বাড়ি বানানোর সময় যেমন ফাউন্ডেশন নেয়া হয় তেমনি CIA হলো সাইবার সিকিউরিটির ফাউন্ডেশন। আপনার বাড়ির ফাউন্ডেশন যত বেশি মজবুত হবে আপনার পুরো বিল্ডিং তত টাই মজবুত হবে। তাই আপনি সাইবার সিকিউরিটি তে যত বড় ই হর্তা-কর্তা হন না কেন এই ফান্ডামেন্টাল না থাকলে আপনার সাইবার সিকিউরিটির ফাউন্ডেশন ও নড়বরে হয়ে ই থাকবে।
সাইবার সিকিউরিটির যে কোন ডোমেইনে আপনি যাই করবেন সব কিছু এই মশাই CIA কে কেন্দ্র করেই করতে হবে। আপনার করা প্রতিটি কাজ CIA মশাই এর জন্য ই হয়, হোক সেটা সিকিউরিটি দেয়া বা সিকিউরিটি ভাঙ্গা। তাহলে ভাবুন CIA সম্পর্কে না জানলে আপনি কার জন্য কি কাজ করছেন কেমনে জানবেন?
চলুন গভীরে গিয়ে জানি C I A মশাই সম্পর্কে।
C I A = Confidentiality Integrity Availability
সাথে আরো ২ টো আছে তারা হলো
Authenticity & Non-Repudiation
Confidentiality: (সহজে বুঝি) ধরলাম আপনার একটা ই-কমার্স ওয়েবসাইট আছে, তাহলে আপনার কাছে ব্যবহারকারীদের ডাটা যেমন : নাম, ঠিকানা, ফোন নাম্বার, পাসওয়ার্ড, পেমেন্ট এর ডাটা ইত্যাদি কে আপনাকে সিকিউরড ভাবে রাখতে হবে যেন অথোরাইজড ব্যক্তি ছাড়া কেউ দেখতে না পায়। (অথোরাইজড = যার কাছে পারমিশন, এপ্রুভাল বা লিগ্যাল রাইট আছে কোন কাজের জন্য) এবার সেই ডাটা কে সিকিউর রাখতে এবং অথোরাইজড ব্যক্তি ছাড়া কেউ দেখতে না পায় সে জন্য যা যা করা লাগবে সব কিছু আপনার দায়িত্ব, আর যদি না করেন তবে যেটা ঘটবে সেটা হলো কনফিডেন্সিয়ালিটি ব্রিচ যার ফলে এমন ব্যক্তি আপনার ওয়েব সাইট বা সিস্টেমের প্রাইভেট ডাটা গুলো দেখতে পাবে যারা অথোরাইজড না সেই ডাটা গুলো পাওয়ার জন্য।
তাহলে কনফিডেন্সিয়ালিটি হলো, আপনাকে ডাটা গুলো সিকিউর করতে হবে এমন ভাবে যেন তা অথোরাইজড ব্যক্তি ছাড়া আর কেউ না পায়। খতম
Integrity: আগের উদাহরন আপনার একটি ইকমার্স সাইট আছে, আমি সাইদুর সেখানে একটা একাউন্ট করে কিছু ক্রয় করবো। তো আমার Username/e-mail & password দিয়ে লগইন করতে হবে। আমার লগইনের সেই ডাটা গুলো আপনার ই-কমার্স ওয়েবসাইটের সার্ভার পৌছানে পর্যন্ত আপনাকে নিশ্চিত করা লাগবে আমার ডাটা কোন প্রকার ইডিট বা কোন থার্ড পার্টি দেখতে পাবে না। অথাৎ ডাটা যখন আমার মেশিন থেকে বের হয়ে রওনা দিবে আপনার ওয়েবসাইটের সার্ভারের উদ্দেশ্য সে সময় ডাটা কোন পরিবর্তন, নষ্ট বা অন্য কোন রাউটে যেন পরিচালিত না হয় সে জন্য আপনাকে সমস্ত ব্যাবস্থা করে রাখতে হবে, যদি করতে পারেন তবে বলা যাবে, আপনি সঠিক ভাবে ইন্ট্রিগিটি মেন্টেইন করতে পেরেছেন, আর যদি করতে না পারেন তবে আমার পাসওয়ার্ড চুরি হয়ে যাবে, আমার অর্ডার করা পন্যের ঠিকানা কে এট্যাকার পরিবর্তন করে তার ঠিকানা বসিয়ে দিবে যার ফলে হয়ে যাবে আপনার সিস্টেমের ইন্ট্রিগিটি ব্রীচ।
কিছু দিন আগের ঘটনা, দেশের একটি ব্যাংকের গাড়ি যেটা তে এটিএম বুথে লোডের জন্য টাকা ছিল এবং সে গুলে রাস্তা থেকে ছিনতাই হয়। বলেন তো উপরের ২ টা টপিকের সাথে ওই ঘটনা টা কোন টপিকের সাথে মিলে যায়?
Availability: সেই আগের উদাহরন, ধরেন কেউ আপনার সাইটকে Dos/DDOS মাইরা উড়িয়ে দিয়েছে, সাইটে এক্সেস করতে পারবেন? পারবেন না। ব্যাস হয়ে গেল Availability ব্রীচ। তাহলে আপনাকে এমন সব ব্যবস্থাপনা নিতে হবে যেন আপনার ক্রিটিক্যাল অবকাঠামো যেটা ধরেন আপনার ই-কমার্স সাইট সেটা বন্ধ হতে পারবে না, সেটা সবসময় যেন এক্সএবল থাকে সে সব ব্যবস্থা নিলেই তবে বলা যাবে আপনি এভেলএবিইলিটি মেন্টেইন করতে পেরেছেন। এখানে আরো অনেক কিছু হতে পারে কিন্তু সহজে বুঝিয়ে বল্লাম।
রইলো বাকি আর ২ টা সেগুলো CIA তে ডিরেক্ট মনশন করা নেই তবে সমান পরিমানে গুরুত্বপূর্ন।
Authenticity: ওই ওয়েব সাইটের উদাহরন থেকে সহজে বুঝি, আমাকে কিছু ক্রয় করার জন্য ওই ই-কমার্স সাইটে যে লগইন করতে হয় সেখানে আমার একমাএ E-mail এবং pasword দিয়ে নির্দেশ করে আমিই জেনুইন সাইদুর। অথেনটিসিটি এটাই যে সিস্টেমর মধ্যে এই ক্ষমতা থাকতে হবে যে, যারা সিস্টেমের কাছে আসছে ডাটা আদান প্রদান করার জন্য তারা কে কে সঠিক বা অথোরাইজড ব্যক্তি/বস্তুু, সেটা নির্নয় করার
এই কাজের জন্য বেশ কিছু পদ্ধতি আছে সেগুলোর আবার ক্যাটাগরি আছে যেমন :
সঠিক ব্যবহারকারী নির্নয় এর জন্য ব্যবহারকারী কে তার সঠিক লগইন ইনফেরমেশান দিতে হবে যা সে রেজিস্ট্রেশন এর সময় দিয়েছিল এবং তা সার্ভারে সযত্নে রাখা আছে, সার্ভার/ সিস্টেম সেই ডাটা মিলিয়ে দেখবে মিলে গেলে সিস্টেম বুঝে নিবে আপনি সঠিক ব্যক্তি তাছাড়া সিস্টেম আরো বেশি শিওর হওয়ার জন্য আপনার মেইলে কোড বা অথোরাইজেশন লিংক পাঠাতে পারে, যাতে করে ১০০% ভাগ সঠিকতার সাথে নির্ণয় করতে পারে যে সঠিক ব্যক্তি ই লগইন করছে।
ব্যবহারকারীদের থেকে যে ডাটা গুলো আসছে সেগুলো পরীক্ষা করে দেখা সেগুলি আসার পথে মোডিফাই বা টেম্পার হয়েছে কি না, এর বাইরে কিছু ভালা মানু্ষ আছে যারা ছবি আপলোডের নাম করে রিভার্স শেল পাঠিয়ে দেয় সেসব ক্ষেএে সিস্টেম যদি তাদের চিনতে পারে সেসসব ভালা মানুষের উদ্দেশ্য বলে " ভাইরে ভাই তোর নিজের ছবি না থাকলে নায়ক নাইকাদের ছবি দে এডি কি পাঠছ, যা ডিলেট" এসব ডাটার ইন্ট্রিগিটি চেক করার জন্য থাকে বিভিন্ন রকমের টুলস, স্ট্রাটিজি রয়েছে।
ইত্যাদি বলে টপিক এটা শেষ হয়ে ও শেষ না কারন আরো বিভিন্ন ক্যাটাগোরি ভেদে বিভিন্ন অথেনটিসিটি আছে।
Non-repudiation: ধরেন আমি সাইটের সেলস মেনেজার কে সাইটের লাইভ চ্যাট থেকে মেসেজ দিয়ে বল্লাম সামনে কোরবানি গোলাপি কালারের গরু হবে?
সেলসের লোক বল্লো হবে এবং দেখা গেল অর্ডারের পর দিছে ব্রাউন কালারের গরু সেসময় যদি আমি ক্লেইম করি এই কালারের গরু আমি চাইনি আমি বলেছি অন্য কালারের গরু দেয়ার জন্য তখন যেন সেলস মেনোজার অস্বিকার করতে না পারে। যেমন সেলসের লোক নেহাত ভালা মানুষ হলে সুন্দর করে অস্বিকার করে বাসবে সেইসময় সিস্টেম থেকে যেন প্রুফ করা যায় যে সে মিথ্যা বলছে। অথাৎ সিস্টেমের দারা কোন ডাটা আদান-প্রদান বা কনভারসেশন ও যদি হয় তবে তা ২ পাশের কোন ব্যক্তি যেন অস্বিকার করতে না পারে সেই ব্যবস্থা থাকতে হবে।
যারা এই ফিল্ডে ক্যারিয়ার করতে চাইছেন তাদের এই ৫ টা বিষয়ে ভালো করে অবগত থাকা দরকার। আচ্ছা ইথিক্যাল হ্যাকিং বা পেনটেস্টিং কি করা হয় আপনার সোজা মাথায় যা ডুকে বলেন, এর পর এই ৫ টা টপিকের সাথে মিলান আপনার যত ট্রিক যত বিদ্যা এই ৫ টা টপিক কে মাত দেয়ার জন্য ই করা হচ্ছে।
এই টুকু আজকের জন্য। ধন্যবাদ।
আমি সাইদুর রহমান। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 1 বছর 5 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 2 টি টিউন ও 0 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 0 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।