আপনারা কি জানেন কম্পিউটার কম্পিউটার এ কিভাবে hacker রা অ্যাটাক করে । বা কিভাবে একটি সাধারন কম্পিউটার হয়ে যেতে পারে অস্ত্রে । এগুল নিয়ে আযকে কথা বলব......
Threat Modeling
কারণ একটা সিস্টেমের নিরাপত্তা নিশ্চিত করতে হলে এটা সেটা প্রতিরক্ষা ব্যবস্থা না নিয়ে প্রয়োজনমাফিক, বাস্তবসম্মত, এবং যথোপযুক্ত নিরাপত্তা ব্যবস্থা নিতে হলে থ্রেট মডেল বানানোটা হলো প্রথম কাজ। থ্রেট মডেলে সুনির্দিষ্টভাবে কোন শত্রু কী রকম কাজ করতে পারে, কী কী সমস্যা রয়েছে সিস্টেমে, আর কীভাবে আক্রমণ হতে পারে, সেইটা বিস্তারিতভাবে আলোচনা ও বিশ্লেষণ করা হয়। চলুন দেখা যাক, থ্রেট মডেল কীভাবে বানানো যায় …
থ্রেট মডেলের অংশগুলো হচ্ছে -
Mitigation strategy বা শত্রুর মোকাবেলা করার উপায়- একেক শত্রুকে একেকভাবে মোকাবেলা করা যায়। তাই শত্রুর স্বরুপ ও ক্ষমতা বের করার পরে আপনাকে দেখতে হবে, এই শত্রুর ক্ষেত্রে উপযুক্ত প্রতিরক্ষা কোনটা হতে পারে। দরকার হলে একাধিক প্রতিরক্ষা ব্যবস্থা নেয়া যেতে পারে। আর কার্যকারিতার দিক থেকে সেগুলার একটা ক্রম বা rank বের করে দেখতে হবে, তার পাশাপাশি করতে হবে কস্ট-বেনিফিট এনালাইসিস, যাতে করে আপনার বাজেটের মধ্যে কতটুকু নিরাপত্তা ব্যবস্থা নেয়া সম্ভব, তা বুঝে নিতে পারেন।
এই ভাবে থ্রেট মডেল বানাবার সুবিধা হলো, সবদিক যাচাই করে, শত্রু কে হতে পারে, তার ধান্ধা কী, আর ক্ষমতা কী রকম, কোন ফাঁক ফোকর দিয়ে শত্রু আক্রমণ করতে পারে, আর তাকে ঠেকাবেন কীভাবে – এই সবগুলা ব্যাপারই ধাপে ধাপে চিন্তা করা যায়।
কোন কম্পিউটার সিস্টেমকেই ১০০% নিরাপদ বানানো সম্ভব না। কোটি কোটি ডলার কারো বাজেট থাকলে সর্বশক্তি নিয়োগ করে শত্রু যে কোনো সিস্টেমের নিরাপত্তাই ভেঙে ফেলতে পারবে এক সময়। তাই বাস্তবতা, তথ্যের গুরুত্ব, এবং আপনার পকেটের জোর কেমন সব বিবেচনা করে তবেই সুবিধামত নিরাপত্তা ব্যবস্থা নেয়া সম্ভব, আর সেটা করতে হলে অপরিহার্য হচ্ছে একটা বাস্তবসম্মত থ্রেট মডেল বানানো।
এবার দেখা যাক থ্রেট মডেল বানানোর জন্য মাইক্রোসফটে জনপ্রিয় একটি সিস্টেম, যাকে বলা হয় STRIDE। আসুন দেখা যাক এই পদ্ধতিটা আসলে কী। STRIDE হলো সিস্টেমের থ্রেটগুলার ক্রম বা rank নির্ধারণের একটা পদ্ধতি। এই শব্দটি এসেছে নানারকমের থ্রেট গ্রুপ বা হুমকির প্রকারের আদ্যাক্ষর থেকে।
Threat type | Mitigation technique |
Spoofing identity | •Authentication •Protect secrets •Do not store secrets |
Tampering with data | •Authorization •Hashes •Message authentication codes •Digital signatures •Tamper-resistant protocols |
Repudiation | •Digital signatures •Timestamps •Audit trails |
Threat type | Mitigation technique |
Information disclosure | •Authorization •Privacy-enhanced protocols •Encryption •Protect secrets •Do not store secrets |
Denial of service | •Authentication •Authorization •Filtering •Throttling •Quality of service |
Elevation of privilege | •Run with least privilege |
এই ছকের তথ্যসূত্র - মাইক্রোসফ্টের লাইব্রেরি]
msdn.microsoft.com/en-us/library/ee823878(CS.20).aspx
আজকে তাহলে এটুকু থাক। কম্পিউটার security এবং হ্যাকিং এর মনস্তত্ত্ব নিয়ে আরও টিউন করব সে পর্যন্ত বিদায়।
আমিঃhttps://www.facebook.com/techfreak.unknown
এরকম অনেক কিছুঃ https://www.facebook.com/CY133R
আল্লাহ হাফেয
আমি রাশেদ রাহুল। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 12 বছর 1 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 53 টি টিউন ও 50 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 0 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।