ব্রুট ফোর্স অ্যাটাক কি? কেন এই অ্যাটাক থেকে বাঁচা কষ্টকর? [ওয়্যারবিডি ব্যাখ্যা!]

ধরুন আপনার কাছে একটি বন্ধ তালা রয়েছে এবং তার বিপরীতে আপনার কাছে ১০০ চাবি রয়েছে। আপনি জানেন না সঠিক চাবি কোনটি, তাহলে কি করবেন? অবশ্যই একের পর এক চাবি তালাতে লাগিয়ে চেক করে দেখবেন, এবং তালা খোলার চেষ্টা করবেন তাই না? এই ১০০ চাবির মধ্যে প্রথমে আপনি তালার সাইজ অনুসারে চাবি অনুমান করবেন তারপর আনলক করার চেষ্টা করবেন, কি ঠিক বলছি তো? ব্রুট ফোর্স অ্যাটাক (Brute Force Attacks) ও ঠিক এমনটাই, এখানে অনুমানকে কাজে লাগিয়ে সম্ভাব্য পাসওয়ার্ড গুলো ব্যবহার করে কোন এনক্রিপশন ক্র্যাক করার চেষ্টা করা হয়।

আপনারা হয়তো জানেন এনক্রিপশন সম্পূর্ণ গাণিতিক সমস্যার ব্যাপার—অর্থাৎ আপনার কাছে যতো ভালো সিস্টেম থাকবে যেটা যতো দ্রুত অংক সমাধান করতে পারবে, ততোদ্রুত পাসওয়ার্ড ক্র্যাক করাও সম্ভব হবে। আর অংক সমাধান করার ক্ষেত্রে কম্পিউটার’রা মানুষের চেয়ে অনেক আগে, এই জন্য এ ধরনের অ্যাটাক কম্পিউটার বা কম্পিউটিং সিস্টেম ব্যবহার করে করা হয়।

এই অ্যাটাক কীভাবে করা হয় বা এর পেছনের রহস্য কি, সেটা বোঝা অনেক সহজ কিন্তু এ থেকে রক্ষা পাওয়া অনেক কঠিন ব্যাপার, আর এই আর্টিকেলে আমি এই বিষয় গুলো নিয়েই বিস্তারিত আলোচনা করবো।

ব্রুট ফোর্স অ্যাটাক

কোন অ্যাকাউন্ট বা লক করা ফাইল কীভাবে খোলা হয়? অবশ্যই সেটা খুলতে কোন “পাসওয়ার্ড” অথবা “কী” প্রয়োজনীয় হয়। কিন্তু আপনার যদি সেই পাসওয়ার্ড জানা না থাকে তাহলে কীভাবে লক করা ফাইলটি ওপেন করবেন? —আর এখানেই কাজে আসে ব্রুট ফোর্স অ্যাটাক; পাসওয়ার্ড বা এনক্রিপশন কী’র সমস্ত সম্ভাব্য সমন্বয় গুলোকে অনুমান করা হয় এবং একের পর এক সমন্বয় ব্যবহার করে পাসওয়ার্ড খোলার চেষ্টা করা হয়।

এবার ধরুন কোন হ্যাকারের কাছে কোন পাসওয়ার্ড ডাটাবেজ রয়েছে যেটা সে ক্র্যাক করতে চায়, তাহলে তার কি প্রয়োজনীয় হবে? অবশ্যই পাসওয়ার্ড বা কী। এবার এটিকে ক্র্যাক করার জন্য হ্যাকার এমন একটি কম্পিউটার সিস্টেম উন্নয়ন করবে যেটা লাগাতার একের পর এক সকল পাসওয়ার্ড ব্যবহার করে ডাটাবেজটি ক্র্যাক করতে চাইবে।

এবার ধরুন ডাটাবেজটি’তে ব্যবহৃত পাসওয়ার্ড ৪ অংকের, তাহলে কম্পিউটার প্রোগ্রামটি প্রথমে ১১১১, ১১১২, ১১১৩, ১১১৪ এভাবে লাগাতার চেষ্টা করতেই থাকবে যতক্ষণ পর্যন্ত না ৯৯৯৯ পর্যন্ত পৌঁছে যায়। যদি আরো কঠিন পাসওয়ার্ড ব্যবহার করা হয় তবে aaaa, aaaab, aaaac ইত্যাদি আকারে চেষ্টা করতে থাকবে যতোক্ষণ পর্যন্ত zzzzz না হয়।

এভাবে কম্পিউটার প্রোগ্রাম বিভিন্ন ইউজার নেমের সাথে বিভিন্ন পাসওয়ার্ড একেরপর এক অনুমান করতে থাকে। যাই হোক, এই পদ্ধতিতে বা এই অ্যাটাকের মাধ্যমে প্রায় যেকোনো পাসওয়ার্ড অনুমান করা সম্ভব। শক্তিশালি পাসওয়ার্ড ক্র্যাক করার জন্য আরো শক্তিশালী কম্পিউটিং পাওয়ারের প্রয়োজনীয় হয়। যদি কোন ডাটাবেজ পাসওয়ার্ড বা কী অনেক সহজ হয়, তবে চিন্তা করার কোন কারণই থাকে না, সেটা আরামে ক্র্যাক হয়ে যায়।

কিন্তু যদি কোন পাসওয়ার্ড লম্বা আর কমপ্লেক্স হয় তবে সেটাকে ক্র্যাক করতে কয়েক ঘণ্টা থেকে শুরু করে কয়েক বছর পর্যন্ত লেগে যেতে পারে, তবে যতো শক্তিশালী কম্পিউটার ব্যবহার করা হবে ততো সময় কম লাগবে।

ব্রুট ফোর্স অ্যাটাকে আরেকটি ম্যাথড ব্যবহার করা হয়, সেটি “ডিকশনারি অ্যাটাক” নামে পরিচিত। আপনার সাধারন ওয়ার্ড ডিকশনারিতে যেমন লাখো শব্দের সমাহার থাকে, ঠিক তেমনি ডিকশনারি অ্যাটাকে একটি ফাইলে কোটিকোটি কমন ওয়ার্ড থাকে, একের পর এক পাসওয়ার্ড অনুমান না করে ডিকশনারি থেকে মানুষের বহুল ব্যবহৃত ওয়ার্ড গুলো দ্বারা পাসওয়ার্ড ক্র্যাক করার চেষ্টা করা হয়।

ডিকশনারি অ্যাটাক অনেক শক্তিশালী এবং কার্যকারী আক্রমণ। যদি আপনি কমন কোন ওয়ার্ড দ্বারা পাসওয়ার্ড সেট করে রাখেন, তবে সেটা যতো লম্বায় হোক না কেন, সহজেই ক্র্যাক হয়ে যাবে।

ওয়েবসাইটে ব্রুট ফোর্স অ্যাটাক

অনলাইন ব্রুট ফোর্স অ্যাটাক এবং অফলাইন অ্যাটাকের মধ্যে অনেক পার্থক্য রয়েছে। কোন ওয়েবসাইট যদি যথেষ্ট সিকিউর হয়, তবে সেখানে কোন হ্যাকার অ্যাটাক করতে অনেক ঝামেলায় পড়ে যাবে। ধরুন আপনি জিমেইল বা ফেসবুক অ্যাকাউন্ট এ এই অ্যাটাক চালানোর কথা ভাবলেন। আপনি একটি সিস্টেম তৈরি করলেন এবং সিস্টেম থেকে ফেসবুক অ্যাকাউন্টে একের পর এক পাসওয়ার্ড অনুমান করে ট্রায় করতে লাগলেন।

কিন্তু জিমেইল বা ফেসবুকে আপনি নির্দিষ্ট কিছুবার ভুল পাসওয়ার্ড প্রবেশ করানোর পড়ে আপনাকে ব্লক করে দেবে কিংবা ক্যাপচা শো করবে। আগের ক্যাপচা গুলো আঁকানো বাঁকানো লেটার এবং সংখ্যা থাকতো যেগুলোকে একটি ফাঁকা বাক্সে লিখতে হতো। আপনি সহজেই অক্ষর গুলো ধরতে পারবেন কিন্তু আপনার কম্পিউটার সেগুলো ধরতে পারবে না। আর এখন তো আরো অনেক কঠিন ক্যাপচা ব্যবহার করা হয়, অনেক পিকচার দেখানো হয় এবং পিকচারে কোন সাবজেক্ট খুঁজতে বলা হয়। মানুষ সেটা সহজেই খুঁজে নেবে কিন্তু কম্পিউটার সেটা খুঁজতে পারবে না। ফলে ক্যাপচা বাইপাস করা যাবে না।

কিন্তু অন্যদিনে যদি এমন হয়, হ্যাকার আপনার ওয়েবসাইট থেকে কোন ভাবে পাসওয়ার্ড ডাটাবেজটি অ্যাক্সেস করে ডাউনলোড করে নিয়েছে, তবে তাকে আটকানোর আর কোনই বুদ্ধি থাকবে না। কেনোনা সে নিজের সিস্টেমে যতো ইচ্ছা ততো ট্রায় করতে পারবে। আপনি যদি আপনার পাসওয়ার্ড ডাটাবেজটিতে সর্বউচ্চ শক্তিশালী এনক্রিপশনও লাগিয়ে রাখেন, তারপরেও এটা আপনার খেয়াল রাখতে হবে যাতে সেটা কেউ অ্যাক্সেস না করতে পারে। হ্যাকারের কাছে যদি যথেষ্ট শক্তিশালী কম্পিউটার থাকে, তবে আপনার ভাগ্য খুবই খারাপ হতে পারে।

অ্যাটাকের গতি

বিটকয়েন মাইন করার জন্য যেরকম স্পেশাল সিস্টেম সেটআপ করতে হয়, ঠিক তেমনি ব্রুট ফোর্সের জন্যও ডেডিকেটেড সিস্টেম প্রয়োজনীয় হয়। এই অ্যাটাক চালানোর জন্য সবচাইতে আদর্শ কম্পিউটার হার্ডওয়্যার হলো গ্রাফিক্স কার্ড (জিপিইউ); যদি একই সময়ে আলাদা আলাদা এনক্রিপশন কী ক্র্যাক করা প্রয়োজনীয় হয় তবে একসাথে অনেক গুলো গ্রাফিক্স কার্ড প্যারালেলে লাগিয়ে রাখা আদর্শ। ২৫টি জিপিইউ ওয়ালা সিস্টেম যেকোনো ৮ সংখ্যার উইন্ডোজ পাসওয়ার্ড ক্র্যাক করতে সক্ষম মাত্র ৬ ঘণ্টার মধ্যে।

সবচাইতে ভয়ঙ্কর ব্যাপার হচ্ছে দিনদিন ব্রুট ফোর্সের গতি আরো বৃদ্ধি পাচ্ছে, কেনোনা আগের চেয়ে আমাদের কাছে আরো শক্তিশালী কম্পিউটার রয়েছে। তাছাড়া আজকের সবচাইতে শক্তিশালী ক্রিপ্টোগ্রাফিক আলগোরিদিম বা এনক্রিপশন কী ক্র্যাক করা ভবিষ্যতের কোন কোয়ান্টাম কম্পিউটারের কাছে জলভাতের মতো ব্যাপার হবে। তাছাড়া ভবিষ্যতের জেনারেল কম্পিউটার গুলোতেও আরো শক্তিশালী হার্ডওয়্যার দেখতে পাওয়া যাবে।

কীভাবে এই অ্যাটাক থেকে আপনার ডাটা বাঁচাবেন?

আপনার নিজের যদি কোন ওয়েবসাইট থাকে তবে অবশ্যই আপনার সিকিউরিটি নিয়ে সতর্ক থাকা প্রয়োজনীয়। আর যদি আপনার কোন ই-কমার্স ওয়েবসাইট থাকে তবে আপনার গ্রাহকদের পার্সোনাল তথ্য গুলোকে নিরাপদ করা আপনার কর্তব্য। ওয়েবসাইটের ক্ষেত্রে অবশ্যই লগইন লিমিট সিস্টেম ব্যবহার করা প্রয়োজনীয়। এতে কয়েকবার ব্যর্থ লগইন চেষ্টা হওয়ার পরে পার্মানেন্ট বা কিছু সময়ের জন্য ঐ ইউজারকে লগইন থেকে ব্যান করে দেওয়া হয়।

আবার আপনি চাইলে ওয়েবসাইটে ক্যাপচা চালেঞ্জও ব্যবহার করতে পারেন, কেনোনা কম্পিউটার কখনোই কমপ্লেক্স ক্যাপচা বাইপাস করতে পারবে না। আপনার এনক্রিপটেড ডাটা গুলোকে আরো নিরাপদে রাখুন যাতে সেটা কেউ অ্যাক্সেস না করতে পারে। কেনোনা একবার যদি সেটা কেউ ডাউনলোড করে নেয় তবে নিজের সিস্টেমে সেটাকে ক্র্যাক করা অনেক সহজ হয়ে যাবে।

আপনি যদি একজন সাধারন ইউজার হোন, মানে আপনার গুগল, ফেসবুক ইত্যাদি আইডি ব্রুট ফোর্স থেকে বাঁচানোর কথা ভাবেন তবে আপনাকেও কিছু স্টেপ পালন করতে হবে। প্রথমত অবশ্যই লম্বা এবং শক্তিশালী পাসওয়ার্ড ব্যবহার করুণ। পাসওয়ার্ড যতোদূর সম্ভব লম্বা করুণ এবং বড় হাতের অক্ষর, ছোট হাতের অক্ষর, সংখ্যা, স্পেশাল ক্যারেক্টার (!@#$%^&*) ইত্যাদি মিলিয়ে পাসওয়ার্ড তৈরি করুণ। সকল সাইটের জন্য আলাদা পাসওয়ার্ড ব্যবহার করুণ। দেখুন কেউই তাদের ডাটাবেজ ১০০% হ্যাক প্রুফ এই গ্যারান্টি দিতে পারবে না। আর ইয়াহু পাসওয়ার্ড ডাটাবেজ হ্যাক হওয়ার মাধ্যমে এই কথাটি আরো পরিষ্কার হয়ে গেছে।

এমনিতে সহজে কেউ ফেসবুক বা গুগলে ব্রুট ফোর্স মারতে পারবে না, কিন্তু যদি ডাটাবেজ হ্যাক হয় তাহলে কি করবেন? আর এই জন্যই প্রয়োজনীয় পূর্ব প্রস্তুতি, অর্থাৎ শক্তিশালী পাসওয়ার্ড ব্যবহার করা। তবে আপনি যদি পাসওয়ার্ড হিসেবে সরাসরি “password” বা এরকম কমন কোন পাসওয়ার্ড সেট করেন, তাহলে আপনি যতো শক্তিশালী এনক্রিপশন স্ট্যান্ডার্ডই ব্যবহার করুণ না কেন, আপনাকে হ্যাক হওয়া থেকে কেউ বাঁচাতে পারবে না।

সাথে যেখানে সম্ভব, যে অ্যাকাউন্টে সম্ভব সেখানে ২ ফ্যাক্টর ওথেনটিকেশন সিস্টেম ব্যবহার করুণ। এতে হ্যাকার আপনার পাসওয়ার্ড সঠিক অনুমান করে নিলেও, অ্যাকাউন্টে লগইন করার জন্য আরেকটি কোডের দরকার পড়বে, যেটা আপনার সেলফোনে আপনাকে পাঠানো হবে। যদিও আজকাল সিম ক্লোনিং করে সেলফোন অ্যাক্সেস নেওয়া যায়, তারপরেও অন্তত এটা চালু না রাখার কোন কারণ নেই।

আপনি আপনার অ্যাকাউন্টে ২ ফ্যাক্টর ওথেনটিকেশন সিস্টেম ব্যবহার করেন তো? ব্রুট ফোর্স থেকে বাঁচার জন্য আপনি কি কি সুরক্ষা ব্যবস্থা গ্রহন করতে পছন্দ করেন, নিচে আমাদের সবকিছু কমেন্ট করে জানান। কেনোনা আপনি জানলেন, একবার হ্যাকারের কাছে ডাটাবেজ চলে গেলে ব্রুট ফোর্স অ্যাটাক থেকে বাঁচা আর কখনোই সম্ভব হবে না। তো নিচে আপনার চিন্তা ভাবনা এবং টিপস গুলো অবশ্যই শেয়ার করুণ।

Feature Image: Shutterstock.com