সরকারি ওয়েবসাইটের বেহাল দশা

আইরিন সুলতানা

কোটা সংস্কার আন্দোলনের মধ্যে গুরুত্বপূর্ণ কয়েকটি রাষ্ট্রীয় দপ্তরের ওয়েবসাইট কয়েক ঘণ্টা হ্যকারদের নিয়ন্ত্রণে থাকার পর একটি প্রশ্ন আবার ফিরে এসেছে- সাইবার নিরাপত্তার নতুন চ্যালেঞ্জ নিতে বাংলাদেশ কতটা প্রস্তুত?
সাইবার নিরাপত্তা বিশেষজ্ঞ, এ বিষয়ে দায়িত্বে থাকা সরকারি কর্মকর্তা এবং এক সময় হ্যাকিংয়ে যুক্ত থাকা একজনের সঙ্গে কথা বলে সেই প্রশ্নের উত্তর খোঁজার চেষ্টা চলেছে।
গত কয়েক বছর ধরে দেশি-বিদেশি বিভিন্ন হ্যাকার সংগঠন বাংলাদেশের সরকারি ও বেসরকারি ওয়েবসাইটগুলোতে হানা দিয়েছে। তবে সরকারি ওয়েবসাইটগুলো তাদের হামলার অন্যতম লক্ষ্য, কেননা তাতে আলোচনা বেশি হয়, ‘বেশি সক্ষমতার পরিচয়’ দেওয়া যায়।
এ বিষয়ে জানতে চাইলে ফাইবার অ্যাট হোমের প্রধান প্রযুক্তি কর্মকর্তা সুমন আহমেদ সাবির বলেন, ”সরকারি সাইটগুলো সব সময় হ্যাকারদের খুব পছন্দের টার্গেট। তাছাড়া সরকারি সাইটগুলো নিয়মিত পরিচর্যায় থাকে না। সিকিউরিটি আপডেট করার যে প্রক্রিয়া তা হয়ত ঠিকঠাক নেই। সেজন্য সরকারি সাইটগুলো অনেক বেশি ভালনারেবল।” অবশ্য বাংলাদেশের সরকারি সাইটগুলো হ্যাকারদের জন্য ‘সহজ শিকার’ বলে মানতে রাজি নন প্রধানমন্ত্রীর কার্যালয়ের এটুআই প্রকল্পের সাবেক পিপলস পারস্পেকটিভ স্পেশালিস্ট মো. নাইমুজ্জামান মুক্তা। তিনি বলেন, “হোয়াইট হাউজ, এফবিআইয়ের মত স্পর্শকাতর সাইটগুলোও কিন’ নিয়মিত হ্যাকিংয়ের ঝুঁকিতে থাকে।”
সরকারি চাকরিতে কোটা সংস্কারের দাবিতে শিক্ষার্থীদের লাগাতার আন্দোলনের মধ্যে গত ১১ এপ্রিল রাতে সরকারের গুরুত্বপূর্ণ কয়েকটি দপ্তরের ওয়েবসাইটে হানা দেয় হ্যাকাররা। সেখানে বসিয়ে দেয় কোটা সংস্কার আন্দোলনের বার্তা। রাতেই ওয়েবসাইটগুলো পুনরুদ্ধারের প্রক্রিয়া শুরু হয় এবং কয়েক ঘণ্টা পর ওয়েবসাইটগুলো স্বাভাবিক অবস’ায় ফেরে। অবৈধভাবে কোনো ওয়েবসাইটের নিয়ন্ত্রণ নেওয়ার ক্ষেত্রে হ্যাকাররা বিভিন্ন কৌশল ব্যবহার করতে পারে। সে কোনো পরিবর্তন এনে নিজের উপসি’তির জানান দিতে পারে, আবার তথ্য চুরি বা ওয়েবসাইটের ক্ষতিও করতে পারে। সাইবার ৭১ হ্যাকার দলের সাবেক একজন সদস্য জানান, ১১ এপ্রিলের হ্যাকিংয়ের ধরণটি ছিল ‘ডিফেসিং’। এ ধরনের ক্ষেত্রে হ্যাকার ওই ওয়েবসাইটের নিরাপত্তা ভেঙে প্রবেশ করে প্রচ্ছদ বদলে দেন। অর্থাৎ চেহারা বদলে দেন। কখনও কখনও সাইটে কোনো পরিবর্তন না এনে ওই ওয়েবপৃষ্ঠাকে রিডাইরেক্ট করে দেওয়া হয় অন্য কোনো লিংকে। ডিফেসিংয়ে এমনিতে সাইটের বড় কোনো ক্ষতি হয় না। তবে কখনও কখনও সার্ভার থেকে তথ্য নষ্ট করা বা ম্যালওয়্যার আপলোড করার কাজ চলে ডিফেসিংয়ের আড়ালে। সাবেক ওই হ্যাকার বলেন, “হ্যাকার যদি ‘সুপারইউজার’ এক্সেস নিয়ে নিতে পারে, তাহলে ওই সার্ভারে যতগুলো ওয়েবসাইট থাকবে সবই হ্যাকারের নিয়ন্ত্রণে চলে আসবে।” ওই রাতের ঘটনা নিয়ে নাইমুজ্জামান মুক্তা বলেন, হ্যাকারদের হাতে সাইটের নিয়ন্ত্রণ ছিল এক থেকে দেড় ঘণ্টার মত।
“তারা হোম পেইজের ওপরে আরেকটি লেয়ার তৈরি করেছিল। তবে কনটেন্টের কোনো ক্ষতি করতে পারেনি।” হ্যাকিংয়ের ঘটনার দিন তথ্য প্রযুক্তি প্রতিমন্ত্রী জুনাইদ আহমেদ পলক দাবি করেছিলেন, ‘বিদেশ থেকে পরিকল্পিতভাবে’ ওই সাইবার হামলা চালানো হয়। তবে মুক্তা বলছেন, আক্রমণের ঘটনাটি দেশের ভেতর থেকেই হয়েছিল। “এখন তো ফরেনসিক ল্যাব রয়েছে। এটা এখন দেখা যায় কোথা থেকে অ্যাটাক হয়েছে, অরিজিন কোথায়।”

সুরক্ষিত?
সাইবার ৭১ হ্যাকার দলের সাবেক হ্যাকার বলেন, ওয়েবসাইট কোন ল্যাংগুয়েজে তৈরি হয়েছে, কোন ফ্রেমওয়ার্কে করা হয়েছে, কোন সার্ভারে রয়েছে এসব তথ্য থেকে একজন হ্যাকার নিরাপত্তার সম্ভাব্য খুঁত খুঁজতে পারেন এবং সেই খুঁত ধরে হানা দিতে পারেন। “এসব ক্ষেত্রে ক্রেডেনশিয়াল খুব গুরুত্বপূর্ণ। ওয়েবসাইট মুছে গেলেও ব্যাকআপ থেকে সাইট দাঁড় করানো যাবে। কিন’ পাসওয়ার্ড হাতছাড়া হলে পুরো সিসটেম বেদখল হয়ে যেতে পারে।” এটুআই প্রকল্পের সাবেক বিশেষজ্ঞ নাইমুজ্জামান মুক্তাও মানছেন, সহজ পাসওয়ার্ড ব্যবহার করা এবং পাসওয়ার্ড পরিবর্তন না করা একটি বড় চ্যালেঞ্জ এবং সরকারি ওয়েবসাইটের ক্ষেত্রে এটা অতিক্রম করা সহজ নয়। তারপরও চেষ্টা করা হচ্ছে। বাংলাদেশের ন্যাশনাল পোর্টালের প্রাথমিক সব কাজ শুরু হয়েছিল এটুআই থেকে। পরে পোর্টাল মেইনটেন্যান্স ও এনহ্যান্সমেন্টের দায়িত্ব দেওয়া হয় ট্যাপওয়্যার সলিউশনস লিমিটেডকে। এর প্রধান প্রযুক্তি কর্মকর্তা নিটন মোহাম্মদ কামরুজ্জামান বলেন, ওয়েবসাইট হ্যাকারের দখলে গেলেই বলা যাবে না যে ডেটা চুরি গেছে। আবার ওয়েবসাইট হ্যাক হলে ডেটা হ্যাক হবে না- এটাও নিশ্চিত করে বলা যায় না। তবে লগ থেকে সব তথ্যই জানা সম্ভব। “যেহেতু ন্যাশনাল পোর্টালের কাজের সাথে আমি সরাসরি যুক্ত, তাই বলতে পারি, এটা হ্যাক করা সহজ নয়। তবে যেসব সরকারি পোর্টাল এখনও ন্যাশনাল পোর্টাল ফ্রেমওয়ার্কের বাইরে, সেগুলো অনেক বেশি ঝুঁকিতে আছে।”
কামরুজ্জামান জানান, সরকারের সার্বিক কার্যক্রমে কেন্দ্রীয় ও মাঠ পর্যায়ে ৫০ হাজারের বেশি অফিস রয়েছে। গত পাঁচ-ছয় বছর ধরে এসব অফিসের ওয়েবসাইটগুলোকে ন্যাশনাল ওয়েবপোর্টালের আওতায় নিয়ে আসার কাজ চলছে। “ইতোমধ্যে ৪৮ হাজার সাইট ন্যাশনাল ফ্রেমওয়ার্কে চলেও এসেছে। তবে প্রশাসনিক কারণে অনেক সাইট এখনও বাইরে রয়েছে। সব মন্ত্রণালয়কেও এখনও আনা যায়নি।”
‘হ্যাকড বাই বাংলাদেশ’ আক্রমণের পর ওয়েবসাইটের কনটেন্টের কোনো ক্ষতি ছাড়াই কয়েক ঘণ্টার মধ্যে পুরো সাইট ফিরিয়ে আনতে পারাকে ‘সক্ষমতা’ হিসেবে দেখতে চান এটুআইয়ে কাজ করা নাইমুজ্জামান মুক্তা। “২০১০ সালে জেলা তথ্য বাতায়নে একযোগে আক্রমণ হয়েছিল। তখন সেগুলো রিকভার করতে আমাদের সময় লেগেছিল। আমরা এর মাঝে ন্যাশনাল ডেটা সেন্টার ব্যবস’াপনা আর ডিজাস্টার রিকভারিতে সক্ষমতা বাড়াতে পেরেছি। এখন আমাদের অ্যালার্ট সিসটেম রয়েছে। সাইটে আক্রমণ হলে আমরা অ্যালার্ট পেয়ে যাই। সাইটগুলোতে এখন কয়েক স্তরের নিরাপত্তা যুক্ত করা হয়েছে।”

দুর্বলতার কারণ
কামরুজ্জামানের মতে, বাংলাদেশে সাইবার নিরাপত্তা কাঠামোর দুর্বলতার দুটো বড় কারণ হল জনবল ও বাজেটের অভাব। “সিকিউরিটি হচ্ছে প্রথম কথা। কিন’ বাজেট সমস্যার কারণে অনেক সময় নিয়মিত পরীক্ষা করা হয় না। অন্যদিকে সিকিউরিটি সেলের প্রয়োজনীয় কাঠামো থাকলেও সেজন্য যে জনবল দরকার তা নেই।” ফাইবার অ্যাট হোমের সুমন আহমেদ সাবিরও এ বিষয়ে কামরুজ্জামানের সঙ্গে একমত।
“জনবলের অভাবে রয়েছে, এ বিষয়ে সন্দেহ নেই। সাইবার সিকিউরিটি একটি বিশেষায়িত ক্ষেত্র। এখানে যাদের দায়িত্ব দেওয়া হয়, লম্বা সময় তাদের এ বিষয়ে কাজ করার সুযোগ দিতে হবে। তবে সবচেয়ে বড় সমস্যা হল, আজকে একজন যে দায়িত্বে আছেন, এক বছর পরে তিনি অন্যখানে চলে যান। আজকে যিনি আইটিতে ছিলেন, এরপর তিনি হয়ত কৃষি মন্ত্রণালয়ে কাজ করছেন। এর ফলে স্পেশালাইজড হিউম্যান রিসোর্স তৈরি হয় না।”
অ্যাস্পায়ার টেক সার্ভিসেস অ্যান্ড সলিউশনসের প্রধান প্রযুক্তি কর্মকর্তা আইনুল তানজিল দীর্ঘদিন ধরে যুক্তরাষ্ট্রে সাইবার নিরাপত্তা নিয়ে কাজ করছেন। একটি ওয়েবসাইটকে সুরক্ষিত রাখতে কোডিং করার সময় গাইডলাইনগুলো মেনে চলার ওপর জোর দিচ্ছেন তিনি।
“সরকারি হোক বা বেসরকারি, ওয়েবসাইট ডেভেলপমেন্টের সময় কোনো প্রফেশনাল সাইবার সিকিউরিটি প্রতিষ্ঠানের সহায়তায় এর অ্যাসেসমেন্ট করা উচিৎ।”
সামপ্রতিক হ্যাকিংয়ের ঘটনায় তথ্যচুরির কোনো খবর এখনও আসেনি। কিন’ বাংলাদেশ ব্যাংকের রিজার্ভ চুরির মত আরেকটি ঘটনা ঘটলে বিনিয়োগকারীদের কাছে বাংলাদেশের ভাবমূর্তি বড় ধরনের ঝুঁকিতে পড়বে বলে সতর্ক করে দেন তিনি। ২০১৬ সালে সাইবার জালিয়াতির মাধ্যমে নিউ ইয়র্ক ফেডারেল রিজার্ভে রাখা বাংলাদেশ ব্যাংকের ৮ কোটি ১০ লাখ ডলার হাতিয়ে নেওয়ার ঘটনাটি বিশ্বজুড়ে আলোচিত ছিল।
নাইমুজ্জামান মুক্তা মনে করেন, ইথিকাল হ্যাকারের (যারা হ্যাক করেন নিরাপত্তা ত্রুটি ধরিয়ে দেওয়ার জন্য, প্রকারান্তরে সাইট সুরক্ষিত করতে সহায়তা করার জন্য) সহায়তা নিয়ে খুঁত জেনে সিসটেমকে সুরক্ষিত করা দুর্বলতা কাটানোর একটি ভালো উপায় হতে পারে। “সরকার নিয়মিত হ্যাকাথন আয়োজন করে। ইথিকাল হ্যাকারদের আমরা আমন্ত্রণ জানাই। হ্যাক করাও একটি সক্ষমতা। একে আমরা নেতিবাচকভাবে দেখি না। বরং এখান থেকে আমরা ট্যালেন্ট হান্ট করি।”
সাইবার ৭১ হ্যাকার দলের সাবেক সেই হ্যাকার এ বিষয়ে বলেন, “একজন হ্যাকার কোন উদ্দেশ্যে হ্যাকিং করছে এটা একেবারেই তার ব্যক্তিগত চিন্তা। খারাপ উদ্দেশ্যেও হতে পারে, আবার জাস্ট ফর ফানও হতে পারে। “তবে বাংলাদেশে যেসব হ্যাকার দল ছিল, তারা এখন মূলত হোয়াইট হ্যাটে যোগ দিচ্ছে। তারা বাংলাদেশের হয়েই কাজ করছে।”