নির্বাচিত পোস্ট | লগইন | রেজিস্ট্রেশন করুন | রিফ্রেস

মানুষ শুধু মানুষের জন্য না, জগতের সকলের জন্য

গরল

জগতের সকল প্রাণী শান্তি লাভ করুক

গরল › বিস্তারিত পোস্টঃ

দশ বছর আগের রাশিয়ার ঘটনার পূণরাবিত্তি হল ডাচ-বাংলা ব্যাংকে - নিরাপত্তা নির্দেশিকা সম্পূর্ণ মেনে চললে এই ঘটনা এড়ানো যেত

০৬ ই জুন, ২০১৯ বিকাল ৩:৩৫

দশ বছর আগে ২০০৯ সালে রাশিয়া, ইউক্রেন, এস্তোনিয়া মানে তৎকালিন রাশিয়ার ২৮০ টা শহরের ২১০০০ এটিএম মেশিন হ্যাক হয় ১০ ঘন্টার মধ্যে ঠিক একই কায়দায় যা ডাচ-বাংলা ব্যাংকে ঘটে গেল কয়দিন আগে। এবং কারণও একই, এটিএম এর অপারাটিং সিষ্টেমের দূর্বলতা। নিচে দুইটা খবরে লিংক দিলাম রাশিয়ার ঐ ঘটনার।

Diebold ATMs in Russia targeted with malware

Four hackers indicted in RBS WorldPay breach

আইটি ইঞ্জিনিয়ার মাত্রই সবাই জানে যে উইন্ডোজ এক্সপি কতটা ঝুঁকিপূর্ণ বর্তমান সময়ে আর মাইক্রসফট নিজেও এর সাপোর্ট বন্ধ করে দিয়েছে এবং এক্সপিকে নিরাপত্তার কারণে বাতিল ঘোষণা করেছে। আসলে এটিএম মেশিনগুলোর ভেতরে থাকে কার্ড রিডার, নোট ডিসপেনসার আর একটা পিসি বা সিপিইউ। রাশিয়ার যে মেশিনগুলো হ্যাক হয়েছিল সেগুলোর সিপিইউতে ছিল উইন্ডোজ এক্সপি এবং একই ওএস এ চলত ডাচ-বাংলার এটিএমগুলো। নামকরা এটিএম মেশিনগুলো যেমন NCR, Diebold তারা অনেক আগেই এসব দূর্বলতা দুর করেছে অনেক বছর আগেই। সমস্যা হয়েছে যে ডাচ-বাংলার মত কিছু ব্যাংক এখনও কমদামি চায়নিজ মেশিন বা বাংলাদেশে চায়নিজ মেশিন এনে অ্যাসেম্বেল করা এটিএম মেশিন মুড়ির মত কিনে যত্রতত্র বসিয়ে রেখেছে যার ভেতরে দেখা যায় ক্লোন সিপিইউ ও উইন্ডোজ এক্সপি চলে। নামিদামি এটিএম মেশিনগুলোর ভেতরের সিপিইউ থাকে এম্বেডেড টাইপের মানে সেখানে কোন এক্সটারনাল পোর্ট থাকে না এবং অপারেটিং সিস্টেম থাকে লাইসেন্স সহ এবং হার্ডেনড করা মানে যাতে কোন কনফিগারেশন পরিবর্তন করা বা নতুন কোন কিছু ইনষ্টল করা না যায়। এন্টায়ার ডিস্ক এনক্রিপ্ট করা থাকে বিট-লকারের মত সিস্টেম দ্বারা এবং বিহেভিয়ারল অ্যানালিটিকস সমৃদ্ধ Host Based IPS (Intrusion Prevention System) দিয়ে সুরক্ষিত। আর এটিএম এর অ্যাপ্লিকেশন চলে প্রসেসরের TEE (Trusted Execution Environment) এর ভেতরে যাতে কোন ম্যালওয়্যার দিয়ে সিপিইউ সংযুক্ত কার্ড রিডার বা নোট ডিসপেন্সার নিয়ন্ত্রণ করা না যায়। সেখানে একটা ক্লোন সিপিইউতে এসব নিরাপত্তা ব্যাবস্থা কখনই সম্ভব না।

কথা হল যে ব্যাংকের আইটি এক্সপার্টরা কি এসব জানত না, অবশ্যই জানত। সমস্যা হল ব্যাংকের ম্যানেজমেন্ট, প্রকিউরমেন্ট ও অডিট ডিপার্টমেন্ট। আমাদের দেশের ম্যানেজমেন্ট এখনও সফটওয়্যার চালাতে লাইসেন্স লাগে এটা মানতে নারাজ এবং অডিট ও প্রকিউরমেন্ট ডিপার্টমেন্ট বুঝে না যে কনফিগারেশন একই থাকলেও একটা ব্রান্ডেড সিপিইউ ও একটা ক্লোন সিপিইউ বা একটা Cisco সুইচ আর D-Link সুইচ এর মধ্যে অনেক পার্থক্য। অতএব নেটওয়ার্ক এর লেয়ার টু আর লেয়ার থ্রি এর আলাদা আলাদা নিরাপত্তা প্রদান সম্ভব হয়ে উঠে না। ভেন্ডর প্রভাইডেড পয়েন্ট টু পয়েন্ট ছাড়াও সার্টিফিকেট বেজড ভিপিএন টানেলিং এর মাধ্যমে এটিএমগুলো সার্ভারে সাথে কানেক্ট করা এবং প্রতিটা এটিএম কে ফায়ারওয়াল দিয়ে সুরক্ষিত করা অনেক ব্যায়সাপেক্ষ। তাই অনেক সময় ম্যানেজমেন্ট সস্তায় যতটুকু সম্ভব তা করতে যে বেশিরভাগ ক্ষেত্রেই Standard মেনে চলে না। আর সেখানেই হচ্ছে প্রধান দূর্বলতা বা নিরাপত্তার ঘাটতি। তা না হলে আমাদের মত প্রতিষ্ঠানে উইন্ডোজ এক্সপি প্রায় দুই বছর আগেই দুরিভূত করা হয়ে গেছে সেখানে ব্যাংকের এটিএম এর মত যায়গায় কিভাবে এখনও এক্সপি চলে।

মন্তব্য ১৯ টি রেটিং +২/-০

মন্তব্য (১৯) মন্তব্য লিখুন

১| ০৬ ই জুন, ২০১৯ বিকাল ৪:৩২

চাঁদগাজী বলেছেন:

অপারেটিং সিস্টমের দুর্বলতার সুযোগ নিয়ে এরা টাকা তুলেছে; কিন্তু এরা নিজের সফটওয়ার ইনষ্টল করে কিভাবে, কিভাবে নেট-ওয়ার্কে এডমিন হিসেবে "লগিন" করে?

০৬ ই জুন, ২০১৯ বিকাল ৪:৪৫

গরল বলেছেন: স্মার্ট চিপ কার্ডে ক্রিপ্টোগ্রাফিক কোড থাকে যা এক্সিকিউট না করলে কোডটা পাওয়া যায় না, সে সুযোগ নিয়ে স্ট্যাটিক কোড না রেখে কার্ডে Executable Code দিয়ে দিছে আর তাতেই ধরা। উইন্ডোজ এক্সপি বুঝে না কোনটা ট্রাষ্টেড কোড আর কোনটা আন-ট্রাষ্টেড। এটাকে বলে রিমোট কোড এক্সিকিউশন যেটা এক্সপিতে আলাদা করে বুঝার মত ব্যাবস্থা ছিল না যা এখনকার ওএস গুলোতে আছে। এবং এসব কোডকে ট্রাষ্টেড করারও ব্যাবস্থা আছে যাতে ওএস বুঝতে পারে কোনটা এক্সিকিউট করবে কোনটা করবে না।

২| ০৬ ই জুন, ২০১৯ বিকাল ৪:৩৫

বিদ্রোহী ভৃগু বলেছেন: বিষয়টা অনেকটাই ক্লিয়ার হলো আপনার তথ্য সমৃদ্ধ লেখায়

অনেক সথ্যও উঠৈ এসেছে। সফটওয়ারের লাইসেন্স এবং এর ব্যায় শুনলে আসলেই কপালে চোখ তুলে বসে থাকে।
তাও আবার বছর বছল রিনিউয়াল!!

তাও ভাল এবার গ্রাহকের গচ্চা যায়নি। সরাসরি বুথ লুট হয়েছে। একাউন্ট লুট হলেতো ভুক্তভূগিরই কষ্টের পারাপার ছিল না!!

এবার কি সচেতন হবে ব্যাংকগুলো!/??

০৬ ই জুন, ২০১৯ বিকাল ৪:৪৯

গরল বলেছেন: আসলে অ্যাকাউন্ট লুট করতে হলে সার্ভার হ্যাক করতে হবে যেটা অনেক কষ্টসাধ্য কারণ সার্ভারগুলোর সুরক্ষায় লক্ষ লক্ষ টাকা ব্যায় করা হয় কিন্তু এন্ডইউজার মেশিনগুলতে সেরকম ভাবে করা হয় না। তবে এটা একটা সতর্কবাণী হিসাবে নিলে ভবিষ্যতে আর এরকম হবে না। অল্পের উপড় দিয়ে গেছে এইবার। ধন্যবাদ আপনাকে, ভালো থাকবেন।

৩| ০৬ ই জুন, ২০১৯ বিকাল ৫:২৩

আর্কিওপটেরিক্স বলেছেন: সারাবিশ্বেই এটিএম হ্যাকের ঘটনা ঘটছে অহরহ। এক্ষেত্রে ইউজারের হাতের নাগালে থাকার কারনে ভালনারিবিলিটি এক্সিকিউট করা সহজ হয়। এক সময় তো Sticky key দিয়েই এটিএমের হ্যাক হতো। কতো ইজি ছিলো সেটা। আর ম্যাগনেটিক স্ট্রাইপে ডেটা ক্লোন করে, কিংবা ডিভাইস ইনসার্ট করেও হ্যাকের ঘটনা ঘটছে।

উইন্ডোজ এক্সপি এখন জাদুঘরের একটা জিনিস। তারপরও মাইক্রোসফট এর ক্রিটিক্যাল আপডেট দিয়ে যাচ্ছে। কারনে বিশাল সংখ্যক ডিভাইসে আজও উইন্ডোজ এক্সপি ব্যবহার হচ্ছে। খুব সহজেই RCE দ্বারা বিপুল পরিমাণ ডিভাইসের নিয়ন্ত্রণ নেওয়া সম্ভব। ওয়ানাক্রাই যার সর্বশেষ উদাহরণ।

দেশের সিস্টেমগুলো জাস্ট ডিফিউল্ট কনফিগারেশনেই চালানো হয় বোধহয়। আর ক্লোন বা নকল সামগ্রীর ব্যবহার তো আছেই।

যেখানে বাংলাদেশ ব্যাংকের টাকা লোপাট হয়ে যায়, সেখানে ডাচ - বাংলা তো কোন ছার !

শুধু কোনায় কোনায় বুথ খুললেই হবে না, নিরাপত্তার বিষয়টিও বিবেচনা করতে হবে।

০৬ ই জুন, ২০১৯ রাত ১১:০৯

গরল বলেছেন: একটা ব্যাপার যদি আপনি একটু হিসেব কষেণ এভাবে যে ১,০০০ এটিএম মেশিনে ওএস আপগ্রেড করতে ও পর্যাপ্ত নিরাপত্তা ব্যবস্থা নিশ্চিৎ করতে যদি বছরে এটিএম প্রতি ১৫,০০০ টাকা করে খরচ হত তাহলে বছরে টোটাল ১৫,০০০,০০০ এবং পাঁচ বছরে খরচ হত ৭.৫ কোটি টাকা। সেখানে ক্ষতি মাত্র ৩ লক্ষ টাকা। অতএব এই ঝুঁকি নেওয়াই যায় :D =p~ B:-/

৪| ০৬ ই জুন, ২০১৯ রাত ৮:৪১

নাসির ইয়ামান বলেছেন: যতই বলেন সেরের উপর সোয়া সের আছে!

ধন্যবাদ ভাইয়া,তথ্যসমৃদ্ধ লেখা লেখেছেন!

০৬ ই জুন, ২০১৯ রাত ১১:০১

গরল বলেছেন: ঠিকই বলেছেন, শতভাগ নিরাপত্তার নিশ্চয়তা কেউ দিতে পারবে না, উদ্দেশ্য হল ক্ষতি যত কম হয়। ধন্যবাদ, ভাল থাকবেন।

৫| ০৬ ই জুন, ২০১৯ রাত ১০:০১

গিয়াস উদ্দিন লিটন বলেছেন: ডাচ বাংলার ঘটনাটিকে সকল ব্যাংক সতর্কতা হিসেবে নিলে ভাল।

০৬ ই জুন, ২০১৯ রাত ১১:০২

গরল বলেছেন: সহমত আপনার সাথে, এটাকে একটা সতর্ক বার্তা হিসেবে নিয়ে পর্যাপ্ত নিরাপত্তা নিশ্চিত করলে ক্ষতি অনেকাংশে কমান সম্ভব। শুভকামনা রইল।

৬| ০৬ ই জুন, ২০১৯ রাত ১১:২২

স্বপ্নের শঙ্খচিল বলেছেন: ডাচ বাংলা ব্যাংক,
নামেই বাহাদুরী, ডাচ দেশে তো এরকম হয় না,
তাদের প্রযুক্তি কি এখানে ব্যবহার হয় ???
...........................................................................
পর্যাপ্ত আইন কানুন আর ব্যবস্হাপনা ছাড়া ব্যাংকিং করে কি ভাবে ?
বাংলাদেশ ব্যাংকের এখানে অবশ্যই দ্ধায় দ্ধায়িত্ব আছে ।
ব্যাংক সমূহ আর কত প্রতারনা করবে গ্রাহকের সাথে ?

০৬ ই জুন, ২০১৯ রাত ১১:৪৩

গরল বলেছেন: প্রযুক্তি নিয়ে কোন সমস্যা নেই, সমস্যা হচ্ছে প্রযুক্তির ব্যবহার নিয়ে, আর যারা বাংলাদেশে আইন করে তারা প্রযুক্তি বুঝে না। আর বাংলাদেশ ব্যাংক নিজেই আইটি নিয়ে নাস্তানাবুদ অবস্থা, তারা আর কি আইন করবে বলেন। প্রয়োজন হচ্ছে দেশে একটা তথ্য নিরাপত্তা কাউন্সিল বানানো যেখানে নিরাপত্তা বিশেষজ্ঞদের সদস্য করা হবে এবং তারাই আইন করার জন্য পরামর্শ দিবে বা নির্দেশনা দিবে। যেমন মেডিক্যাল কাউন্সিল, ডেন্টাল কাউন্সিল, নার্সিং কাউন্সিল, বার কাউন্সিল ইত্যাদি। মতামতের জন্য ধন্যবাদ।

৭| ০৬ ই জুন, ২০১৯ রাত ১১:৩০

আর্কিওপটেরিক্স বলেছেন: যদি পার এটিএমে ১৫ হাজার টাকাও লাগে নিরাপত্তা দিতে তা করাই উত্তম। মাত্র ১৫ হাজারের জন্য লক্ষ লক্ষ টাকা লোপাট হয়ে যাওয়াটা মেনে নেওয়া যায় না। আর একবার একটা বাগ পেলে অপরাধীরা তা ব্যবহার করে বহু সংখ্যক এটিএমে ব্যবহার করতে পারে। তাই একটু খরচা করাটাই সমীচীন। লস তো আর হচ্ছে না।

আসলে বাংলাদেশের সবকিছুই কেমন গা ছাড়া টাইপ। কিছু হলে তখন টনক নড়ে !


এই কালকেই বোধহয়, এনএসএ উইন্ডোজ এক্সপি এবং সেভেন আপডেট দিতে তাগাদা দিয়েছে। BlueKeep Flaw বোধহয় ওয়ানাক্রাইকে ছাড়িয়ে যেতে পারে। এখন তো উইন্ডোজ সেভেনও নিরাপদ নয়।

০৭ ই জুন, ২০১৯ বিকাল ৩:০৫

গরল বলেছেন: এই বাগটা ১০ বছর আগের এবং আমরা এখনও এটা নিয়েই আছি, এতটা দুরবস্থা আমাদের। ডাচ-বাংলা ব্যাংক কাষ্টমার বাগিয়েছে তাদের এটিএম বুথ দেখিয়ে, মোড়ে মোড়ে মুড়ির মত বুথ বসিয়েছে। আর এত বেশি বসিয়েছে যে ষ্ট্যান্ডার্ড মানতে গেলে তারা ফতুর হয়ে যাবে আর সে জন্যই এই অবস্থা। Known bugs নিয়েই আমরা ধরা খাই সেখানে Zero Day Protection নিয়ে কবে চিন্তা করতে পারবো কে জানে।

৮| ০৭ ই জুন, ২০১৯ রাত ২:৩৭

হাসান কালবৈশাখী বলেছেন:
বাংলাদেশের সমস্যা হচ্ছে একাউন্ট হোল্ডারের নাম ঠিকানা ভেরিফাই করা হয়না। যার কারণে ভুয়া নামে একাউন্ট বানিয়ে দুইনাম্বারিি করা সম্ভব হচ্ছে। পরে তাকে খুজে পাওয়া যায় না।

আপনি অবস্য ভাল একটি বিষয়ের কারিগরি দুর্বলতা তুলে ধরেছেন। তবে দুনিয়াব্যাপি ক্যশ টাকার ব্যবহার দিন দিন কমে আসছে। বাংলাদেশেও।
ব্যাংকগুলোর শুধু এটিএম না,অনলাইন ব্যাংকিং সহ সার্বিক নিরাপত্তা বৃদ্ধি জরুরি ভাবে করা দরকার।

০৭ ই জুন, ২০১৯ বিকাল ৩:১৩

গরল বলেছেন: ঠিক বলেছেন, দুনিয়াব্যাপি ক্যাশ টাকার ব্যাবহার কমে আসছে, তবে বাংলাদেশে ক্যাশ টাকাই ভরসা। শুনেছেনতো যে বিকাশ ওয়ালেট থেকে অনেকেরই হাযার হাযার টাকা গায়েব হয়ে গেছে। এর জন্য সচেতনতা দরকার, এধরণের ডিজিটাল ক্যাশ ব্যাবহারের পূর্বশর্ত হচ্ছে এর নিরাপত্তার বিষয়গুলো সম্পর্কে সাম্যক ধারণা ও যথেষ্ট সচেতনতা। অনেক শিক্ষিত মানুষের বিকাশ ওয়ালেট হ্যাক হয়েছে সেখানে এর বেশিরভাগ ব্যাবহারকারীই অশিক্ষিত।

৯| ০৭ ই জুন, ২০১৯ সকাল ৯:৩৭

রাজীব নুর বলেছেন: ডাচ বাংলা ব্যাংকে আমার একাউন্ট আছে।

০৭ ই জুন, ২০১৯ বিকাল ৩:১৮

গরল বলেছেন: চিন্তা করবেন না, কারো অ্যাকাউন্ট থেকে কোন টাকা খোয়া যায় নি।

১০| ২৩ শে ফেব্রুয়ারি, ২০২৩ সকাল ১০:৫০

খায়রুল আহসান বলেছেন: চমৎকার একটি তথ্যসমৃদ্ধ পোস্ট।
ডাচ বাংলা ব্যাংক এর এটিএম বুথের আধিক্য অনেককে সেখানে একাউন্ট খুলতে প্রলুব্ধ করেছে।
এখন আপনার এ সাবধানবাণী ডাচ বাংলা ব্যাংক কর্তৃপক্ষ আমলে নিলে হয়!

আপনার মন্তব্য লিখুনঃ

মন্তব্য করতে লগ ইন করুন

আলোচিত ব্লগ


full version

©somewhere in net ltd.