আসসালামুয়ালাইকুম,
কেমন আছেন সবাই? ফোনে যখন কোন ডেটা বা কথা আদানপ্রদান হয়, সেটা কীভাবে আরেকজনের হাতে যেতে পারে? ফোন কীভাবে হ্যাক করা হতে পারে? আজ সেটা নিয়েই বিস্তারিত আলোচনা করব একটি ডায়াগ্রাম বা উদাহরণ এর মাধ্যমে। আশা করি সবাই শেষ পর্যন্ত সাথে থাকবেন। তো চলুন শুরু করা যাক………..
একটা খুব সরল কল্পচিত্র দিয়ে ব্যাখ্যা করা যাক। কামাল নামে এক লোক খলিল নামে আরেকজনের সাথে কথা বলছে (বা এসএমএস করছে)।
কামাল, ফোন ১]—[মোবাইল টাওয়ার ১]—[মোবাইল কোম্পানি ১]—[মোবাইল কোম্পানি ২]—[মোবাইল টাওয়ার ২]—[খলিল, ফোন ২]
ধরি, টার্মিনাল স্পাইডার নামে একজন আড়ি পাততে চায় এই কথায়। তাহলে টারমিনাল স্পাইডার কী করতে পারে?
১। সে মোবাইল টাওয়ারটা দখল নিতে পারে। অথবা সে আরো শক্তিশালী একটা মোবাইল টাওয়ার নিয়ে কামালের আশেপাশে ঘুরঘুর করতে পারে। কামালের ফোন অন হওয়া মাত্র সেটা সবচাইতে শক্তিশালী টাওয়ারের সাথে সংযুক্ত হয়ে যাবে। যেহেতু এটা টারমিনাল স্পাইডার এর নিয়ন্ত্রনে, সেহেতু সে এবার সব কথা শুনতে পাবে বা এসএমএস কপি করতে পারবে। এই ধরনের টাওয়ারগুলিকে IMSI (ইমসি) Catcher বলা হয়। বাংলাদেশের কিছু সরকারী সংস্থা এই ধরনের যন্ত্র ব্যবহার করে। যথেষ্ট টাকা থাকলে বেসরকারী খাতেও এটা পাওয়া সম্ভব। অ্যামেরিকার রাজধানীতে এটার হদিস পাওয়া গিয়েছে, বিদেশী কোন গুপ্তচররা ব্যবহার করছিল বলে সন্দেহ করা হয়। অ্যামেরিকান পুলিশও এটা নিয়মিত ব্যবহার করে।
২। টারমিনাল স্পাইডার মোবাইল কোম্পানিতে কাজ করে, অথবা কাউকে সে টাকা দিয়ে কিনে নিয়েছে। সে অফিস থেকে কথা শুনতে পারে। অথবা সে বাংলাদেশ সরকারের একজন কর্মচারি, এবং তার আদেশ অনুযায়ী মোবাইল কোম্পানি তাকে সব কথা ও এসএমএস পাঠাতে বাধ্য। বাংলাদেশ সরকারের একটা সংস্থা আছে যাদের কাজ ফোনে আড়ি পাতা।
৩। কিন্তু এগুলি তো ফোনের কথা বা এসএমএস। কেউ যদি হোয়াটস অ্যাপ বা টেলিগ্রাম বা সিগন্যাল, এই ধরনের কোন অ্যাপ ব্যবহার করে যেটা সব কথা বা চ্যাট এনক্রিপ্ট (এমন ভাবে এলোমেলো করা যে সঠিক কী ছাড়া সেটা বোঝা যাবে না) করা? তাহলে টারমিনাল স্পাইডার ইমসি ক্যাচার ব্যবহার করুক, আর মোবাইল কোম্পানিতেই আড়ি পাতুক, সে হিবিজিবি ছাড়া আর কিছু পাবে না।
তাহলে এই হিবিজিবিকে কথা বা টেক্সটে কীভাবে নেয়া যায়? সেটার জন্য তিনটা পদ্ধতি আছে :
- কামাল বা খলিল, যে কোন একজন কল রেকর্ডার ব্যবহার করে কলগুলি রেকর্ড করেছে, বা তাদেরকে টাকা দিয়ে বা ভয় দেখিয়ে বাধ্য করা হয়েছে
- কামাল বা খলিল, যে কোন একটা ফোনে একটা স্পাইঅয়্যার ইন্সটল করা হয়েছে, যেটা গোপনে কল রেকর্ডারের মতই সব কথা রেকর্ড করছে এবং টারমিনাল স্পাইডার এর কাছে পাঠাচ্ছে
- ফোনে এনক্রিপ্ট করার জন্য ডিজিটাল সার্টিফিকেট বলে এক ধরণের তথ্য ব্যবহার করা হয়। টারমিনাল স্পাইডার যদি কোনভাবে তার নিয়ন্ত্রনের একটা ডিজিটাল সার্টিফিকেট ফোনে ইন্সটল করতে পারে, তাহলে সে উপরের হিবিজিবিকে কথা বা টেক্সটে ফেরত নিতে পারবে।
তাহলে টারমিনাল স্পাইডার কীভাবে এই ডিজিটাল সার্টিফিকেট বসাবে?
২০১৫ -তে বাংলাদেশে একটা প্রস্তাব এসেছিল, সরকারী ডিজিটাল সার্টিফিকেট কম্পিউটারে বা ফোনে ইন্সটল না করলে ইন্টারনেটে যাওয়া যাবে না। এটা বেশিদূর যাওয়ার আগেই কাজাখস্তান একই কাজ করে বসে, এবং অ্যাপল, গুগল ইত্যাদি তাদেরকে বয়কট করে। ফলে কাজাকিস্তান সেটা থেকে সরে আসে, এবং বাংলাদেশ কিছুই না করে থেমে যায়। তারপর ২০১৯এ এবং অবশেষে ২০২০-র ডিসেম্বরে কাজাকিস্তান তার রাজধানীতে আবার এই কাজ করেছে, এবং আবার ফায়ারফক্স, গুগল ইত্যাদি তার বিরুদ্ধে প্রতিবাদ করে সব বন্ধ করে দিয়েছে। ফলে তারা আবার পিছু হটেছে।
৪। ধরি নেভারমাইন্ড নামে একজন হ্যাকার কামালের ফোনে আড়ি পাততে চায়। সে পাতি হ্যাকার, তার ইমসি ক্যাচার নাই, ফোন কোম্পানির কর্মচারিকে ঘুষ দেয়ার বা ভয় দেখানোর ক্ষমতাও নাই, এবং সরকারী যন্ত্রপাতি সে ব্যবহার করতে পারবে না।
সে কী কী করতে পারবে?
৪.১। সে FreeWifi নামে একটা ওয়াইফাই চালু করতে পারে। কামাল যদি সেটায় সংযুক্ত হয়, তখন সে তাদের ফোনকে হ্যাক করার চেষ্টা করতে পারবে। খেয়াল রাখতে হবে, ওয়াইফাই দিয়ে হ্যাকার ফোনের কথা শুনতে বা এসএমএস পড়তে পারবে না, সে শুধু ডেটা ধরতে পারবে। হ্যাকার যেহেতু কামাল আর ইন্টারনেটের মধ্যে ঢুকে গিয়েছে, সে এখন কামাল যদি গুগল বা ফেইসবুকে যাওয়ার চেষ্টা করে, তাহলে সে একটা নকল গুগল বা ফেইসবুক পেইজ তাকে দিতে পারবে সে আগেই তৈরি করে রেখেছিল। কামাল যখন সেই নকল পেইজে লগইন করার চেষ্টা করবে, হ্যাকার কামালের গুগল ইউজার আইডি আর পাসওয়ার্ড পেয়ে যাবে। এখন সে গুগল প্লে স্টোরে লগইন করে কামালের ফোনে অ্যাপ ইন্সটল করতে পারবে (তার পরেও আরো প্রতিবন্ধক থাকতে পারে, সেই ডিটেইলে যাচ্ছি না)
৪.২। ধরলাম নেভারমাইন্ড অন্য শহরে থাকে, বা কামালের আশেপাশে ওয়াইফাই সেট করা তার জন্য সম্ভব না। তাহলে সে কী করতে পারে? সে একটা ইমেইল করতে পারে, বা মেসেঞ্জারে একটা মেসেজ দিতে পারে: “সুখবর! ঈদ উপলক্ষে প্রেসিডেন্ট আপনাকে ৫০০০ টাকা দিচ্ছেন। এই লিংকে গিয়ে আপনার ফোন নাম্বার, এনআইডি নাম্বার দিয়ে গুগলে লগইন করে তথ্য দিলেই আপনি বিকাশে টাকাটা পেয়ে যাবেন। কামাল যখন গুগল ভেবে একটা নকল পেইজে তার গুগল ইউজার আইডি আর পাসওয়ার্ড দিল, হাবিব সেটা পেয়ে গেল (এটাকে phishing, ফিশিং বলা হয়)।
বিশেষ করে মেয়েদেরকে ফিশিং করার একটা সহজ পদ্ধতি হচ্ছে, একটা মেসেজ পাঠানো যেখানে বলা হয়েছে এই পেইজে তোমার নামে খুব বাজেবাজে কথা বা ছবি দেয়া হচ্ছে। আপনারা আবার এমনটা করবেন না, আমি জাস্ট ধারণা দিচ্ছি!?
৪.৩। সাধারণ হ্যাকারের পক্ষে সম্ভব না, তবে সিনেমায় এমনটা দেখা যায় মাঝে মাঝে। কামালকে একজন সুন্দরী মহিলা মিষ্টি হাসি দিল। কামাল তার দিকে তাকানোতে ব্যাস্ত, আর হ্যাকার এসে তার ফোনটা তুলে নিয়ে একটা স্পাইঅয়্যার বা ডিজিটাল সার্টিফিকেট ইন্সটল করে দিল।
৪.৪। বিভিন্ন দেশের অনেক হ্যাকার অন্য একটা আপাতদৃষ্টিতে নিরীহ অ্যাপের আড়ালে স্পাইঅয়্যার ইন্সটল করে রাখে। ডার্ক ওয়েবে সার্চ করে যদি কামালের ফোন নাম্বার পাওয়া যায় সেই স্পাইঅয়্যারের নিয়ন্ত্রনের তালিকায়, তাহলে টাকা দিয়ে সেই স্পাইঅয়্যারের নিয়ন্ত্রন কেনা বা ভাড়া করা যায় । তাছাড়াও ডার্ক ওয়েবে কিছু হ্যাকার আর কিছু সিকিউরিটি কোম্পানি ডিজিটাল অস্ত্র (এক্সপ্লয়েট) বিক্রি করে, যেগুলি দিয়ে ফোনের অপারেটিং সিস্টেমকে হ্যাক করা যায়। সেটা দিয়েও ওয়্যারলেস নেটওয়ার্কে সংযুক্ত ফোনের খোঁজ পাওয়া গেলে সেগুলিকে হ্যাক করা সম্ভব। আগে কোনদিন ব্যবহার করা হয় নাই, এমন সব ডিজিটাল অস্ত্র মিলিয়ন ডলারেও বিক্রি হয়েছে।
আর এগুলি কিছুই যদি কাজ না করে?
তাহলে পথে কামালকে আটকে হাইজ্যাকিংএর নাটক সাজিয়ে তার ফোনে স্পাইঅয়্যার ইন্সটল করে দেয়া যেতে পারে। কামালের বাসার কাজের লোককে ঘুষ দিয়ে তার ফোন হাতে পাওয়া যেতে পারে।
এগুলিই সব পদ্ধতি না, আরো অনেক আছে, তবে এইগুলি সবচাইতে বেশি ব্যবহৃত!
ফোনের বদলে যদি কম্পিউটার হয়, তাহলে মোবাইল টাওয়ারের বদলে ইন্টারনেট কানেকশন, মোবাইল কোম্পানির বদলে আইএসপি বসিয়ে নিলেই হবে। সেখানে ইমসি ক্যাচার চলবে না, তবে যেহেতু কম্পউটার একই জায়গায় স্থির, সেটার ডেটা ক্যাপচার করা আরো সহজ।
কিন্তু তাহলে কী আমরা সব সময় ভয়ে ভয়ে থাকবো?
না, তবে সাবধানে থাকতে হবে। অপরিচিত সফটওয়্যার ইন্সটল করার সময় সাবধান। হঠাত করে টাকার লোভ, বা ভয় দেখানো মেসেজে পাঠানো কোন লিংকে লগইন করার সময় খুব সাবধান। পেইজের অ্যাড্রেস দেখে নিশ্চিন্ত হতে হবে এটা আসলেই গুগল বা ফেইসবুক পেইজ কি না।
আর যদি সন্দেহ হয় ফোন হ্যাক হয়েছে?
অ্যান্টি ভাইরাস বা অ্যান্টি ম্যালওয়্যার দিয়ে চেষ্টা করা যেতে পারে, তবে সবচাইতে ভাল হচ্ছে যদি ফোনটা ফ্যাক্টরি রিসেট করা হয় যাতে সব মুছে নিশ্চিহ্ন হয়ে যায়।
আজ তাহলে এই পর্যন্তই, সবাই সুস্থ থাকুন ও নিরাপদে থাকুন। তাই দয়া করে ভুলত্রুটি ক্ষমার দৃষ্টিতে দেখবেন ও কোনো ভুল ধরা পরলে কমেন্ট করবেন আমি ঠিক করে নেওয়ার চেষ্টা করবো। উপরে উল্লিখিত ছদ্মনাম ও কোডনেইম গুলো প্রতীকী অর্থে ব্যবহৃত হয়েছে। এমন কোনো ব্যক্তির সাথে যদি আমার লিখা ব্লগের কাহিনী মিলে যায় সেক্ষেত্রে আমি বা ট্রিকবিডি পরিবার দায়ী নয়। জাযাকাল্লাহ?
https://www.pratiborton.gq/