নেটওয়ার্ক-স্তরের ইন্টারসেপশন একটি বহুল আলোচিত টেলিকম নিরাপত্তা সমস্যা,
যা নিয়ে সাইবার সিকিউরিটি গবেষকরা বছরের পর বছর ধরে সতর্ক করে আসছেন।
নেটওয়ার্ক-স্তরের ইন্টারসেপশন
বলতে কী বোঝায় ?
সহজ কথায়, এটি এমন একটি পদ্ধতি যেখানে আক্রমণকারী আপনার ফোনে সরাসরি কোনো ম্যালওয়্যার না বসিয়েই আপনার যোগাযোগ (কল, টেক্সট মেসেজ) মাঝপথে ধরে ফেলে।
এর মূল কারণ হলো, মোবাইল টেলিকম নেটওয়ার্ক একটি জটিল আন্তর্জাতিক অবকাঠামোর ওপর নির্ভর করে,
যেখানে বিভিন্ন দেশের অপারেটররা একে অপরের সঙ্গে সংযুক্ত থাকে যাতে আপনি বিদেশে গেলেও ফোন কাজ করে।
এই আন্তঃসংযোগ ব্যবস্থাতেই দুর্বলতা লুকিয়ে থাকে
SS7 প্রোটোকল — মূল দুর্বলতার উৎস
এই দুর্বলতার প্রযুক্তিগত নাম SS7 (Signaling System No. 7)।
এটি ১৯৭৫ সালে তৈরি একটি পুরনো টেলিকম সিগন্যালিং প্রোটোকল,
যা মূলত বিশ্বস্ত ও সীমিত সংখ্যক অপারেটরের মধ্যে ব্যবহারের জন্য ডিজাইন করা হয়েছিল।
তখনকার সময়ে ধরে নেওয়া হয়েছিল যে শুধুমাত্র বৈধ টেলিকম কোম্পানিরই এই নেটওয়ার্কে প্রবেশাধিকার থাকবে, তাই এতে কড়া প্রমাণীকরণ ব্যবস্থা রাখা হয়নি।
সমস্যা হলো, আজকের দিনেও এই প্রোটোকলই বিশ্বব্যাপী টেলিকম নেটওয়ার্কের মূল ভিত্তি — এবং যেকোনো প্রতিষ্ঠান যদি কোনোভাবে SS7 নেটওয়ার্কে প্রবেশাধিকার পায় (যা বৈধ টেলিকম লাইসেন্স, রোমিং চুক্তি, বা বাণিজ্যিকভাবে বিক্রি হওয়া SS7 অ্যাক্সেসের মাধ্যমে সম্ভব),
তাহলে তারা বিশ্বের যেকোনো প্রান্তের যেকোনো ফোন নম্বরের কল ও মেসেজ রুট করার অনুরোধ পাঠাতে পারে — এবং নেটওয়ার্ক সেই অনুরোধ যাচাই না করেই মেনে নেয়।
কীভাবে এসএমএস ভেরিফিকেশন কোড ইন্টারসেপ্ট হয় ?
যখন আপনি ফেসবুক, হোয়াটসঅ্যাপ বা টেলিগ্রামে লগইন করেন এবং টু-ফ্যাক্টর অথেনটিকেশন (2FA) হিসেবে এসএমএস কোড বেছে নেন,
তখন প্ল্যাটফর্মটি আপনার ফোন নম্বরে একটি ছয় সংখ্যার কোড পাঠায়। SS7-এর দুর্বলতা কাজে লাগিয়ে, একজন আক্রমণকারী নেটওয়ার্ককে বোঝাতে পারে যে আপনার ফোন নম্বরটি সাময়িকভাবে অন্য কোনো নেটওয়ার্কে "রোমিং" করছে (যেমনটা আপনি বিদেশে গেলে স্বাভাবিকভাবেই ঘটে)।
ফলে নেটওয়ার্ক পরবর্তী এসএমএস বার্তাগুলো আপনার প্রকৃত ফোনের বদলে আক্রমণকারীর নিয়ন্ত্রণে থাকা সিস্টেমে পাঠিয়ে দেয় — আপনার ফোনে কোনো নোটিফিকেশনও আসে না, এবং আপনি বুঝতেই পারেন না যে আপনার ভেরিফিকেশন কোড অন্য কারও কাছে চলে গেছে।
গুরুত্বপূর্ণ বিষয় হলো,
এই আক্রমণে আপনার ফোন, আপনার অ্যাপ, বা আপনার পাসওয়ার্ড কোনোটাই সরাসরি "হ্যাক" করা হয় না — সমস্যাটি ঘটে টেলিকম অবকাঠামোর গভীরে, যেখানে সাধারণ ব্যবহারকারীর কোনো নিয়ন্ত্রণ নেই।
গবেষণায় যা প্রমাণিত হয়েছে
এই দুর্বলতা নিছক তাত্ত্বিক নয়।
২০১৪ সাল থেকে একাধিক নিরাপত্তা গবেষণা সম্মেলনে (যেমন Chaos Communication Congress) SS7-ভিত্তিক আক্রমণের বাস্তব প্রদর্শনী হয়েছে, যেখানে গবেষকরা দেখিয়েছেন কীভাবে যেকোনো ফোন নম্বরের কল ও মেসেজ ট্র্যাক করা সম্ভব।
বাংলাদেশের প্রেক্ষাপটে, ওয়াশিংটন বিশ্ববিদ্যালয়ের জ্যাকসন স্কুলের একটি গবেষণা প্রতিবেদন,
যা Netra News-এর অনুসন্ধানের ওপর ভিত্তি করে তৈরি,
উল্লেখ করে যে DGFI-এর একটি নির্দিষ্ট ইউনিট এসএমএস-ভিত্তিক টু-ফ্যাক্টর অথেনটিকেশন ইন্টারসেপশনে বিশেষায়িত,
যা তাদের ভিন্নমতাবলম্বীদের ফেসবুক অ্যাকাউন্টে প্রবেশাধিকার পেতে সাহায্য করেছে।
কেন এটি এখনো সমাধান হয়নি ?
টেলিকম শিল্প বিশেষজ্ঞদের মতে, SS7 প্রতিস্থাপন করা কঠিন কারণ এটি বিশ্বব্যাপী শত শত অপারেটরের আন্তঃসংযুক্ত অবকাঠামোর মূল ভিত্তি — সম্পূর্ণ নতুন প্রোটোকলে স্থানান্তর বিশাল খরচ ও সমন্বয়ের প্রয়োজন।
যদিও নতুন প্রজন্মের নেটওয়ার্ক (যেমন 5G-এর জন্য ডিজাইন করা প্রোটোকল) তুলনামূলক বেশি নিরাপদ, বাস্তবে এখনো বিশ্বের অধিকাংশ ভয়েস কল ও এসএমএস পুরনো প্রোটোকলের ওপর নির্ভরশীল থেকে যায়।
সুরক্ষার জন্য যা করণীয় __
সাইবার সিকিউরিটি বিশেষজ্ঞরা সর্বসম্মতভাবে সুপারিশ করেন,
"যেকোনো গুরুত্বপূর্ণ অ্যাকাউন্টে এসএমএস-ভিত্তিক 2FA-এর বদলে অ্যাপ-ভিত্তিক অথেনটিকেটর (যেমন Authy বা অথবা হার্ডওয়্যার সিকিউরিটি কী ব্যবহার করা উচিত" Highlyrecommend
কারণ এই পদ্ধতিগুলো টেলিকম নেটওয়ার্কের ওপর নির্ভর করে না — কোড তৈরি হয় সরাসরি আপনার ডিভাইসে, যা SS7-এর দুর্বলতা থেকে সম্পূর্ণ মুক্ত।
সোর্স ও তথ্যসূত্র ;
University of Washington, Jackson School — "Networks of Control: National and Transnational Digital Repression in Bangladesh"
Netra News — DGFI-এর ফেসবুক হ্যাকিং ও এসএমএস ইন্টারসেপশন ইউনিট
Citizen Lab — রাষ্ট্রীয় নজরদারি প্রযুক্তি গবেষণা
EFF Surveillance Self-Defense — টু-ফ্যাক্টর অথেনটিকেশন নিরাপত্তা গাইড
--------------------------------
যা নিয়ে সাইবার সিকিউরিটি গবেষকরা বছরের পর বছর ধরে সতর্ক করে আসছেন।
নেটওয়ার্ক-স্তরের ইন্টারসেপশন
বলতে কী বোঝায় ?
সহজ কথায়, এটি এমন একটি পদ্ধতি যেখানে আক্রমণকারী আপনার ফোনে সরাসরি কোনো ম্যালওয়্যার না বসিয়েই আপনার যোগাযোগ (কল, টেক্সট মেসেজ) মাঝপথে ধরে ফেলে।
এর মূল কারণ হলো, মোবাইল টেলিকম নেটওয়ার্ক একটি জটিল আন্তর্জাতিক অবকাঠামোর ওপর নির্ভর করে,
যেখানে বিভিন্ন দেশের অপারেটররা একে অপরের সঙ্গে সংযুক্ত থাকে যাতে আপনি বিদেশে গেলেও ফোন কাজ করে।
এই আন্তঃসংযোগ ব্যবস্থাতেই দুর্বলতা লুকিয়ে থাকে
SS7 প্রোটোকল — মূল দুর্বলতার উৎস
এই দুর্বলতার প্রযুক্তিগত নাম SS7 (Signaling System No. 7)।
এটি ১৯৭৫ সালে তৈরি একটি পুরনো টেলিকম সিগন্যালিং প্রোটোকল,
যা মূলত বিশ্বস্ত ও সীমিত সংখ্যক অপারেটরের মধ্যে ব্যবহারের জন্য ডিজাইন করা হয়েছিল।
তখনকার সময়ে ধরে নেওয়া হয়েছিল যে শুধুমাত্র বৈধ টেলিকম কোম্পানিরই এই নেটওয়ার্কে প্রবেশাধিকার থাকবে, তাই এতে কড়া প্রমাণীকরণ ব্যবস্থা রাখা হয়নি।
সমস্যা হলো, আজকের দিনেও এই প্রোটোকলই বিশ্বব্যাপী টেলিকম নেটওয়ার্কের মূল ভিত্তি — এবং যেকোনো প্রতিষ্ঠান যদি কোনোভাবে SS7 নেটওয়ার্কে প্রবেশাধিকার পায় (যা বৈধ টেলিকম লাইসেন্স, রোমিং চুক্তি, বা বাণিজ্যিকভাবে বিক্রি হওয়া SS7 অ্যাক্সেসের মাধ্যমে সম্ভব),
তাহলে তারা বিশ্বের যেকোনো প্রান্তের যেকোনো ফোন নম্বরের কল ও মেসেজ রুট করার অনুরোধ পাঠাতে পারে — এবং নেটওয়ার্ক সেই অনুরোধ যাচাই না করেই মেনে নেয়।
কীভাবে এসএমএস ভেরিফিকেশন কোড ইন্টারসেপ্ট হয় ?
যখন আপনি ফেসবুক, হোয়াটসঅ্যাপ বা টেলিগ্রামে লগইন করেন এবং টু-ফ্যাক্টর অথেনটিকেশন (2FA) হিসেবে এসএমএস কোড বেছে নেন,
তখন প্ল্যাটফর্মটি আপনার ফোন নম্বরে একটি ছয় সংখ্যার কোড পাঠায়। SS7-এর দুর্বলতা কাজে লাগিয়ে, একজন আক্রমণকারী নেটওয়ার্ককে বোঝাতে পারে যে আপনার ফোন নম্বরটি সাময়িকভাবে অন্য কোনো নেটওয়ার্কে "রোমিং" করছে (যেমনটা আপনি বিদেশে গেলে স্বাভাবিকভাবেই ঘটে)।
ফলে নেটওয়ার্ক পরবর্তী এসএমএস বার্তাগুলো আপনার প্রকৃত ফোনের বদলে আক্রমণকারীর নিয়ন্ত্রণে থাকা সিস্টেমে পাঠিয়ে দেয় — আপনার ফোনে কোনো নোটিফিকেশনও আসে না, এবং আপনি বুঝতেই পারেন না যে আপনার ভেরিফিকেশন কোড অন্য কারও কাছে চলে গেছে।
গুরুত্বপূর্ণ বিষয় হলো,
এই আক্রমণে আপনার ফোন, আপনার অ্যাপ, বা আপনার পাসওয়ার্ড কোনোটাই সরাসরি "হ্যাক" করা হয় না — সমস্যাটি ঘটে টেলিকম অবকাঠামোর গভীরে, যেখানে সাধারণ ব্যবহারকারীর কোনো নিয়ন্ত্রণ নেই।
গবেষণায় যা প্রমাণিত হয়েছে
এই দুর্বলতা নিছক তাত্ত্বিক নয়।
২০১৪ সাল থেকে একাধিক নিরাপত্তা গবেষণা সম্মেলনে (যেমন Chaos Communication Congress) SS7-ভিত্তিক আক্রমণের বাস্তব প্রদর্শনী হয়েছে, যেখানে গবেষকরা দেখিয়েছেন কীভাবে যেকোনো ফোন নম্বরের কল ও মেসেজ ট্র্যাক করা সম্ভব।
বাংলাদেশের প্রেক্ষাপটে, ওয়াশিংটন বিশ্ববিদ্যালয়ের জ্যাকসন স্কুলের একটি গবেষণা প্রতিবেদন,
যা Netra News-এর অনুসন্ধানের ওপর ভিত্তি করে তৈরি,
উল্লেখ করে যে DGFI-এর একটি নির্দিষ্ট ইউনিট এসএমএস-ভিত্তিক টু-ফ্যাক্টর অথেনটিকেশন ইন্টারসেপশনে বিশেষায়িত,
যা তাদের ভিন্নমতাবলম্বীদের ফেসবুক অ্যাকাউন্টে প্রবেশাধিকার পেতে সাহায্য করেছে।
কেন এটি এখনো সমাধান হয়নি ?
টেলিকম শিল্প বিশেষজ্ঞদের মতে, SS7 প্রতিস্থাপন করা কঠিন কারণ এটি বিশ্বব্যাপী শত শত অপারেটরের আন্তঃসংযুক্ত অবকাঠামোর মূল ভিত্তি — সম্পূর্ণ নতুন প্রোটোকলে স্থানান্তর বিশাল খরচ ও সমন্বয়ের প্রয়োজন।
যদিও নতুন প্রজন্মের নেটওয়ার্ক (যেমন 5G-এর জন্য ডিজাইন করা প্রোটোকল) তুলনামূলক বেশি নিরাপদ, বাস্তবে এখনো বিশ্বের অধিকাংশ ভয়েস কল ও এসএমএস পুরনো প্রোটোকলের ওপর নির্ভরশীল থেকে যায়।
সুরক্ষার জন্য যা করণীয় __
সাইবার সিকিউরিটি বিশেষজ্ঞরা সর্বসম্মতভাবে সুপারিশ করেন,
"যেকোনো গুরুত্বপূর্ণ অ্যাকাউন্টে এসএমএস-ভিত্তিক 2FA-এর বদলে অ্যাপ-ভিত্তিক অথেনটিকেটর (যেমন Authy বা অথবা হার্ডওয়্যার সিকিউরিটি কী ব্যবহার করা উচিত" Highlyrecommend
কারণ এই পদ্ধতিগুলো টেলিকম নেটওয়ার্কের ওপর নির্ভর করে না — কোড তৈরি হয় সরাসরি আপনার ডিভাইসে, যা SS7-এর দুর্বলতা থেকে সম্পূর্ণ মুক্ত।
সোর্স ও তথ্যসূত্র ;
University of Washington, Jackson School — "Networks of Control: National and Transnational Digital Repression in Bangladesh"
Netra News — DGFI-এর ফেসবুক হ্যাকিং ও এসএমএস ইন্টারসেপশন ইউনিট
Citizen Lab — রাষ্ট্রীয় নজরদারি প্রযুক্তি গবেষণা
EFF Surveillance Self-Defense — টু-ফ্যাক্টর অথেনটিকেশন নিরাপত্তা গাইড
--------------------------------