সাইবার সিকিউরিটির বিশ্লেষণ
৭ এপ্রিল ২০১৬
ঘোড়া বা হালের গাড়িতে করে পালাতে গেলে পিছনে পুলিশ লাগবেই, তাদের এড়ানো বেশ কঠিন৷ আর ব্যাংকের নানা শাখায় খুব বেশি অঙ্কের টাকাও নেই যে সেই টাকার জন্য এত বড় ঝুঁকি নেয়া চলে৷ কিন্তু সময়টা যে ডিজিটাল! আজ ইন্টারনেটভিত্তিক আমাদের সমাজব্যবস্থার সব কিছু! তাই এই একবিংশ শতকের দ্বিতীয় দশকে এসে অপরাধও হয়ে পড়েছে সাইবার অপরাধ৷
ডাকাতরা আজকাল আর পিস্তল দেখিয়ে দিনে-দুপুরে ডাকাতি করে না৷ এখন আবির্ভাব হয়েছে সাইবার ক্রিমিনালদের, যারা ইন্টারনেটে ভর করে দুনিয়ার অপর প্রান্ত থেকে ব্যাংকের টাকা-পয়সা অনায়াসে করতে পারে লোপাট৷ কোনো পুলিশের ধাওয়া বা গুলি খাবার ভয় নেই আর টাকার অঙ্কটাও অনেক৷ এ কারণে সাম্প্রতিক বিশ্বে যেসব বড় ব্যাংক ডাকাতি হয়েছে, তার সবটাই হয়েছে সাইবার ক্রাইমের মাধ্যমে৷ মাস দুয়েক আগে বাংলাদেশ ব্যাংকে যে বড় মাপের ডাকাতি হলো, তা এর একটা বড় উদাহরণ৷
বাংলাদেশ ব্যাংকের ১ বিলিয়ন ডলার চুরির চেষ্টা এবং প্রায় ১০০ মিলিয়ন ডলার আসলেই চুরি হয়ে যাওয়াকে আসলে ডাকাতির বদলে প্রতারণা বলাই শ্রেয়৷ কারণ এখানে ব্যাংকের ভিতরে কেউ ঢুকে পড়েনি, কাউকে ভয় দেখিয়ে টাকা আদায় করা হয়নি, বরং ব্যাংকের পরিচয়ে বার্তা পাঠিয়ে প্রতারণার মাধ্যমে টাকাটা হাতাবার চেষ্টা করেছে সাইবার ক্রিমিনালরা৷
কম্পিউটার নিরাপত্তা ও সাইবার ক্রাইম প্রতিরোধ নিয়ে গবেষণা ও শিক্ষকতার সুবাদে একটা কথা প্রায়ই উপলব্ধি করি যে, নিরাপত্তার সমস্যা আসলে কারিগরি সমস্যা নয় বরং সেটা মানবীয় সমস্যা৷ হাজার বছর আগেও নিরাপত্তার যে সমস্যা, প্রতারণার যে প্রক্রিয়া ছিল, এখনো তা আছে, কেবল পুরানো বোতল ফেলে তা পরিবেশিত হচ্ছে ডিজিটাল মোড়কে৷
কী ঘটেছে বাংলাদেশ ব্যাংকে?
বাংলাদেশ ব্যাংকের টাকা কীভাবে লোপাট হলো, তা বুঝতে হলে প্রথমে বুঝতে হবে আন্তর্জাতিক পর্যায়ে ব্যাংকরা টাকা কীভাবে আদান-প্রদান করে৷ ধরা যাক, বাংলাদেশ ব্যাংকের টাকা অ্যামেরিকার একটি ব্যাংকে গচ্ছিত আছে৷ বাংলাদেশ ব্যাংক যদি অন্য কোনো দেশে টাকা পাঠাতে চায়, তাহলে কিন্তু অ্যামেরিকা থেকে বস্তায় করে সেই টাকাটা অন্য দেশে যাবে না, বরং ইলেকট্রনিক ফান্ড ট্রান্সফার পদ্ধতিতে যাবে৷ আর টাকাটা পাঠাবার জন্য বাংলাদেশ ব্যাংককে একটি আদেশ-পত্র পাঠাতে হবে অ্যামেরিকার সেই ব্যাংকে৷ আদেশ-পত্রটি আসলেই বাংলাদেশ ব্যাংক পাঠিয়েছে কিনা, তা যাচাই করে তবেই অ্যামেরিকার ব্যাংকটি টাকাটা গন্তব্যে পৌঁছে দেবে৷
এখানে পুরা সিস্টেমটির ভিত্তি হলো বাংলাদেশ ব্যাংক আসলেই কোনো মেসেজ পাঠিয়েছে কিনা, তা যাচাই করার উপরে৷ সুরক্ষিতভাবে মেসেজ পাঠাবার জন্য আন্তর্জাতিকভাবে যে পদ্ধতি চালু আছে তার নাম হলো সুইফট (এসডাব্লিউআইএফটি)৷ এটি একটি আন্তর্জাতিক প্রতিষ্ঠান, যার সদরদপ্তর বেলজিয়ামে অবস্থিত৷ সুইফট-এর সিস্টেমের কাজ হলো ব্যাংকিং সংক্রান্ত মেসেজগুলাকে সুরক্ষিতভাবে আদান-প্রদান করা, যাতে করে কেউ নকল মেসেজ দিতে না পারে, এবং প্রাপক যাতে করে প্রতিটি বার্তা আসলেই প্রেরকের কাছ থেকে এসেছে কিনা, তা যাচাই করে নিতে পারে৷ সুইফট সিস্টেমের সুরক্ষা বেশ শক্তপোক্ত৷ যথাযথ অ্যাকাউন্ট নম্বর ও পাসওয়ার্ড জানলেই চলে না, বরং মেসেজ পাঠাবার মেশিনে থাকতে হয় বিশেষ একটি যন্ত্রাংশ বা ডঙ্গল৷ সুইফটের সর্বাধুনিক ডঙ্গলটি হলো ৩এসকি, যা ইউএসবি পোর্ট-এ লাগাতে হয়৷ মেসেজ পাঠাবার সময়ে লগিন পাসওয়ার্ড কেউ জানলেও ডঙ্গলটি যদি না থাকে, তাহলে কেউ ব্যাংক সেজে ব্যাংকের নামে নকল মেসেজ পাঠাতে পারে না৷
বাংলাদেশ ব্যাংকের সাথে নিউ ইয়র্ক ফেডারেল রিজার্ভ ব্যাংকের যে সিস্টেম ছিল তা অনেকটা এ রকম — বাংলাদেশ ব্যাংক দরকার মতো গচ্ছিত অর্থ স্থানান্তরের জন্য সুইফট সিস্টেম ব্যবহার করে মেসেজ পাঠাবে৷ সেই মেসেজ পাওয়ার পর সুনিশ্চিত করার জন্য নিউ ইয়র্ক ফেডের ফ্যাক্স বা ই-মেল কনফার্মেশন পাঠাবার কথা আছে কিনা তা জানি না৷ তবে মনে হচ্ছে মেসেজ পাওয়ার পরে কনফার্মেশন পাওয়াটা বাধ্যতামূলক ছিল না৷ মেসেজটা সুইফট সিস্টেমের মাধ্যমে ঠিক জায়গা (বাংলাদেশ ব্যাংক) থেকে এসেছে এটা নিশ্চিত করতে পারলেই নিউ ইয়র্ক ফেড টাকা পাঠিয়ে দিবে, বন্দোবস্তটা সম্ভবত এ রকমই ছিল৷
তাহলে এই সিস্টেমে সাইবার ক্রিমিনালরা হানা কীভাবে দিলো? খেয়াল রাখতে হবে, সুইফট সিস্টেমের এনক্রিপশন এবং ডিজিটাল সিগনেচার বেশ ভালো রকমের শক্তিশালী – সেটা ভাঙাটা বিশ্বের সেরা হ্যাকারের পক্ষেও প্রায় অসম্ভব৷ আর নিউ ইয়র্ক ফেডারেল রিজার্ভ ব্যাংকের নিজের নিরাপত্তাও কিংবদন্তীসম — সেখানে হ্যাক করা গেলে আসলে বাংলাদেশের অল্প টাকা না, অনেক বড় অঙ্কের টাকাই যেত৷
গন্তব্য স্থান যদি হ্যাক না হয়, এবং মেসেজ পাঠাবার মাধ্যম সুইফট সিস্টেম যদি ঠিক থাকে, নকল মেসেজ কেউ যদি বানাতে না পারে, তাহলে কীভাবে হলো? জবাব একটাই – টাকা পাঠাবার মেসেজগুলা গেছে বাংলাদেশ ব্যাংকের কম্পিউটার থেকেই৷ এবং সেটা করার জন্য অপরাধীদের সেই কম্পিউটারের পূর্ণ নিয়ন্ত্রণ হাতে নিতে হয়েছে৷ সেই কম্পিউটারের কিবোর্ড মনিটর করে পাসওয়ার্ড এবং ইউএসবি পোর্টে লাগানো থাকা ডঙ্গলটির দখল নিয়ে সেখান থেকেই মেসেজ পাঠানো হয়েছে৷
কিন্তু এ রকম গুরুত্বপূর্ণ একটি কম্পিউটারের দখল কীভাবে যাবে ইন্টারনেটের মাধ্যমে দুনিয়ার অপর প্রান্তে বসে থাকা অপরাধীদের কাছে? এর দুইটি সম্ভাবনা আছে৷ প্রথম সম্ভাবনা – এই কম্পিউটারটির নিরাপত্তা অত্যন্ত দুর্বল ছিল৷ বাইরের আক্রমণ ঠেকাবার জন্য অনেক ভালো শক্তপোক্ত ফায়ারওয়াল ইন্সটল করাটা খুব সহজ একটা ব্যাপার, আর যে কোনো নেটওয়ার্কে সবার আগে সেটাই করা হয়৷ কিন্তু বাংলাদেশ ব্যাংকের কম্পিউটার বিশেষজ্ঞদের সেই দিকে খেয়াল কতটা ছিল, তা বোঝা যায়৷ যদি না সেই কম্পিউটারের ফায়ারওয়াল না থাকে বা যাচ্ছেতাই রকমের না হয়ে থাকে, তাহলে বাইরে থেকে টার্গেট করে সুইফট সিস্টেমের টার্মিনালটি হ্যাক করা বেশ দুরূহ কাজ বটে৷
দ্বিতীয় সম্ভাবনাটির সাথে জড়িত আছে আসলে সোশ্যাল ইঞ্জিনিয়ারিং – মানে মানবীয় দুর্বলতা ভিত্ত্বিক আক্রমণ৷ যে কোনো সিস্টেমের সবচেয়ে দুর্বল অংশ হচ্ছে সেটার ইউজাররা৷ যন্ত্র ঘুস খায় না, যন্ত্র বোকা বনে না, যন্ত্রকে ভুলিয়ে ভালিয়ে কাজ সারা যায় না৷ কিন্তু মানুষকে যায়৷ এই সুইফট টার্মিনাল কম্পিউটারের ব্যবহারকারী কেউ নিজের অজান্তেই বা জেনেশুনে যেভাবেই হোক সেখানে ম্যালওয়ার ইন্সটল করে ফেলতে পারেন৷ হতে পারে, ই-মেলে পাঠানো কোনো লিংকে ক্লিক করে ম্যালওয়ার ইন্সটল করা হয়েছে অথবা কোনো ফ্ল্যাশ ড্রাইভের মাধ্যমে দেয়া হয়েছে৷ অথবা কেউ জেনেশুনে সেই মেশিনটিতে ম্যালওয়ারটি বসিয়েছে, যা সেই মেশিনের নিয়ন্ত্রণ নিয়ে ফেলেছে এর পরে৷
একবার নিয়ন্ত্রণ নেয়ার পরে সেই টার্মিনাল থেকে সুইফট অপারেটরের বেশ ধরে টাকা চুরির সেই সুইফট বার্তা পাঠানো একেবারেই ডাল-ভাত ধরনের কাজ৷ যেহেতু আসল পাসওয়ার্ড ও ডঙ্গল বিশিষ্ট আসল সুইফট টার্মিনাল থেকেই টাকা পাঠানো হয়েছে, নিউ ইয়র্ক ফেডের সন্দেহ করার একেবারেই কোনো কারণ ছিল না৷ কারণ বার্তাটা যেভাবে যার কাছ থেকে আসার কথা, তাই-ই তো এসেছে৷
হ্যাকাররা নিজেদের ট্রাক ঢাকতে আরো কিছু কাজ করেছে, মেশিনগুলাতে লগিন বন্ধ করে দিয়েছে, সাথে লাগানো প্রিন্টারগুলাকে করে দিয়েছে অচল এবং সব লগ মুছে ফেলেছে৷ ফলে কম্পিউটার হ্যাক হয়েছে বা টাকা চুরি গেছে, এটা বুঝতেই লেগেছে অনেক সময়৷ সেই ফাঁকে টাকা চলে গেছে ফিলিপাইন্স ও শ্রীলঙ্কায়৷ আমাদের ভাগ্য ভালো, বানান ভুলের জন্য ডয়চে ব্যাংকের সন্দেহ হয়েছিল, তাই পুরা ১ বিলিয়ন টাকাটা খোয়া যায়নি৷ সেটা না হলে কিন্তু সবটাই যেত৷
কিছু পর্যবেক্ষণ
১) বাংলাদেশ ব্যাংকের সাইবার সিকিউরিটি সংক্রান্ত সব কিছুর অবস্থা যাচ্ছেতাই রকমের বাজে৷ যে কোনো সিকিউরিটি সিস্টেমের একেবারে গোড়ার কাজ হলো থ্রেট মডেল করে সিস্টেমের দুর্বল জায়গা খুঁজে বের করা এবং সেখানকার সমস্যা দূর করা৷ আর কোনো সিস্টেম একবার চালু হলে সেটা দুর্ভেদ্য বলে বিশ্বাস না করে পেনিট্রেশন টেস্টিং অর্থাত সিস্টেমের শক্তি নিয়মিত আক্রমণের মহড়ার মাধ্যমে যাচাই করে দেখা৷ ব্যাংকের বিলিয়ন বিলিয়ন ডলার যেখান থেকে নিয়ন্ত্রিত হয়, সেই টার্মিনালগুলার নিরাপত্তা এবং অর্থ লেনদেনের এই সিস্টেমের দুর্বলতা বের করতে ন্যূনতম প্রশিক্ষণপ্রাপ্ত কোনো সিকিউরিটি এনালিস্ট পারবে না, এটা বিশ্বাস করা খুব কঠিন৷ সন্দেহ হয়, আদৌ কি বাংলাদেশ ব্যাংকের কর্তাব্যক্তিরা সাইবার সিকিউরিটির কিছু বোঝেন বা খেয়াল রাখেন কিনা৷
২) টাকা চুরি যাবার ঘটনা বুঝে ফেলার পরে যে কাজটা হলো, সেটাকেও রীতিমত তুঘলকি কাজ বলতে হবে৷ সাইবার ক্রাইম ইনভেস্টিগেশনের কোর্স আমি ও আমার সহকর্মীরা বিশ্ববিদ্যালয়ে পড়িয়ে থাকি৷ সাইবার ক্রাইম তদন্তের জন্য দরকার সুদক্ষ ফরেন্সিক এক্সামিনার৷ ডিজিটাল ফরেন্সিক্সে দক্ষতা যাদের আছে, তারাই এই কম্পিউটার সহ নানা সিস্টেমের খুঁটিনাটি ঘেঁটে আসল ঘটনা বের করতে পারবেন৷ বাংলাদেশ ব্যাংক অথবা বাংলাদেশের আইন প্রয়োগকারী সংস্থাগুলাতে দক্ষ ফরেন্সিক্স এনালিস্ট আদৌ আছে কিনা তা মনে হচ্ছে না, কারণ আসল ঘটনা বের করতে দ্বারস্ত হতে হয়েছে অ্যামেরিকার একটি প্রতিষ্ঠানের৷ দেশে ডিজিটাল ফরেন্সিক্স-এর উপরে শিক্ষা ও প্রশিক্ষণ দেয়ার কথা প্রায় বছর তিনেক ধরে যাকে পেয়েছে, তাকেই বলেছি, কিন্তু কান যে কেউ দেয়নি, এবারে তা বোঝা গেলো হাড়ে হাড়ে৷
৩) সবশেষে পুরানো সেই প্রশ্ন – কীভাবে হ্যাকারেরা ঢুকে পড়লো এই কম্পিউটারে? আমার আন্দাজ (এবং এটাকে আন্দাজই বলবো, যেহেতু আসল ঘটনার অনেক তথ্যই পাবলিক না), ইন্টারনেটের মাধ্যমে এসে ব্যাংকের সিস্টেমে বাইরে থেকে ঢুকে মেশিন হ্যাক করার কাজটা অনেক অনেক কঠিন, যদি না কেউ ভিতর থেকে দরজাটা খুলে দেয়৷ অর্থাৎ ভিতরের কেউ হয় ইচ্ছাকৃতভাবে অথবা বোকামির জন্য নিজের অজান্তেই সেই টার্মিনালগুলার নিরাপত্তা ভেঙে ম্যালওয়ার ইন্সটল করতে সাহায্য করেছে৷ পত্র-পত্রিকার খবর অনুসারে এই মেশিনগুলাতে বায়োমেট্রিক অথেন্টিকেশনেরও ব্যবস্থা ছিল, সেটা কতটা কীভাবে ছিল তা জানি না, কিন্তু দুনিয়ার অধিকাংশ বড় সাইবার অপরাধের কিংবা তথ্য লিক হওয়ার সাথে ভিতরের কারো যোগসাজস ছিল, সেটা উইকিলিক্স হোক অথবা হালের পানামা পেপার্সই হোক না কেন৷ সুনির্দিষ্টভাবে কে দায়ী তা বলা কঠিন৷ আমি আশা করবো আমার আন্দাজটি ভুল, দেশের এত টাকা চুরির সাথে দেশের কেউ জড়িত না৷ তবে যৌক্তিক হিসাবে ব্যাংকের সিস্টেম কীভাবে কাজ করে তা জানে ভালোভাবে এবং ব্যাংকের সিস্টেমে এক্সেস আছে, এমন কারো পক্ষে খুব সহজেই অপরাধীদের সাহায্য করা সম্ভব৷ আর এক্ষেত্রে তাই সম্ভবত হয়েছে৷
শেষ কথা
দেশের আর সব গুজব ও হুজুগের মতো বাংলাদেশ ব্যাংকের টাকা চুরির ঘটনাটাও ধামাচাপা পড়ে গেছে৷ ক্রিকেট অথবা দেশের নানা ঘটনা দুর্ঘটনার মাঝে এই টাকা চুরির ঘটনা অল্প কয়দিন পরেই জনতার মন থেকে মুছে যাবে৷ কিন্তু এই অভাবনীয় দুর্ঘটনাটির একটি ভালো দিক আছে বৈকি৷ সাইবার ক্রাইম মানে ওয়েবসাইট দখল করে সেখানে হাবিজাবি লিখে ডিফেইস করা না, বরং আসল সাইবার ক্রাইম মানে গুরুত্বপূর্ণ সিস্টেমের নিয়ন্ত্রণ নিয়ে কোটি কোটি টাকা চুরির মতো ঘটনা, সেটা আশা করি কর্তাব্যক্তিদের মাথায় ঢুকবে৷ তার সাথে সাথে কেবল ডিজিটাল সিস্টেম সর্বত্র বসালেই চলে না, বরং তার নিরাপত্তার কথা আগে থেকে ভাবতে হয়, সিস্টেম এনালাইসিস করে নিরাপত্তার সমস্যা আগাম বুঝে নিতে হয়, এবং দুর্ঘটনা ঘটলে ডিজিটাল ফরেন্সিক এনালাইসিস করে তার তদন্ত করতে হয়, এই ব্যাপারটা আশা করি দেশের নেতৃস্থানীয় ব্যক্তিরা বুঝবেন এবং যথাযথ ব্যবস্থা নেবেন৷ আমাদের দেশটা যুগের সাথে তাল মিলিয়ে ডিজিটাল বাংলাদেশ হবে, হতেই হবে, কিন্তু তার নিরাপত্তার জন্য খুব জরুরিভাবে দরকার এখন কম্পিউটার সিকিউরিটির উপরে বিশ্ববিদ্যালয় পর্যায়ে শিক্ষা এবং পেশাজীবীদের প্রশিক্ষিত করা এবং আইন প্রয়োগকারী সংস্থার সদস্যদের সাইবার ক্রাইম ও ডিজিটাল ফরেন্সিক্সের উপরে দক্ষতা অর্জন৷
নিরাপত্তা কিন্তু কারিগরি সমস্যা না, মানবীয় সমস্যা৷ এই সমস্যা থাকবেই৷ সেজন্য হতে হবে সতর্ক, নিতে হবে সময়োপযোগী পদক্ষেপ৷
বন্ধু, আপনি কি রাগিব হাসানের সঙ্গে একমত? জানান নীচে, মন্তব্যের ঘরে৷