এথিক্যাল হ্যাকিং ফ্রী কোর্সঃ পর্ব ৫; ব্রাউজার হ্যাক (প্র্যাকটিক্যাল ১)

ওয়েব ব্রাউজ করতে ব্রাউজার ব্যবহার করা জরুরী, কেনোনা ব্রাউজারই সেই টুল যেটা ওয়েবের সাথে আপনাকে কানেক্ট করে। ব্রাউজারকে এমন একটি পোর্টাল হিসেবে ধরতে পারেন, যেটা দুনিয়ার যেকোনো ওয়েবসাইটের সাথে আপনার কম্পিউটারকে কানেক্ট করে, সার্ভারকে রিকোয়েস্ট করে, সার্ভার থেকে ডাটা লোড করে। ব্রাউজার নিরাপদ রাখা অত্যন্ত গুরুত্বপূর্ণ ব্যাপার, তাই অবশ্যই হয়তো ব্রাউজার নিয়মিত আপডেটেড রাখেন, এবং ত্রুটি পূর্ণ এক্সটেনশন ব্যবহার করা থেকে বিরত থাকেন। কিন্তু তারপরেও ব্রাউজার সহজেই হ্যাক হয়ে যেতে পারে, আর সত্যি বলতে এখানে আপনাকে কোন অ্যাকশন করারও দরকার পড়বে না, মানে কোন সাইটে গিয়ে কিছু না করে জাস্ট সাইট লিঙ্ক ক্লিক করেই আপনার ব্রাউজারকে অ্যাটাকের চারা বানানো সম্ভব। আর দুর্ভাগ্যবশত অনেক অ্যান্টিভাইরাস পর্যন্ত এটি ডিটেক্ট করতে পারে না।

এথিক্যাল হ্যাকিং ফ্রী কোর্সের এই পর্বে আমি আলোচনা করবো ব্রাউজার হ্যাক নিয়ে। আজকে আলোচনা করা হবে ব্রাউজার হ্যাক কিভাবে হয়ে থাকে, কি কি তথ্য চুরি করতে পারে হ্যাকার এই হ্যাক এর মাধ্যমে? কিভাবে আপনি এই হ্যাক থেকে মুক্ত থাকতে পারবেন। তাহলে চলুন বেশি কথা না বলে শুরু করা যাক।

ব্রাউজার হ্যাক কি ও কিভাবে হয়ে থাকে?

ব্রাউজার হ্যাক খুব ভয়ংকর একটা পদ্ধতি, এই হ্যাক গুলো করা হয়ে থাকে Beef attack এর মাধ্যমে। আপনি যদি Beef Attack করতে চান তাহলে আপনার কম্পিউটারে অবশ্যই কালি লিনাক্স ইন্সটল করা থাকতে হবে [নেক্সট পর্বে কালি লিনাক্স ইন্সটল করার সম্পূর্ণ নির্দেশিকা দেখানো হবে!]। কালি লিনাক্স ছাড়া এই এট্যাক করা সম্ভব না। এই এট্যাক গুলো করা হয়ে থাকে হ্যাকার কোন ওয়েব পেজ বানিয়ে সেটার মাঝে একটা জাভা স্ক্রিপ্ট ফাইল দিয়ে রাখে, সেই লিঙ্কে আপনি শুধু একবার ঘুরে আসবেন। বাস আপনার আর কোন কাজ নেই, আপনি হ্যাক হয়ে গেছেন। এখন আপনি যেটাই করবেন আপনার ব্রাউজারে সেটাই হ্যাকার তার পিসি থেকে মনিটর করতে পারবে।

এখানে আসলে কাজ টা হয় কালি লিনাক্সে একটা টুল আছে Beef নামে আর সেটার নাম অনুসরে নাম করা হয়েছে Beef Attack। সেই টুল দিয়ে হ্যাকার পেলোড জাভা স্ক্রিপ্ট বানাই, সাথে তার জন্য একটা প্যানেল বানিয়ে নেয়। যেন হ্যাকার তার সেই প্যানেল থেকে সব কিছু মনিটর করতে পারে। সেই প্যানেলটা হয় গ্রাফিক্যাল, এবার হ্যাকার ওয়েব সার্ভারে একটা  Html ফাইল বানাই আর সেটার সাথে পেলোড জাভা স্ক্রিপ্টটা সংযুক্ত করে দেয়। এবার ভিক্টিম কে সেই লিঙ্ক টা পাঠিয়ে দিল আর ভিক্টিম সেই লিঙ্কে গেল কিন্তু কিছুই পেল না। এবার সে ঘুরে চলে আসলো কিন্তু কিছুই বুঝতে পারলো না সে, আসলে সে যে হ্যাক হয়েছে তার কোন ধারনাই নেই। এবার ঢুকার সাথে সাথে হ্যাকারের কাছে ইনফরমেশন চলে যাই, তখন হ্যাকার আপনার ব্রাউজারের নিয়ন্ত্রন পেয়ে যায়। আর এই ভাবেই ব্রাউজার হ্যাকটা হয়ে থাকে। এ থেকে বাঁচতে এই আর্টিকেলটি অত্যন্ত গুরুত্বপূর্ণঃ ম্যালিসিয়াস লিঙ্ক ক্লিক না করেই কিভাবে বুঝবেন এটি নিরাপদ কিনা?

ব্রাউজার হ্যাক করে কি তথ্য পাওয়া সম্ভব?

ব্রাউজার হ্যাক করে হ্যাকার আপনার ব্রাউজার থেকে কি কি তথ্য পেতে পারে? এখন তো প্রশ্ন এটাই তাই না ভাই? আসলে দেখেন হ্যাকার হ্যাক তো করেই তথ্য গুলো নেয়ার জন্য তাই না? এখানেও কিন্তু হ্যাকার অনেক তথ্য পেয়ে থাকে। ব্রাউজার হ্যাক করে একটা ব্রাউজারের সকল কিছুই নিয়ন্ত্রন করা সম্ভব। আপনি ক্রোম ব্যবহার করেন বা ফায়ারফক্স সকল ব্রাউজারে এটা তথ্য চুরি করতে পারে। নিম্নে দেয়া হল কি কি তথ্য হ্যাক হয়ে থাকে ব্রাউজার হ্যাকিং এর মাধ্যমে;

• হুক সাইট বা ব্রাউজারে সেভ করা সাইট গুলো। আপনি কি কি সাইতে ব্রাউজ করেছেন সেটার লিস্ট হ্যাকার পেয়ে যাবে।
• কুকিজ চুরি করতে পারে। মানে আপনি ব্রাউজারে কোন সাইটে কিভাবে লগইন হয়ে রয়েছেন, সকল সেশন চুরি হয়ে যাবে। হ্যাকারকে নতুন করে পাসওয়ার্ড দিয়ে সাইটে লগইন করতে হবে না। মনে করুণ আপনি ফেসবুকে লগইন করে রেখেছেন, ব্যাস হ্যাকারের কম্পিউটারেও আপনার ফেসবুক আইডি অটো লগইন হয়ে যাবে।
• আপনার কম্পিউটারে কমন কি কি সফটওয়ার ইন্সটল করা আছে সেটার লিস্ট পেয়ে যাবে। যেমন ধরুন আপনি  মাইক্রোসফট অফিস ব্যাবহার করেন এবার আপনি হ্যাক, হ্যাকার বুঝতে পারবে আপনি মাইক্রোসফট অফিস ব্যবহার করেন, হতে পারে আপনার ভার্সনে কোন ত্রুটি রয়েছে, আর সেভাবেও অ্যাটাক করে দেবে।
• LastPass নামে একটা এক্সট্রেনশন আছে সেটা থেকে তথ্য চুরি করা সম্ভব। বলে রাখা ভাল এখন সব থেকে জনপ্রিয় পাসওয়ার্ড ম্যানেজার হচ্ছে LastPass তাহলে বুঝতেই পারছেন কতটা ঝুকিতে সবাই। যদিও এতে ডাটা গুলো এনক্রিপ্ট করা থাকে, তবে সেগুলোকে ডিক্রিপ্ট করাও সম্ভব।
• আপনার ব্রাউজারের টুল বার ও বুকমার্ক থেকে সকল তথ্য চুরি করা সম্ভব।
• আপনার ওয়েবক্যাম চালু বা বন্ধ করে দিতে পারবে।
• তাছাড়া এটার সব থেকে বড় ব্যাপার হচ্ছে আপনাকে সাইট ফরওয়ার্ড করে ফিসিং সাইট বা অন্য সাইটেও নিয়ে যেতে পারে, আবার আপনার কম্পিউটারে পেলোড ডাউনলোডের জন্য আপনাকে বার বার ফোর্স করতে পারে এটা। মানে ব্রাউজার দিয়ে আপনি অ্যাড্রেস টাইপ করে যেতে চাইবেন গুগলে, কিন্তু চলে যাবেন হ্যাকারের ফেক সাইটে, আর আপনার ব্রাউজার কম্পিউটারে আর নতুন নতুন ম্যালওয়্যার গুলোকে আমন্ত্রণ জানাবে।
• এটা আপনাকে ফেক লগইন করাতে জোর করাতে পারে, যেমন আপনি ফেসবুক চালাচ্ছেন এই সময় পপআপ লগইন অপশন উঠেছে, বলছে আপনার সেশন শেষ পুনরায় লগইন করুন। আপনি তো কিছুই না বুঝে সেই পপ-আপ লগইন আপশনে লগইন করে রেখে দিবেন। আর ব্যাস, পাসওয়ার্ডটা চলে গেলো ভোগে, তাই অবশ্যই টু-ফ্যাক্টর ভেরিফিকেশন চালু করে নেওয়া অত্যন্ত গুরুত্বপূর্ণ। এতে হ্যাকার আপনার পাসওয়ার্ড চুরি করার পরেও আপনার আইডি লগইন করতে পারবে না।

এমন অনেক কিছু করা যায় যার শেষ আমার লেখার মাধ্যামে করা সম্ভব না। এর ব্যস্তব ব্যবহার তো প্র্যাক্টিক্যাল করে দেখানো সম্ভব নয়, তাহলে সেটা সম্পূর্ণ ব্ল্যাকহ্যাট হ্যাকিং হয়ে যাবে। এই অ্যাটাক কিভাবে করতে হয় সেটা নিচে শিখিয়ে দিচ্ছি। তবে অবশ্যই এথিক্যাল ভাবে একে ব্যবহার করতে হবে, অবশ্যই কারো উপর অ্যাটাক করতে পাড়বেন না, অবশ্যই পারমিশন নিতে হবে। এখন এখানে আরেকটি প্রশ্ন রয়েছে, একজন এথিক্যাল হ্যাকারের এরকম হ্যাক অ্যাটাক সম্পর্কে জেনে কাজ কি? দেখুন, আপনি একজন সিকিউরিটি স্পেশালিষ্ট, এর মানে আপনাকে ব্ল্যাকহাটেরও বাপ হতে হবে। হতে পারে কম্পিউটার ব্রাউজার সিকিউরিটি চেক করার জন্য বা ইন্টারনেট সিকিউরিটি সফটওয়্যার ঠিকভাবে কাজ করছে কিনা সেটা দেখার জন্য আপনাকে এরকম অ্যাটাক চালাতে হতে পারে। তবে অবশ্যই সেটা কারো বিরুদ্ধে চালানো যাবে না।

Beef Attack কিভাবে করবেন?

বিফ অ্যাটাক করার জন্য দুইটি ধাপ রয়েছে, প্রথমত আপনাকে নিজের লোকাল সিস্টেম কনফিগার করতে হবে এবং দ্বিতীয়ত আপনি যে বা যার ব্রাউজার হ্যাক করতে চান সেই ব্রাউজারকে হুক করতে হবে। বিসয়টি অনেকটা এমন যে, ঐ ব্রাউজারে একটি ট্র্যাকিং ডিভাইজ লাগিয়ে দেওয়া, যেটি সর্বদা সকল ডিটেইলস গুলোকে আপনার পর্যন্ত পৌছাতে থাকবে। BeEF মূলত কালি লিনাক্সের বিল্ডইন টুল, তাই একে নতুন করে ডাউনলোড বা ইন্সটল করার প্রয়োজন পড়বে না।

স্টার্ট বিফ

বিফ টুলটির একটি গ্রাফিক্যাল ইন্টারফেস থাকে, যার মাধ্যমে আপনি সকল বিষয় গুলোকে মনিটর করতে পাড়বেন। তো প্রথমে আপনার সিস্টেম রেডি করতে হবে। তাহলে এক নজরে দেখে নেওয়া যাক, এই অ্যাটাকে আমাদের কি কি লাগছে।

• অবশ্যই একটি কম্পিউটার অথবা রাসবেরি পাই
• কালি লিনাক্স অপারেটিং সিস্টেম
• আপনার ইন্টারনেট কানেকশন এবং নেটওয়ার্কে সকল পোর্ট ওপেন থাকতে হবে (পোর্ট ওপেন করা পোর্ট স্ক্যান করা নিয়ে পরবর্তী পর্বে বিস্তারিত আলোচনা করা হবে)
• মাথা ঠাণ্ডা রাখতে হবে, এবং কাজে ফোকাস প্রদান করতে হবে।

এবার আপনার কম্পিউটারে বিফ টুল রান করিয়ে সেটাকে কনফিগ করে নেওয়ার পালা। আপনি দুই ভাবে বিফ টুল রান করতে পাড়বেন। যেহেতু এটি একটি অ্যাপ্লিকেশন, তাই “Applications” -> “Kali Linux” -> “System Services” -> “BeEF” -> “beef start.” — এখানে গেলেই বিফ টুল রান হয়ে যাবে। আবার চাইলে কালি লিনাক্স টার্মিনাল ওপেন করে “cd /usr/share/beef-xss
./beef” এই কম্যান্ড প্রবেশ করানোর মাধ্যমেও বিফ টুলটি রান করতে পাড়বেন।

ব্যাস, বিফ টুল রান করানোর মাধ্যমে আপনার কম্পিউটারে প্রয়োজনীয় সকল সার্ভিস রান হয়ে যাবে এবং আপনার কন্ট্রোল প্যানেলও তৈরি হয়ে যাবে। আপনার লোকাল হোস্টে (127.0.01) যেকোনো ব্রাউজার ব্যবহার করে আপনার কন্ট্রোল প্যানেল অ্যাক্সেস করতে পাড়বেন। বিফ কন্ট্রোল প্যানেলটি 3000 পোর্টে ওপেন হয়। তাই প্যানেলে প্রবেশ করার জন্য নিচের অ্যাড্রেসটি ব্রাউজারে টাইপ করুণ।

http://localhost:3000/ui/authentication

এরপরে একটি লগইন পেজ ওপেন হবে এবং আপনাকে প্যানেলে লগইন করতে হবে। ডিফল্টভাবে ইউজারনেম এবং পাসওয়ার্ড হচ্ছে “beef” — ব্যাস ক্রেডিনশিয়াল প্রবেশ করানোর সাথে সাথে আপনি এই পাওয়ার টুলে প্রবেশ করে ফেলতে পাড়বেন এবং যেকোনো ওয়েব ব্রাউজার হ্যাক করতে পাড়বেন। নিচের স্ক্রীনশটে দেখানো ইন্টারফেসটি আমার লোকাল হোস্টের চিত্র, আর এখানেই আপনার হ্যাক করা মানে আক্রমণ করা ব্রাউজার গুলোর তালিকা প্রদর্শিত হবে।

ব্রাউজার হুকিং

এই টুলের মূল উদ্দেশ্য হচ্ছে আপনাকে অবশ্যই ভিক্টিমের ব্রাউজার হুক করতে হবে। মানে ব্রাউজারে এমন একটি কোড লোড করিয়ে দিতে হবে যাতে ব্রাউজার সকল তথ্য আপনার পর্যন্ত সেন্ড করতে থাকে। সাধারণত কোন ওয়েব সার্ভারে হুক কোডটি ইন্সটল করে রাখতে হবে, হতে পারে সেটা আপনার নিজের ওয়েসাইটে বা হতে পারে যেকোনো ওয়েবসাইট যেটা আপনি নিয়ন্ত্রন করতে পাড়বেন। এবার আপনার ভিক্টিমকে ঐ সাইটে প্রবেশ করাতে হবে, সোশ্যাল ইঞ্জিনিয়ারিং ব্যবহার করিয়ে আপনার লিঙ্কে তাকে প্রবেশ করাতে হবে, এবার জাস্ট আক্রান্ত সাইটটি ওপেন করার সাথে সাথেই ব্রাউজারটিতে হুক কোড ইনজেক্ট হয়ে যাবে।

বিফ হুক মূলত একটি জাভা স্ক্রিপ্ট ফাইল, যেটার নাম সাধারণত “hook.js” হয়ে থাকে। ভবিষ্যৎ টিউটোরিয়ালে দেখাবো কিভাবে হুক ফাইল তৈরি করতে হবে, এবং কিভাবে বিভিন্ন উপায়ে ভিক্টিমের ব্রাউজারে হুক ফাইল ইনজেক্ট করে দিতে পাড়বেন। তারপরে বিস্তারিত জানিয়ে দেবো, কিভাবে আপনি ওয়েবপেজে এই জাভা ফাইলটি অ্যাড করতে পাড়বেন।

নিচের স্ক্রীনশটে আমি আমার লোকাল নেটওয়ার্কে থাকা একটি কম্পিউটার ব্রাউজারকে হুক করেছি, দেখতেই পাচ্ছেন এটা ইন্টারনেট এক্সপ্লোরার ৬ যেটা পুরাতন উইন্ডোজ এক্সপি ওএস এর উপর রান করছে।

তো একবার আপনি কারো ব্রাউজার সফলভাবে হুক করতে সক্ষম হলে আপনি অনেক টাইপের ম্যালিসিয়াস অ্যাক্টিভিটি চালাতে পাড়বেন। অনেক টাইপের কম্যান্ড সেখানে রান করাতে পাড়বেন এবং অনেক তথ্য হাতিয়ে নিতে পাড়বেন। নিচের স্ক্রীনশট’টি দেখলেই বুঝতে পাড়বেন, আসলে হুক করা ব্রাউজারের সাথে কতো কিছু করানো সম্ভব। তবে এসমস্ত ডিটেইল টিউটোরিয়াল পরের পর্ব গুলোতে আসবে, কেনোনা এখনো অনেক বিষয় পরিষ্কার করা বাকী আছে। আপনাদের পোর্ট সম্পর্কে ভালো ধারণা দিতে হবে। ওয়েব সার্ভারে ফাইল ইনজেক্ট করা শেখাতে হবে, লিনাক্স ইন্সটল থেকে শুরু করে বেসিক ইন্টারফেস নিয়ে আলোচনা করতে হবে। এই পোস্টটি জাস্ট একটি ডেমো পোস্ট বলতে পারেন, এ থেকে আপনি ধারণা নিতে পাড়বেন আসলে আপনি এই কোর্স থেকে পরবর্তীতে কিরকম অ্যাডভান্স বিষয় জানতে এবং প্র্যাকটিক্যাল শিখতে পাড়বেন। তবে অবশ্যই এই বিষয়টি ১০০% সম্পূর্ণ করেই শেখানো হবে, কিন্তু একটু ধৈর্য ধারণ করতে হবে।

কিভাবে আপনার ব্রাউজারকে হ্যাকার থেকে মুক্ত রাখবেন?

এবার চলে আসি আমাদের আসল ব্যবসায়, মানে অবশ্যই একজন এথিক্যাল হ্যাকার হিসেবে যেমন আপনার যেকোনো অ্যাটাক কিভাবে করতে হয় সে সম্পর্কে জ্ঞান থাকতে হবে, অনুরুপভাবে অবশ্যই সেই অ্যাটাক ঠেকাতে কি করতে হবে সেটার স্পষ্ট জ্ঞান চাই। যদিও এই অ্যাটাক ভয়াবহ সব কর্মকাণ্ড করতে সক্ষম, কিন্তু এটি ঠেকানো কিন্তু একেবারেই সাধারণ কাজ। আর ওয়্যারবিডিে এই টাইপের সিকিউরিটি নিয়ে অনেক আলোচনা করা হয়েছে।

প্রথমত, অবশ্যই আপনার ইন্টারনেট ব্রাউজার এবং যেকোনো ইন্টারনেট টুলকে সর্বদা লেটেস্ট ভার্সনে আপডেট করে রাখতে হবে। আপনার অপারেটিং সিস্টেম সর্বদা আপডেটেড রাখতে হবে, ডাটা খরচ করার কানজুসি দেখাতে গিয়ে যে, উইন্ডোজ আপডেট বন্ধ করে রাখবেন সেটা করা যাবে না, না হলে পরিনাম কি হতে পারে বুঝতেই তো পাড়ছেন।

অবশ্যই অচেনা এবং অপরিচিত ব্রাউজার এক্সটেনশন ইন্সটল করবেন না, কেবল অফিশিয়াল ওয়েবসাইট থেকে এক্সটেনশন ডাউনলোড করবেন। সাথে অ্যাড ব্লকার ব্যবহার করতে হবে, এতে ম্যালিসিয়াল স্ক্রিপ্ট গুলো রান হবে না। আর এখানে সবচাইতে গুরুত্বপূর্ণ ধাপ হলো, অবশ্যই আপনার পাসওয়ার্ড গুলো ব্রাউজারে সেভ করে রাখবেন না। কেনোনা সেগুলো সহজেই পেয়ে যাওয়া সম্ভব হবে, লাস্টপাস পাসওয়ার্ড ম্যানেজার ব্যবহার করা উত্তম হবে, কেনোনা এতে সকল ডাটা এনক্রিপটেড করানো থাকে—এবং পরিশেষে অবশ্যই ভিপিএন ব্যবহার করবেন, এতে আপনার কম্পিউটারের আসল আইপি অ্যাড্রেস কখনোই হ্যাকার পাবে না, তার কাছে টেম্প আইপি যাবে, যেটা থেকে সে পরবর্তী সময়ে ডিস্কানেক্ট হয়ে যাবে।

আশা করছি, এই সম্পূর্ণ আর্টিকেল থেকে ওয়েব ব্রাউজার হ্যাক করার সম্পূর্ণ ধারণা পেয়ে গেছেন এবং কিছু বিষয় তো এখানে প্র্যাকটিক্যাল দেখানো হয়েছে। পরবর্তী কোন পর্বে ব্রাউজার হুকিং করা শেখানো হবে, কিন্তু তার আগে আরো অনেক কিছু জানতে হবে, যার সম্পর্কে আরো বিস্তারিত নেক্সট পর্ব গুলোতে আলোচনা করা হবে। যেহেতু এটি এথিক্যাল হ্যাকিং কোর্স তাই অবশ্যই বিষয় গুলোকে নৈতিক কাজেই ব্যবহার করতে হবে, অবশ্যই সিস্টেমকে সিকিউরিটি দিতে হবে, কাউকে হ্যাক করা আমাদের কাজ না। নেক্সট পর্বে, আরো অসাধারণ কিছু নিয়ে হাজির হবো, সেই পর্যন্ত সবাই ভালো থাকবেন।

ইমেজ ক্রেডিট; By Alexander Weickart Via Shutterstock