তথ্য প্রযুক্তি | Information & Technology

ফোনে, হোয়াটস অ্যাপে/ভাইবারে আড়ি পাতে কারা ও কীভাবে?

৪ বছর আগে
জাভেদ ইকবাল

দেখুন থিংকের ভিডিও হ্যাকিং কীভাবে করে? অনলাইনে কীভাবে নিরাপদে থাকবেন?

হ্যাকিং শিখতে চান কি? হ্যাকিং শিখতে চাইলে কীভাবে শেখা যায় এই প্রশ্ন অনেকের। হ্যাকিং শিখতে চাইলে প্রোগ্রামিং ভাষা সম্পর্কে সম্যক জ্ঞান থাকা লাগবে। কম্পিউটার প্রোগ্রামিং বা অপারেটিং সিস্টেম, নেটওয়ার্কিং, ডেটাবেস ইত্যাদি বিষয়ে কোনো ধারণা না থাকলে হ্যাকিং শেখা যাবে না।

গার্ডিয়ান রিপোর্ট করেছে এবং প্রথম আলো ও অন্যান্য বাংলাদেশী খবরের কাগজ ও পোর্টাল সেটা পুনঃপ্রকাশ করেছে যে ইসরাইলি NSO কোম্পানির "পেগাসাস" স্পাইওয়্যার দিয়ে সৌদি আরব ও আরো কিছু দেশ বিশ্ব জুড়ে মোট প্রায় ৫০,০০০ ফোনে (ফোন, টেক্সট মেসেজ, হোয়াটসঅ্যাপ, টেলিগ্রাম সহ সব কিছুতে) আড়ি পাতার তথ্য তারা পেয়েছে।

এই ধরণের স্পাইঅয়্যার ছাড়াও ফোনে আড়ি পাতা যাব। মূলত সেই ধরণের অন্য কয়েকটা পদ্ধতি নিয়ে এই লেখা।

ফোনে যখন কোন ডেটা বা কথা আদানপ্রদান হয়, সেটা কীভাবে আরেকজনের হাতে যেতে পারে? ফোন কীভাবে হ্যাক করা হতে পারে? মামুনুল বা অন্যান্যদের কথাবার্তার রেকর্ড কীভাবে পাওয়া যায়?

নিচে একটা খুব সরল করে আঁকা দুইটা ফোনের কথার নেটওয়ার্ক ডায়াগ্রাম। কামাল নামে এক লোক খলিল নামে আরেকজনের সাথে কথা বলছে (বা এসএমএস করছে)

[কামাল, ফোন ১]---[মোবাইল টাওয়ার ১]---[মোবাইল কোম্পানি ১]---[মোবাইল কোম্পানি ২]---[মোবাইল টাওয়ার ২]---[খলিল, ফোন ২]

ধরি, আড়িয়াল খাঁ নামে একজন আড়ি পাততে চায় এই কথায়। আড়িয়াল খাঁ কী করতে পারে?

১। সে মোবাইল টাওয়ারটা দখল নিতে পারে। অথবা সে আরো শক্তিশালী একটা মোবাইল টাওয়ার নিয়ে কামালের আশেপাশে ঘুরঘুর করতে পারে। কামালের ফোন অন হওয়া মাত্র সেটা সবচাইতে শক্তিশালী টাওয়ারের সাথে সংযুক্ত হয়ে যাবে। যেহেতু এটা আড়িয়াল খা-র নিয়ন্ত্রনে, আড়িয়াল খাঁ এবার সব কথা শুনতে পাবে বা এসএমএস কপি করতে পারবে। এই ধরনের টাওয়ারগুলিকে IMSI (ইমসি) Catcher বলা হয়। বাংলাদেশের কিছু সরকারী সংস্থা এই ধরনের যন্ত্র ব্যবহার করে। যথেষ্ট টাকা থাকলে বেসরকারী খাতেও এটা পাওয়া সম্ভব। অ্যামেরিকার রাজধানীতে এটার হদিস পাওয়া গিয়েছে—বিদেশী কোন গুপ্তচররা ব্যবহার করছিল বলে সন্দেহ করা হয়। অ্যামেরিকান পুলিশও এটা নিয়মিত ব্যবহার করে।

২। আড়িয়াল খাঁ মোবাইল কোম্পানিতে কাজ করে, অথবা কাউকে সে টাকা দিয়ে কিনে নিয়েছে। সে অফিস থেকে কথা শুনতে পারে। অথবা আড়িয়াল খাঁ বাংলাদেশ সরকারের একজন কর্মচারি, এবং তার আদেশ অনুযায়ী মোবাইল কোম্পানি তাকে সব কথা ও এসএমএস পাঠাতে বাধ্য। বাংলাদেশ সরকারের একটা সংস্থা আছে যাদের কাজ ফোনে আড়ি পাতা।

৩। কিন্তু এগুলি তো ফোনের কথা বা এসএমএস। কেউ যদি মেসেঞ্জার বা এই ধরনের কোন অ্যাপ ব্যবহার করে যেটা সব কথা বা চ্যাট এনক্রিপ্ট (এমন ভাবে এলোমেলো করা যে সঠিক চাবি ছাড়া সেটা বোঝা যাবে না) করা? তাহলে আড়িয়াল খাঁ ইমসি ক্যাচার ব্যবহার করুর, আর মোবাইল কোম্পানিতেই আড়ি পাতুক, সে হিবিজিবি ছাড়া আর কিছু পাবে না। এই হিবিজিবিকে কথা বা টেক্সটে কীভাবে নেয়া যায়? সেটার জন্য তিনটা পদ্ধতি আছে

৩.১। কামাল বা খলিল, যে কোন একজন কল রেকর্ডার ব্যবহার করে কলগুলি রেকর্ড করেছে, বা তাদেরকে টাকা দিয়ে বা ভয় দেখিয়ে বাধ্য করা হয়েছে

৩.২। কামাল বা খলিল, যে কোন একটা ফোনে একটা স্পাইঅয়্যার ইন্সটল করা হয়েছে, যেটা গোপনে কল রেকর্ডারের মতই সব কথা রেকর্ড করছে এবং আড়িয়াল খাঁ-র কাছে পাঠাচ্ছে

৩.৩। ফোনে এনক্রিপ্ট করার জন্য ডিজিটাল সার্টিফিকেট বলে এক ধরণের তথ্য ব্যবহার করা হয়। আড়িয়াল খাঁ যদি কোনভাবে তার নিয়ন্ত্রনের একটা ডিজিটাল সার্টিফিকেট ফোনে ইন্সটল করতে পারে, তাহলে সে উপরের (৩) হিবিজিবিকে কথা বা টেক্সটে ফেরত নিতে পারবে। আড়িয়াল খাঁ কীভাবে এই ডিজিটাল সার্টিফিকেট বসাবে? ২০১৫তে বাংলাদেশে একটা প্রস্তাব এসেছিল, সরকারী ডিজিটাল সার্টিফিকেট কম্পিউটারে বা ফোনে ইন্সটল না করলে ইন্টারনেটে যাওয়া যাবে না। এটা বেশিদূর যাওয়ার আগেই কাজাকিস্তান একই কাজ করে বসে, এবং অ্যাপল, গুগল ইত্যাদি তাদেরকে বয়কট করে। ফলে কাজাকিস্তান সেটা থেকে সরে আসে, এবং বাংলাদেশ কিছুই না করে থেমে যায়। তারপর ২০১৯এ এবং অবশেষে ২০২০-র ডিসেম্বরে কাজাকিস্তান তার রাজধানীতে আবার এই কাজ করেছে, এবং আবার ফায়ারফক্স, গুগল ইত্যাদি তার বিরুদ্ধে প্রতিবাদ করে সব বন্ধ করে দিয়েছে। ফলে তারা আবার পিছু হটেছে। হোয়াটস অ্যাপ, টেলিগ্রাম, সিগন্যাল নিজস্ব encryption key ব্যবহার করে। সেগুলিকে ডিজিটাল সার্টিফিকেট দিয়ে ধরা যায় না, তবে ফোনে স্পাইওয়্যার বসাতে পারলে সেগুলিও ধরা যায়।

৪। ধরি হাবিব নামে একজন হ্যাকার কামালের ফোনে আড়ি পাততে চায়। সে পাতি হ্যাকার, তার ইমসি ক্যাচার নাই, ফোন কোম্পানির কর্মচারিকে ঘুষ দেয়ার বা ভয় দেখানোর ক্ষমতাও নাই, এবং সরকারী যন্ত্রপাতি সে ব্যবহার করতে পারবে না। সে কী কী করতে পারবে?

৪.১। সে FreeWifi নামে একটা ওয়াইফাই চালু করতে পারে। কামাল যদি সেটায় সংযুক্ত হয়, তখন সে তাদের ফোনকে হ্যাক করার চেষ্টা করতে পারবে। খেয়াল রাখতে হবে, ওয়াইফাই দিয়ে হ্যাকার হাবিব ফোনের কথা শুনতে বা এসএমএস পড়তে পারবে না, সে শুধু ডেটা ধরতে পারবে। হ্যাকার হাবিব যেহেতু কামাল আর ইন্টারনেটের মধ্যে ঢুকে গিয়েছে, সে এখন কামাল যদি গুগল বা ফেইসবুকে যাওয়ার চেষ্টা করে, তাহলে সে একটা নকল গুগল বা ফেইসবুক পেইজ তাকে দিতে পারবে যেটা সে আগেই তৈরি করে রেখেছিল। কামাল যখন সেই নকল পেইজে লগইন করার চেষ্টা করবে, হাবিব কামালের গুগল ইউজার আইডি আর পাসওয়ার্ড পেয়ে যাবে। এখন সে গুগল প্লে স্টোরে লগইন করে কামালের ফোনে অ্যাপ ইন্সটল করতে পারবে (তার পরেও আরো প্রতিবন্ধক থাকতে পারে, সেই ডিটেইলে যাচ্ছি না)

৪.২ ধরলাম হাবিব অন্য শহরে থাকে, বা কামালের আশেপাশে ওয়াইফাই সেট করা তার জন্য সম্ভব না। তাহলে সে কী করতে পারে? সে একটা ইমেইল করতে পারে, বা মেসেঞ্জারে একটা মেসেজ দিতে পারে: “সুখবর! ঈদ উপলক্ষে প্রেসিডেন্ট আপনাকে ৫০০০ টাকা দিচ্ছেন। এই লিংকে গিয়ে আপনার ফোন নাম্বার, এনআইডি নাম্বার দিয়ে গুগলে লগইন করে তথ্য দিলেই আপনি বিকাশে টাকাটা পেয়ে যাবেন। কামাল যখন গুগল ভেবে একটা নকল পেইজে তার গুগল ইউজার আইডি আর পাসওয়ার্ড দিল, হাবিব সেটা পেয়ে গেল (এটাকে phishing, ফিশিং বলা হয়)। বিশেষ করে মেয়েদেরকে ফিশিং করার একটা সহজ পদ্ধতি হচ্ছে, একটা মেসেজ পাঠানো যেখানে বলা হয়েছে এই পেইজে তোমার নামে খুব বাজেবাজে কথা বা ছবি দেয়া হচ্ছে।

৪.৩। সাধারণ হ্যাকারের পক্ষে সম্ভব না, তবে সিনেমায় এমনটা দেখা যায় মাঝে মাঝে। কামালকে একজন সুন্দরী মহিলা মিষ্টি হাসি দিল। কামাল তার দিকে তাকানোতে ব্যাস্ত, আর হাবিব এসে তার ফোনটা তুলে নিয়ে একটা স্পাইওয়্যার বা

ডিজিটাল সার্টিফিকেট ইন্সটল করে দিল।

৪.৪। বিভিন্ন দেশের অনেক হ্যাকার অন্য একটা আপাতদৃষ্টিতে নিরীহ অ্যাপের আড়ালে স্পাইঅয়্যার ইন্সটল করে রাখে। ডার্ক ওয়েবে সার্চ করে যদি কামালের ফোন নাম্বার পাওয়া যায় সেই স্পাইওয়্যারের নিয়ন্ত্রনের তালিকায়, তাহলে টাকা দিয়ে সেই স্পাইঅয়্যারের নিয়ন্ত্রন কেনা বা ভাড়া করা যায়

তাছাড়াও ডার্ক ওয়েবে কিছু হ্যাকার (হ্যাকার হাবিবের জন্য) আর কিছু সিকিউরিটি কোম্পানি (সরকারী আড়িয়াল খা-র জন্য) ডিজিটাল অস্ত্র (এক্সপ্লয়েট) বিক্রি করে, যেগুলি দিয়ে ফোনের অপারেটিং সিস্টেমকে হ্যাক করা যায়। মুক্ত ইন্টারনেটেও হ্যাক করার অনেক সফটওয়্যার পাওয়া যায়। সেটা দিয়েও ওয়্যারলেস নেটওয়ার্কে সংযুক্ত ফোনের খোঁজ পাওয়া গেলে সেগুলিকে হ্যাক করা সম্ভব। আগে কোনদিন ব্যবহার করা হয় নাই (এগুলিকে zero day exploit বলা হয়), এমন সব ডিজিটাল অস্ত্র মিলিয়ন ডলারেও বিক্রি হয়েছে। কেন “জিরো” ডে? যে দিন প্রথম সবাই এই ধরনের কোন ছিদ্রের খবর জানতে পারে, সেটাকে প্রথম দিন ধরা হলে তার আগের সংখ্যাটা শূন্য, যখন জনগন এটার খবর জানে না, তাই এটার নাম জিরো ডে এক্সপ্লয়েট। শুরুতে উল্লেগখিত NSOর তৈরি পেগাসাস এইভাবে কিছু জিরো ডে কাজে লাগিয়েছিল, তার মধ্যে একটা ছিল হোয়াটস অ্যাপের ভয়ঙ্কর এক ছিদ্র যাতে করে হোয়াটস অ্যাপে কাউকে কল দিলেই তার ফোনে পেগাসাস ইন্সটল হয়ে যেত। ২০১৯এ এই খবর বের হওয়ার পরে হোয়াটস অ্যাপ ছিদ্রটা বন্ধ করেছে, কিন্তু নিশ্চিত ভাবে বলা যায়, এনএসও এবং সেটার মত সাইবার অস্ত্র ব্যাবসায়ীরা নতুন নতুন সব ছিদ্র খুঁজে বের করেই চলেছে। পেগাসাস ২০২১এ বের হওয়া আইফোনের সর্বশেষ অপারেটিং সিস্টেমেও জিরো ডে বের করেছিল

আর এগুলি কিছুই যদি কাজ না করে? তাহলে পথে কামালকে আটকে হাইজ্যাকিংএর নাটক সাজিয়ে তার ফোনে স্পাইঅয়্যার ইন্সটল করে দেয়া যেতে পারে। কামালের বাসার কাজের লোককে ঘুষ দিয়ে তার ফোন হাতে পাওয়া যেতে পারে।

এগুলিই সব পদ্ধতি না, আরো অনেক আছে, তবে এইগুলি সবচাইতে বেশি ব্যবহৃত

ফোনের বদলে যদি কম্পিউটার হয়, তাহলে মোবাইল টাওয়ারের বদলে ইন্টারনেট কানেকশন, মোবাইল কোম্পানির বদলে আইএসপি বসিয়ে নিলেই হবে। সেখানে ইমসি ক্যাচার চলবে না, তবে যেহেতু কম্পউটার একই জায়গায় স্থির, সেটার ডেটা ধরা আরো সহজ।

কিন্তু তাহলে কী আমরা সব সময় ভয়ে ভয়ে থাকবো? না, তবে সাবধানে থাকতে হবে। অপরিচিত সফটওয়্যার ইন্সটল করার সময় সাবধান। হঠাত করে টাকার লোভ, বা ভয় দেখানো মেসেজে পাঠানো কোন লিংকে লগইন করার সময় খুব সাবধান। পেইজের অ্যাড্রেস দেখে নিশ্চিন্ত হতে হবে এটা আসলেই গুগল বা ফেইসবুক পেইজ কি না।

যে সব অ্যাপে টু ফ্যাক্টর অথেনটিকেশন ব্যবহার করা যায়, সেগুলিতে তা চালু করুন। SMS দিয়ে টু ফ্যাক্টর অথেনটিকেশন সরকারি আড়িয়াল খাঁ র হাত থেকে নিরাপদ না, তাই অ্যাপ-ভিত্তিক টু ফ্যাক্টর অথেনটিকেশন ব্যবহার করুন। ফোনে অতিরিক্ত ডেটা খরচ হচ্ছে কি না খেয়াল রাখুন। অচেনা স্থান/ডিভাইসে কোন অ্যাপ লগইন হয়েছে এমন নোটিস পেলে পাসওয়ার্ড বদলান।

আর যদি সন্দেহ হয় ফোন হ্যাক হয়েছে? অ্যান্টি ভাইরাস বা অ্যান্টি ম্যালওয়্যার দিয়ে চেষ্টা করা যেতে পারে, তবে সবচাইতে ভাল হচ্ছে যদি ফোনটা ফ্যাক্টরি রিসেট করা হয় যাতে সব মুছে নিশ্চিহ্ন হয়ে যায়।

তথ্যসূত্রঃ

বাংলাদেশ সরকারের ইমসি ক্যাচার কেনার টেন্ডার। https://cptu.gov.bd/advertisement-goods/details-64594.html
কাজাকিস্তানের ২০১৫তে বাধ্যতামূলক ডিজিটাল সার্টিফিকেট বসানো নিয়ে একটা খবর https://slate.com/technology/2015/12/kazakhstan-wants-citizens-to-download-a-mandatory-national-security-certificate.html
কাজাকিস্তান ২০২০ https://www.zdnet.com/article/kazakhstan-government-is-intercepting-https-traffic-in-its-capital/
NSO-র বিরুদ্ধে হোয়াটস অ্যাপের মামলা https://techcrunch.com/2019/10/29/whatsapp-spyware-nso-group/
পেগাসাস নিয়ে গার্ডিয়ানের প্রথম খবর https://www.theguardian.com/world/2021/jul/18/revealed-leak-uncovers-global-abuse-of-cyber-surveillance-weapon-nso-group-pegasus
পেগাসাস নিয়ে প্রথম আলোর খবর www.prothomalo.com/world/দুনিয়াজুড়ে-গুরুত্বপূর্ণ-ব্যক্তিদের-স্মার্টফোনে-আড়িপাতার-ঘটনা-ফাঁস