মানুষের লাইফ জড়িত!
অনেকের কাছেই বিষয়টা এখনো খুব সহজ মনে হতে পারে - কিংবা বাংলাদেশের তথাকথিত সাইবার সিকিউরিটি স্পেশালিস্ট যারা পেট মোটা করে ঠান্ডা ঘরে কম্পিউটারের গ্রীন স্ক্রিন দেখেই হ্যাকিং মনে করেন - তাদের জন্য কমপ্লিমেন্ট হিসেবে বাংলাদেশের অন্যতম স্বনামধন্য খাদ্য সরবারকারী প্রতিষ্ঠান বিডি ফুডসের ওয়েবসাইট কতোটা দূর্বল সেটা সাধারণ একটা মোবাইল ডিভাইস দিয়েই দেখানো হলো.
তবুও তাদের নজর কেড়ে এই বিষয়টা কাড়াকাড়ি না করে হলেও এখনো হয়তো সময় আছে বড় দূর্যোগ হতে নিজেদের তথা আমাদের প্রিয় বাংলাদেশ'কে বাঁচানোর - এটা দায়িত্ব এবং কর্তব্য!
শেষে কি বলা উচিত তা জানা নেই কারণ একবার শেষ হয়ে যাওয়ার পর বড়জোর আফসোস বা আক্ষেপ থাকে মাত্র - তাতে সমবেদনা করা যায় তবুও একটু সচেতন হলে হয়তো নিঃশেষ হওয়ার আগেই বুক ভরে এক প্রশান্তির নিঃশ্বাস নেওয়া চলে - আদৌ আমরা সচেতন হয়েছি কি?!
PaGoaL এর ওয়েবসাইটে আমন্ত্রণ রইলো: http://www.pagoal.com
ভালো থাকুন - ভালো রাখুন বাংলাদেশ'কে!
আমি শাওন শাহরিয়ার শুভ্র। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 1 বছর 5 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 1 টি টিউন ও 0 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 2 ফলোয়ার আছে এবং আমি টেকটিউনসে 1 টিউনারকে ফলো করি।
The Super Psychological Master Mind