ফেসবুক, টেলিগ্রাম বা হোয়াটসঅ্যাপের মতো প্ল্যাটফর্মে থাকা একজন সাংবাদিক বা মানবাধিকার কর্মীর অ্যাকাউন্ট কীভাবে রাষ্ট্রীয় নজরদারির লক্ষ্যবস্তু হতে পারে
তিন ধরনের পদ্ধতি — গবেষকদের শ্রেণীবিভাগ
Citizen Lab ও একাধিক ডিজিটাল রাইটস প্রতিষ্ঠান এই ধরনের অ্যাকাউন্ট-লক্ষ্যভিত্তিক অপারেশনকে মূলত তিনটি ভাগে ভাগ করে থাকে।
১) প্রথমত, নেটওয়ার্ক-স্তরের ইন্টারসেপশন
এখানে আক্রমণকারী টার্গেটের ডিভাইসে সরাসরি প্রবেশ না করেই মাঝপথে যোগাযোগ আটকে দেয়।
ওয়াশিংটন বিশ্ববিদ্যালয়ের জ্যাকসন স্কুলের একটি গবেষণা প্রতিবেদনে এমন একটি ইউনিটের কথা উঠে এসেছে,
যারা এসএমএস-ভিত্তিক ভেরিফিকেশন কোড ইন্টারসেপ্ট করায় বিশেষায়িত।
এই কৌশল কাজ করে কারণ টেলিকম অপারেটর পর্যায়ে এমন একটি দুর্বলতা থেকে যায়, যা রাষ্ট্রীয় পর্যায়ের অ্যাক্সেসসম্পন্ন প্রতিষ্ঠানের জন্য ব্যবহারযোগ্য হয়ে ওঠে।
২) দ্বিতীয়ত, ডিভাইস-স্তরের আপস।
এখানে টার্গেটের নিজের ফোনেই স্পাইওয়্যার বসিয়ে দেওয়া হয়। Citizen Lab-এর FinFisher ও Pegasus সংক্রান্ত গবেষণা দেখায়,
একবার ডিভাইস সংক্রমিত হলে আক্রমণকারী কার্যত ফোনের মালিকের চোখ দিয়েই সবকিছু দেখতে পায় — কারণ অ্যাপের মধ্যে বার্তা ডিক্রিপ্টেড অবস্থায় প্রদর্শিত হয়, ব্যবহারকারী যতই এন্ড-টু-এন্ড এনক্রিপশন ব্যবহার করুন না কেন।
৩) তৃতীয়ত, মানবিক প্রকৌশল বা সোশ্যাল ইঞ্জিনিয়ারিং
Netra News-এর অনুসন্ধান একটি নির্দিষ্ট ইউনিটের কথা বলে, যারা দুর্বল বা পুনঃব্যবহৃত পাসওয়ার্ড কাজে লাগায়, অথবা টার্গেটকে প্রতারণামূলক বার্তার মাধ্যমে নিজে থেকেই ক্রেডেনশিয়াল দিতে প্ররোচিত করে।
প্ল্যাটফর্মভেদে কৌশলের পার্থক্য :
১] ফেসবুকের ক্ষেত্রে Netra News নথিভুক্ত করেছে যে একটি ইউনিট মূলত পাসওয়ার্ড অনুমান ও রিপোর্টিং-ভিত্তিক অ্যাকাউন্ট নিষ্ক্রিয়করণে সক্রিয়,
২] যেখানে আরেকটি ইউনিট এসএমএস ইন্টারসেপশনে বিশেষায়িত। টেলিগ্রামের ক্ষেত্রে RAB-এর "Toucan" যন্ত্র মূলত পরিচয় উন্মোচনে কেন্দ্রীভূত, বার্তার বিষয়বস্তু সরাসরি পড়ার চেয়ে মেটাডেটা বিশ্লেষণের ওপর বেশি নির্ভরশীল।
৩] হোয়াটসঅ্যাপের ক্ষেত্রে, যেহেতু এটি এন্ড-টু-এন্ড এনক্রিপ্টেড, প্রকাশিত গবেষণায় ডিভাইস-স্তরের স্পাইওয়্যারই প্রধান পদ্ধতি হিসেবে উঠে এসেছে, নেটওয়ার্ক ইন্টারসেপশন নয়।
গবেষকদের Citizen Lab, Access Now ও Freedom House-এর প্রতিবেদ নগুলোয় একটি বিষয়ে ঐকমত্য স্পষ্ট —
কোনো একক প্রযুক্তি সবক্ষেত্রে কাজ করে না, বরং রাষ্ট্রীয় সংস্থাগুলো টার্গেটের নিরাপত্তা অভ্যাস অনুযায়ী পদ্ধতি বেছে নেয়।
যদি টার্গেট শুধু এসএমএস ভিত্তিক টু-ফ্যাক্টর অথেনটিকেশন ব্যবহার করেন, নেটওয়ার্ক ইন্টারসেপশনই যথেষ্ট হয়ে যায়।
যদি টার্গেট শক্তিশালী অ্যাপ-ভিত্তিক টু-ফ্যাক্টর ব্যবহার করেন, তাহলে আক্রমণকারীকে ডিভাইস-স্তরের সংক্রমণ বা সামাজিক প্রকৌশলের দিকে যেতে হয়।
সুরক্ষার জন্য যা করণীয় ;
এই বিশ্লেষণ থেকে সবচেয়ে গুরুত্বপূর্ণ শিক্ষা হলো, একক কোনো নিরাপত্তা ব্যবস্থাই যথেষ্ট নয়।
EFF ও Access Now উভয়ের গাইডলাইনেই বহুস্তরীয় সুরক্ষার সুপারিশ করা হয়েছে —
১) অ্যাপ-ভিত্তিক টু-ফ্যাক্টর অথেনটিকেশন ব্যবহার করা,
২):ডিভাইসের নিরাপত্তা আপডেট নিয়মিত রাখা,
৩) অপরিচিত বা সন্দেহজনক লিংকে ক্লিক না করার অভ্যাস গড়ে তোলা
সোর্স ও তথ্যসূত্র ;
University of Washington, Jackson School — "Networks of Control: National and Transnational Digital Repression in Bangladesh"
Netra News — ফেসবুক হ্যাকিং ইউনিট ও টেলিগ্রাম ইন্টারসেপশন যন্ত্র "Toucan"
Citizen Lab — FinFisher ও Pegasus স্পাইওয়্যার গবেষণা
Freedom House — Freedom on the Net (Bangladesh প্রতিবেদন)
EFF Surveillance Self-Defense ও Access Now Digital Security Helpline
____×××_____×××____×××___
তিন ধরনের পদ্ধতি — গবেষকদের শ্রেণীবিভাগ
Citizen Lab ও একাধিক ডিজিটাল রাইটস প্রতিষ্ঠান এই ধরনের অ্যাকাউন্ট-লক্ষ্যভিত্তিক অপারেশনকে মূলত তিনটি ভাগে ভাগ করে থাকে।
১) প্রথমত, নেটওয়ার্ক-স্তরের ইন্টারসেপশন
এখানে আক্রমণকারী টার্গেটের ডিভাইসে সরাসরি প্রবেশ না করেই মাঝপথে যোগাযোগ আটকে দেয়।
ওয়াশিংটন বিশ্ববিদ্যালয়ের জ্যাকসন স্কুলের একটি গবেষণা প্রতিবেদনে এমন একটি ইউনিটের কথা উঠে এসেছে,
যারা এসএমএস-ভিত্তিক ভেরিফিকেশন কোড ইন্টারসেপ্ট করায় বিশেষায়িত।
এই কৌশল কাজ করে কারণ টেলিকম অপারেটর পর্যায়ে এমন একটি দুর্বলতা থেকে যায়, যা রাষ্ট্রীয় পর্যায়ের অ্যাক্সেসসম্পন্ন প্রতিষ্ঠানের জন্য ব্যবহারযোগ্য হয়ে ওঠে।
২) দ্বিতীয়ত, ডিভাইস-স্তরের আপস।
এখানে টার্গেটের নিজের ফোনেই স্পাইওয়্যার বসিয়ে দেওয়া হয়। Citizen Lab-এর FinFisher ও Pegasus সংক্রান্ত গবেষণা দেখায়,
একবার ডিভাইস সংক্রমিত হলে আক্রমণকারী কার্যত ফোনের মালিকের চোখ দিয়েই সবকিছু দেখতে পায় — কারণ অ্যাপের মধ্যে বার্তা ডিক্রিপ্টেড অবস্থায় প্রদর্শিত হয়, ব্যবহারকারী যতই এন্ড-টু-এন্ড এনক্রিপশন ব্যবহার করুন না কেন।
৩) তৃতীয়ত, মানবিক প্রকৌশল বা সোশ্যাল ইঞ্জিনিয়ারিং
Netra News-এর অনুসন্ধান একটি নির্দিষ্ট ইউনিটের কথা বলে, যারা দুর্বল বা পুনঃব্যবহৃত পাসওয়ার্ড কাজে লাগায়, অথবা টার্গেটকে প্রতারণামূলক বার্তার মাধ্যমে নিজে থেকেই ক্রেডেনশিয়াল দিতে প্ররোচিত করে।
প্ল্যাটফর্মভেদে কৌশলের পার্থক্য :
১] ফেসবুকের ক্ষেত্রে Netra News নথিভুক্ত করেছে যে একটি ইউনিট মূলত পাসওয়ার্ড অনুমান ও রিপোর্টিং-ভিত্তিক অ্যাকাউন্ট নিষ্ক্রিয়করণে সক্রিয়,
২] যেখানে আরেকটি ইউনিট এসএমএস ইন্টারসেপশনে বিশেষায়িত। টেলিগ্রামের ক্ষেত্রে RAB-এর "Toucan" যন্ত্র মূলত পরিচয় উন্মোচনে কেন্দ্রীভূত, বার্তার বিষয়বস্তু সরাসরি পড়ার চেয়ে মেটাডেটা বিশ্লেষণের ওপর বেশি নির্ভরশীল।
৩] হোয়াটসঅ্যাপের ক্ষেত্রে, যেহেতু এটি এন্ড-টু-এন্ড এনক্রিপ্টেড, প্রকাশিত গবেষণায় ডিভাইস-স্তরের স্পাইওয়্যারই প্রধান পদ্ধতি হিসেবে উঠে এসেছে, নেটওয়ার্ক ইন্টারসেপশন নয়।
গবেষকদের Citizen Lab, Access Now ও Freedom House-এর প্রতিবেদ নগুলোয় একটি বিষয়ে ঐকমত্য স্পষ্ট —
কোনো একক প্রযুক্তি সবক্ষেত্রে কাজ করে না, বরং রাষ্ট্রীয় সংস্থাগুলো টার্গেটের নিরাপত্তা অভ্যাস অনুযায়ী পদ্ধতি বেছে নেয়।
যদি টার্গেট শুধু এসএমএস ভিত্তিক টু-ফ্যাক্টর অথেনটিকেশন ব্যবহার করেন, নেটওয়ার্ক ইন্টারসেপশনই যথেষ্ট হয়ে যায়।
যদি টার্গেট শক্তিশালী অ্যাপ-ভিত্তিক টু-ফ্যাক্টর ব্যবহার করেন, তাহলে আক্রমণকারীকে ডিভাইস-স্তরের সংক্রমণ বা সামাজিক প্রকৌশলের দিকে যেতে হয়।
সুরক্ষার জন্য যা করণীয় ;
এই বিশ্লেষণ থেকে সবচেয়ে গুরুত্বপূর্ণ শিক্ষা হলো, একক কোনো নিরাপত্তা ব্যবস্থাই যথেষ্ট নয়।
EFF ও Access Now উভয়ের গাইডলাইনেই বহুস্তরীয় সুরক্ষার সুপারিশ করা হয়েছে —
১) অ্যাপ-ভিত্তিক টু-ফ্যাক্টর অথেনটিকেশন ব্যবহার করা,
২):ডিভাইসের নিরাপত্তা আপডেট নিয়মিত রাখা,
৩) অপরিচিত বা সন্দেহজনক লিংকে ক্লিক না করার অভ্যাস গড়ে তোলা
সোর্স ও তথ্যসূত্র ;
University of Washington, Jackson School — "Networks of Control: National and Transnational Digital Repression in Bangladesh"
Netra News — ফেসবুক হ্যাকিং ইউনিট ও টেলিগ্রাম ইন্টারসেপশন যন্ত্র "Toucan"
Citizen Lab — FinFisher ও Pegasus স্পাইওয়্যার গবেষণা
Freedom House — Freedom on the Net (Bangladesh প্রতিবেদন)
EFF Surveillance Self-Defense ও Access Now Digital Security Helpline
____×××_____×××____×××___