হুট করেই যে হ্যাকাররা সাইবার হামলা করে বসে তা কিন্তু নয়। এ জন্য তারা নানা রকম পরিকল্পনা করে অনেক সময় নিয়ে। আর তেমনটাই দেখা গেছে বাংলাদেশ ব্যাংকে চালানো উত্তর কোরিয়ার হ্যাকারদের আক্রমণে। হ্যাকাররা কিভাবে এই ধরনের আক্রমণ রচনা করে থাকে এবং সেসব থেকে সাবধান থাকার উপায় বাতলে দিচ্ছেন সাইবার সিকিউরিটি স্পেশালিস্ট তামজীর রহমান লিও
সাইবার হামলা শব্দটি আমাদের কাছে এখন বেশ পরিচিত। কিছু দিন আগে বাংলাদেশ ব্যাংকের কোটি কোটি টাকা হাতিয়ে নেওয়ার ঘটনাও আমরা জানি। এক বছর ধরে পরিকল্পনা করে বাংলাদেশ ব্যাংকে সাইবার হামলা চালানোর ঘটনা আমাদের বিস্মিত করে। একদল হ্যাকার আমাদের দেশের কেন্দ্রীয় ব্যাংকের সিস্টেমে নিয়ন্ত্রণ নেয় ব্যাংকের কর্মচারীদের কাছে চাকরির সিভি ই-মেইলে পাঠিয়ে। সেখান থেকে তারা নিয়ন্ত্রণ নেয় ব্যাংকের প্রিন্টারের, এমনকি ব্যাংকের সুইফট সিস্টেমেরও। শুধু বিপুল পরিমাণ টাকা হাতিয়ে নিয়েই নয়, সেই চুরি করা কালো টাকা সাদা করে পগারপার হয়ে যায়, যা সত্যিই অচিন্তনীয়। একই সঙ্গে তারা যেন ধরা না পড়ে এবং টাকা চুরির বিষয়টি কর্তৃপক্ষ যেন খুব দ্রুত জানতে না পারে এমন খুঁটিনাটি বিষয় নিয়ে সূক্ষ্ম পরিকল্পনা করে সেই সাইবার হামলাটি বাস্তবায়ন করে। যেকোনো কাজ সফলভাবে সম্পন্ন করতে যেমন পরিপূর্ণ পরিকল্পনা দরকার, তেমনি সাইবার হামলাকারীরাও বেশ কিছু কর্মপরিকল্পনা তৈরি করে তাদের প্রতিটি সাইবার হামলাকে সফলতা দেওয়ার জন্য। এ ক্ষেত্রে আমাদের মাথায় রাখতে হবে যে সাইবার অপরাধীরা শুধু যে টাকার জন্যই হামলা চালায় তা কিন্তু নয়। তথ্য চুরি, সোর্স কোড হাতিয়ে নেওয়া, কোনো অপারেশন বিঘিœত করে দেওয়া, কোনো অ্যাপ্লিকেশনের কার্যক্ষমতা নষ্ট করে দেওয়া এবং নিজের ক্ষমতা জাহির করার জন্যও অনেকে অনৈতিকভাবে হ্যাকিং কার্যক্রম সম্পন্ন করে থাকে। সুতরাং আর্থিক প্রতিষ্ঠানই যে শুধু হ্যাকিংয়ের শিকার হয় এমনটা নয়, যেকোনো ব্যক্তি বা প্রতিষ্ঠান এই আক্রমণের শিকার হতে পারে।
যেকোনো সাইবার হামলা সম্পাদন করার আগে বিভিন্ন ধাপে কাজ করতে হয় হ্যাকারদের, যেগুলোর কোনো একটি ধাপ কোনোভাবেই মিস করা যায় না।
গোপনীয়তা: যেকোনো সাইবার আক্রমণের আগে হ্যাকাররা সবার আগে তাদের শতভাগ গোপনীয়তা নিশ্চিত করে। প্রত্যেকেই ইন্টারনেটে অ্যানোনিমাস অর্থাৎ নাম-পরিচয়হীনভাবে বিচরণ করে। সাইবারজগতেও বাস্তবজীবনের মতো পায়ের ছাপ থেকে যায়। কোনো সাইবার হামলা সম্পন্ন করার পর পায়ের ছাপ থাকলেও সেই ছাপ অনুসরণ করে যেন তাদের বের করা সম্ভব না হয় এ জন্য তারা নিজেদের অবস্থান থেকে শুরু করে সব কিছুতেই ভুল তথ্য ব্যবহার করে সাইবার স্পেসে আসে।
পর্যবেক্ষণ: কোনো আক্রমণের পরিকল্পনার শুরুতে হ্যাকাররা প্রথমে তাদের লক্ষ্য নিয়ে ব্যাপকভাবে গবেষণা করে এবং দুর্বল জায়গাগুলো শনাক্ত করার চেষ্টা করে। এ ক্ষেত্রে প্রাথমিক লক্ষ্য প্রতিষ্ঠানের যেকোনো ব্যক্তিও হতে পারে। এ ক্ষেত্রে তারা সম্ভাব্য সব প্রবেশদ্বার শনাক্ত করার পর সবচেয়ে উপযুক্ত পথটি আক্রমণ করার মাধ্যম হিসেবে বেছে নেয়। পর্যবেক্ষণের এই ধাপে তারা বেশ কিছু তথ্য সংগ্রহ করার চেষ্টা করে, যেমনÍএই প্রতিষ্ঠানে গুরুত্বপূর্ণ ব্যক্তি কারা, কাদের সঙ্গে তাদের ব্যবসা এবং ব্যবসাই বা কী নিয়ে, তাদের সম্পর্কে কী ধরনের ডাটা ইন্টারনেটে পাওয়া যায়? এই পর্যবেক্ষণ ধাপে তথ্য সংগ্রহে তারা যত বেশি সময় দেবে তাদের সাইবার হামলায় সফল হওয়ার সম্ভাবনা তত বেশি হবে।
জাল বিছানো: এই ধাপে হ্যাকাররা তাদের পরবর্তী ধাপে যে তথ্যগুলো সংগ্রহ করেছিল সেগুলো ব্যবহার করে নেটওয়ার্কে প্রবেশের রাস্তা তৈরির চেষ্টা করে থাকে। বিভিন্ন সাইবার নিরাপত্তা সেবা প্রদানকারী প্রতিষ্ঠানের জরিপে দেখা গেছে, ৯০ শতাংশের ক্ষেত্রে ফিশিং ই-মেইল পদ্ধতি সবচেয়ে কার্যকর পন্থা হিসেবে হ্যাকাররা ব্যবহার করে আসছে। এই ফিশিং ই-মেইল হতে পারে ওই প্রতিষ্ঠানের কোনো সহকর্মীর ই-মেইল অ্যাড্রেস থেকে আসা কোনো ই-মেইল অথবা পরিচিত কোনো ক্লায়েন্টের ই-মেইল অ্যাড্রেস থেকে আসা কোনো ই-মেইল, অথবা হতে পারে সম্পূর্ণ অপরিচিত কোনো জায়গা থেকে আসা ই-মেইল। এ ক্ষেত্রে হ্যাকাররা ই-মেইল স্পুফিং পদ্ধতি ব্যবহার করে থাকে। ই-মেইলে থাকে খুব গুরুত্বপূর্ণ কোনো নির্দেশ, যা জানতে হলে ই-মেইলের সঙ্গে আসা অ্যাটাচমেন্ট খুলে দেখতে হবে অথবা থাকে পরিচিত কোনো ব্র্যান্ডের লটারিতে অংশগ্রহণের জন্য রেজিস্ট্রেশন ফরম অথবা থাকে কোনো হাউসিং প্রপার্টি প্রতিষ্ঠানের বিভিন্ন প্যাকেজের বিস্তারিত বর্ণনাসহ একটি পিডিএফ ফাইল। হ্যাকাররা এমনভাবে ই-মেইলটি পাঠায় যেন প্রাপক ই-মেইলটি খুলতে খুব বেশি আগ্রহ বোধ করে এবং সঙ্গে আসা অ্যাটাচমেন্ট ফাইলটিও তাঁর ওপেন করা জরুরি হয়ে পড়ে।
অপেক্ষা: জাল বিছানো হয়ে গেলে হ্যাকাররা অপেক্ষায় থাকে কখন তাদের শিকার জালে পা দেবে। আর জালে পা দেওয়ার বিষয়টি নিশ্চিত করতে তারা একাধিক ব্যক্তির সিস্টেমে জাল বিছিয়ে থাকে। সেই ই-মেইলের অ্যাটাচমেন্টে মূল ফাইলটির সঙ্গে ম্যালওয়্যার লুকিয়ে পাঠিয়ে দেওয়া হয়। কোনো ব্যক্তি যখন অ্যাটাচমেন্টের ফাইলটি ওপেন করে তখন তার কাছে স্বাভাবিকভাবে একটি পিডিএফ বা এক্সেল অথবা ওয়ার্ড ফাইল সামনে আসে। কিন্তু একই সঙ্গে ফাইলটিতে ডাবল ক্লিক করার ফলে সিস্টেমে প্রবেশ করে ফেলে হ্যাকারদের পাঠানো সেই ম্যালওয়্যার।
অভ্যন্তরীণ গবেষণা: যেইমাত্র কোনো ব্যক্তি হ্যাকারদের বিছানো জালে পা দেয় অর্থাৎ যখন কোনো ব্যক্তির সিস্টেমে ম্যালওয়্যার সফলভাবে প্রবেশ করতে পারে, তখন হ্যাকাররা তাদের নিজ অবস্থান থেকে ওই ব্যক্তির ডিভাইস নিয়ন্ত্রণ করার ক্ষমতা পেয়ে যায়। এই ধাপে হ্যাকারদের প্রধান কাজ হয় ওই প্রতিষ্ঠানের অভ্যন্তরীণ নেটওয়ার্ক সম্পর্কে গভীরভাবে জানা অর্থাৎ সেখানে কী ধরনের নিরাপত্তাব্যবস্থা রাখা আছে, কত ধাপের নিরাপত্তাবলয় অতিক্রম করতে হতে পারে, ওই নেটওয়ার্কের সঙ্গে আর কী কী সংযুক্ত আছে এবং সেগুলো কিভাবে নিজেদের নিয়ন্ত্রণে নেওয়া যায়।
দীর্ঘস্থায়ী অবস্থান নিশ্চিতকরণ: এই ধাপে এসে হ্যাকারদের ওই সিস্টেমে দীর্ঘস্থায়ী অবস্থান নিশ্চিত করতে কাজ করতে হয়। এ কাজ করতে তারা যাতায়াতের জন্য একটি গোপন দরজা তৈরি করে রাখে, ওই নেটওয়ার্কে প্রয়োজনে একটি অ্যাডমিন অ্যাকাউন্টও খোলে। সব ধরনের ফায়ারওয়াল ও নিরাপত্তাবলয়ের নিয়ম-কানুন ওই অ্যাডমিন অ্যাকাউন্টের জন্য শিথিল করে ফেলে যেন যেকোনো কার্যক্রম সম্পন্ন করতে কোনো ধরনের বাধার সম্মুখীন না হতে হয় এবং কোনো নিরাপত্তাবলয়ে যেন ধরা খেয়ে যাওয়ার সুযোগ না থাকে। আরো একটি গুরুত্বপূর্ণ কাজ করে থাকে, যা হলো তাদের বহির্গমন পথ প্রস্তুতকরণ। সব কাজ সম্পন্ন করে তারা যেন অবাধে চুপিসারে বেরিয়ে যেতে পারে, সেই রাস্তাও তারা এ ধাপেই তৈরি করে রাখে।
মূল পরিকল্পনা বাস্তবায়ন: হ্যাকাররা যখন তাদের টার্গেটের সিস্টেমে অবস্থান শক্ত করে ফেলে তখন তারা তাদের মূল পরিকল্পনা বাস্তবায়নে নেমে পড়ে। তাদের প্রধান উদ্দেশ্য যদি টাকা চুরি হয়ে থাকে সে ক্ষেত্রে তারা অর্থনৈতিক লেনদেন সফলভাবে করতে সক্ষম এমন ডিভাইসগুলো এবং অ্যাকাউন্টগুলো নিয়ে কাজ শুরু করে দেয়। এ ছাড়া তারা যদি শুধু তথ্য চুরি করতে আসে সে ক্ষেত্রে চুপিসারে নিজেদের মতো তথ্য চুরি করতে থাকে। প্রডাক্টের ডিজাইন অথবা কোনো ওষুধের ফর্মুলা অথবা কোনো অ্যাপ্লিকেশনের সোর্সকোড চুরি করতেও তারা এ ধরনের সাইবার হামলা চালিয়ে থাকে। এমনকি তারা কল-কারখানায় পরিচালন ব্যবস্থার নিয়ন্ত্রণ নিয়ে বিভিন্ন ভুল নির্দেশনা প্রদান করে, সিস্টেমের অ্যালার্ম বন্ধ করে দেয়, বিভিন্ন পণ্যের কাঁচামালের পরিমাণে গরমিল করে, এমনকি প্রয়োজনে যেকোনো মেশিনও বন্ধ করে দিতে পারে। তাদের পরিকল্পনা সফলভাবে বাস্তবায়িত হয়ে গেলে পূর্বনির্ধারিত বহির্গমনের রাস্তা দিয়ে লুকিয়ে বেরিয়ে যায় তারা।
এ ধরনের হামলা থেকে বাঁচতে করণীয়: পৃথিবীর কোনো সিস্টেমই শতভাগ নিরাপদ নয়। সুতরাং সাইবার হামলা থেকে সম্পূর্ণভাবে সুরক্ষা কেউ কখনো দিতে পারবে না। তবু হাত-পা গুটিয়ে বসে না থেকে নিরাপত্তাব্যবস্থা যতটুকু সম্ভব শক্ত করে রাখতে হয়। প্রতিষ্ঠানের কথা বলতে গেলে সার্ভার, এন্ডপয়েন্ট, নেটওয়ার্ক ও আইওটি ডিভাইসের জন্য বিভিন্ন ধরনের সাইবার নিরাপত্তা সল্যুশন সারা বিশ্বের বাজারে প্রচলিত আছে। প্রতিষ্ঠানগুলো এ ধরনের সব সলুশন কিনে সেটআপ করে রাখলেই যে সেই প্রতিষ্ঠান নিরাপদ মোটেও এমনটা নয়। এই ধরনের সলুশনের মধ্যে সঠিক টিউনিং ও সিনক্রোনাইজেশন থাকাটা সবচেয়ে জরুরি।
একই সঙ্গে সল্যুশনগুলো সঠিকভাবে পরিচালনা করার জন্যও প্রয়োজন দক্ষ আইটি বিশেষজ্ঞ। আর এগুলোর চেয়েও গুরুত্বপূর্ণ যেটি তা হলো প্রতিষ্ঠানের কর্মকর্তা-কর্মচারীদের সাইবার নিরাপত্তার জ্ঞান ও সচেতনতা। কারণ প্রতিষ্ঠানের সাইবার নিরাপত্তা জোরদার করেও লাভ হয় না, যদি না প্রাতিষ্ঠানিক কোনো ব্যক্তি কোনো ভুল করে ফেলেন। একইভাবে ব্যক্তি নিরাপত্তার জন্যও সর্বপ্রথম দরকার সাইবার নিরাপত্তার জ্ঞান ও সচেতনতা। এরপর অ্যান্টিভাইরাস, ইন্টারনেট সিকিউরিটি, ব্রাউজার সিকিউরিটি, মোবাইল সিকিউরিটি ইত্যাদি। আমাদের সব সময় মাথায় রাখতে হবে যে সাইবার আক্রমণকারীরা আমাদের চেয়েও সূক্ষ্ম বুদ্ধিসম্পন্ন। আমরা হয়তো সিস্টেমের যে অংশের নিরাপত্তার কথা সবার শেষে বিবেচনা করি বা সবচেয়ে কম গুরুত্বপূর্ণ মনে করি, হ্যাকাররা নিরাপত্তা দুর্বলতা খোঁজা শুরু করে সেই অংশ থেকেই। তাই আমাদের উচিত সারা বিশ্বে প্রতিনিয়ত ঘটে যাওয়া বিভিন্ন ধরনের সাইবার হামলার ঘটনা থেকে শিক্ষা নেওয়া এবং নিজেদের এই যুদ্ধে টিকে থাকার মতো উপযুক্ত করে গড়ে তোলা।