ফেসবুক, গুগল ব্যবহারকারীদের নতুন আতঙ্ক!
ফেসবুক, টুইটার, গুগল, মাইক্রোসফটের সেবা গ্রহীতারা নতুন এক ধরনের নিরাপত্তা ঝুঁকির মধ্যে পড়েছেন। সম্প্রতি প্রযুক্তি গবেষকেরা অনলাইন সেবাদাতা প্রতিষ্ঠানগুলোতে নতুন নিরাপত্তা ত্রুটি খুঁজে বের করার দাবি করেছেন।
সিঙ্গাপুরের গবেষকেরা দাবি করেছেন, অনলাইন সেবাদাতা হিসেবে অধিকাংশ সাইটগুলোতে দুটি বিশেষ সিকিউরিটি স্ট্যান্ডার্ড বা নিরাপত্তা মান ব্যবহার করা হয়। ওপেন সোর্স ভিত্তিক লগ ইন সিস্টেম ওঅউথ২.০ এবং ওপেন আইডিতে নিরাপত্তা ত্রুটি ব্যবহার করে যে কেউ অনলাইন অ্যাকাউন্টের তথ্য চুরি করে নিতে পারে। এই দুটি স্ট্যান্ডার্ড ইন্টারনেটে ব্যবহারকারীদের বিভিন্ন ওয়েবসাইটে লগইন করার জন্য ব্যবহূত হয়।
ফক্স নিউজের এক প্রতিবেদনে বলা হয়েছে, নতুন এই নিরাপত্তা ঝুঁকির নাম ‘কোভার্ট রিডাইরেক্ট’। দুর্বৃত্তরা এই নিরাপত্তা ত্রুটি কাজে লাগিয়ে ব্যবহারকারীর অজান্তেই তথ্য চুরি করে নিতে পারে।
ফেসবুক, মাইক্রোসফট, গুগলসহ অন্যান্য প্রযুক্তি-প্রতিষ্ঠানগুলো এই ত্রুটি সম্পর্কে সচেতন বলেই প্রযুক্তি বিষয়ক সিনেট এক খবরে জানিয়েছে।
গবেষকেদের পরামর্শ হচ্ছে, ফেসবুক কোনো স্প্যাম পোস্টে বা ইমেইলে আসা কোনো স্প্যামে ক্লিক করা থেকে বিরত থাকুন। এই ধরনের লিংকে ক্লিক করলে একটি ভুয়া সাইটে আপনি চলে যেতে পারেন এবং সেখান থেকে আপনার তথ্য চুরি হয়ে যেতে পারে। ফেসবুকের স্প্যাম লিংকে ক্লিক করলে একটি আলাদা পপ-আপ উইন্ডো খুলে আপনার তথ্য চাইতে পারে এবং ফেসবুকের পাসওয়ার্ড দিতে বলতে পারে। ‘কোভার্ট রিডাইরেক্ট’ মূলত অনলাইন ফিশিংয়ের কাজে ব্যবহার করতে পারে সাইবার দুর্বৃত্তরা। ফিশিং হচ্ছে ব্যবহারকারীকে প্রলুব্ধ করে ভাইরাসপূর্ণ সাইটে নিয়ে যাওয়ার একটি পদ্ধতি।
প্রসঙ্গত, ‘কোভার্ট রিডাইরেক্ট’ এর আগে ইন্টারনেট ব্যবহারকারীদের মধ্যে দুশ্চিন্তা ছড়িয়েছিল ‘হার্টব্লিড’ নামের এক বাগ বা সফটওয়্যার ত্রুটি। হার্টব্লিডের প্রকোপে কী পরিমাণ ক্ষতি হয়েছে বা কী ক্ষতি হতে পারে তা এখনও বের করতে পারেননি কম্পিউটার নিরাপত্তা গবেষকেরা। গত দুই বছরেরও বেশি সময় ধরে এই বাগ শনাক্তহীন অবস্থায় ওয়েব সার্ভারে ছিল। কোনো হ্যাকার বা সাইবার দুর্বৃত্ত যে এই দীর্ঘ সময়ে এ বাগটি আবিষ্কার করে তার ফায়দা তোলেনি তা বিশ্বাস করা দুষ্কর।
এই বাগ থেকে সুরক্ষা পেতে ইন্টারনেটে যেসব ওয়েবসাইট রয়েছে তার কর্তৃপক্ষ উপযোগী প্যাচ বা সফটওয়্যার আপডেট না করা হলে ইন্টারনেট ব্যবহারকারীদের তেমন কিছু করার নেই। তবে পাসওয়ার্ড পরিবর্তন করে নতুন করে জটিল পাসওয়ার্ড দেওয়ার পরামর্শ দেন গবেষকেরা।
ইন্টারনেট ব্যবহারকারীদের কাছে নতুন এক আতঙ্কের নাম ‘হার্টব্লিড’। এটি একটি বাগ বা সফটওয়্যার ত্রুটি। এর মাধ্যমে মোবাইল ফোন, ওয়েবসাইট, সার্ভার, নেটওয়ার্ক হ্যাক করে ফেলতে পারে সাইবার দুর্বৃত্তরা।
গবেষকেরা সতর্ক করে বলছেন, এই বাগটি সহজেই কম্পিউটারের নিরাপত্তা ব্যবস্থাকে পাশ কাটিয়ে যেতে পারে।
হার্টব্লিড কী?
এটি মূলত ওপেন সোর্স ক্রিপটোগ্রাফি লাইব্রেরি ‘ওপেনএসএসএল’-এর একটি সফটওয়্যার বাগ বা ত্রুটি। এই সফটওয়্যারটি অধিকাংশ ওয়েবসাইটে তথ্য নিরাপত্তার ক্ষেত্রে ব্যবহার করতে দেখা যায়। এসএসএল/ টিএসএল এনক্রিপশন ইন্টারনেট নিরাপত্তায় ব্যবহূত হলেও এই ত্রুটির কারণে তথ্য চুরি হওয়ার আশঙ্কা থেকে যায়। ওয়েব, মেইল, ইনস্ট্যান্ট মেসেজিং (আইএম), ভারচুয়াল প্রাইভেট নেটওয়ার্ক (ভিপিএন) প্রভৃতি অ্যাপ্লিকেশনগুলোর যোগাযোগ নিরাপত্তা ও প্রাইভেসি জন্য এসএসএল/ টিএসএল ব্যবহার করা হয়। এই বাগ দুর্বৃত্তদের ইন্টারনেট ব্যবহার করে ওপেনএসএসএল সুরক্ষিত সিস্টেমের মেমোরি পড়ার সুযোগ করে দেয়।
সব খানেই হার্টব্লিড
সিএনএন এক প্রতিবেদনে জানিয়েছে, ইন্টারনেট বাগ ‘হার্টব্লিড’ শুধু ওয়েবসাইট বিপর্যস্ত করেই থেমে নেই। ইন্টারনেট সংযোগের জন্য যেসব পণ্য ব্যবহূত হচ্ছে হার্টব্লিডে আক্রান্ত হচ্ছে সেগুলো।
প্রযুক্তি-প্রতিষ্ঠান সিসকো ও জুনিপার সম্প্রতি দুই ডজনেরও বেশি নেটওয়ার্কিং যন্ত্রে হার্টব্লিডের আক্রমণ শনাক্ত করেছে। সার্ভার, রাউটার, সুইচ, মোবাইল ফোন, ভিডিও ক্যামেরাসহ নানা রকম প্রযুক্তি-পণ্য এই আক্রমণের শিকার হয়েছে। অন্যান্য যন্ত্রও এই হার্টব্লিড বাগের শিকার হয়েছে কিনা তা নিয়েও পরীক্ষা করছেন প্রযুক্তি গবেষকেরা।
ভাইরাস নাকি?
এটি কোনো কম্পিউটার ভাইরাস নয়। এটি সিকিউরিটি প্রোগ্রামিংয়ের একটি ত্রুটি মাত্র যা বছর দুয়েক আগে জার্মান সফটওয়্যার ডেভেলপার রবিন সেগেলম্যানের ভুলে তৈরি হয়েছিল। ২০১১ সালে ওপেনএসএসএলের জন্য সফটওয়্যার ত্রুটি সারানো ও নতুন ফিচার যুক্ত করার সময় দুর্ঘটনাবশত এই ত্রুটি থেকে যায়। সেগেলম্যান একে নিছক ‘সাধারণ প্রোগ্রামিং এরর’ বলে মন্তব্য করেন। গত সোমবার গুগলের নিরাপত্তা গবেষকেরা এই ত্রুটির সন্ধান পান।
বড় বিপর্যয়
গবেষকেরা জানিয়েছেন, বাগটির জন্য সাইবার দুর্বৃত্তদের জন্য মোবাইল ফোন কল কিংবা ভয়েস মেইল, ইমেইল কিংবা চ্যাট ট্যাপ করা সহজ। ব্যবহারকারীর অগোচরেই তার ডিভাইস বা নেটওয়ার্ক হ্যাক করে ফেলতে পারছে দুর্বৃত্তরা। ওয়েব হোস্টিং সার্ভিস সিংগেলহপের অবকাঠামো প্রকৌশলী স্যাম বাউলিং জানিয়েছেন, ‘হার্টব্লিড বাগকে এক যুগের মধ্যে সবচেয়ে বড় ধরনের বিপর্যয় বলা যায়।’
ইতিমধ্যে গুগল, আমাজন, ইয়াহুর মতো সাইটগুলো এই বাগের শিকার হয়েছে। ডেভেলপাররা এই বাগ ঠিক করতে দ্রুত কাজ চালিয়ে যাচ্ছে বলে বার্তা সংস্থা রয়টার্সের এক খবরে বলা হয়েছে। তবে এখনও কিছু ম্যালওয়্যারপূর্ণ ওপেনএসএসএল কোড ইমেইল সার্ভার, সাধারণ কম্পিউটার, ফোন, নিরাপত্তা পণ্যের মধ্যে রয়ে গেছে বলে আশঙ্কা করছে প্রযুক্তি গবেষকেরা। ইন্টারনেট ব্যবহারকারীদের সুরক্ষায় বিভিন্ন ওয়েব সেবা দাতা প্রতিষ্ঠান ও পণ্য নির্মাতা প্রতিষ্ঠানের ডেভেলপাররা বাগ ঠিক করে গ্রাহকদের নিরাপদ রাখতে প্যাচ যুক্ত করতে কাজ করে যাচ্ছেন।
আরও জানতে
হার্টব্লিড সম্পর্কে বিস্তারিত জানতে যেতে পারেন হার্টব্লিড বাগ (http://heartbleed.com/) সাইটে।
মুখ খুলছে না গুগল, ফেসবুক
সাইবার নিরাপত্তা সেবাদাতা প্রতিষ্ঠান এনএসএস ল্যাবসের ব্যবস্থাপক ক্রিস মোরলেস জানান, ‘প্রত্যেক নিরাপত্তা সেবার জন্য নিয়োজিত ব্যক্তি এখন হার্টব্লিড নিয়ে কথা বলছেন।’ ওরাকল, মাইক্রোসফট, ডেল, এইচপি, আইবিএমের কর্মকর্তারা এই বিষয়ে মুখ খোলেননি। তবে বিষয়টিকে সকলেই গুরুত্ব দিচ্ছেন। গুগলের অ্যান্ড্রয়েড জেলি বিনও আক্রান্ত হতে পারে বলে গবেষকেরা সতর্ক করলেও গুগল এ বিষয়ে মন্তব্য করতে রাজি হয়নি। ডেফ কন হ্যাকিং কনফারেন্সের প্রতিষ্ঠাতা জেফ মস জানান, ‘ইন্টারনেট ও ইমেইল নিয়ে মানুষ এখন আতঙ্কে রয়েছে। সকলে প্যাচের জন্য অপেক্ষা করছে।’
অ্যান্টি-ভাইরাসেও সমস্যা
প্রায় দুই বছর ধরে এই বাগ বা ত্রুটি শনাক্ত করতে পারেননি প্রযুক্তি বিশ্লেষকেরা। অর্থাত্ দুই বছর পর এই বাগ খুঁজে পাওয়ায় ব্যবহারকারীর অগোচর বড় ধরনের তথ্য চুরির আশঙ্কা থেকে গেছে। বিভিন্ন প্রতিষ্ঠান ও সরকারি সংস্থাগুলো এখন আক্রান্ত পণ্যগুলো জরুরি ভিত্তিতে ঠিক করার পথ খুঁজছে। ইন্টারনেট নিরাপত্তা সেবাদাতা প্রতিষ্ঠান ম্যাকাফির মালিক ইনটেলও চুপ। রয়টার্স জানিয়েছে, ইনটেলের মুখপাত্র এ প্রসঙ্গে কোনো মন্তব্য করতে রাজি হননি। তবে ইনটেলের ব্লগ পোস্টের উদ্ধৃতি দিয়ে বার্তা সংস্থাটি তাদের প্রতিবেদনে জানিয়েছে, ‘আমরা বুঝতে পারছি ব্যবসা জন্য এটি জটিল একটি সময়। কারণ এ সময় ইন্টারনেট সংশ্লিষ্ট পণ্যগুলোতে বিভিন্ন প্রতিষ্ঠান থেকেই আপডেট নিতে হবে তাদের। ইনটেলের ম্যাকাফি ইন্টারনেট সিকিউরিটি পণ্য যে সংস্করণটিতে এই বাগযুক্ত ওপেনএসএসএল রয়েছে তা আপডেট করার প্রয়োজন হবে।’
আমাদের করণীয় কী?
সিএনএন এক প্রতিবেদনে জানিয়েছে, ওয়েবসাইটগুলো হার্টব্লিড বাগ থেকে সুরক্ষার জন্য প্যাচের পেছনে ছুটছে। সাইট কর্তৃপক্ষ তাদের দিক থেকে যখন ত্রুটি ঠিক করছে তখন ব্যবহারকারী হিসেবে আপনার করণীয় হচ্ছে দ্রুত পাসওয়ার্ড পরিবর্তন করে ফেলা। তবে আপনার ব্যক্তিগত যোগাযোগের সাইট কর্তৃপক্ষ যদি তাদের সাইট আপডেট না করে তবে পাসওয়ার্ড পরিবর্তন করেও লাভ হবে না। নতুন দেওয়া পাসওয়ার্ডও হ্যাক হওয়ার ঝুঁকিতে থাকবে। অনেক প্রতিষ্ঠান ব্যবহারকারীদের বিপদ সম্পর্কে সচেতন করেনি বা পাসওয়ার্ড পরিবর্তন করতে বলেনি। তাই ওয়েবসাইট কর্তৃপক্ষ এই বাগ থেকে সুরক্ষার জন্য পদক্ষেপ না নিলে ব্যবহারকারীদের সত্যিকার অর্থে করণীয় তেমন কিছু নেই।
সিএনএনের তথ্য অনুযায়ী, ফেসবুক, গুগল, ইউটিউব, জিমেইল, এয়ারবিএনবি, ইয়াহুর সব সার্ভিস, ওকেকিউপিড, পিন্টারেস্ট, উইকিপিডিয়ার পাসওয়ার্ড পরিবর্তন করতে পারেন। কারণ এই সাইটগুলো প্যাচ আপডেট করেছে।
অ্যাপল, মাইক্রোসফট, লিঙ্কডইন, টুইটার, পেপলে পাসওয়ার্ড পরিবর্তন না করলেও চলবে।
কেমন পাসওয়ার্ড হতে হবে?
সাধারণ ও সহজে অনুমান করা যায়, এ ধরনের পাসওয়ার্ড ব্যবহার করবেন না। ১২৩৪৫৬ কিংবা কোয়ার্টির মতো সহজ পাসওয়ার্ড ব্যবহার করা থেকে বিরত থাকুন। নিরাপত্তা বিশ্লেষকেদের পরামর্শ হচ্ছে, আপনার যাতে সহজে মনে থাকে কিন্তু জটিল পাসওয়ার্ড দিন। পাসওয়ার্ড হতে পারে কোনো বাক্যাংশ বা সংখ্যা ও অক্ষরের সমন্বয়। সংখ্যা, চিহ্ন, অক্ষর সমন্বয় করে পাসওয়ার্ড যতটা সম্ভব জটিল করুন।প্রথম আলো
- SUSPENDED ATTORNEY CHARGED WITH GRAND LARCENY FOR STEALING MORE THAN $1 MILLION FROM BORROWERS, DIME COMMUNITY BANK
- Six Bangladeshi Peacekeepers Posthumously Awarded UN Dag Hammarskjöld Medal
- নিউইয়র্কে জাতিসংঘের ড্যাগ হ্যামারশোল্ড পদকে ভূষিত ছয় বাংলাদেশি শান্তিরক্ষী
- যুক্তরাষ্ট্রের জর্জিয়া স্টেট সিনেট নির্বাচনে বাংলাদেশি-আমেরিকান শেখ রহমানের টানা পাঁচবার জয়
- A Star Dimmed: Mourning the Loss of Tofail Ahmed, Architect of Our History
- নিউইয়র্ক ষ্টেট অ্যাসেম্বলী ডিষ্ট্রিক্ট-৩০’র প্রাইমারী নির্বাচনে শামসুল হকের সমর্থনে জ্যামাইকায় ফান্ড রেইজিং
- Bangladesh Secures Historic Victory in UNGA Presidency
- New York Attorney General James Secures Refunds for All New Yorkers Cheated by Nissan Dealerships’ Lease Overcharge Schemes