চট্টগ্রাম রবিবার, ২২ ডিসেম্বর, ২০২৪

সর্বশেষ:

দুর্বল নিরাপত্তার সুযোগ নিচ্ছে হ্যাকার গ্রুপ

অনলাইন ডেস্ক

৬ আগস্ট, ২০২৩ | ৮:০৫ অপরাহ্ণ

তথ্যপ্রযুক্তির বিকাশের সঙ্গে সঙ্গে নানা মাত্রিক কার্যক্রমে ভার্চুয়াল জগতের ওপর নির্ভরশীলতা বাড়ছে সরকারি-বেসরকারি প্রতিষ্ঠানের। জরুরি তথ্য-উপাত্ত সংগ্রহে সনাতনী কাগজপত্রের চেয়ে এখন ই-নথিতে ঝুঁকছে আধুনিক বিশ্ব। এমনকি ব্যক্তিগত যোগাযোগের মাধ্যম হিসেবেও সাইবার খাত বড় জায়গা দখল করে নিয়েছে।

১৫ আগস্ট সামনে রেখে ভারতীয় দাবি করে একদল হ্যাকার বাংলাদেশে বড় ধরনের সাইবার হামলার হুমকি দেওয়ার পর নড়েচড়ে বসেছে সংশ্লিষ্টরা। এরই মধ্যে দেশজুড়ে সতর্কতা জারি করেছে বাংলাদেশের সরকারি সংস্থা কম্পিউটার ইনসিডেন্ট রেসপন্স টিম (সার্ট)।

সাইবার বিশেষজ্ঞরা বলছেন, সাইবার নেটওয়ার্কের দুর্বল নিরাপত্তার সুযোগ নিয়ে বারবার হ্যাকাররা বাংলাদেশকে টার্গেট করছে। এমনকি আইটি অডিট এবং ওয়েবসাইটের দুর্বলতা মূল্যায়নে মনোযোগ নেই অনেক প্রতিষ্ঠানের। ভার্চুয়াল যেসব নেটওয়ার্ক অবকাঠামো রয়েছে, তা একবার তৈরির পর প্রয়োজন হলে পুনর্নির্মাণের উদ্যোগ নেওয়া হয় না। সাইবার নিরাপত্তার ঝুঁকি নিয়েই বছরের পর বছর তা খুঁড়িয়ে খুঁড়িয়ে চলতে থাকে। এমনকি বিভিন্ন সরকারি-বেসরকারি প্রতিষ্ঠানের বিশেষায়িত বা স্পর্শকাতর সার্চ ইঞ্জিন ব্যক্তিগত যোগাযোগে ব্যবহার করা হচ্ছে। তবে সাইবার হামলার পর তদন্ত হলেও তার অধিকাংশ আলোর মুখ দেখে না। এ কারণে ঠিক কী ধরনের দুর্বলতার সুযোগ নিয়ে হ্যাকার গ্রুপ সফল মিশন শেষ করেছে, তা অজানা থাকছে।

সার্টের পক্ষ থেকে প্রায়ই বিভিন্ন প্রতিষ্ঠানের সাইবার নিরাপত্তা বিষয়ে সতর্ক করে নানা পরামর্শ দেওয়া হয়। কিন্তু টনক নড়ে না কর্তৃপক্ষের। সার্টের সর্বশেষ বিজ্ঞপ্তিতে বলা হয়েছে, ‘হ্যাকটিভিস্ট’ নামে ওই হ্যাকার গ্রুপটি ধর্মীয় উগ্রবাদে উদ্বুদ্ধ। তারা মূলত বাংলাদেশ ও পাকিস্তানকে উদ্দেশ্য করে এ হুমকি দিয়েছে। ১৫ আগস্ট জাতীয় শোক দিবস। আবার দিনটি ভারতের স্বাধীনতা দিবস। তবে হ্যাকাররা তাদের হুমকিতে বার্তাগুলোতে এ ধরনের কিছু উল্লেখ করেনি বলে জানায় সার্ট।

সার্টের তথ্য বলছে, ২০১৬ সাল থেকে এ পর্যন্ত প্রায় ৫ হাজার ৫৭৬টি সাইবার হামলার ঘটনা নথিভুক্ত করা হয়েছে। সরকারি সংস্থা, নতুন বাণিজ্যিক প্রতিষ্ঠান, আর্থিক, সামরিক, শিল্প, ব্যবসা-বাণিজ্য, স্বাস্থ্যসেবা ও জ্বালানি খাতকে লক্ষ্য করে এই সাইবার হামলা চালানো হয়।

তবে পুলিশ বলছে, এই হুমকির বিষয়ে সতর্ক আছে। পুলিশের আইটি ও সাইবার টিমগুলোতে উচ্চ প্রশিক্ষিত বিশেষজ্ঞরা এ নিয়ে কাজ করছেন। আজকালের মধ্যে এ নিয়ে পুলিশের একটি ভার্চুয়াল বৈঠক হওয়ার কথা রয়েছে। ঢাকা মহানগর পুলিশের (ডিএমপি) একাধিক সাইবার টিম রয়েছে। আবার পৃথকভাবে পুলিশের অপরাধ তদন্ত বিভাগের (সিআইডি) সাইবার ইউনিট আছে।

ডাক ও টেলিযোগাযোগমন্ত্রী মোস্তাফা জব্বার সমকালকে বলেন, যোগ্য লোক দিয়ে সাইবার নিরাপত্তা নিশ্চিত করতে হবে। তৃতীয় বিশ্বের দেশগুলো হ্যাকারদের নজরে বেশি থাকে। কোনো সূত্র থেকে হুমকি এলেই সার্ট সংশ্লিষ্টদের সতর্ক করে থাকে। তাদের সে সক্ষমতা আছে। তবে দুঃখজনক হলেও সত্য, অনেক প্রতিষ্ঠানেই সাইবার নিরাপত্তার দায়িত্বশীলরা যথাযথভাবে কাজ করেন না। এমনকি অনেক দায়িত্বশীল ব্যক্তি এ বিষয়ে দক্ষও নন।

জিডি ই-গভ সার্ট প্রকল্পের পরিচালক মোহাম্মদ সাইফুল আলম খান বলেন, ডার্ক ওয়েব থেকে ইঙ্গিত পেয়ে সতর্কতা জারি করা হয়েছে। হুমকাদাতা গ্রুপটি এর আগে বাংলাদেশে আক্রমণ করেনি। তবে সমমনা কিছু দল সাইবার হামলা চালিয়েছে। বাংলাদেশ, পাকিস্তানসহ কিছু মুসলিম দেশকে এমন হুমকি দিয়েছে তারা। সাম্প্রতিক সময়ে এমন হুমকির ঘটনা ঘটেনি। তাই এটিকে গুরুত্ব দেওয়া হচ্ছে। এমনকি এই গ্রুপটির দাবি সম্পর্কে কোনো তথ্য আমরা পাইনি।

ডিএমপির কাউন্টার টেররিজম অ্যান্ড ট্রান্সন্যাশনাল ক্রাইম ইউনিটের সাইবার ইউনিটের উপকমিশনার (ডিসি) আ ফ ম আল কিবরিয়া বলেন, সাইবার নিরাপত্তার ব্যাপারে আমাদের বড় ধরনের উদাসীনতা রয়েছে। এই বাস্তবতা অস্বীকার করা যাবে না। অনেক প্রতিষ্ঠানের তো আইটি অডিট হয় না। সিস্টেমগুলো ঠিকঠাক রয়েছে কিনা, তা যাচাই করতে নির্দিষ্ট সময় পরপর দুর্বলতার মূল্যায়ন ও অবৈধ কিছুর অনুপ্রবেশ ঘটেছে কিনা সেই পরীক্ষা জরুরি। অনেক প্রতিষ্ঠানের বিশেষায়িত টুলসে ‘ব্যক্তিগত ফিচার’ ওপেন করে রাখা হয়। এটা সাইবার হামলার ক্ষেত্রে ঝুঁকি তৈরি করে। ব্যক্তিগতভাবে সতর্ক থাকা দরকার। অপরিচিত কোনো লিঙ্কে ক্লিক করা যাবে না।

কেন সাইবার হামলার জন্য বাংলাদেশকে টার্গেট করা হচ্ছে– এমন প্রশ্নে আ ফ ম আল কিবরিয়া বলেন, সাইবার ঝুঁকির বাইরে কোনো দেশ নেই। আমরা যেটা করব সেটা হলো ভার্চুয়াল জগতে সর্বোচ্চ নিরাপত্তা নেওয়া। কোনো হামলা হলে সঙ্গে সঙ্গে আইনশৃঙ্খলা রক্ষাকারী বাহিনীকে অবহিত করা।

অবশ্য সাইবার নিরাপত্তা বিশেষজ্ঞ তানভীর জোহার মতামত একটু ভিন্ন। তিনি বলেছেন, সাইবার নিরাপত্তার ব্যাপারে আমাদের নীতিনির্ধারকদের মধ্যে এখনও বড় ধরনের উদাসীনতা রয়েছে। ডিজিটালাইজেশনের পাশাপাশি এর নিরাপত্তার কথা সমানভাবে গুরুত্ব দিতে হবে। অনেক প্রতিষ্ঠানের ডিজিটাল নেটওয়ার্ক অবকাঠামো পুনর্নির্মাণ জরুরি। এমনকি সাইবার হামলার পর অনেক ঘটনার তদন্ত হলেও প্রতিবেদন আলোর মুখ দেখে না।

এই বিশেষজ্ঞের মতে, নির্দিষ্ট তারিখ উল্লেখ করে সাইবার হামলা করা হবে– এমন নজির কম দেখেছি। আবার হ্যাকারদের হুমকির বিষয়টি বিজ্ঞপ্তি দিয়ে প্রচার না করলে ভালো হতো। এতে হামলার আগেই হ্যাকার গ্রুপ মিডিয়ার মাধ্যমে বড় গুরুত্ব বাড়িয়ে নিয়েছে। হ্যাকার গ্রুপটির ফেসবুক ও টেলিগ্রাম পেজ রয়েছে। সার্ট আন্তঃরাষ্ট্রীয় সিকিউরিটি রেসপন্স টিমগুলোর সঙ্গে যোগাযোগ করলে এই গ্রুপের অবস্থান সম্পর্কে স্পষ্ট তথ্য পাওয়ার সুযোগ ছিল। গেটওয়ে মনিটর করলে আইডিগুলো শনাক্তের মাধ্যমে সাইট বন্ধ করে দেওয়া যায়। জিও লোকেশন ও আইপি লোকেশন দিয়ে এগুলো বের করা সম্ভব। প্রয়োজনে আন্তর্জাতিক পুলিশ সংস্থা ইন্টারপোলের সহযোগিতা নেওয়া যেত। বিষয়গুলো পেশাদারিত্বে মোকাবিলা করলে কার্যকর ফল বেরিয়ে আসবে।

সাইবার নিরাপত্তাবিষয়ক প্রশিক্ষক ও ডিকোডস ল্যাব লিমিটেডের ব্যবস্থাপনা পরিচালক আরিফ মঈনুদ্দীন বলেন, সরকারি ওয়েবসাইটগুলোর নিরাপত্তা খুবই দুর্বল। এর মূল কারণ অসচেতন ও অবহেলা। কর্তৃপক্ষ বিপদে না পড়লে সচেতন হয় না। সরকারি প্রতিষ্ঠানের ওয়েবসাইটগুলোর ন্যূনতম নিরাপত্তা ব্যবস্থা নেই। তাদের দুর্বলতা চিহ্নিত হয় না। খরচ বাঁচাতে দক্ষ প্রোগ্রামারের পরিবর্তে নতুনদের দিয়ে কাজ করানো হয়। এতে দুর্বল সাইট অ্যাপ্লিকেশনটা দুর্বল হয়; যা সহজে হ্যাক হয়।

সরকারি ওয়েবসাইটের ক্ষেত্রে একই সাইট বারবার কপি করে নতুন সাইট তৈরি করা হচ্ছে। অনেক ওয়েবসাইট করা হয় ওয়ার্ডপ্রেসে। ওপেন সোর্স টুলস ব্যবহারের প্রবণতা বেশি। এসব কারণে সাইটগুলোর নিরাপত্তাব্যবস্থা হয় বেশ নাজুক। এ ছাড়া একবার সাইট তৈরির পর নিয়মিত মেইনটেন্যান্স করা হয় না। অ্যাপ্লিকেশনগুলো নিয়মিত আপডেট করা হয় না। সরকারি ওয়েবসাইটগুলোর বেশির ভাগেই নিরাপত্তার ন্যূনতম স্তর সিকিউর সকেটস লেয়ার (এসএসএল) সনদ নেই। সাইবার নিরাপত্তা ঝুঁকির পেছনে পাইরেটেড সফটওয়্যার ব্যবহারকেও দায়ী করেন তারা। সময়ের সঙ্গে সঙ্গে সরকারি ওয়েবসাইট বা তথ্যভান্ডারের সুরক্ষা ব্যবস্থা সময়োপযোগীও করা হয় না। ব্যবহারকারীর ওপরও অনেক কিছু নির্ভর করে। তারা অসচেতন হলে নানান অনাকাঙ্ক্ষিত কুকিজ, অ্যাপস চালু হয়ে নেটওয়ার্ক, সাইট ও সার্ভারের তথ্য বেহাত হতে পারে।

তথ্যপ্রযুক্তি বিশেষজ্ঞ সুমন আহমেদ সাবির বলেন, কয়েক বছর ধরে সরকারি প্রতিষ্ঠান ও বিভিন্ন আর্থিক প্রতিষ্ঠানে সাইবার হামলার ঘটনা ঘটছে। কিন্তু নিরাপত্তার বিষয়ে কর্তৃপক্ষ তেমন সচেতন হচ্ছে না। প্রযুক্তির ব্যবহারে সব সময় সতর্ক থাকতে হবে। নিরাপত্তাব্যবস্থা সর্বদা হালনাগাদ রাখতে হবে।

সম্প্রতি সরকারি দুটি দপ্তরের সংরক্ষিত তথ্য ফাঁস হওয়ার ঘটনা ঘটে। এর মধ্য দিয়ে কোটি কোটি নাগরিকের নাম, ফোন নম্বর, ই-মেইল বা আবাসিক ঠিকানা, জাতীয় পরিচয়পত্র বা জন্মনিবন্ধনের মতো গুরুত্বপূর্ণ তথ্য ফাঁস হয়ে যায়। এ ছাড়া ২০১৬ সালে দেশে বড় ধরনের সাইবার হামলার ঘটনা ঘটে। কম্পিউটার হ্যাকিংয়ের মাধ্যমে বাংলাদেশ ব্যাংকের ১০ কোটি ১০ লাখ ১ হাজার ৬২৩ ডলার চুরি হয়। নিউইয়র্কের ফেডারেল রিজার্ভ ব্যাংকে সেই টাকা রক্ষিত ছিল। সেখান থেকে টাকা চুরি করে ফিলিপাইনে নিয়ে যাওয়া হয়। ওই ঘটনায় বিশ্বব্যাপী তোলপাড় ঘটে। রিজার্ভ চুরির ঘটনায় দায়ের করা মামলার তদন্ত এখনও শেষ করতে পারেনি সিআইডি। তদন্ত শেষ করতে আদালত থেকে ৭২ বার সময় নিয়েছে তারা।

সিআইডির সাইবার ইউনিটের অতিরিক্ত ডিআইজি সৈয়দা জান্নাত আরা বলেন, সাইবার হামলার হুমকির বিষয়টি জানার পর আমরা সতর্ক রয়েছি। বেশ কিছু পদক্ষেপও নেওয়া হয়েছে।

এদিকে, এ ধরনের হুমকির আগেই দিনাজপুর জেলা পুলিশের ওয়েবসাইট হ্যাকারদের দখলে নেওয়ার তথ্য পাওয়া যায়। তবে দিনাজপুরের পুলিশ সুপার শাহ ইফতেখার আহমেদ বলেন, আমাদের ওয়েবসাইট হ্যাক করে জুয়াড়িরা একটি বিজ্ঞাপন দিয়েছে। হ্যাকারদের শনাক্ত করতে পুলিশের সদরদপ্তর তদন্ত শুরু করেছে।

গত মার্চে বড় ধরনের সাইবার হামলায় বিমান বাংলাদেশের কর্মীদের ব্যক্তিগত তথ্যসহ নানা গুরুত্বপূর্ণ তথ্য বেহাত হয়। এসব তথ্যের জন্য ৫০ লাখ ডলার দাবি করেছিল হ্যাকার গ্রুপ। বাংলাদেশ কম্পিউটার কাউন্সিলের প্রতিবেদন বলছে, হ্যাকাররা বাংলাদেশ বিমানের অনুমোদিত ইউজার আইডি ও পাসওয়ার্ড ব্যবহার করে এই হামলা করেছিল। গত জুলাই মাসে কৃষি ব্যাংকের সার্ভারে সাইবার অ্যাটাকের পর কেন্দ্রীয় ব্যাংকের পক্ষ থেকে এই চিঠি এসেছে। এএলপিএইচভি বা ব্ল্যাকক্যাট নামে পরিচিত হ্যাকার গ্রুপ ওই ব্যাংকের সার্ভারে ঢুকে ১৭০ গিগাবাইটেরও বেশি গুরুত্বপূর্ণ তথ্য চুরি করে। গত ১ আগস্ট একটি হ্যাকার গ্রুপ বাংলাদেশের একটি পেমেন্ট গেটওয়ে, আইন প্রয়োগকারী সংস্থা এবং ব্যাংক খাতে সাইবার আক্রমণের দাবি করে।

এর আগে ৩ জুলাই আরেক গ্রুপ দাবি করে, তারা বাংলাদেশি পরিবহন সেবার অনলাইন টিকিট কাটার প্ল্যাটফর্মে ১ ঘণ্টার জন্য হামলা করেছিল। গত ২৭ জুন বাংলাদেশের একটি সরকারি কলেজের ওয়েবসাইটও হামলার শিকার হয়। ২৪ জুন একই কাজ করা হয়েছে স্বাস্থ্য খাতের একটি প্রতিষ্ঠানের সাইটে। ২০ জুন বিনিয়োগ কোম্পানিতে সাইবার হামলা চালিয়ে ১ লাখ বিনিয়োগকারীর তথ্য চুরি করেছে হ্যাকাররা। ব্যাংকসহ আর্থিক প্রতিষ্ঠানগুলো সাইবার হামলার ঝুঁকিতে রয়েছে– এমন আশঙ্কার কথা বলে গত ১০ জুলাই সংশ্লিষ্টদের সতর্ক করে বাংলাদেশ ব্যাংক। কেন্দ্রীয় ব্যাংক সব আর্থিক প্রতিষ্ঠানকে ম্যালওয়্যার ও ভাইরাসের বিরুদ্ধে তাদের নিরাপত্তা বাড়ানোর পরামর্শ দেয়।

সরকারের তথ্য বাতায়নের আওতায় প্রায় ৫৪ হাজার ওয়েবসাইট রয়েছে। এ ওয়েবসাইটগুলোর অধিকাংশ তৈরি করেছে তথ্য ও যোগাযোগ প্রযুক্তি বিভাগের আওতাধীন প্রকল্প এসপায়ার টু ইনোভেট (এটুআই)। এটুআই জানিয়েছে, ওয়েবসাইট ডেভেলপের পর সেগুলো সংশ্লিষ্ট কর্তৃপক্ষের কাছে দিয়ে দেওয়া হয়। এরপর সেগুলোর নিরাপত্তার দায়িত্ব সংশ্লিষ্ট প্রতিষ্ঠানের। সরকারি ওয়েবসাইটগুলোর সংরক্ষণ (হোস্ট) এবং নিরাপত্তার বিষয়টি তদারকি করে বাংলাদেশ কম্পিউটার কাউন্সিল (বিসিসি)। তারা জানিয়েছে, ওয়েবসাইটগুলো সরকারি ডাটা সেন্টারে সংরক্ষণ করা থাকে। তারা নিরাপত্তার বিষয়টি নিয়মিত নিরীক্ষা করে ফলাফল সার্টকে জানায়। এরপর প্রয়োজনে সংশ্লিষ্টদের করণীয় নিয়ে পরামর্শ দেয় প্রতিষ্ঠানটি।

আগামী ১৫ আগস্টের হুমকি ঠেকাতে সংশ্লিষ্ট প্রতিষ্ঠানের অবকাঠামোর নিরাপত্তা নিশ্চিত করতে কিছু পরামর্শ দিয়েছে সার্ট। সেগুলো হলো– ২৪ ঘণ্টা বিশেষ করে অফিস সূচির বাইরের সময়ে নেটওয়ার্ক অবকাঠামোতে নজরদারি রাখা। কেউ তথ্য সরিয়ে নিচ্ছে কিনা, তা খেয়াল রাখা। ইনকামিং এইচটিটিপি/এইচটিটিপিএস ট্রাফিক বিশ্লেষণের জন্য ফায়ারওয়াল স্থাপন এবং ক্ষতিকারক অনুরোধ এবং ট্রাফিক প্যাটার্ন ফিল্টার করা। ডিএনএস, এনটিপি এবং নেটওয়ার্ক মিডলবক্সের মতো গুরুত্বপূর্ণ সেবা সুরক্ষিত রাখা। ব্যবহারকারীদের ইনপুট যাচাই করা। ওয়েবসাইটের তথ্য বিকল্প উপায়ে সংরক্ষণ করা। এসএসএল/ট্রান্সপোর্ট লেয়ার সিকিউরিটির (টিএলএস) সাংকেতিক আকারে (এনক্রিপশন) ওয়েবসাইটে প্রয়োগ করা। হালনাগাদ প্রযুক্তি ব্যবহার করা এবং সন্দেহজনক কোনো কিছু নজরে এলে বিজিডি ই-গভ সার্টকে জানানো। সৌজন্য: সমকাল

 

পূর্বকোণ/সাফা/পারভেজ

শেয়ার করুন

সম্পর্কিত পোস্ট