সাইবার সিকিউরিটি: আবেগ নয়, দায়িত্ববোধ জরুরি
মঞ্জুর শরীফ (গৌরব): সাইবার সিকিউরিটি এবং ইথিক্যাল হ্যাকিং বর্তমানে একটি গুরুত্বপূর্ণ ক্যারিয়ার। দিন দিন তথ্য প্রযুক্তির ব্যবহার যেভাবে বাড়ছে, এসবের নিরাপত্তার প্রয়োজনীয়তাও সম্প্রসারিত হচ্ছে। বাংলাদেশের তরুণদের মধ্যেও এই সেক্টরে উদ্দীপনা বেশ চোখে পরার মতো। সাম্প্রতিক কয়েক বছর থেকে আমাদের কিছু অতি উৎসাহী তরুণদের জন্য গুরুত্বপূর্ণ এই সেক্টরে আগ্রহীদের সম্ভাবনার জায়গা বাধাগ্রস্ত হচ্ছে।
বিভিন্ন বহিরাগত ইস্যু এবং অতিরিক্ত আবেগপ্রবণ হয়ে বাইরের দেশের সরকারি ওয়েবসাইট এবং প্রতিষ্ঠানের ওয়েবসাইটে ডিফেস বা DDoS আক্রমন করা হচ্ছে এবং সেটি গর্বের সঙ্গে সামাজিক যোগাযোগ মাধ্যমে প্রচার করা হচ্ছে। যে কোনও ওয়েবসাইট অথবা ডিজিটাল অ্যাসেটে কোনও বৈধ অনুমতি ছাড়া এ ধরনের আক্রমন পরিচালনা করা আইনত অপরাধ এবং আন্তর্জাতিকভাবেই এটিকে বেশ গুরুত্বের সঙ্গে দেখা হয়।
এই আক্রমনগুলো যে বাংলাদেশ থেকে পরিচালনা করা হচ্ছে সেটি সাইটের সার্ভার লগ বিশ্লেষণ এবং বিভিন্ন বিশেষায়িত টুল বিশ্লেষণে স্পষ্টভাবে বুঝতে পারে লক্ষ্যবস্তু ওয়েবসাইটের নিরাপত্তা দল। একটি আইপি ঠিকানা আসলে কোন দেশ থেকে এসেছে সেটি নির্ধারণ করা হয় GeoIP Databases দিয়ে, অর্থাৎ প্রতিটি আক্রমনের তথ্যই টার্গেট ইন্ড থেকে দেখা যায়। অনেক ওয়েবসাইট বা সিকিউরিটি সার্ভিস প্রোভাইডার (Cloudflare, Akamai, Fortinet ইত্যাদি) রিয়েল-টাইমে থ্রেট ইন্টেলিজেন্স ফিডস ব্যবহার করে, যেখানে ম্যালিসিয়াস আইপি অ্যাড্রেস, অটোনোমাস সিস্টেম নাম্বার (এএসএন) রেঞ্জ ইত্যাদি আগেই চিহ্নিত করা থাকে।
যদি বাংলাদেশের কোনও আইপি আগে থেকেই সন্দেহজনক কার্যকলাপের জন্য ফ্ল্যাগ করা থাকে, তাহলে তারা অটোমেটিক্যালি ট্রিগার পায়। এরপর তারা চিহ্নিত করে উক্ত আইপিগুলোকে ব্লক করে দেয়। এদিকে আইপি ব্লক হয়ে সাইটে ঢুকতে না পেরে আমাদের দেশের নিজেকে বাঘ মনে করা হ্যাকাররা ভাবে তারা সাইট ডাউন করে দিতে পেরেছে! (অনেকটা ফেসবুকে ব্লক খেয়ে আইডিতে ঢুকতে না পারার মতো ব্যাপার আর কি)
যাইহোক, এরকম ইনসিডেন্টে ওয়েবসাইট কর্তৃপক্ষ IP Log + GeoIP Database + Threat Feed + Behavior Analysis + IDS (Intrusion Detection System) মিলিয়ে নিশ্চিত হয় যে আক্রমন বাংলাদেশ থেকেই করা হয়েছে।
এর ফলে যে প্রভাব তৈরি হয়, সেটি ভয়াবহ। আমাদের দেশের উল্লেখযোগ্য সংখ্যক ইথিক্যাল হ্যাকার এবং সিকিউরিটি রিসার্চার বিশ্বের বড় বড় ইথিক্যাল হ্যাকিং প্ল্যাটফর্মে বাগ বাউন্টি হান্টিং করে অর্থ উপার্জন করে যা দেশের রেমিট্যান্স প্রভাবে গুরুত্বপূর্ণ ভূমিকা রাখে। বাংলাদেশ থেকে যখন এ ধরনের অপরাধমূলক কার্যকলাপ বৃদ্ধি হয়, তখন তারা আমাদের দেশ থেকে বিভিন্ন প্রোগ্রাম এবং প্ল্যাটফর্মে এক্সেস বন্ধ করে দেয়। যার ফলে স্কিল থাকার পরেও সেটি এনরোলমেন্ট থেকে বঞ্চিত হয় অনেকেই।
ইতিমধ্যে যারা বাগ বাউন্টি ক্যারিয়ারে বেশ ভালো অবস্থানে আছে, তারাও ক্ষতিগ্রস্ত হচ্ছে। আমি বিশ্বাস করি, যারা এসবে বুঝে বা না বুঝে জড়াচ্ছে তাদেরও ইচ্ছা তারা বড় জায়গায় যাবে। কিন্তু তাদের ভুল অ্যাপ্রোচ এবং সঠিক জ্ঞান না থাকায় এসব অপরাধমূলক কার্যকলাপে জড়িয়ে যাচ্ছে যা তাদের নিজেদের এবং অন্যের জন্য ক্ষতিকর। এখন প্রায় সব সিকিউরিটি টেস্টিং প্লাটফর্ম-ই (Synack, HackerOne, Bugcrowd) রিসার্চারদের ব্যাকগ্রাউন্ড চেক করে অন-বোর্ড করে। এসব এলিট প্ল্যাটফর্মে যুক্ত হওয়ার সময় যখন ব্যাকগ্রাউন্ড চেক করা হবে তখন কিন্তু এই ঘটনাগুলো সামনে চলে আসবে, তখন সামর্থ্য এবং সুযোগ থাকার পরেও আর সেটিকে কাজে লাগানো যাবেনা।
আমাদের দেশের সাইবার সিকিউরিটি এন্থুসিয়াস্টদের নিয়ে এই বাজে ঘটনার সূচনা করেছিল দেশের লোকমুখে জনপ্রিয় একটি কমিউনিটি ফ্রান্সে DDoS আক্রমন করার মাধ্যমে, সে সময় আমাদের বেশ বিড়ম্বনায় পরতে হয়, Cloudflare, WAF আমাদের দেশের আইপি রেঞ্জকে উচ্চ ঝুঁকি ক্যাটাগরিতে ফেলে দেয়, সেটি নিয়ে Prial Islam বিস্তারিত লিখলেও শেষ পর্যন্ত তেমন লাভ হয়নি।
দরজায় কড়া নাড়ছে ভারত-পাকিস্তান অভ্যন্তরীণ সংঘাত, তাই কেউ অতি আবেগপ্রবণ হয়ে কোনও দেশের সাইটেই যেন ডিফেস করতে না যায়, এটি অনেকটা মৌচাকে ঢিল মারার মতো, তাদের একটি ওয়েবসাইট ক্ষতিগ্রস্ত হলে তারা আমাদের অনেক ওয়েবসাইট ক্ষতিগ্রস্ত করবে এবং সেটির সামর্থ্য আমাদের থেকে তাদের অনেক বেশি আছে।
যদি কারও সাইবার সিকিউরিটি নিয়ে আসলেই ভালো কিছু করার আগ্রহ থাকে, তাহলে সেটিকে যত্ন সহকারে অন্বেষণ করুন। যদি কেউ সত্যিই দেশের জন্য কিছু করতে চান, তাহলে- Responsible Disclosure, Bug Bounty Program, CTF এগুলোতে সময় দিন। মেধা এবং সঠিকভাবে দক্ষতা ব্যবহার করে দেশ সেবা এবং নিজের ক্যারিয়ারকে আপগ্রেড করা যায়।
লেখক: মঞ্জুর শরীফ (গৌরব), প্রতিষ্ঠাতা ও পরিচালনা প্রধান- জিরোরিস্ক সাইবার সিকিউরিটি এবং সিকিউরিটি রিসার্চার – মেটা ও স্পটিফাই।
