বাড়ছে সাইবার হামলা, রুখবেন যেভাবে
- October 26, 2022
- 259 views
ডিজিটাল যুগে এসে বাংলাদেশে সাইবার হামলার ঝুঁকি বাড়ছে। এতে দেশের বিভিন্ন প্রতিষ্ঠান হ্যাকিংয়ের শিকার হচ্ছে। সাইবার জগতে নিজেদের অনিরাপদ ভাবছেন উদ্যোক্তারা। বিশেষ করে আর্থিক প্রতিষ্ঠানগুলো বেশি হুমকিতে। হ্যাকারদের নতুন নতুন কৌশলের কারণে পুরো সাইবার জগতে অনিশ্চয়তা থেকে যাচ্ছে।
সাইবার ক্রাইম সাময়িকীর খবর বলছে, আগামী বছরগুলোতে বিশ্বে সাইবার অপরাধের ক্ষতি ১৫ শতাংশ বেড়ে যাবে। ২০১৫ সালে বিশ্বে সাইবার হামলার ক্ষতি ছিল তিন লাখ কোটি মার্কিন ডলার। ২০২৫ সালে তা ১০ লাখ ৫০ হাজার কোটি মার্কিন ডলারে পৌঁছাতে পারে বলে আশঙ্কা করা হচ্ছে।
২০১৬ সালের ৪ ফেব্রুয়ারি বাংলাদেশ ব্যাংকের অ্যাকাউন্ট থেকে প্রায় ৮০৮ কোটি টাকা ডিজিটাল পদ্ধতিতে হ্যাকিংয়ের মাধ্যমে চুরি হয়ে যায়। দেশি-বিদেশি নানা উদ্যোগের পরও এই টাকা এখনও পুরোপুরি উদ্ধার করা সম্ভব হয়নি।
সম্প্রতি হ্যাকিংয়ের শিকার হয় দেশের সবচেয়ে জনপ্রিয় বেসরকারি চ্যানেল সময় টিভির ইউটিউব চ্যানেল। চ্যানেলের নিয়ন্ত্রণ নিয়ে হ্যাকার এর নাম বদলে ‘ইথেরিয়াম ২.০’ করে দেয় এবং হোম পেজের সব কনটেন্ট সরিয়ে ফেলে। ভিডিও কনটেন্টের পেজগুলোতে টিভি চ্যানেলটির লোগো বদলে ক্রিপ্টোমুদ্রা ইথেরিয়ামের লোগো বসিয়ে দেয় হ্যাকাররা।
এরপর চ্যানেলটির মূল ওয়েবসাইট সময়নিউজ ডটটিভি-ও আক্রমণের শিকার হয়।
সাইবার নিরাপত্তা বিশেষজ্ঞরা বলছেন, বাংলাদেশ যতটা দ্রুত ডিজিটাল হওয়ার লক্ষ্যের দিকে এগিয়ে যাচ্ছে, তার সাথে তাল মিলিয়ে সাইবার নিরাপত্তার দিকে ততখানি নজর দিচ্ছে না। অন্যদিকে দেশ দ্রুত ডিজিটালাইজেশনের দিকে গেলেও ইন্টারনেট ব্যবহারকারীরা তেমন দক্ষ বা সচেতন নয়। বিশ্বের অন্যান্য দেশের তুলনায় বাংলাদেশের সাইবার জগত অনেকখানি ঝুঁকিতে রয়েছে।
হ্যাকিং থেকে রক্ষা পেতে আগাম সুরক্ষা
সাইবার হামলা থেকে রক্ষা পেতে ব্যবহারকারীদের মৌলিক সুরক্ষাগুলো নিশ্চিত করতে হবে। এমনটা না হলে হ্যাকিংয়ের শিকার হওয়ার শঙ্কা থেকে যায়। যেমন ধরেন, কারও যদি ইউটিউব চ্যানেল থাকে, সেটির এডমিন পর্যায়ের ইউজার ও মডারেটরদের সচেতন থাকতে হবে। তাদের কাছ থেকে কোনোভাবেই তথ্য ফাঁস হওয়া যাবে না। কিংবা তৃতীয় পক্ষ জানতে পারে, এমন অনিরাপদও থাকা যাবে না।
বিশেষজ্ঞরা বলছেন, এ জন্য ব্যবহারকারী পর্যায়ে মৌলিক সুরক্ষা দরকার। এ ছাড়া হোস্টিং ইস্যুতেও নজর দিতে হবে। অ্যাডমিন অ্যাকসেসের ক্রেডেনশিয়াল কেমন আছে, তার ওপর অনেক কিছু নির্ভর করে।
ইউটিউব চ্যানেলের ক্ষেত্রে ইউজার-পর্যায়ের সুরক্ষা ও নিবৃত্তিমূলক পদক্ষেপ নিতে হবে। ব্যবহারকারী বিভিন্ন ধরনের চ্যানেল ও পেজ খোলা রেখে প্যানেল ব্যবহার করে থাকতে পারেন। অনেক সময় সুরক্ষামূলক পদক্ষেপ নিয়ে ভাবা হয় না। কিন্তু এসব ক্ষেত্রে সতর্ক থাকা অপরিহার্য।
সাইবার হামলা থেকে রক্ষা পেতে সুরক্ষামূলক পদক্ষেপগুলো আগে নিতে হবে বলে মনে করেন বিশেষজ্ঞরা। সুরক্ষা পদক্ষেপ না নিয়ে যে কোনো একটি জিনিস চালু করে দিলে তো ঝুঁকি থেকেই যাবে। সুরক্ষা পদক্ষেপগুলো বলতে, যখন একটি সিস্টেম দাঁড় করানো কিংবা নকশা করা হয়, তখন কোড লেভেলের কিছু নিরাপত্তার বিষয় থাকে। সুরক্ষা বজায় রেখে তা পরিচালনা করতে হবে।
আবার একটি সিস্টেম দাঁড় করানোর পর তার সুরক্ষা বিষয়টি পরীক্ষা করা হয় না। তার ফাঁকফোকরগুলো খুঁজে বের করা হয় না। বরং এসব না করেই সিস্টেমটি চালু করে দেয়া হয়। তখন দুর্বলতা থেকে যেতে পারে। হ্যাকাররা সেই সুযোগ নিয়ে হামলা চালাতে পারেন।
হোস্টিংয়ের ক্ষেত্রে অনেকগুলো বিষয় চিন্তা করতে হয়। সেখানে অ্যাকসেসে সব ধরনের কোড উন্মুক্ত করে রাখার দরকার আছে কিনা; তা খেয়াল রাখতে হবে। অনেক সময় এই জিনিসগুলো খেয়াল করে দেখা হয় না। এরপর ইউজার-এন্ডে যারা ব্যবহার করবেন, তাদেরও সচেতন থাকতে হবে। যেমন, অ্যাডমিন অ্যাকসেসে ব্যবহারকারীরা মাল্টি-ফ্যাক্টর অথেনটিকেশন ব্যবহার করছেন কিনা, তাও খেয়াল রাখতে হবে। পাসওয়ার্ড শেয়ার করছি কিনা, পাসওয়ার্ড শক্তিশালী কিনা—এ জিনিসগুলো মাথায় রাখতে হবে।
কেন সাইবার হামলা?
সরকারের ডিজিটাল নিরাপত্তা সংস্থার পরিচালক (অপারেশন) তারেক এম বরকতউল্লাহ বলেন, যেখানে হামলা করলে লাভ আছে, সেখানেই বেশিরভাগ সাইবার হামলা হয়। আগে যেমন সশরীরে মানুষ ব্যাংক ডাকাতি করতো। এ নিয়ে বহু চলচ্চিত্র নির্মিত হয়েছে। কিন্তু এখন সবকিছু ভার্চ্যুয়াল হয়ে গেছে। এখন আমেরিকায় বসে ঢাকার ব্যাংক থেকে অর্থ চুরি করা যায়। ভার্চ্যুয়াল চুরির কারণে ধরা পড়ার সম্ভাবনা কমে গেছে।
তিনি বলেন, এখন যেখানে হ্যাকড করলে টাকা-পয়সা পাওয়া যাবে, সেখানেই বেশি সাইবার হামলা হবে। র্যানসামওয়্যারের জন্য ওয়েবসাইট হ্যাকড করা হয়।
সাইবার নিরাপত্তা একটি অব্যাহত প্রক্রিয়া
সাইবার নিরাপত্তা কোনো একদিনের ব্যাপার না, বরং স্থায়ী প্রক্রিয়া উল্লেখ করে তারেক এম বরকতউল্লাহ বলেন, এ জন্য সবাইকে সবসময় সচেতন থাকতে হবে। দেখা যায়, অনেকে প্যানেল লগ-ইন রেখেই বের হয়ে যায়। তখন হ্যাকাররা সেই সুযোগটা নিচ্ছেন।
হ্যাকিংয়ের ঝুঁকি থেকে নিরাপদ থাকতে হলে যথাযথভাবে লগ-আউট করতে হবে। তিনি বলেন, প্যানেল যেন সবসময় লগ-ইন অবস্থায় না থাকে। যেমন, প্যানেলে নতুন কিছু আপলোড করে, লগ-আউট না করেই বের হয়ে যায় অনেকেই। তখনই চুরির শঙ্কাটা থেকে যায়। কারণ কোড থেকে খোলা থেকে যাচ্ছে। এ জন্য প্যানেল ব্যবহার শেষে সবকিছু লগ-আউট করে রাখতে হবে। না হলে হ্যাক্যারা ট্র্যাকিং করে ঢুকে যেতে পারবে।
ইন্টারনেটের অনিরাপত্তা সারা পৃথিবীতেই বলে জানান তিনি। এর আগে যুক্তরাজ্যের হাসপাতাল পর্যন্ত সাইবার হামলার শিকার হয়েছে। যে কারণে সেখানে অনেক মুমূর্ষু রোগী মারা যান। চিকিৎসা নিতে মানুষকে ভোগান্তিতে পড়তে হয়। গেলো জুলাইয়ে ব্রিটিশ সেনাবাহিনীর ইউটিউব ও টুইটার অ্যাকাউন্টও হ্যাকড হয়।
যেভাবে হ্যাংকিং হয়ে থাকে
হ্যাংকিংয়ের ঘটনা ব্যবহারকারীদের দুর্বলতা কিংবা হ্যাকারদের নিত্যনতুন কৌশল-এ দুই কারণেই ঘটতে পারে বলে মনে করেন
সময় টেলিভিশনের সম্প্রচার ও তথ্যপ্রযুক্তি প্রধান সালাউদ্দিন সেলিম। তিনি বলেন, আমাদের দেশের বেশিরভাগ হ্যাকিংয়ের শিকার ওয়েবসাইট, সামাজিকমাধ্যম অ্যাকাউন্ট কিংবা ই-কমার্স খাত। এ যাবতকাল দেশে এ ধরনের যতগুলো ঘটনা ঘটেছে, তার বেশিরভাগই হ্যাকাররা ব্যবহারকারীদের দুর্বলতাগুলোকে কাজে লাগিয়ে অ্যাটাক করেছে। আবার কখনও কখনও দেখা গেছে, ব্যবহারকারীরা শক্তিশালী হলেও নতুন কোনো কৌশল অবলম্বন করে তাদের অ্যাটাক করেছে।
কীভাবে একটি ওয়েবসাইট হ্যাকড হতে পারে-এমন প্রশ্নের জবাবে তিনি বলেন, পেশাদার হ্যাকাররা সাধারণত প্রথমে টার্গেট নেয় কাদের অ্যাটাক করবে। এরপর তারা টার্গেটেড ব্যবহারকারীদের সিকিউরিটি ব্যবস্থা সম্পর্কে গোপনে তথ্য নিতে থাকে এবং অ্যাটাক করার দুর্বল রাস্তাগুলো খুঁজতে থাকে। সিকিউরিটি ব্যবস্থার ওপর ভিত্তি করে হ্যাকাররা কৌশল নির্ধারণ করে এবং সময়মতো অ্যাটাক করে।
তিনি জানান, ওয়েবসাইট হ্যাকিংয়ের ক্ষেত্রে প্রধান অ্যাটাকগুলো হলো—ডি-ডস, ইনজেকশন ও সার্ভার-সাইড হ্যাকিং। ডি-ডস অ্যাটাকের ক্ষেত্রে, সাধারণত একটি ওয়েসাইটকে টার্গেট করে প্রতিমুহূর্তে একসাথে অসংখ্য হিট করা হয় সেই ডোমেন বরাবর। এত হিট সামলাতে না পেরে সাইটটি ডাউন হয় কিংবা সাধারণ ভিজিটর ঢুকতে পারে না।
‘ইনজেকশন অ্যাটাকের ক্ষেত্রে হ্যাকাররা মূলত কোডিং দুর্বলতাকে কাজে লাগিয়ে ওয়েবসাইটের অ্যাডমিন প্যানেলে অ্যাটাক করে। ওয়েবসাইটে ব্যবহৃত ডেটাবেস সিস্টেমের এ অ্যাটাককে বিভিন্ন নামে নামকরণ করা হয়ে থাকে। যেমন—নো-ইনজেকশন কিংবা ইনজেকশন অ্যাটাক। মূলত ওয়েবাইটে কনটেন্ট পাবলিশকারী ব্যবহারকারীর ইউজার পাসওয়ার্ড ভেঙে অ্যাডমিন প্যানেলে ঢুকে পড়েন হ্যাকাররা। এই অ্যাটাকের ক্ষেত্রে হ্যাকাররা শুধু কনটেন্ট পাবলিশ, কনটেন্ট এডিট কিংবা কনটেন্ট মুছে দেয়া ছাড়া কিছু করতে পারেন না। অর্থাৎ সার্ভারের কনফিগারেশন পরিবর্তন, কোডিং পরিবর্তন ইত্যাদি কাজগুলো করতে পারেন না।
এই তথ্যপ্রযুক্তি বিশেষজ্ঞ আরও বলেন, সার্ভার সাইট অ্যাটাকে হ্যাকার অনেক বেশি এক্সপার্ট হয়ে থাকে এবং এই অ্যাটাকে ক্ষতি অনেক বেশি। প্রথমত হ্যাকার টার্গেট নিয়ে রিসার্চ করে কাস্টমাইজ কৌশল অবলম্বন করেই এই অ্যাটাক করে। এই অ্যাটাকের মাধ্যমে হ্যাকার পুরো সার্ভারের নিয়ন্ত্রণ নিয়ে নেয় এবং তারপর তার কার্যক্রম শুরু করে। এই ধরনের অ্যাটাক করার পর হ্যাকার এটাকে তার প্রয়োজন অনুযায়ী ব্যবহার করে। যেমন—কখনও কখনও গোপন একটি স্ক্রিপ্ট সার্ভারে লিখে রাখে এবং নিয়মিত সেই সার্ভারের তথ্য পোপনে হ্যাকার নিতে থাকেন। আবার কখনও কখনও সরাসরি অ্যাটাক করে, সব ফাইল মুছে দেয় এবং ডেটাবেস ক্রাশ করে ফেলে।
সালাউদ্দিন সেলিম বলেন, হ্যাকিং প্রতিরোধে প্রতিষ্ঠানে নেটওয়ার্কে সংযুক্ত প্রতিটি কম্পিউটার কিংবা স্মার্ট ডিভাইসগুলোর ইউজার-রাইটস ম্যানেজমেন্টকে শক্তিশালি করতে হবে। যেমন—একজন সাধারণ ইউজার চাইলেই যেন কোনো টুলস কিংবা সফটওয়্যার ইনস্টল করতে না পারেন। নেটওয়ার্ক ব্যবস্থা শক্তিশালী করা ও সাইবার সিকিউরিটি এক্সপার্ট রাখার পাশাপাশি সবচেয়ে বড় দরকার ব্যবহারকারীদেরকেও সাইবারবান্ধব করে গড়ে তোলা। তাদের সাইবার অ্যাটাকের বেসিক ব্যাপারগুলো জানিয়ে দেয়া এবং অ্যাটাক কী কী কারণে হতে পারে সেই সম্পর্কে বাস্তবে প্রশিক্ষণ দেয়া।
তিনি জানান, ওয়েব হ্যাকিং প্রতিরোধে প্রথমত প্রয়োজন প্রথম সারির কোনো থার্ডপার্টি ক্লাউড সিকিউরিটি সিস্টেম সংযুক্ত করা। যার মধ্যে রয়েছে, ইনক্যাপসুলা, ক্লাউফ্লেয়ার। অনেকেই শুধু হোস্টিং সার্ভার ওপরেই নির্ভর করে থাকেন এবং তাদের ক্ষেত্রে এই ধরনের অ্যাটাকে বেশি পড়তে হয়।
সালাউদ্দিন সেলিম বলেন, একটি ভালো মানের শক্তিশালী সিএমএসও একটি ওয়েবসাইটকে অনেক বেশি নিরাপদ রাখতে পারে। সার্ভারসাইড ও ব্যবহারকারী উভয় দিকেই টু-স্টেপস, থ্রি-স্টেপস ভেরিফিকেশন সিস্টেম ব্যবহার করা জরুরি। সার্ভারে লগইন, কিংবা কনটেন্ট পাবলিশারদের লগইন এর ক্ষেত্রে আইপি এড্রেস হুয়াইট লিস্ট করে দেয়া অর্থাৎ নির্ধারিত আইপি এড্রেস ছাড়া যেন অন্যকোন আইপি এড্রেস সংযুক্ত ক্লাইন্ট ডিভাইসে প্রবেশ করতে না পারে।
ব্যবহারকারীদের বড় ভুল
সবকিছু ব্রাউজারে সেভ করে রাখাই ব্যবহারকারীদের সবচেয়ে বড় ভুল বলে মনে করেন সালাউদ্দিন সেলিম। তিনি বলেন, ব্যবহারকারীরা এমনটা এ জন্য করেন, যেন বারবার ইউজার পাসওয়ার্ড দিতে না হয়। কিন্তু যখন ফিশিং অ্যাটাক হয়, তখন হ্যাকার ব্রাউজারে সেভ থাকা এই তথ্যগুলোই নিয়ে নেয়। তাই কষ্ট হলেও ব্রাউজারে কোনো কিছু সেভ না রাখা এবং মাঝে মাঝেই ব্রাউজারের ক্যাশ ক্লিন করা দরকার।
তার মতে, কোনো অফার, সার্ভে লিঙ্ক কিংবা ই-মেইল আসলে হুটহাট ক্লিক না করে প্রথমে ভালোভাবে দেখে নেয়া উচিত লিংকের ডোমেইনের নাম কি কিংবা ই-মেইলে সেন্ডার কে? সন্দেহজনক হলে সেই লিংকে ক্লিক করা থেকে বিরত থাকতে হবে। সহজ কথা, একটি প্রতিষ্ঠানের ব্যবহারকারী ও নেটওয়ার্ক অ্যাডমিনিস্ট্রেটর উভয়ই যদি সতর্ক থাকে, তাহলে অনেকাংশেই সাইবার অ্যাটাক প্রতিরোধ করা সম্ভব হবে।সূত্রঃ সময়টিভি। সম্পাদনা ম\হ। বৈ ১০২৬\১১
