বাংলাদেশ ব্যাংকের টাকা চুরী ও সাইবার ফরেনসিক

১৭ ই মার্চ, ২০১৬ রাত ১:৫৫

বাংলাদেশ ব্যাংকের টাকা চুরি ও সাইবার ফরেনসিক

ব্যাপারটা অনেক সাধারন ব্যক্তির মতই বিদায়ী গভর্নর আতিউর রহমানের কাছেও অপরিচিত, তবে আমার মত যারা সামান্য তথ্যপ্রযুক্তি নিয়ে কাজ করে তাদের কাছে শব্দগুলি বহুল ব্যবহৃত। তাই সেই যৎ সামান্য জ্ঞান নিয়ে আমি এটা বলতে পারি যে, উনি যদি চুপিসারে নিজের লোক, যারা এই বিষয়ে উনার মতই অজ্ঞ, দিয়ে কোন দিক থেকে আক্রমণ আসল তা বুঝার চেষ্টার নামে কালক্ষেপন না করে, দ্রুত কোন আইটি বিশেষজ্ঞের সাহায্য নিতেন তাহলে হয়ত চোর কে ধরা সম্ভব হত। যেখানে কয়েক মিনিটে, সাইবার অপরাধী নিজেদের ক্লু লুকিয়ে ফেলতে পারে, সেইখানে গুরুত্বপুর্ন ৩০ দিন পার হয়ে গেছে। তারপরও, সাইবার ক্রাইম হয়েছে এইটা বুঝলে সাইবার বিশেষজ্ঞের সাহায্য নেওয়ার দরকার এই সাধারন জ্ঞানটা কেন তার মাথায় আসল না, সেটা আমার বোধগম্য না।

ঘটনার সাথে সাথেই যদি নির্দিষ্ট কম্পিউটারগুলোর volatile memory (RAM) এর ইমেজ যেটা ফরেনসিক ইকিউপমেন্ট এর সাহায্যে শাট ডাউন করার ছয় ঘন্টার মধ্যে নেওয়া সম্ভব হত আর নয়ত হার্ড ড্রাইভে রক্ষিত সোয়াপ মেমরীর ইমেজ সংগ্রহ করা গেলে লাস্ট অ্যাক্টিভিটির একটা ধারনা পাওয়া যেত এবং লাস্ট কিবোর্ড এন্ট্রি সনাক্ত করা যেত। ডিস্ক ফরেনসিক অ্যানালাইজার দিয়ে ডিলিটেড ফাইল ছাড়াও হিডেন ফাইল, কিবোর্ড হিস্টরী, এমনকি RAM রিলিজ করা পেজ ফাইল এর মধ্যে রক্ষিত পাসওয়ার্ড, কোড, কার্ড নম্বর অথবা যেকোন এন্ট্রি বা অ্যাক্টিভিটি যা ঐ কম্পিউটার ব্যবহার করে করা হয়েছে তা খতিয়ে দেখে বের করা সম্ভব যে ঐ কম্পিউটার ব্যবহার করে কোন অপরাধ হয়েছে কিনা। এছাড়াও ডিস্কের স্লাক স্পেস (Slack Space) অ্যানালাইজ করে জানা সম্ভব যে কোন স্পাইওয়ার, Malware বা স্পাইবট অ্যাটাক হয়েছে কিনা। সাইবার ফরেনসিক টুল বা Evidence Extractor দিয়ে আরও যেসব তথ্য উদ্ধার সম্ভব যেমন:

-Credit card “track 2″ information.
-Internet domains found on the drive, including dotted-quad addresses found in text.
-Email addresses used for communication.
-Ethernet MAC addresses found through IP packet carving of swap files and compressed system hibernation files and file fragments.
-EXIFs from JPEGs and video segments. This feature file contains all of the EXIF fields, expanded as XML records.
-The results of specific regular expression search requests.
-IP addresses found through IP packet carving.
-US and international telephone numbers.
-URLs, typically found in browser caches, email messages, and pre-compiled into executables.
-A histogram of terms used in Internet searches from services such as Google, Bing, Yahoo, and others.
-A list of all “words” extracted from the disk, useful for password cracking.
-The wordlist with duplicates removed, formatted in a form that can be easily imported into a popular password-cracking program.
-A file containing information regarding every ZIP file component found on the media. This is exceptionally useful as ZIP files contain internal structure and ZIP is increasingly the compound file format of choice for a variety of products such as Microsoft Office

কিন্তু যত দ্রুত এই কাজ করা যায় তত বেশী তথ্য উদ্ধার সম্ভব। কারন সময়ের সাথে সাথে ডিস্কের ডাটা ওভার রাইট হতে থাকে। ডিলিট করা তথ্য উদ্ধার করা সম্ভব কিন্তু ওভার রিটেন তথ্য উদ্ধার করা সম্ভব নয়। তাই গভর্নর সাহেব যদি ঘটনা লুকিয়ে না রেখে বিষয়টি সাথে সাথে কোন আইটি বিশেষজ্ঞকে জানাতেন, তাহলে তারা হয়ত উনাকে করণীয় সম্পর্কে ধারণা দিতে পারতেন আর এভাবেই অভ্যন্তরীন চোর বা সহযোগীদের সনাক্ত করা সম্ভব হত। এতদিন পর যেটা আর সম্ভব না।

SWIFT যেভাবে কাজ করে সেটা যদি দেখি তাহলে বুঝবেন যে সুইফট যোগাযোগ করে সুইফট নেট (SWIFT NET) বলে ওদের নিজস্ব নেটওয়ার্ক যা অনেকটা ভিপিএন এর মত, যেটাতে ঢুকতে হলে ট্রাস্টেড আইপি এবং ট্রাস্টেড সিস্টেমের মাধ্যমে ঢুকতে হয়। তার মানে হচ্ছে বাংলাদেশ ব্যাংক এর ইন্টারনেট গেটওয়ে এবং তার পেছনের বা ঐ গেটওয়ে ব্যাবহারকারী কোন কম্পিউটার এবং নির্দিষ্ট কম্পিউটার যেখানে সুইফট ক্লায়েন্ট ইনস্টল করা আছে একমাত্র সেটা ব্যাবহার করেই কেবল সুইফট লেনদেন সম্ভব। এছাড়াও CMM (Capability Maturity Model) সার্টিফাইড সফটওয়্যার এর মধ্যে সুইফট ক্লায়েন্ট ইন্টিগ্রেট করা সম্ভব যেটাও ঐ ধরনের সিকিউরিটি স্টান্ডার্ড মেইনটেইন করে এবং সুইফট এর মাধ্যমে পেমেন্ট অর্ডার প্লেস করার পরেও তা চ্যালেন্জ করা হয় এবং রেসপন্স পাওয়ার পরেই প্রসেস করা হয়। এবং এটা হ্য় সুইফট মেইল (SWIFT Mail) নামক নিজস্ব মেসেজিং এর মাধ্যমে। যেটা কিনা সুনির্দিষ্ট সিস্টেমের মাধ্যমে হ্য় এবং ঐ সিস্টেম থেকেই কনফার্ম করা হয়। যেমন ধরুন ব্যাংকে কোন চেক জমা দিলে, ব্যাংক হতে চেক প্রদানকারী গ্রাহকের নম্বরে কল করে কনফার্ম করা হয় এবং কনফার্ম না হওয়া পর্যন্ত চেক প্রসেস হয় না। আর সুইফট এই কাজটা হয় সুনির্দিষ্ট সিস্টেমের মধ্যে অটোমেটেড প্রসেসে। অতএব বলা যায় যে ঘটনাটি বাংলাদেশ ব্যাংকের অভ্যন্তরীন ব্যবস্থার মাধ্যমেই ঘটেছে।

তবে আর একটা সম্ভাবনা আছে এবং তা হচ্ছে, বাইরে থেকে ঐসব সিস্টেমের মধ্যে রিমোট অ্যাক্সেস এর মাধ্যমে যেটা বাংলাদেশ ব্যাংকের নেটওয়ার্কের মধ্যে ভিপিএন কানেকশন ক্যাপাবল সিস্টেম ইনস্টল করে, যেটা তৎক্ষনাত ফরেনসিক আ্যনালাইজারের মাধ্যমে জানা যেত তা কোথায় ইনস্টল করা আছে। এছাড়াও Penetration Testing এবং Vulnerability Testing যদি সাথে সাথে করা যেত তাহলে আরও কোন অ্যাক্সেস ওয়ে বানান হয়েছে কিনা তা বুঝা যেত। এছাড়াও গেটওয়ে বা Firewall এর ক্যাশ চেক করে প্যাকেট অ্যানালাইজ করে জানা যেত যে কোথা থেকে ফরেইন অ্যাক্সেস করা হয়েছে।

অতএব এটা বলা কঠিন না যে উনাদের গাফলতি, ব্যর্থতা বা অযোগ্যতা যাই হোক না কেন এটা উনাদের দায়। সাথে সাথে একটা আইটি অডিট করা যেতে পারত। এসব কাজের জন্য যেসব এক্সপার্ট দরকার তা হচ্ছে
CISSP (Certified Information System Security Professional)
CCFP (Certified Cyber Forensic Professionals)
CISA (Certified Information System Auditor)
CISM (Certified Information System Security Manager)

এসব এক্সপার্ট যে বাংলাদেশ এ নাই তা না, সমস্যাটা হচ্ছে ঐসব যায়গায় যারা আছে তারা মনে করেছে উনারাই যথেষ্ঠ। দুই একটা সিকিউরিটি টেকনোলজী যেমন ভিপিএন বা ফায়ারওয়াল বসিয়ে তাদের মনে এই ধারনা জন্মেছে যে, সিস্টেম পুরোপুরি সুরক্ষিত হয়ে গেছে। এ রকম প্রতিটা যায়গায় যদি এক্সপার্ট দিয়ে সুরক্ষা ব্যাবস্থা নেওয়া না হয় এর জন্য ভবিষ্যতে চড়ম মূল্য দিতে হতে পারে।

৩ টি +২/-০