হ্যাকিং বলতে বোঝায় ডিজিটাল সম্পত্তিতে (পিসি, সার্ভার, মোবাইল, আইওটি ইত্যাদি) অননুমোদিত প্রবেশ বা পুরো সিস্টেম অবৈধভাবে নিয়ন্ত্রণে নেওয়া। কম্পিউটার সিস্টেম এবং নেটওয়ার্কের নিরাপত্তা দুর্বলতাকে কাজে লাগিয়ে এই কাজ করা হয়। ব্যক্তিগত বা অন্য কারও হয়ে স্বার্থ হাসিলের উদ্দেশ্যে অবৈধভাবে কম্পিউটার সিস্টেম বা নেটওয়ার্কের দুর্বলতা শনাক্ত করা, সিস্টেমে ঢুকে ডেটা চুরি বা পরিবর্তন করা অথবা ভবিষ্যৎ নিয়ন্ত্রণের জন্য সিস্টেমে ম্যালওয়্যার রেখে দেওয়া ইত্যাদি এই হ্যাকিং কার্যক্রমের মধ্যে পড়ে।
চৌকস প্রযুক্তিগত জ্ঞান, সমস্যা সমাধানের দক্ষতা, সৃজনশীলতা ও অধ্যবসায়—এসব মিলিয়েই একজন ব্যক্তি দক্ষ হ্যাকার হয়ে উঠতে পারেন। একটি প্রতিষ্ঠানের নিরাপত্তাব্যবস্থা বাইপাস করা এবং ব্যক্তিগত তথ্য বা সুরক্ষিত ডেটাবেইসে প্রবেশ করতে পারা কিন্তু সহজ কথা নয়। অবশ্য ‘হোয়াইট হ্যাট’ হ্যাকিংয়ে সিস্টেমের নিরাপত্তার উন্নতির জন্য বৈধভাবে প্রবেশাধিকার নেওয়া হয়। এ ধরনের হ্যাকিংয়ের মাধ্যমে সংবেদনশীল ডেটা চুরি, ভাইরাস এবং ম্যালওয়্যার আক্রান্ত হওয়ার ঝুঁকি নিরসনের কৌশল নির্ধারণ করা হয়।
‘হ্যাকার’ এবং ‘সাইবার আক্রমণকারী’
‘হ্যাকার’ এবং ‘সাইবার আক্রমণকারী’ দুটি কিন্তু আলাদা বিষয়। অনেকে এটি গুলিয়ে ফেলেন। ‘হ্যাকার’ বলতে বোঝায় ব্যক্তিগত আর্থিক লাভ, তথ্য হাতিয়ে নেওয়া, কোনো বিষয়ে প্রতিবাদ জানানো, বিবৃতি দেওয়া অথবা শুধুই শখের বশে যাঁরা অন্যের সিস্টেমে অনুপ্রবেশ করেন তাঁদের বোঝায়।
অপর পক্ষে সাইবার আক্রমণকারীদের লক্ষ্য থাকে নেটওয়ার্ক এবং কম্পিউটারে অননুমোদিতভাবে প্রবেশ করে আর্থিক লাভ বা গুপ্তচরবৃত্তি করা। এরা সিস্টেমের দুর্বলতাকে ব্যবহার করে শুধুই ব্যক্তিগত লাভ বা ক্ষতি করার জন্য।
বিভিন্ন ধরনের হ্যাকার
এথিক্যাল হ্যাকার (হোয়াইট হ্যাট)
এরা মূলত সিকিউরিটি হ্যাকার। কোনো সিস্টেম বা সফটওয়্যারের দুর্বলতাগুলো চিহ্নিত ও ঠিক করার জন্য তাঁরা সিস্টেমে প্রবেশাধিকার নেন। সিস্টেমে অনুপ্রবেশ করা যায় কি না, সেটি পরীক্ষা এবং দুর্বলতা মূল্যায়ন করেন তাঁরা।
ব্ল্যাক হ্যাট হ্যাকার
ক্র্যাকার (ব্ল্যাক হ্যাট) এমন হ্যাকার যিনি ব্যক্তিগত লাভের জন্য কম্পিউটার সিস্টেমে অবৈধভাবে প্রবেশ করেন। সাধারণত করপোরেট ডেটা চুরি, গোপনীয়তার অধিকার লঙ্ঘন, ব্যাংক অ্যাকাউন্ট থেকে তহবিল স্থানান্তর ইত্যাদি অপরাধমূলক কাজ করেন তাঁরা।
গ্রে হ্যাট হ্যাকার
এ ধরনের হ্যাকাররা এথিক্যাল এবং ব্ল্যাক হ্যাট হ্যাকারদের মাঝামাঝি ক্যাটাগরিতে পড়ে। দুর্বলতা শনাক্ত করতে অবৈধভাবেই সিস্টেমে প্রবেশ করেন। এরপর মালিকের কাছে সেগুলো প্রকাশ করেন। কিন্তু কাজ করার আগে কখনো অনুমতি নেন না।
স্ক্রিপ্ট কিডিস
এঁরা অদক্ষ হ্যাকার। বিভিন্ন প্ল্যাটফর্ম থেকে বিনা মূল্যে বা টাকা দিয়ে কেনা হ্যাকিং সরঞ্জাম ব্যবহার করে অন্যের কম্পিউটার সিস্টেমে অবৈধভাবে প্রবেশ করেন।
হ্যাকটিভিস্ট
এ ধরনের হ্যাকার তাঁর হ্যাকিং দক্ষতা ব্যবহার করে সামাজিক, ধর্মীয় বা রাজনৈতিক বার্তা ছড়িয়ে দিতে চান। তাঁরা সাধারণত একটি ওয়েবসাইট হাইজ্যাক করেন, অর্থাৎ নিয়ন্ত্রণে নিয়ে নেন। এরপর সেই ওয়েবসাইটে নিজেদের বার্তাসংবলিত ব্যানার ঝুলিয়ে দেন।
বাংলাদেশে প্রায়ই এ ধরনের হ্যাকিংয়ের ঘটনা ঘটে। আগামী ১৫ আগস্ট জাতীয় শোক দিবসে দেশে সাইবার হামলার হুমকি দিয়েছে একটি হ্যাকার গ্রুপ। তারাও নিজেদের হ্যাকটিভিস্ট বলে দাবি করেছে।
ফ্রেকার
এ ধরনের হ্যাকাররা কম্পিউটারের পরিবর্তে টেলিফোনের নিরাপত্তা দুর্বলতা চিহ্নিত করেন এবং সেটি কাজে লাগিয়ে উদ্দেশ্য হাসিল করে।
হ্যাকিংয়ের ধরন এবং কৌশল
কম্পিউটার এবং নেটওয়ার্ক হ্যাকিংগুলো বিভিন্নভাবে করা হয়। অত্যন্ত কার্যকর এবং মারাত্মক এসকিউএল ইনজেকশন আক্রমণ থেকে শুরু করে অতি সাধারণ ডিনায়াল অব সার্ভিস অ্যাটাক পর্যন্ত বিভিন্ন ধরনের হ্যাকিং রয়েছে। হ্যাকিং কৌশলগুলোর কিছু কিছুর সঙ্গে সাইবার-আক্রমণের সাধারণ কৌশলগুলোর মিল রয়েছে। হ্যাকিংয়ের সবচেয়ে প্রচলিত কৌশলগুলো নিচে দেওয়া হলো:
ম্যালওয়্যার আক্রমণ
ক্ষতিকর সফটওয়্যার, এটিই ম্যালওয়্যার নামে পরিচিত। এ ধরনের সফটওয়্যার একটি সিস্টেমকে সংক্রমিত করে। ব্যবহারকারীর অজ্ঞাতে অথবা তাঁর সম্মতি ছাড়া পুরো সিস্টেমে এটি ছড়িয়ে পড়ে। এরপর সিস্টেমে রক্ষিত ফাইলের ক্ষতি করে, ডেটা চুরি করে বা অত্যন্ত স্পর্শকাতর তথ্যভান্ডারে অনুপ্রবেশ করে।
র্যানসামওয়্যার আক্রমণ
র্যানসামওয়্যার হলো ম্যালওয়্যারের একটি উন্নত রূপ। এটি আক্রান্তের ডেটা এনক্রিপ্ট করে। অর্থাৎ ব্যবহারকারী তাঁর নিজের ডেটাই আর পড়তে পারেন না। এসব ফাইল পড়তে বা সিস্টেমে প্রবেশাধিকার পুনরুদ্ধার করতে এই হ্যাকাররা মুক্তিপণ দাবি করেন। ব্যাংক অ্যাকাউন্ট, ই-মেইল বা ফেসবুক অ্যাকাউন্ট হ্যাক করে মুক্তিপণ আদায় করাও এ ধরনের হ্যাকিং।
ফিশিং আক্রমণ
ই-মেইল, মোবাইল ফোন বা ওয়েবসাইটের মাধ্যমে বৈধ বা বিশ্বস্ত কনটেন্ট হিসেবে উপস্থাপনের ভান করা হয়—এটি ফিশিং। বন্ধুর নামে ই-মেইল আসা, ই-মেইলে প্রয়োজনীয় লিংক পাঠানো, একটি প্রয়োজনীয় ওয়েবসাইটের মতো ওয়েবসাইটে প্রবেশ করতে প্রলুব্ধ করা, আবার মোটা অঙ্কের লটারি জেতার ই-মেইল করাও এর মধ্যে পড়ে। এসব লিংক বা ওয়েবসাইটে ঢুকলে আপনার সংবেদনশীল তথ্য (যেমন: পাসওয়ার্ড, লগইন সার্টিফিকেট বা আর্থিক ডেটা) হ্যাকাররা হাতিয়ে নিতে পারেন।
ব্রুট ফোর্স অ্যাটাক
ব্রুট ফোর্স অ্যাটাক হলো একটি ট্রায়াল-অ্যান্ড-এরর পদ্ধতি। এ ক্ষেত্রে হ্যাকাররা কোনো ব্যক্তির ব্যবহৃত পাসওয়ার্ড বা এনক্রিপশন কী ক্র্যাক করার জন্য বিভিন্ন সন্নিবেশ বা বিন্যাস দিয়ে চেষ্টা করতে থাকেন। লাখ লাখ বিন্যাস চেষ্টা করার পর হয়তো সফল হন। এ কারণে এটি অত্যন্ত সময়সাপেক্ষ হ্যাকিং। সাধারণত যাঁরা দুর্বল বা পরিচিত পাসওয়ার্ড ব্যবহার করেন, তাঁদের বিরুদ্ধে এটি কার্যকর।
ম্যান-ইন-দ্য-মিডল অ্যাটাক
ডেটা ইভসড্রপিং নামেও পরিচিত। সংবেদনশীল ডেটা বা গোপনীয় তথ্য চুরি করতে বা ক্ষতি করতে এখানে দুটি পক্ষ কাজ করে। একটি পক্ষ প্রত্যক্ষভাবে টার্গেটের সঙ্গে সম্পর্কিত থাকে। আরেকটি পক্ষ তার কাছ থেকে প্রয়োজনীয় তথ্য নেয়।
এসকিউএল ইনজেকশন
যেসব সিস্টেমে এসকিউএল (SQL) ডেটাবেইস ব্যবহার করা হয়, সেগুলোর নিরাপত্তা দুর্বলতাকে ব্যবহার করতে এই কৌশল অবলম্বন করেন হ্যাকাররা। তাঁরা একটি ক্ষতিকর এসকিউএল স্টেটমেন্ট সিস্টেমে প্রবেশ করান। এরপর ডেটাবেইসের নিয়ন্ত্রণ তাঁদের কাছে চলে আসে।
ডিস্ট্রিবিউটেড ডিনায়াল-অব-সার্ভিস অ্যাটাক (ডি-ডস)
এটি সাধারণত ডি-ডস (DDoS) আক্রমণ নামেই পরিচিত। এই কৌশলে টার্গেট সিস্টেম (সার্ভার) বা নেটওয়ার্কে তার সক্ষমতার বেশি ভুয়া ট্রাফিক বা রিকোয়েস্ট পাঠানো হয়। এ কারণে সার্ভার ডাউনের ঘটনা ঘটে। পরিষেবা ব্যাহত বা বিভ্রাটের সৃষ্টি হয়। বাংলাদেশে এই ধরনের সাইবার আক্রমণের ঘটনাই বেশি ঘটে।
আগামী ১৫ আগস্ট জাতীয় শোক দিবসে বাংলাদেশে এ ধরনের সাইবার হামলার হুমকিই দিয়েছে একটি হ্যাকার গ্রুপ।
জিরো-ডে এক্সপ্লোয়েট
ব্যবহারকারী বা সেবাদানকারীর অজ্ঞাতে সফটওয়্যার অ্যাপ্লিকেশন বা কম্পিউটার সিস্টেমের দুর্বলতার সুযোগে অনুপ্রবেশ করা এবং ক্ষতিসাধন করা।
ক্রস-সাইট স্ক্রিপ্টিং (XSS) আক্রমণ
ব্যবহারকারী কোনো ওয়েবপেজ ভিজিট করলে সেখান থেকেই হ্যাকারের কবলে পড়তে পারেন। তাঁর বিভিন্ন অ্যাকাউন্ট এবং কম্পিউটার হ্যাকারের দখলে চলে যেতে পারে। হ্যাকাররা ওই ওয়েব অ্যাপের নিরাপত্তা দুর্বলতার সুযোগ সেখানে ক্ষতিকর স্ক্রিপ্ট রেখে দেওয়ার মাধ্যমে এটি করেন।
সেশন হাইজ্যাকিং
ম্যান-ইন-দ্য-মিডল অ্যাটাক আক্রমণের মতোই, সেশন হাইজ্যাকিংয়ে একটি সক্রিয় সেশন টোকেন বা কুকি চুরি করে ব্যবহারকারীর অ্যাকাউন্ট বা কম্পিউটার সিস্টেমে প্রবেশ করেন হ্যাকার।
ক্রেডেনশিয়াল রিইউজ অ্যাটাক
অন্য কোনো হ্যাকারের মাধ্যমে বা ত্রুটির কারণে চুরি যাওয়া বা ফাঁস হওয়া লগইন ক্রেডেনশিয়াল (নাম, জন্মতারিখ, পাসওয়ার্ড ইত্যাদি) ব্যবহার করে তথ্য চুরি বা কম্পিউটার সিস্টেমের নিয়ন্ত্রণ নিয়ে ফেলেন হ্যাকার।
DNS টানেলিং
সুরক্ষা ব্যবস্থাগুলোকে বাইপাস করতে এবং নেটওয়ার্ক থেকে ডেটা হাতিয়ে নিতে ডোমেইন নেটওয়ার্ক সিস্টেম (DNS) প্রোটোকল ব্যবহার করেন হ্যাকাররা।
কোন ডিভাইসগুলো সবচেয়ে ঝুঁকিপূর্ণ
ল্যাপটপ, ব্যক্তিগত কম্পিউটারের মতো সাধারণ কম্পিউটার সিস্টেমগুলো হ্যাকারদের প্রধান লক্ষ্য। এ ছাড়া স্মার্টফোন, ট্যাবলেট, ইন্টারনেট অব থিংস (IoT) ডিভাইস যেমন: স্মার্ট হোম অ্যাপ্লায়েন্স, সিকিউরিটি ক্যামেরা, মেডিকেল ডিভাইস; নেটওয়ার্ক রাউটার, ওয়াই-ফাই সিগন্যাল ডিস্ট্রিবিউটর, ব্যাংকের এটিএম, নিরাপত্তা ক্যামেরা, আইপি ক্যামেরা, স্মার্ট টিভি, স্মার্ট অ্যাপ্লায়েন্স ইত্যাদি ডিভাইস টার্গেট করেন হ্যাকাররা।
হ্যাকারদের কবল থেকে সুরক্ষার উপায়