ফোনে যখন কোন ডেটা বা কথা আদানপ্রদান হয়, সেটা কীভাবে আরেকজনের হাতে যেতে পারে? ফোন কীভাবে হ্যাক করা হতে পারে?
নিচে একটা খুব সরল করে আঁকা দুইটা ফোনের কথার নেটওয়ার্ক ডায়াগ্রাম। কামাল নামে এক লোক খলিল নামে আরেকজনের সাথে কথা বলছে (বা এসএমএস করছে)
[কামাল, ফোন ১]—[মোবাইল টাওয়ার ১]—[মোবাইল কোম্পানি ১]—[মোবাইল কোম্পানি ২]—[মোবাইল টাওয়ার ২]—[খলিল, ফোন ২]ধরি, আড়িয়াল খাঁ নামে একজন আড়ি পাততে চায় এই কথায়। আড়িয়াল খাঁ কী করতে পারে?
১। সে মোবাইল টাওয়ারটা দখল নিতে পারে। অথবা সে আরো শক্তিশালী একটা মোবাইল টাওয়ার নিয়ে কামালের আশেপাশে ঘুরঘুর করতে পারে। কামালের ফোন অন হওয়া মাত্র সেটা সবচাইতে শক্তিশালী টাওয়ারের সাথে সংযুক্ত হয়ে যাবে। যেহেতু এটা আড়িয়াল খা-র নিয়ন্ত্রনে, আড়িয়াল খাঁ এবার সব কথা শুনতে পাবে বা এসএমএস কপি করতে পারবে।
এই ধরনের টাওয়ারগুলিকে IMSI (ইমসি) Catcher বলা হয়। বাংলাদেশের কিছু সরকারী সংস্থা এই ধরনের যন্ত্র ব্যবহার করে। যথেষ্ট টাকা থাকলে বেসরকারী খাতেও এটা পাওয়া সম্ভব। অ্যামেরিকার রাজধানীতে এটার হদিস পাওয়া গিয়েছে—বিদেশী কোন গুপ্তচররা ব্যবহার করছিল বলে সন্দেহ করা হয়। অ্যামেরিকান পুলিশও এটা নিয়মিত ব্যবহার করে।
২। আড়িয়াল খাঁ মোবাইল কোম্পানিতে কাজ করে, অথবা কাউকে সে টাকা দিয়ে কিনে নিয়েছে। সে অফিস থেকে কথা শুনতে পারে। অথবা আড়িয়াল খাঁ বাংলাদেশ সরকারের একজন কর্মচারি, এবং তার আদেশ অনুযায়ী মোবাইল কোম্পানি তাকে সব কথা ও এসএমএস পাঠাতে বাধ্য। বাংলাদেশ সরকারের একটা সংস্থা আছে যাদের কাজ ফোনে আড়ি পাতা।
৩। কিন্তু এগুলি তো ফোনের কথা বা এসএমএস। কেউ যদি হোয়াটস অ্যাপ বা টেলিগ্রাম বা সিগন্যাল, এই ধরনের কোন অ্যাপ ব্যবহার করে যেটা সব কথা বা চ্যাট এনক্রিপ্ট (এমন ভাবে এলোমেলো করা যে সঠিক চাবি ছাড়া সেটা বোঝা যাবে না) করা? তাহলে আড়িয়াল খাঁ ইমসি ক্যাচার ব্যবহার করুর, আর মোবাইল কোম্পানিতেই আড়ি পাতুক, সে হিবিজিবি ছাড়া আর কিছু পাবে না।
এই হিবিজিবিকে কথা বা টেক্সটে কীভাবে নেয়া যায়? সেটার জন্য তিনটা পদ্ধতি আছে
৩.১। কামাল বা খলিল, যে কোন একজন কল রেকর্ডার ব্যবহার করে কলগুলি রেকর্ড করেছে, বা তাদেরকে টাকা দিয়ে বা ভয় দেখিয়ে বাধ্য করা হয়েছে
৩.২। কামাল বা খলিল, যে কোন একটা ফোনে একটা স্পাইঅয়্যার ইন্সটল করা হয়েছে, যেটা গোপনে কল রেকর্ডারের মতই সব কথা রেকর্ড করছে এবং আড়িয়াল খাঁ-র কাছে পাঠাচ্ছে
৩.৩। ফোনে এনক্রিপ্ট করার জন্য ডিজিটাল সার্টিফিকেট বলে এক ধরণের তথ্য ব্যবহার করা হয়। আড়িয়াল খাঁ যদি কোনভাবে তার নিয়ন্ত্রনের একটা ডিজিটাল সার্টিফিকেট ফোনে ইন্সটল করতে পারে, তাহলে সে উপরের (৩র) হিবিজিবিকে কথা বা টেক্সটে ফেরত নিতে পারবে। আড়িয়াল খাঁ কীভাবে এই ডিজিটাল সার্টিফিকেট বসাবে?
২০১৫তে বাংলাদেশে একটা প্রস্তাব এসেছিল, সরকারী ডিজিটাল সার্টিফিকেট কম্পিউটারে বা ফোনে ইন্সটল না করলে ইন্টারনেটে যাওয়া যাবে না। এটা বেশিদূর যাওয়ার আগেই কাজাকিস্তান একই কাজ করে বসে, এবং অ্যাপল, গুগল ইত্যাদি তাদেরকে বয়কট করে। ফলে কাজাকিস্তান সেটা থেকে সরে আসে, এবং বাংলাদেশ কিছুই না করে থেমে যায়।
তারপর ২০১৯এ এবং অবশেষে ২০২০-র ডিসেম্বরে কাজাকিস্তান তার রাজধানীতে আবার এই কাজ করেছে, এবং আবার ফায়ারফক্স, গুগল ইত্যাদি তার বিরুদ্ধে প্রতিবাদ করে সব বন্ধ করে দিয়েছে। ফলে তারা আবার পিছু হটেছে।
৪। ধরি হাবিব নামে একজন হ্যাকার কামালের ফোনে আড়ি পাততে চায়। সে পাতি হ্যাকার, তার ইমসি ক্যাচার নাই, ফোন কোম্পানির কর্মচারিকে ঘুষ দেয়ার বা ভয় দেখানোর ক্ষমতাও নাই, এবং সরকারী যন্ত্রপাতি সে ব্যবহার করতে পারবে না। সে কী কী করতে পারবে?
৪.১। সে FreeWifi নামে একটা ওয়াইফাই চালু করতে পারে। কামাল যদি সেটায় সংযুক্ত হয়, তখন সে তাদের ফোনকে হ্যাক করার চেষ্টা করতে পারবে। খেয়াল রাখতে হবে, ওয়াইফাই দিয়ে হ্যাকার হাবিব ফোনের কথা শুনতে বা এসএমএস পড়তে পারবে না, সে শুধু ডেটা ধরতে পারবে। হ্যাকার হাবিব যেহেতু কামাল আর ইন্টারনেটের মধ্যে ঢুকে গিয়েছে, সে এখন কামাল যদি গুগল বা ফেইসবুকে যাওয়ার চেষ্টা করে, তাহলে সে একটা নকল গুগল বা ফেইসবুক পেইজ তাকে দিতে পারবে যা সে আগেই তৈরি করে রেখেছিল।
কামাল যখন সেই নকল পেইজে লগইন করার চেষ্টা করবে, হাবিব কামালের গুগল ইউজার আইডি আর পাসওয়ার্ড পেয়ে যাবে। এখন সে গুগল প্লে স্টোরে লগইন করে কামালের ফোনে অ্যাপ ইন্সটল করতে পারবে (তার পরেও আরো প্রতিবন্ধক থাকতে পারে, সেই ডিটেইলে যাচ্ছি না)
৪.২ ধরলাম হাবিব অন্য শহরে থাকে, বা কামালের আশেপাশে ওয়াইফাই সেট করা তার জন্য সম্ভব না। তাহলে সে কী করতে পারে? সে একটা ইমেইল করতে পারে, বা মেসেঞ্জারে একটা মেসেজ দিতে পারে: “সুখবর! ঈদ উপলক্ষে প্রেসিডেন্ট আপনাকে ৫০০০ টাকা দিচ্ছেন।
এই লিংকে গিয়ে আপনার ফোন নাম্বার, এনআইডি নাম্বার দিয়ে গুগলে লগইন করে তথ্য দিলেই আপনি বিকাশে টাকাটা পেয়ে যাবেন। কামাল যখন গুগল ভেবে একটা নকল পেইজে তার গুগল ইউজার আইডি আর পাসওয়ার্ড দিল, হাবিব সেটা পেয়ে গেল (এটাকে phishing, ফিশিং বলা হয়)।
বিশেষ করে মেয়েদেরকে ফিশিং করার একটা সহজ পদ্ধতি হচ্ছে, একটা মেসেজ পাঠানো যেখানে বলা হয়েছে এই পেইজে তোমার নামে খুব বাজেবাজে কথা বা ছবি দেয়া হচ্ছে।
৪.৩। সাধারণ হ্যাকারের পক্ষে সম্ভব না, তবে সিনেমায় এমনটা দেখা যায় মাঝে মাঝে। কামালকে একজন সুন্দরী মহিলা মিষ্টি হাসি দিল। কামাল তার দিকে তাকানোতে ব্যাস্ত, আর হাবিব এসে তার ফোনটা তুলে নিয়ে একটা স্পাইঅয়্যার বা
ডিজিটাল সার্টিফিকেট ইন্সটল করে দিল।
৪.৪। বিভিন্ন দেশের অনেক হ্যাকার অন্য একটা আপাতদৃষ্টিতে নিরীহ অ্যাপের আড়ালে স্পাইঅয়্যার ইন্সটল করে রাখে। ডার্ক ওয়েবে সার্চ করে যদি কামালের ফোন নাম্বার পাওয়া যায় সেই স্পাইঅয়্যারের নিয়ন্ত্রনের তালিকায়, তাহলে টাকা দিয়ে সেই স্পাইঅয়্যারের নিয়ন্ত্রন কেনা বা ভাড়া করা যায়
তাছাড়াও ডার্ক ওয়েবে কিছু হ্যাকার (হ্যাকার হাবিবের জন্য) আর কিছু সিকিউরিটি কোম্পানি (সরকারী আড়িয়াল খা-র জন্য) ডিজিটাল অস্ত্র (এক্সপ্লয়েট) বিক্রি করে, যেগুলি দিয়ে ফোনের অপারেটিং সিস্টেমকে হ্যাক করা যায়।
সেটা দিয়েও ওয়্যারলেস নেটওয়ার্কে সংযুক্ত ফোনের খোঁজ পাওয়া গেলে সেগুলিকে হ্যাক করা সম্ভব। আগে কোনদিন ব্যবহার করা হয় নাই, এমন সব ডিজিটাল অস্ত্র মিলিয়ন ডলারেও বিক্রি হয়েছে।
আর এগুলি কিছুই যদি কাজ না করে? তাহলে পথে কামালকে আটকে হাইজ্যাকিংএর নাটক সাজিয়ে তার ফোনে স্পাইঅয়্যার ইন্সটল করে দেয়া যেতে পারে। কামালের বাসার কাজের লোককে ঘুষ দিয়ে তার ফোন হাতে পাওয়া যেতে পারে।
এগুলিই সব পদ্ধতি না, আরো অনেক আছে, তবে এইগুলি সবচাইতে বেশি ব্যবহৃত
ফোনের বদলে যদি কম্পিউটার হয়, তাহলে মোবাইল টাওয়ারের বদলে ইন্টারনেট কানেকশন, মোবাইল কোম্পানির বদলে আইএসপি বসিয়ে নিলেই হবে। সেখানে ইমসি ক্যাচার চলবে না, তবে যেহেতু কম্পউটার একই জায়গায় স্থির, সেটার ডেটা ধরা আরো সহজ।
কিন্তু তাহলে কী আমরা সব সময় ভয়ে ভয়ে থাকবো? না, তবে সাবধানে থাকতে হবে। অপরিচিত সফটওয়্যার ইন্সটল করার সময় সাবধান। হঠাত করে টাকার লোভ, বা ভয় দেখানো মেসেজে পাঠানো কোন লিংকে লগইন করার সময় খুব সাবধান। পেইজের অ্যাড্রেস দেখে নিশ্চিন্ত হতে হবে এটা আসলেই গুগল বা ফেইসবুক পেইজ কি না।
আর যদি সন্দেহ হয় ফোন হ্যাক হয়েছে? অ্যান্টি ভাইরাস বা অ্যান্টি ম্যালওয়্যার দিয়ে চেষ্টা করা যেতে পারে, তবে সবচাইতে ভাল হচ্ছে যদি ফোনটা ফ্যাক্টরি রিসেট করা হয় যাতে সব মুছে নিশ্চিহ্ন হয়ে যায়।
তথ্যসূত্রঃ
বাংলাদেশ সরকারের ইমসি ক্যাচার কেনার টেন্ডার। এই প্রযুক্তি নিয়ে আরো অনেক খবর এসেছে ইদানিং, সেখানে গেলাম না https://cptu.gov.bd/advertisement-goods/details-64594.html
কাজাকিস্তানের ২০১৫তে বাধ্যতামূলক ডিজিটাল সার্টিফিকেট বসানো নিয়ে একটা খবর
https://slate.com/technology/2015/12/kazakhstan-wants-citizens-to-download-a-mandatory-national-security-certificate.html
কাজাকিস্তান ২০২০
https://www.zdnet.com/article/kazakhstan-government-is-intercepting-https-traffic-in-its-capital/