জিরো-ডে ভালনেরাবিলিটি কি? — দুর্বলতা এবং হ্যাকিং!

আপনি যদি একজন টেক গুরু ব্যাক্তি হোন তাহলে তো কথায় নেই, তবে টেকনোলজিতে একদম নতুন হলেও আপনি নিশ্চয় জানেন যে, কোন ওয়েবসাইট বা যেকোনো সফটওয়্যার মূলত অবশ্যই কোন কোড দিয়ে তৈরি করা হয়। সৌভাগ্যবশত কোন সফটওয়্যার চালাতে বা ইন্সটল করতে আপনার কোন কোডিং সম্পর্কে জ্ঞান থাকার প্রয়োজন পড়ে না। সফটওয়্যার নির্মাতা কোম্পানিরা এর সকল দায়িত্ব বহন করে এবং আপনার জন্য একটি রেডিমেড সফটওয়্যার প্যাকেজ রিলিজ করে। এখন এমনটা কোথাও লেখা নেই যে কোম্পানির তৈরি করা সফটওয়্যারে কোন ত্রুটি থাকতে পারে না; কোন সফটওয়্যারের ত্রুটি খুঁজে পাওয়া গেলে সেই সফটওয়্যার কোম্পানি আবার একটি নতুন ভার্সন সফটওয়্যার রিলিজ করে এবং সেই অসুবিধাকে ফিক্স করার চেষ্টা করে। কিন্তু কখনো কখনো কোন সফটওয়্যার বা ওয়েবসাইটের কোডে এমন কিছু ত্রুটি থাকে যা সফটওয়্যার কোম্পানি বা ঐ ওয়েবসাইটের মালিক সহ ইউজারও এটি জানেন না; আর এখানেই চলে আসে জিরো-ডে ভালনেরাবিলিটি (Zero-Day Vulnerability) নামক একটি টার্মের কথা। চলুন আজ এই আর্টিকেলে সফটওয়্যার এবং ওয়েবসাইটের ত্রুটি এবং হ্যাকিং সম্পর্কে কিছু তথ্য জেনে নেওয়া যাক…

জিরো-ডে ভালনেরাবিলিটি

“ভালনেরাবিলিটি” শব্দের অর্থে নিশ্চয় আগে থেকেই বোঝা যায়, এখানে দুর্বলতা বা ত্রুটি সম্পর্কে কথা বলা হচ্ছে। কোন সিস্টেম, সফটওয়্যার, বা ওয়েবসাইটে ত্রুটি থাকা স্বাভাবিক ব্যাপার। সফটওয়্যার ডেভেলপারগন সেই ত্রুটি গুলোকে খুঁজে বেড় করেন এবং ঠিক করার জন্য আপডেট প্রদান করেন। অনেক সময় আপনার আর আমার মতো কিছু ইউজারাও ত্রুটি খুঁজে বেড় করে এবং সেটি ফিক্স করার জন্য সফটওয়্যার কোম্পানিকে জানাতে পারেন। তো এতো গেলো সবুজ দুনিয়ার কথা, যেখানে আমরা সবাই ভাবি, “যা হবে ভালোই হবে”। আরেকটি অন্ধকার দুনিয়া রয়েছে যেখানে খারাপ মানুষেরা বাস করে, যেমন ব্ল্যাক হ্যাট হ্যাকার; এরা কোন সিস্টেমে বা সফটওয়্যারে বা ওয়েবসাইটে এমন কিছু সুড়ঙ্গ বা দুর্বল পয়েন্ট খোঁজার চেষ্টা করে যেটা হয়তো ঐ সফটওয়্যারটিতে রয়েছে কিন্তু সফটওয়্যার মেকার সেটা জানেনই না। এই ধরনের সিস্টেম বা কোডিং দুর্বলতাকে মূলত “জিরো-ডে ভালনেরাবিলিটি” বলা হয়।

আপনি এখন বলবেন, “ভাই ‘ভালনেরাবিলিটি’ শব্দের অর্থ তো বুঝলাম, কিন্তু এখানে ‘জিরো-ডে’ মানেটা কি?”। দেখুন আপনি যদি কোন সফটওয়্যার বা সিস্টেমের এমন কোন ত্রুটি খুঁজে বেড় করে ফেলেন যেটা কেউ জানেনই না এরকম ত্রুটি বিদ্যমান রয়েছে বা ঠিক কোথাই রয়েছে, তারপরে আপনি ত্রুটি খুঁজে সফটওয়্যারটির উপর বা সিস্টেমের উপর হামলা করে দিলেন, সেক্ষেত্রে আপনার হামলা ঠেকানোর জন্য এবং সেই মুহূর্তে নিরাপত্তা ব্যবস্থা দেওয়ার জন্য ১দিনেরও সময় থাকে না, তাই একে মূলত “জিরো-ডে ভালনেরাবিলিটি” বলা হয়।

আরো সহজ করে বোঝার জন্য কোন রাজার বিশাল রাজ প্রাসাদের কথা কল্পনা করুন, যেখানে হাজারো সৈন্য নিরাপত্তার কাজে তৎপর রয়েছেন। গোটা রাজ প্রসাদকে ধরুন এমন এক সুরক্ষা ব্যবস্থার আওতায় আনা হয়েছে যেখানে বাহির থেকে হামলা করা অসম্ভব। এখন কেউ যদি এমন কোন প্রাসাদে হামলা দেওয়ার চেষ্টা করে তবে নিশ্চয় তো সে আর প্রধান দরজা দিয়ে প্রবেশ করে হামলা বলবে না—বরং সে এমন কোন দুর্বল দেওয়াল খোঁজার চেষ্টা করবে যেখানে কোন সৈন্য পাহারায় থাকে না, এবং দেওয়ালটি যে দুর্বল সেটি প্রাসাদের কারো ধারণাতেই নেই। যদি রাজা এই দুর্বলতা সম্পর্কে জানতেন তবে নিশ্চয় সেটা ফিক্স করার জন্য ব্যবস্থা গ্রহন করতেন, কিন্তু যেহেতু এই ব্যাপারে কারোই ধারণা নেই, তাই আচানক হামলা হলে কারোই কিছু করার থাকবে না। এই উদাহরণে জিরো-ডে ভালনেরাবিলিটি হলো সেই দুর্বল প্রাসাদের দেওয়াল; আশা করছি ব্যাপারটি আপনার কাছে এখন পানির মতো পরিষ্কার।

দুর্বলতা থেকে হ্যাকিং

দেখুন সফটওয়্যার নির্মাতা কোম্পানিরা সর্বদায় চেষ্টা করে তাদের সফটওয়্যারকে যতোটা সম্ভব নিরাপদে রাখতে। কিন্তু এই ডিজিটাল ওয়ার্ল্ডে কোন কিছুই হ্যাক প্রুফ নয়। আবার এটাও নয় যে শুধু কোন সফটওয়্যারেই ত্রুটি থাকতে পারে, হতে পারে কোন সফটওয়্যারে নিজে থেকে কোন ত্রুটি নেই, কিন্তু তৃতীয়পক্ষ কোন প্ল্যাগইন ইউজ করাতে সেই সফটওয়্যারে ত্রুটি চলে আসতে পারে। যেমন ধরুন ওয়ার্ডপ্রেসের কথা; সহজে এবং কোন প্রকারের কোডিং জ্ঞান ছাড়া ওয়েবসাইট বানানোর জন্য ওয়ার্ডপ্রেস অনেক ভালো এবং সহজ একটি উপায়। কিন্তু শুধু ওয়ার্ডপ্রেস একা আপনার জন্য পারফেক্ট ওয়েবসাইট বানাতে পারে না। সাথে আরো সফটওয়্যার মিলে মিশে (প্ল্যাগইনস) একত্রে আপনার পছন্দের ওয়েবসাইটটি তৈরি করে। এখন ওয়ার্ডপ্রেসের নিজের নিরাপত্তা অনেক জটিল, তবে হতে পারে এতে ব্যবহার করা অন্যকোন প্ল্যাগইনসে ত্রুটি রয়েছে এবং তার জন্য আপনার সম্পূর্ণ সাইট ভালনেরাবিলিটির আওতায় চলে আসতে পারে।

এখন হ্যাকাররা ঠিক এই দুর্বল পয়েন্ট গুলোকেই খোঁজার চেষ্টা করে। ব্ল্যাক হ্যাট হ্যাকাররা এসকল দুর্বলতা খুঁজে পাওয়ার পরে যতোসব অকাম কুকাম করতে আরম্ভ করে দেয়। তারা হয়তো সফটওয়্যারটির উপর হামলা চালিয়ে ইউজার তথ্য চুরি করে নেয় অথবা আপনার পিসির উপর কন্ট্রোল নিয়ে নেয়। আবার কোন ওয়েবসাইট হ্যাক করা পরে ওয়েবসাইট মালিককে সাইট ফিরিয়ে দেওয়ার জন্য টাকার চাহিদা করে। আবার ওয়েবসাইটে কোন ম্যালিসিয়াস কোড বসিয়ে ইউজারদের ক্ষতি সাধিত করে। (হ্যাকার কীভাবে আপনার পিসি হ্যাক করতে পারে? —বিস্তারিত পড়তে পারেন)

আপনি জেনে হয়তো হয়রান হয়ে যাবেন, ব্ল্যাক হ্যাট হ্যাকার কোন জিরো-ডে ভালনেরাবিলিটি খুঁজে পাওয়ার পরে সেটি বিক্রিও করে দেয়! কোথায় বিক্রি করে? —ডার্ক ওয়েবের নাম তো নিশ্চয় শুনেছেনই (যদি না জানেন, ডার্ক ওয়েব কি? — আর্টিকেলটি পড়তে পারেন), সেখানে একজন ব্ল্যাক হ্যাট হ্যাকার মূলত আরেকজন ব্ল্যাক হ্যাট হ্যাকারের কাছে এই সফটওয়্যার দুর্বলতা গুলো বিক্রি করে থাকে। কোন হ্যাকার সেই তথ্য কেনার পরে, নিজে সরাসরি অ্যাটাক করে কিংবা সফটওয়্যার বা ওয়েবসাইট মালিককে ব্ল্যাক মেইল করার চেষ্টা করে। আরেকটি হয়রানীর কথা হচ্ছে, আপনার হাজার টাকা দিয়ে কেনা দামী এন্টিভাইরাস প্রোগ্রামটিও এই ধরনের অ্যাটাক থেকে আপনার সিস্টেমকে বাঁচাতে পারেনা। কেনোনা কারো কাছে কোন আইডিয়াই নেই, কি হতে চলেছে বা কীভাবে হচ্ছে। ব্ল্যাক হ্যাটের পাশাপাশি হোয়াইট হ্যাট হ্যাকাররাও (গুড হ্যাকার) এরকম দুর্বলতা খোঁজার চেষ্টা করে এবং খুঁজে পেতে সক্ষম হলে তারা ঐ সফটওয়্যার কোম্পানিকে বা ঐ ওয়েবসাইট মালিককে সতর্ক করে দেয়। পরে সফটওয়্যার ডেভেলপাররা প্যাচ প্রদান করে সেই দুর্বলতা ফিক্স করে।

শুধু হ্যাকাররায় যে এই ব্যাপারের সাথে প্রত্যক্ষ বা পরোক্ষভাবে জড়িয়ে রয়েছে, সেটা কিন্তু নয়। এধরনের ভালনেরাবিলিটি হ্যাকারদের কাছ থেকে কোন দেশের সরকারও কিনে নেয়। আপনার দেশের সরকার আপনার জন্য ভালো, কিন্তু এক দেশের সরকার আরেক দেশের উপর গয়েন্দা লাগিয়ে দেয় এবং অন্য দেশের গোপন তথ্য গুলো হাতিয়ে নেওয়ার চেষ্টা করে। এই অবস্থায় কোন হ্যাকার যদি কোন দেশের এমন কোন কম্পিউটিং সিস্টেমের জিরো-ডে ভালনেরাবিলিটি খুঁজে বেড় করে ফেলে, যার ফলে ঐ দেশের অনেক গুরুত্বপূর্ণ ডাটা হাতানো যেতে পারে, আরেক দেশের সরকার সেটা হ্যাকারের কাছ থেকে কিনে নিতে পারে। আর যেহেতু লেনদেনটা কোন দেশের সরকারের সাথে হচ্ছে, তাই টাকার অংকটা বিশাল আকারের হতে পারে।

কীভাবে বাঁচবো?

জিরো-ডে অ্যাটাক থেকে বাঁচবার জন্য আপনার নিজের কোন কম্পিউটার বা কোডিং গুরু হওয়ার প্রয়োজনীয়তা নেই। জাস্ট নিচের স্টেপ গুলো অনুসরণ করুন, এতে আপনি অনেক অংশেই নিরাপদ থাকতে পারবেন। এখন যদি বড় কোন সফটওয়্যার কোম্পানি এধরনের অ্যাঁটাকের শিকার হয় সেটা ভিন্ন কথা। কিন্তু নিজের দোষে যেন আপনার কম্পিউটার হ্যাক না হয় সেটা আপনাকেই খেয়াল রাখতে হবে। কেনোনা ইন্টারনেটের ভয়ঙ্কর ব্যাপার গুলো জানার সাথে সাথে নিজেকে সেগুলো থেকে বাঁচার পদ্ধতি গুছিয়ে রাখায় হলো বুদ্ধি মানের কাজ।

#ভালো এন্টিভাইরাস

একদম নতুন জিরো-ডে অ্যাটাক যদিও বেশিরভাগ অংশেই এন্টিভাইরাস প্রোগ্রাম গুলো ধরতে পারে না, তারপরেও এন্টিভাইরাস না ব্যবহার করার কোন যুক্তি নেই। যতোদূর সম্ভব পারেন একটি ভালো এন্টিভাইরাস প্রোগ্রাম কিনে ব্যবহার করুন, ফ্রী বা ক্র্যাক ভার্সনের এন্টিভাইরাস কখনোয় ব্যবহার করবেন না। আর পেইড এন্টিভাইরাস প্রোগ্রামটিকে নিয়মিত আপডেট রাখুন। জিরো-ডে অ্যাটাক বলতে এমন অ্যাটাক বোঝায় যেটা ১দিন আগ পর্যন্ত কেউ জানত না এই ধরনের অ্যাটাক হতে পারে। তাই আপনার এন্টিভাইরাসটির যেন জানা এবং অজানা উভয় অ্যাটাক আটকানোর ক্ষমতা থাকে সেটা নিশ্চিত করে তবেই এন্টিভাইরাস প্রোগ্রাম পছন্দ করুন।

আরেকটি জিনিস, শুধু এন্টিভাইরাস নয় সাথে এতে যেন ইন্টারনেট সিকিউরিটি ফিচারও যুক্ত থাকে এমন প্রোগ্রাম ব্যবহার করুন। এতে আপনার ইমেইল থেকে বা কোন সাইট থেকে কোন ফাইল ডাউনলোড হওয়ার আগে সেটা স্ক্যান হয়ে যায়। তাছাড়া এই ব্লগের সিকিউরিটি ক্যাটাগরি থেকে সমস্ত আর্টিকেল গুলো পড়ে ফেলার চেষ্টা করুন, বিশ্বাস করুন এতে আপনি অনেক উপকৃত হতে পারবেন।

#সফটওয়্যার আপডেট

ভালো এন্টিভাইরাস ব্যাবহারের পাশাপাশি আপনার পিসিতে ইন্সটল থাকা বা আপনার ব্যবহার করা সকল সফটওয়্যার গুলোকে নিয়মিত আপডেট রাখুন। আপনার সফটওয়্যার প্রভাইডার যদি আপনাকে সফটওয়্যারটি আপডেট করতে বলে, তাদের বিশ্বাস করুন এবং আপডেট করুন। হতে পারে তারা ভালনেরাবিলিটি জেনে গেছে এবং সেটা ফিক্স করার জন্য প্যাচ প্রদান করছে। এক্ষেত্রে আপনি আপডেট গ্রহন না করলে আপনার নিজের দোষে হ্যাকের কবলে পড়তে পারেন।

অনেক সফটওয়্যার প্রদানকারীরা স্বয়ংক্রিয়ভাবে সফটওয়্যার আপডেট প্রদান করে, যেমন উইন্ডোজে স্বয়ংক্রিয় আপডেট রয়েছে, সেটি এনাবল করে রাখুন যাতে নিয়মিত আপডেট পেতে পারেন। ক্যারামতি করতে বা সামান্য কিছু ব্যান্ডউইথ বাঁচাতে উইন্ডোজ আপডেট অফ করে রাখবেন না, এতে বিশাল সমস্যায় পড়ে যেতে পারেন।

#আপডেট ব্রাউজার

এখনকার সকল মডার্ন ওয়েব ব্রাউজার গুলো গুগল ক্রোম, মোজিলা ফায়ার ফক্স, অপেরা ইত্যাদি সকলেই স্বয়ংক্রিয় আপডেট প্রদান করে থাকে, এদের বেশিরভাগ আপডেটে নিরাপত্তা এবং বাগ ফিক্স মূলক হয়। আপনার ব্রাউজারটি স্বয়ংক্রিয় আপডেট না হলে, আপডেট করার নোটিফিকেশন পাওয়া মাত্র আপডেট করে ফেলুন।

এই সিকিউরিটি অনুশীলন গুলো করার পাশাপাশি সর্বদা নিজের চোখ কান খোলা রাখুন এবং উপস্থিত বুদ্ধির প্রয়োগ করুন। অনেক সময় পূর্ব প্রস্তুতি আবার অনেক সময় সঠিক সময়ে সঠিক সিদ্ধান্ত আপনাকে অনেক বড় সমস্যার হাত থেকে বাঁচিয়ে দিতে পারে।

এক কথায়

তো এই সমস্ত আর্টিকেল থেকে আমরা কি জানলাম? —জিরো-ডে ভালনেরাবিলিটি হলো কোন সিস্টেম, অপারেটিং সিস্টেম, সফটওয়্যার, বা ওয়েবসাইটের সেই ত্রুটি যেটা অস্তিত্ব সম্পর্কে কেউই জানেন না। ব্ল্যাক হ্যাট হ্যাকার এসকল দুর্বলতা খুঁজে বেড় করে এবং টাকার বিনিময়ে বিভিন্ন কুকর্ম করে। হোয়াইট হ্যাট হ্যাকাররা এরকম দুর্বলতা খুঁজে পেলে সফটওয়্যার নির্মাতাদের জানিয়ে দেয় এবং তারা আপডেট প্রদান করার মাধ্যমে সফটওয়্যারটিকে নিরাপদ করে। এন্টিভাইরাস প্রোগ্রামও জিরো-ডে অ্যাটাক আটকাতে পারেনা এবং কোন দেশের সরকারও এই ঘটনার সাথে জড়িত থাকতে পারে। এ থেকে বাঁচতে আপনার সফটওয়্যার গুলো এবং এন্টিভাইরাস প্রোগ্রামটিকে নিয়মিত আপডেট রাখুন।

বুঝতেই তো পারছেন, এই ধরনের অ্যাটাক কতোটা মারাত্মক নিরাপত্তা সমস্যা খাঁড়া করাতে পারে। এখানে সরাসরি সফটওয়্যার কোম্পানি বা ইউজার দুইজনেই ক্ষতিগ্রস্থ হতে পারে, তো আপনি এই অ্যাটাক থেকে বাঁচার জন্য কি ব্যবস্থা নিতে চলেছেন? নিচে আমাদের কমেন্ট করে জানান।

Images: Shutterstock.com