টিপস ও টিউটোরিয়াল

সাইবারজগতের নিরাপত্তা: এআই ব্যবহার করে আক্রমণের নতুন ঝুঁকি মোকাবিলায় সতর্কতার আহ্বান সিক্যাফের

By Sajia Afrin

January 01, 2024

বিদায় নিয়েছে ২০২৩ সাল। বিগত বছরজুড়ে র‌্যানসমওয়্যার হামলায় নাকাল হয়েছে বাংলাদেশ। কৃত্রিম বুদ্ধিমত্তা (এআই) ব্যবহার করে আক্রমণে নতুন ঝুঁকিতে আগাম সতর্ক হতে হবে ২০২৪- এ।

সাইবার ক্রাইম অ্যাওয়ারনেস ফাউন্ডেশন (সিক্যাফ) মনে করছে, ২০২৩ সাল ব্যাংক বা আর্থিক প্রতিষ্ঠানের পাশাপাশি সরকারি সেবা খাতকে টার্গেট করেছিল সাইবার দুর্বৃত্তরা। তবে এর প্রতিটি ক্ষেত্রেই অজ্ঞতা, শিথিলতা ও নেটিজেনদের জীবনধারায় সচেতন না থাকাকেই বড় ত্রুটি হিসেবে দেখা গেছে। তাই ব্যক্তিগত, প্রাতিষ্ঠানিক কিংবা ব্যবসায়িক- প্রতিটি স্পর্শকাতর তথ্যকে সুরক্ষিত রাখার চ্যালেঞ্জকে সম্মিলতভাবে মোকাবিলা করতে হবে পুরো জাতিকে।

সিক্যাফের পর্যবেক্ষণ বলছে, সাইবার নিরাপত্তা সচেতনতা এবং সফল প্রস্তুতি আক্রমণের ঝুঁকি উল্লেখযোগ্যভাবে হ্রাস করতে পারে। এজন্য কর্মীদের যথাযথ প্রশিক্ষণ বা শক্তিশালী সুরক্ষা প্রোটোকল সরবরাহ করতে হবে। সামনে সোশ্যাল ইঞ্জিনিয়ারিং বা ফিশিং পরিস্থিতিতে আরও ঝুঁকিপূর্ণ করে তুলতে পারে।

ঝুঁকি নিয়ন্ত্রণে সাইবার ক্রাইম অ্যাওয়ারনেস ফাউন্ডেশনের (সিক্যাফ) উপদেষ্টা প্রকৌশলী মো. মুশফিকুর রহমানের পরামর্শ, তথ্যপ্রযুক্তি ব্যবহারকারী প্রতিষ্ঠানকে অবশ্যই নিরপত্তার ব্যাপারে খুবই সতর্ক থাকতে হবে। কেননা বাংলাদেশে ব্যবহৃত প্রযুক্তির প্রায় ৯৮ ভাগই বিদেশিদের তৈরি। তাই আমাদের ওপেন সোর্স প্রযুক্তির ব্যবহার এবং কাস্টমাইজ সফটওয়্যার ও অ্যাপ বানিয়ে সাইবারওয়্যারে নিজেদের রক্ষা করার পাশাপাশি বৈদেশিক মুদ্রা অর্জন করা সম্ভব হবে।

তিনি বলেন, দেশের তথ্যপ্রযুক্তি বিশেষজ্ঞদের তথ্যপ্রযুক্তি কনফিগার করার পাশাপাশি বিশ্ববিদ্যালয়ের কারিকুলাম তৈরিতে ইন্ডাস্ট্রিকেও সঙ্গে নিতে হবে। দেশি সফটওয়্যার, অ্যাপ তৈরিতে উদ্যোগ নিতে হবে।

২০২৩ সালের উল্লেখযোগ্য সাইবার দুর্ঘটনা

ঘটনা-১) স্মার্ট এনআইডি ডেটা ফাঁস: ২০২৩ সালের জুলাইয়ে বাংলাদেশি নাগরিকের ৫ কোটিরও বেশি তথ্য অনলাইনে ফাঁস হওয়ার খবর প্রকাশিত হয়। ভোটারদের সেই তথ্য আবার উন্মুক্ত করে দেয়া হয় টেলিগ্রাম চ্যানেলে।

মূলত বাংলাদেশ সরকারের একটি ওয়েবসাইটে নিরাপত্তা শিথিলতায় লক্ষ লক্ষ বাংলাদেশি নাগরিকের সংবেদনশীল ব্যক্তিগত তথ্য ইন্টারনেটে উন্মোচিত হয়। ফাঁস হওয়া তথ্যের মধ্যে পাঁচ কোটিরও বেশি ব্যবহারকারীর নাম, জন্ম তারিখ এবং জাতীয় পরিচয়পত্র (এনআইডি) নম্বর রয়েছে, যা গুগলসার্চের মাধ্যমেই চলে আসে হাতের নাগালে।

টেলিগ্রাম বটে ১০ ডিজিটের এনআইডি নম্বর লিখলেই মিলে যায় ওই ব্যক্তির নাম, লিঙ্গ, বাবা-মায়ের নাম, ফোন নম্বর, ঠিকানা, ছবি এবং অন্যান্য বিবরণ। এ নিয়ে প্রকাশি প্রতিবেদন অনুযায়ী, ন্যাশনাল টেলিকমিউনিকেশন মনিটরিং সেন্টার (এনটিএমসি) তাদের সিস্টেমের একটি অসুরক্ষিত ডাটাবেসের মাধ্যমে কয়েক মাস ধরে সংবেদনশীল ব্যক্তিগত তথ্য প্রকাশ করেছে হ্যাকাররা।

ঘটনা-২) রাজউক এর হ্যাক হওয়া ২৬,৭৭৭টি ডকুমেন্ট পুনরুদ্ধার: ২০২২ সালের ২৯ ডিসেম্বর রাজধানী উন্নয়ন কর্তৃপক্ষ (রাজউক) ‘৩০ হাজার গ্রাহকের কাগজপত্র’ হারিয়ে যাওয়া ঘটনা প্রকাশ করেছিল জাতীয় দৈনিক প্রথম আলো।

এরপর ২০২৩ সালের ২ জানুয়ারি রাজউকের সার্ভার থেকে গ্রাহকের রেকর্ড উধাও হওয়ার বিষয়ে ব্যাখ্যা চেয়েছিলেন হাইকোর্ট। ব্যাখ্যা দিতে ৩০ দিনের সময় বেঁধে দেয়া হয়েছিল। এ নিয়ে রাজউকের হলফনামায় বলা হয়, ২০২২ সালের ৬ ডিসেম্বর বিডিসিএসএলের ডাটা সেন্টারে সংরক্ষিত কাগজপত্র মুছে ফেলা হয় এবং বিদ্বেষমূলক ওই হামলার পর কনস্ট্রাকশন পারমিট (সিপি) সিস্টেম বন্ধ করে দেওয়া হয়।

পরে ২১ ডিসেম্বর সিস্টেমটি পুনরায় সক্রিয় করা হয়। এরইমধ্যে হ্যাক হওয়া ৩০ হাজার নথির মধ্যে ২৬ হাজার সাতটি নথি উদ্ধার করা হয়েছে। তথ্য চুরির অভিযোগের জবাবে রাজউক চেয়ারম্যান জানান, রাজউকের নিজস্ব কোনো সার্ভার নেই।

অর্থাৎ ভেন্ডরনির্ভরতা এবং নিরাপত্তা সচেতনতার অভাবই সাইবার হামলার মূল কারণ।

ঘটনা-৩) বিমানের ই-মেইল সার্ভারে র‌্যানসমওয়্যার হামলার তদন্ত শুরু: ২০২৩ সালের ১৭ মার্চ বিমান বাংলাদেশ এয়ারলাইন্সের ইমেইল সার্ভার হ্যাকড হয়। আক্রমণের পরে, এর সার্ভার ডাউন হয়ে যায় এবং সমস্ত অভ্যন্তরীণ যোগাযোগ ব্যাহত হয়। হ্যাক করা তথ্যের ১০০জিবি ডেটা জনসমক্ষে ফাঁস করে দিতে ১০ দিনের আল্টিমেটাম দেয় হ্যাকাররা।

আর সার্ভারে প্রবেশাধিকার পুনরুদ্ধারের জন্য হ্যাকাররা মুক্তিপণ দাবি করে ৫০ লাখ ডলার।

এ নিয়ে প্রকাশিত খবর অনুযায়ী, বিমানের গত ১৭ মার্চ সাইবার হামলার পাশাপাশি হ্যাকাররা ‘হ্যালো’ লেখা একটি বার্তা পাঠিয়েছিল এবং অনন্য ম্যালওয়্যার ‘জিরো ডে অ্যাটাক’ ব্যবহার করে একটি হলুদ, সমান্তরাল আকৃতির লোগো ছিল।

গত ২২ মার্চ হ্যাকার দাবি করা ব্যক্তিরা বিমানকে একটি মেসেজ পাঠায়, যেখানে লেখা ছিল, ‘আপনারা গণমাধ্যমে বলছেন, কোনো তথ্য ফাঁস হয়নি। কিন্তু আপনি ভুল করছেন।’

প্রসঙ্গত, হ্যাক হওয়া তথ্যের মধ্যে বিমানের যাত্রী, কর্মচারীদের পাসপোর্টের বিবরণ এবং অন্যান্য ক্যারিয়ারের প্রতিবেদন অন্তর্ভুক্ত রয়েছে। হামলাকারীরা মানবসম্পদ ব্যবস্থাপনা, ফাইন্যান্সিয়াল রিসোর্স ম্যানেজমেন্ট এবং এন্টারপ্রাইজ রিসোর্স প্ল্যানিংয়ের জন্য বিমানের সফটওয়্যারে অ্যাক্সেস রয়েছে বলে দাবি করে।

সফটওয়্যারটি পরিকল্পনা, অর্থায়ন এবং ইনভেন্টরি রক্ষণাবেক্ষণসহ অন্যান্য সিস্টেমের সঙ্গে একীভূত ছিল। হ্যাকাররা দাবি করে ‘বিমানপ্রোড, বিজিডিবিএফ এবং ট্রাইন’ ডাটাবেসে অ্যাক্সেস রয়েছে।

ঘটনা-৪) কৃষি ব্যাংকের সার্ভার দখল: ২০২৩ সালের ২১ জুন কৃষি ব্যাংকের সার্ভার দখল করে কুখ্যাত ব্ল্যাকক্যাট হ্যাকাররা। তারা কৃষি ব্যাংক থেকে ১৭০ জিবি সংবেদনশীল ডেটা চুরি করে। দলটি র‌্যানসমওয়্যার গ্রুপ এএলপিএইচভি নামেও পরিচিত।

গত ৭ জুলাই র‌্যানসামওয়্যার গ্রুপ এএলপিএইচভির (যা ব্ল্যাকক্যাট নামেও পরিচিত) এক পোস্টে বলা হয়, সফলভাবে ব্যাংকের নিরাপত্তা ব্রিচ করে আমরা ১২ দিন ধরে কৃষি ব্যাংকের নেটওয়ার্কে রয়েছি।

এখানে ১৭০জিবির বেশি সংবেদনশীল ডেটা অ্যাক্সেস পেয়েছি। এই ডেটা ব্যবহার করে যে কোনো ডকুমেন্ট ডাউনলোড এবং কার্যক্রম অচল করে দেওয়ার জন্য যথেষ্ট।

ঘটনা-৫) ভারতীয় হ্যাকারদের মাধ্যমে বাংলাদেশের ২৫টি সরকারি ওয়েবসাইট হ্যাকড: সমন্বিত সাইবার হামলার ফলে বাংলাদেশের ২৫টি সরকারি ও বেসরকারি প্রতিষ্ঠানের তথ্য হাতিয়ে নেয় ভারতের একদল হ্যাকার। এই হামলায় ইনভেস্টমেন্ট করপোরেশন অব বাংলাদেশ এবং স্বাস্থ্য অধিদপ্তরের মতো স্পর্শকাতর প্রতিষ্ঠানের তথ্য ফাঁস হয়েছে।

এর মধ্যে ইনভেস্টমেন্ট করপোরেশন অব বাংলাদেশের অফিসিয়াল ওয়েবসাইটে প্রায় ১০ হাজার বিনিয়োগকারী ও বিনিয়োগ আবেদনকারীর তথ্য রয়েছে। তদন্তে জানা যায়, নিরাপত্তা জ্ঞানের অভাব, তৃতীয় পক্ষের নির্ভরতা এবং সাইবার নিরাপত্তা বিশেষজ্ঞের অপ্রতুলতার করণে বছরজুড়েই দফায় দফায় সাইবার দুনিয়ায় নাকাল হতে হয়েছে বাংলাদেশকে।

ঘটনা ৬) সাম্প্রতিক সাইবার হামলায় আক্রান্ত অন্তত ১৪৭ বাংলাদেশি প্রতিষ্ঠান: বাংলাদেশে সম্প্রতি একটি বড় ও সমন্বিত সাইবার হামলার ঘটনা ঘটেছে, যেখানে ব্যাংক ও নন-ব্যাংক আর্থিক প্রতিষ্ঠান (এনবিএফআই)সহ কমপক্ষে ১৪৭টি সরকারি ও বেসরকারি প্রতিষ্ঠান আক্রান্ত হয়েছে।

বাংলাদেশ ব্যাংক, বাংলাদেশ টেলিকমিউনিকেশন রেগুলেটরি কমিশন, লংকাবাংলা ফাইন্যান্স, স্ট্যান্ডার্ড ব্যাংক, ট্রাস্ট ব্যাংক, ব্যাংক এশিয়া, ঢাকা ব্যাংক, এভারকেয়ার ম্যানেজমেন্ট গ্রুপ, এভারকেয়ার হসপিটাল ঢাকা, বাংলা ট্র্যাক কমিউনিকেশনস, অগ্নি সিস্টেমসসহ বিভিন্ন সরকারি ও বেসরকারি প্রতিষ্ঠান এই তালিকায় রয়েছে। শুধু বাংলাদেশেই নয়, সারা বিশ্বেই এই হামলা চালানো হয়েছে এবং হ্যাকাররা এমইএসের দুর্বলতার সুযোগ নিয়েছে।