Breaking

Post Top Ad

Your Ad Spot

Tuesday, May 23, 2017

(হ্যাকিং) ফেসবুক – এ ব্রুট ফোর্স অ্যাটাক কি? কেন এই অ্যাটাক থেকে বাঁচা কষ্টকর?

ব্রুট ফোর্স অ্যাটাককোন অ্যাকাউন্ট বা লক করা ফাইল কীভাবে খোলা হয়?অবশ্যই সেটা খুলতে কোন “পাসওয়ার্ড” অথবা “কী”প্রয়োজনীয় হয়। কিন্তু আপনার যদি সেই পাসওয়ার্ড জানা নাথাকে তাহলে কীভাবে লক করা ফাইলটি ওপেন করবেন? —আর এখানেই কাজে আসে ব্রুট ফোর্স অ্যাটাক; পাসওয়ার্ড বাএনক্রিপশন কী’র সমস্ত সম্ভাব্য সমন্বয় গুলোকে অনুমান করাহয় এবং একের পর এক সমন্বয় ব্যবহার করে পাসওয়ার্ড খোলারচেষ্টা করা হয়। এবার ধরুন কোন হ্যাকারের কাছে কোনপাসওয়ার্ড ডাটাবেজ রয়েছে যেটা সে ক্র্যাক করতে চায়,তাহলে তার কি প্রয়োজনীয় হবে? অবশ্যই পাসওয়ার্ড বা কী।এবার এটিকে ক্র্যাক করার জন্য হ্যাকার এমন একটি কম্পিউটারসিস্টেম উন্নয়ন করবে যেটা লাগাতার একের পর এক সকলপাসওয়ার্ড ব্যবহার করে ডাটাবেজটি ক্র্যাক করতে চাইবে। এবারধরুন ডাটাবেজটি’তে ব্যবহৃত পাসওয়ার্ড ৪ অংকের, তাহলেকম্পিউটার প্রোগ্রামটি প্রথমে ১১১১,১১১২, ১১১৩, ১১১৪এভাবে লাগাতার চেষ্টা করতেই থাকবে যতক্ষণ পর্যন্ত না ৯৯৯৯পর্যন্ত পৌঁছে যায়। যদি আরো কঠিন পাসওয়ার্ড ব্যবহার করা হয়তবে aaaa, aaaab, aaaac ইত্যাদি আকারে চেষ্টা করতেথাকবে যতোক্ষণ পর্যন্ত zzzzz না হয়।এভাবে কম্পিউটার প্রোগ্রাম বিভিন্নইউজার নেমের সাথেবিভিন্ন পাসওয়ার্ড একেরপর এক অনুমান করতে থাকে। যাইহোক, এই পদ্ধতিতে বা এই অ্যাটাকের মাধ্যমে প্রায়যেকোনো পাসওয়ার্ড অনুমান করা সম্ভব। শক্তিশালি পাসওয়ার্ডক্র্যাক করার জন্য আরো শক্তিশালী কম্পিউটিং পাওয়ারেরপ্রয়োজনীয় হয়। যদি কোন ডাটাবেজ পাসওয়ার্ড বা কীঅনেক সহজ হয়, তবে চিন্তা করার কোন কারণই থাকে না, সেটাআরামে ক্র্যাক হয়ে যায়। কিন্তু যদি কোন পাসওয়ার্ড লম্বা আরকমপ্লেক্স হয় তবে সেটাকে ক্র্যাক করতে কয়েক ঘণ্টাথেকে শুরু করে কয়েক বছর পর্যন্ত লেগেযেতেপারে, তবে যতো শক্তিশালী কম্পিউটার ব্যবহার করা হবেততো সময় কম লাগবে।ব্রুট ফোর্স অ্যাটাকে আরেকটি ম্যাথড ব্যবহার করা হয়, সেটি“ ডিকশনারি অ্যাটাক ” নামে পরিচিত। আপনার সাধারন ওয়ার্ড ডিকশনারিতেযেমন লাখো শব্দের সমাহার থাকে, ঠিক তেমনি ডিকশনারিঅ্যাটাকে একটি ফাইলে কোটিকোটি কমন ওয়ার্ড থাকে,একের পর এক পাসওয়ার্ড অনুমান না করে ডিকশনারি থেকেমানুষের বহুল ব্যবহৃত ওয়ার্ড গুলো দ্বারা পাসওয়ার্ড ক্র্যাক করারচেষ্টা করা হয়। ডিকশনারি অ্যাটাক অনেক শক্তিশালী এবংকার্যকারী আক্রমণ। যদি আপনি কমন কোন ওয়ার্ড দ্বারাপাসওয়ার্ড সেট করে রাখেন, তবে সেটা যতো লম্বায়হোক না কেন, সহজেই ক্র্যাক হয়ে যাবে।ওয়েবসাইটে ব্রুট ফোর্স অ্যাটাকঅনলাইন ব্রুট ফোর্স অ্যাটাক এবং অফলাইন অ্যাটাকের মধ্যেঅনেক পার্থক্য রয়েছে। কোন ওয়েবসাইট যদি যথেষ্টসিকিউর হয়, তবে সেখানে কোন হ্যাকার অ্যাটাক করতেঅনেক ঝামেলায় পড়ে যাবে। ধরুন আপনি জিমেইল বাফেসবুক অ্যাকাউন্ট এ এই অ্যাটাক চালানোর কথা ভাবলেন। আপনিএকটি সিস্টেম তৈরি করলেন এবং সিস্টেম থেকে ফেসবুকঅ্যাকাউন্টে একের পর এক পাসওয়ার্ড অনুমান করে ট্রায়করতে লাগলেন। কিন্তু জিমেইল বা ফেসবুকে আপনি নির্দিষ্টকিছুবার ভুল পাসওয়ার্ড প্রবেশ করানোর পড়ে আপনাকে ব্লককরে দেবে কিংবা ক্যাপচা শো করবে। আগের ক্যাপচাগুলো আঁকানো বাঁকানো লেটার এবং সংখ্যা থাকতোযেগুলোকে একটি ফাঁকা বাক্সে লিখতে হতো। আপনিসহজেই অক্ষর গুলো ধরতে পারবেন কিন্তু আপনার কম্পিউটারসেগুলো ধরতে পারবে না। আর এখন তো আরো অনেককঠিন ক্যাপচা ব্যবহার করা হয়, অনেক পিকচার দেখানো হয় এবংপিকচারে কোন সাবজেক্ট খুঁজতে বলা হয়। মানুষ সেটাসহজেই খুঁজে নেবে কিন্তু কম্পিউটার সেটা খুঁজতে পারবেনা। ফলে ক্যাপচা বাইপাস করা যাবে না।কিন্তু অন্যদিনে যদি এমন হয়, হ্যাকারআপনার ওয়েবসাইট থেকেকোন ভাবে পাসওয়ার্ড ডাটাবেজটি অ্যাক্সেস করেডাউনলোড করে নিয়েছে, তবে তাকে আটকানোর আরকোনই বুদ্ধি থাকবে না। কেনোনা সে নিজের সিস্টেমেযতো ইচ্ছা ততো ট্রায় করতে পারবে। আপনি যদি আপনারপাসওয়ার্ড ডাটাবেজটিতে সর্বউচ্চ শক্তিশালী এনক্রিপশনওলাগিয়ে রাখেন, তারপরেও এটা আপনার খেয়াল রাখতে হবেযাতে সেটা কেউ অ্যাক্সেস না করতে পারে। হ্যাকারেরকাছে যদি যথেষ্ট শক্তিশালী কম্পিউটার থাকে, তবে আপনারভাগ্য খুবই খারাপ হতে পারে।অ্যাটাকের গতিবিটকয়েন মাইন করার জন্য যেরকম স্পেশাল সিস্টেমসেটআপ করতে হয়, ঠিক তেমনি ব্রুট ফোর্সের জন্যওডেডিকেটেড সিস্টেম প্রয়োজনীয় হয়। এই অ্যাটাকচালানোর জন্য সবচাইতে আদর্শ কম্পিউটার হার্ডওয়্যার হলোগ্রাফিক্স কার্ড (জিপিইউ); যদি একই সময়ে আলাদা আলাদা এনক্রিপশনকী ক্র্যাক করা প্রয়োজনীয় হয় তবে একসাথে অনেকগুলো গ্রাফিক্স কার্ড প্যারালেলে লাগিয়ে রাখা আদর্শ। ২৫টিজিপিইউ ওয়ালা সিস্টেম যেকোনো ৮ সংখ্যার উইন্ডোজপাসওয়ার্ড ক্র্যাক করতে সক্ষম মাত্র ৬ ঘণ্টার মধ্যে।সবচাইতে ভয়ঙ্কর ব্যাপার হচ্ছে দিনদিন ব্রুট ফোর্সের গতিআরো বৃদ্ধি পাচ্ছে, কেনোনা আগের চেয়েআমাদেরকাছে আরো শক্তিশালী কম্পিউটার রয়েছে। তাছাড়া আজকেরসবচাইতে শক্তিশালী ক্রিপ্টোগ্রাফিক আলগোরিদিম বাএনক্রিপশন কী ক্র্যাক করা ভবিষ্যতের কোন কোয়ান্টামকম্পিউটারের কাছে জলভাতের মতো ব্যাপার হবে। তাছাড়াভবিষ্যতের জেনারেল কম্পিউটার গুলোতেও আরোশক্তিশালী হার্ডওয়্যার দেখতে পাওয়াযাবে।কীভাবে এই অ্যাটাক থেকে আপনার ডাটা বাঁচাবেন?আপনার নিজের যদি কোন ওয়েবসাইট থাকে তবে অবশ্যইআপনার সিকিউরিটি নিয়ে সতর্ক থাকা প্রয়োজনীয়। আর যদিআপনার কোন ই-কমার্স ওয়েবসাইট থাকে তবে আপনারগ্রাহকদের পার্সোনাল তথ্য গুলোকে নিরাপদ করা আপনারকর্তব্য। ওয়েবসাইটের ক্ষেত্রে অবশ্যই লগইন লিমিটসিস্টেম ব্যবহার করা প্রয়োজনীয়। এতে কয়েকবার ব্যর্থলগইন চেষ্টা হওয়ার পরে পার্মানেন্ট বা কিছু সময়ের জন্য ঐইউজারকে লগইন থেকে ব্যান করে দেওয়া হয়। আবার আপনিচাইলে ওয়েবসাইটে ক্যাপচা চালেঞ্জও ব্যবহার করতেপারেন, কেনোনা কম্পিউটার কখনোই কমপ্লেক্স ক্যাপচাবাইপাস করতে পারবে না। আপনার এনক্রিপটেড ডাটা গুলোকেআরো নিরাপদে রাখুন যাতে সেটা কেউ অ্যাক্সেস না করতেপারে। কেনোনা একবার যদি সেটা কেউ ডাউনলোড করেনেয় তবে নিজের সিস্টেমে সেটাকে ক্র্যাক করা অনেকসহজ হয়ে যাবে।আপনি যদি একজন সাধারন ইউজার হোন, মানে আপনার গুগল,ফেসবুক ইত্যাদি আইডি ব্রুট ফোর্স থেকে বাঁচানোর কথাভাবেন তবে আপনাকেও কিছু স্টেপ পালন করতে হবে।প্রথমত অবশ্যই লম্বা এবং শক্তিশালী পাসওয়ার্ড ব্যবহার করুণ।পাসওয়ার্ড যতোদূর সম্ভব লম্বা করুণ এবং বড় হাতের অক্ষর,ছোট হাতের অক্ষর, সংখ্যা, স্পেশাল ক্যারেক্টার (!@#$%^&*)ইত্যাদি মিলিয়ে পাসওয়ার্ড তৈরি করুণ। সকল সাইটের জন্য আলাদাপাসওয়ার্ড ব্যবহার করুণ। দেখুন কেউই তাদের ডাটাবেজ ১০০%হ্যাক প্রুফ এই গ্যারান্টি দিতে পারবে না। আর ইয়াহু পাসওয়ার্ডডাটাবেজ হ্যাক হওয়ার মাধ্যমে এই কথাটি আরো পরিষ্কার হয়েগেছে। এমনিতে সহজে কেউ ফেসবুক বা গুগলে ব্রুটফোর্স মারতে পারবে না, কিন্তু যদি ডাটাবেজ হ্যাক হয় তাহলেকি করবেন? আর এই জন্যই প্রয়োজনীয় পূর্ব প্রস্তুতি, অর্থাৎশক্তিশালী পাসওয়ার্ড ব্যবহার করা। তবে আপনি যদি পাসওয়ার্ডহিসেবে সরাসরি “password” বা এরকম কমন কোন পাসওয়ার্ডসেট করেন, তাহলে আপনি যতো শক্তিশালী এনক্রিপশনস্ট্যান্ডার্ডই ব্যবহার করুণ না কেন, আপনাকে হ্যাক হওয়া থেকেকেউ বাঁচাতে পারবে না।সাথে যেখানে সম্ভব, যে অ্যাকাউন্টে সম্ভব সেখানে ২ফ্যাক্টর ওথেনটিকেশন সিস্টেম ব্যবহার করুণ। এতে হ্যাকারআপনার পাসওয়ার্ড সঠিক অনুমান করে নিলেও, অ্যাকাউন্টে লগইনকরার জন্য আরেকটি কোডের দরকার পড়বে, যেটা আপনারসেলফোনে আপনাকে পাঠানো হবে। যদিও আজকাল সিমক্লোনিং করে সেলফোন অ্যাক্সেস নেওয়া যায়, তারপরেওঅন্তত এটা চালু না রাখার কোন কারণ নেই।

Post Top Ad

Your Ad Spot

Pages