সাইবার সিকিউরিটি কি ?

সাইবার সিকিউরিটি কি ?

সাইবার সিকিউরিটি হচ্ছে কোন সাইবার অ্যাটাক থেকে নেটওয়ার্ক, ডিভাইস এবং প্রোগ্রাম গুলি সুরক্ষিত ও পুনরুদ্ধারের প্রক্রিয়া। ইন্টারনেটের জগতে হ্যাকিং বা ম্যালওয়্যার অ্যাটাক থেকে বাঁচার জন্য যে সব ব্যবস্থা গ্রহণ করা হয় সেই বিষয় গুলি সাইবার সিকিউরিটির মধ্যে পরে । ওয়েবসাইটে অবৈধ প্রবেশ বন্ধ করতে সাইবার সিকিউরিটি সম্পর্কে জানা প্রয়োজন। যখন কেউ আপনার কম্পিউটার বা স্মার্টফোনের অসৎ ভাবে অ্যাক্সেস পাওয়ার চেষ্টা করে তখন তা হ্যাকিং এর আওতায় পরে । 

আর এ ধরনের খারাপ অভিজ্ঞতা থেকে বাঁচার জন্য আপনাকে অবশ্যই সাইবার সিকিউরিটি সম্পর্কে বিস্তারিত জানতে হবে । 

সাইবার অ্যাটাক ধরনসমূহ: 

কি কি ধরনের সাইবার অ্যাট্যাক বা হুমকি আপনি পেতে পারেন সেসব বিষয়ে জানাটা আগে জরুরী। যদি আপনি সাইবার অ্যাটাক সম্পর্কে না জানেন তাহলে সাইবার সিকিউরিটি সম্পর্কে বিশেষ ভাবে বুঝতে পারবেন না। 

অনেক ধরনের সাইবার হুমকি রয়েছে যা আপনার ডিভাইস এবং নেটওয়ার্কগুলিতে আক্রমণ করতে পারে , কিন্তু সাইবার হুমকি সাধারণত তিনটি ভাগে বিভক্ত সেগুলো হলঃ 

1. Confidentiality 

2. Integrity 

3. Availability 

Attacks on Confidentiality: এটি দ্বারা সাধারণত আপনার ব্যক্তিগত তথ্য চুরি এবং আপনার ব্যাংক অ্যাকাউন্ট বা ক্রেডিট কার্ডের তথ্য চুরি করা বুঝায়। অনেক সাইবার ক্রিমিনাল বা আক্রমণকারীরা আপনার এসব তথ্য সংগ্রহ করবে এবং অন্যদের ব্যবহার করার জন্য একটি ডার্ক ওয়েবে বিক্রি করবে । 

Attacks on Integrity: এটি দ্বারা সাধারণভাবে বোঝায় ব্যক্তিগত বা এন্টারপ্রাইজ তথ্য চুরি করা, এবং প্রায়ই লি ক বলা হয়। এটি একটি সাইবার ক্রিমিনাল অ্যাক্সেস এবং প্রকাশ্যে তথ্য প্রকাশ করবে এবং যেই সংস্থার তথ্য চুরি করছে সেই সংস্থার উপর বিশ্বাস হারানোর জন্য জনগণকে প্রভাবিত করবে । সহজ কথায় বলা যায় আপনার ব্যবসা নষ্ট করার জন্য এসব হ্যাক করা হয়ে থাকে । 

Attacks on Availability: এই ধরণের সাইবার অ্যাটাকে র লক্ষ্য ব্যবহারকারীদের তাদের নিজস্ব ডেটা বা অ্যাক্সেস চুরি করবে এবং একটি নির্দিষ্ট পরিমাণ ফি বা মুক্তিপণ না দেওয়া পর্যন্ত আপনার তথ্যগুলো অবরুদ্ধ করে রাখবে। সাধারণত, সাইবার ক্রিমিনাল আপনার নেটওয়ার্ক অনুপ্রবেশ করবে এবং গুরুত্বপূর্ণ ডেটা অ্যাক্সেস থেকে আপনাকে অবরুদ্ধ করে। আপনি আপনার ডাটা গুলোর অ্যাক্সেস পাবেন না। 

নিচে কয়েকটি সাইবার এট্যাকের উদাহরণ দেওয়া হলো যা উপরে তালিকাভুক্ত তিনটি বিভাগে পড়ে : 

১. Social Engineering: সোশ্যাল ইঞ্জিনিয়ারিং বলতে তথ্য নিরাপত্তা সম্পর্কিত বিষয়ে মানুষকে মনস্তাত্ত্বিকভাবে কার্য সম্পাদনের জন্য ব্যবহার অথবা গোপনীয় তথ্য প্রকাশকে বোঝায়। তথ্য সংগ্রহ, জালিয়াতি বা সিস্টেমে অনুপ্রবেশের উদ্দেশ্য হল এক ধরনের সাহসী কৌশল, এটি ঐতিহ্যগত প্ররোচনা থেকে ভিন্ন এই কারণে যে এটা প্রায়ই আরো জটিল জালিয়াতি পরিকল্পনার অন্যতম একটি পদক্ষেপ বলে বিবেচিত হয়। সোশ্যাল ইঞ্জিনিয়ারিং এর মধ্যে কয়েকটি ধরনের নাম নিচে দেয়া হলো

  • ফিশিং 
  • আইভি আর বা ফোন ফিশিং 
  • স্পিয়ার ফিশিং 
  • ওয়াটার হোলিং
  • বেটিং
  • কুইড প্রো কিউ 
  • টে ইলগে টিং 

প্রতিরক্ষা: 

আদর্শ অবকাঠামো ও কর্মচারীবৃন্দদের স্তরে আস্থাগত অবকাঠামো প্রতিষ্ঠা। যে মন কর্মচারীবৃন্দদের নির্দিষ্ট করে এবং কখন/কোথায়/কেন/কিভাবে সংবেদনশীল তথ্য বিনিময় করা যাবে সে সম্পর্কে হাতে কলমে শিক্ষাদান করা। 

তথ্য সম্পর্কে গভীর সতর্ক করা: কোন তথ্যটি সংবেদনশীলতা চিহ্নিত করা এবং একটি সোশ্যাল ইঞ্জিনিয়ারিং এর নিকট প্রকাশ এবং নিরাপত্তা ব্যবস্থার ত্রুটি নির্ণয় করা। 

নিরাপত্তা প্রটোকল: নিরাপত্তা প্রটোকল সমূহ, নীতি এবং সংবেদনশীল তথ্য বিনিময় করার পদ্ধতি স্থাপন করা। 

কর্মচারীদের প্রশিক্ষণ: কর্মচারীদের তাদের পদ অনুযায়ী নিরাপত্তা প্রটোকল এর উপর প্রশিক্ষণ প্রদান করা। যেমন, ত লগে টিং এর মতো পরিস্থিতিতে , যদি কোন ব্যক্তির পরিচয় যাচাই করা না যায়, পরবর্তীতে কর্মচারীদের অবশ্যই সবিনয়ে প্রত্যাখ্যান করার প্রশিক্ষণ প্রদান করতে হবে । 

ঘটনা পরীক্ষা: নিরাপত্তা অবকাঠামো অপ্রচারিত, পর্যাবৃত্ত পরীক্ষা সম্পন্ন করা। 

২। APTs (Advanced Persistent Threats): সাধারণত ন্যশনাল স্পনসর গ্রুপ দ্বারা কোন কম্পিউটার বা নেটওয়ার্ক এর দীর্ঘদিন এক্সেস নিয়ে রাখাকে বুঝায়। এক্ষেত্রে সাইবার ক্রিমিনালরা আনডিটেক্টেড থেকে দীর্ঘদিন ডিভাইস বা নেটওয়ার্কের এক্সেস নিয়ে রাখে । 

৩। Malware: ম্যালওয়্যার: (Malware) হল ইংরেজি malicious software (ক্ষতিকর সফটওয়্যার) এর সংক্ষিপ্তরূপ। এটি হল এক জাতীয় সফ্টওয়্যার যা কম্পিউটার অথবা মোবাইল এর স্বাভাবিক কাজ ব্যহত করতে , গোপন তথ্য সংগ্রহ করতে , কোন সংরক্ষিত কম্পিউটার নেটওয়ার্ক ব্যবস্থায় অবৈধ অনুপ্রবেশ করতে বা অবাঞ্ছিত বিজ্ঞাপন দেখাতে ব্যবহার হয়।ম্যালওয়্যার এর বিভিন্ন ধরনের হয়ে থাকে এবং তাদের কাজও ভিন্ন ভিন্ন। নিচে কয়েক ধরনের ম্যালওয়্যার এর নাম দেয়া হলঃ 

  • Worms 
  • Viruses 
  • Bots & Botnets 
  • Trojan Horses 
  • Ransomware 
  • Adware 
  • Spyware 

৪। ভালনারেবিলিটি: ভালনেরাবিলিটি হচ্ছে কোন সিস্টেমের দুর্বলতা বা নিরাপত্তার ছিদ্র সমূহ।অর্থাৎ সিস্টেমটি কোন ভাবে বা কোন কৌশলে সংক্রমণযোগ্য। কোন সিস্টেমে ভালনেরাবিলিটি থাকলে সে সিস্টেমকে ভালনারে / Vulnerable) বলা হয়।হ্যাকাররা সাধারণত ভালনারেবল সিস্টেম খুঁজে বের করে ওই সিস্টেম হ্যাক করার চেষ্টা করে । 

৫। ব্যাকডোর: সহজ কথায়,ব্যাকডোর হল এমন এক অসংরক্ষিত রাস্তা বা পথ যার মাধ্যমে কেউ  কোন সংরক্ষিত সিস্টেমে ঢুকে পড়ে। এটা হতে পারে কোন দূর্বল পাসওয়ার্ড, configuration ভুল ইত্যাদি । কোন সিস্টেমের দূর্বল অথেনটিকেশন ব্যবস্থাও ব্যাকডোরের পর্যায়ে পড়ে । একটি ব্যাকডোর আলাদা প্রোগ্রাম হিসেবে একটি প্রোগ্রামের গোপন অংশে র ভূমিকা পালন করতে পারে পারে । যেমন: বক্স অফিস একটি রুট কী এর মাধ্যমে কোন সিস্টেম বিপরীত করে দিতে পারে । যেমন: হার্ডওয়্যার ফার্মওয়্যার -এর কোড বা অপারেটিং সিস্টেম যেমন, উইন্ডোজ এর অংশবিশেষ বিপরীত করা যেতে পারে । ট্রোজেন হর্স কোনো ডিভাইসে অক্ষমতা সৃষ্টিতে ব্যবহৃত হতে পারে । কোনো ট্রোজেন হর্স বৈধ হতে পারে , কিন্তু যখন সে তার কাজ করে তখন সেটি এমন কি কাজ করতে পারে যা একটি ব্যাকডোর ইন্সটল করতে পারে । যদিও কিছু ব্যাকডোর গোপন ভাবে ইন্সটল হয় কিন্তু অন্যান্য ব্যাকডোর গুলো ইচ্ছাকৃত ও পরিচিত। এ ধরনের ব্যাকডোর গুলো প্রস্তুতকারক কে ব্যবহারকারীদের পাসওয়ার্ড পুনরুদ্ধার করার জন্য উপায় প্রদান করে থাকে । 

৬। ডিরেক্ট এক্সেস এট্যাক: সাধারণত ডিরেক্ট এক্সেস এট্যাক বলতে কোন হ্যাকার যখন সরাসরি কোন ডিভাইসের এক্সেস নিয়ে ডেটা ডাউনলোড বা অন্য প্রোগ্রাম রান করতে পারাকে বুঝায়। 

প্রতিরোধ: 

১. অজানা কোন লিংক থেকে ইমেইল ওপেন করবেন না বা আপনার কোন Password দিবেন না। 

. সর্বদা নিজের ডিভাইস আপডেট রাখা। 

৩. সাইবার আক্রমণে ডাটা লস প্রতিরোধে করতে নিয়মিত আপনার ফাইলগুলি ব্যাকআপ করুন। 

৪. কোন সাইটে লগ ইন করবার সময় উপরের লিংক দেখেনিবেন। যেন  কেউ আপনার ক্রেডেন্সিয়াল ফিশিং এট্যাকের মাধ্যমে না পেতে পারে । ফেসবুক একাউন্ট হ্যাকিং কি ভাবে হয়, এবং যেভাবে নিজেকে সুরক্ষিত রাখবেন

১. ব্রুট ফোর্স: ব্রুট ফোর্স এটাকের ক্ষেত্রে যেটা হয়, হ্যাকার সম্ভাব্য পাসওয়ার্ডের তালিকা তৈরি করে এবং সেগুলো ক্রমাগত লগইন করবার জন্য চেষ্টা করে থাকে । তালিকা তৈরি র মধ্যে ইউজারের নাম, এড্রেস, জন্ম তারিখ, পেট নেম, হবি , মোবাইল নাম্বার ইত্যাদি র উপর ভিত্তি করে তৈরি করে । 

ব্রুট ফোর্স এটাক এর জন্য অনেক টুলস আছে । তার মধ্যে THC Hydra, Ncrack, John the Ripper, Aircrack-ng, Rainbow Table এমনকি Burpsuit e ব্যবহারের মাধ্যমেও করা হয়। 

#যে ভাবে সুরক্ষিত থাকবেনঃ একদমই সহজ উপরের বর্নিত বিষয়গুলো মাথায় রাখবেন। নাম, মোবাইল নাম্বার, পেট নেম বা সহজে অনুমান করা যায় এমন পাসওয়ার্ড ব্যবহার করা থেকে বিরত থাকবেন। 

২. হুক ব্যবহারের মাধ্যমে: এক্ষেত্রে হ্যাকার beef xss framework এর মাধ্যমে লিংক তৈরি করে ভিকটিম অর্থাৎ ইউজারকে সেন্ড করে । ইউজার লিংকে ক্লিক করলে তার ব্রাউজারে হ্যাকারের হুক লেগে যায়। তারপর হ্যাকার কাস্টমাইজ ডায়লগ বক্স ইউজারকে সেন্ড করে । তখন ইউজার তার ব্রাউজারে Facebook Session Timed Out নামে ডায়লগ ভেসে উঠে । ইউজার যখন তার ক্রেডেন্সিয়াল দিয়ে পুনরায় লগইন করে তখন হ্যাকারের কাছে ইউজারের ক্রেডেন্সিয়াল চলে যায়। 

#যে ভাবে সুরক্ষিত থাকবেনঃ ট্রাস্টেড এবং এক্সপেকটেড লিংক ছাড়া অন্যান্য লিংকে ক্লিক করা থেকে বিরত থাকতে হবে । 

৩. ফিশিং: ফিশিং করার জন্য মূলত হ্যাকার Social Engineering Toolkit (setoolkit) ব্যবহারের মাধ্যমে ফেসবুক ক্লোন করে হুবহু ফেসবুকের মতো সাইট হোস্ট করে । এবং সাইটের লিংক ভিকটিমকে ইমেইল, মেসেঞ্জার অথবা যে কোন চ্যাটিং সার্ভিসের মাধ্যমে সেন্ড করে । ভিকটিম লিংকে ক্লিক করলে হুবহু ফেসবুকের লগইন পেজের মত  পেজ সাদৃশ্য হয়। সেখানে ইউজারনেম এবং পাসওয়ার্ড দিয়ে লগইন বাটনে ক্লিক করলে ইউজারের ক্রেডেন্সিয়াল হ্যাকারের কাছে চলে যায়।

#যে ভাবে _সুরক্ষি ত_থাকবে নঃ ট্রাস্টেড এবং এক্সপেক্টেড লিংক ছাড়া অন্যান্য লিংকে ক্লিক করা থেকে বিরত থাকতে হবে এবং ভুলবশত কোন লিংকে ক্লিক করলে যদি ফেসবুকের লগইন ইন্টারফেসের মত পেজে নিয়ে গেলে সেখানে ক্রেডেন্সিয়াল দিয়ে লগইন করা থেকে বিরত থাকতে হবে । 

৪. কী-লগার: সহজে বলতে গেলে কী-লগার এমন একটি প্রোগ্রাম যা ভিকটিমের কী-বোর্ডে টাইপ করা প্রতিটা ওয়ার্ড হ্যাকারকে সেন্ড করে । বিভিন্ন থার্ড পার্টি সফটওয়্যার বা পি ডি এফ ফাইলের সাথে হ্যাকার কী-লগার বাইন্ড করে দেয়। হার্ডওয়্যার কী-লগার সাধারণত ইউএসবি ড্রাইভে বাইন্ড করা থাকে । 

#যে ভাবে সুরক্ষিত থাকবেনঃ ফায়ার ওয়াল ব্যবহার করা, ব্যবহৃত সফটওয়্যার আপ টুডে ট রাখা। ট্রাস্টে ড সফটওয়্যার, পি ডি এফ, ইউএসবি ড্রাইভ ছাড়া ব্যবহার করা যাবে নাহ। 

৫. ম্যান ইন দ্যা মিডল এটাক : এক্ষেত্রে হ্যাকার wifi pumpkin বা অন্য কিছুর মাধ্যমে fake wifi network তৈরি করে । ভিকটিম  যখন wifi কানেক্ট করে , হ্যাকার traffic অথবা route ইন্সপেক্টর র মাধ্যমে fake login page সেট করে । 

#যে ভাবে সুরক্ষিত থাকবেনঃ আনইনক্রিপটেড বা ওপেন wifi network’এ কানেক্ট হওয়া থেকে বিরত থাকতে হবে । পাবলিক ওয়াই-ফাই ব্যবহার না করায় ভাল। (এয়ারপোর্টে , রেস্টুরেন্ট, হোটেলের ওয়াই-ফাই) 

এছাড়াও আর কিছু মেথড আছে যেগুলোর মাধ্যমে হ্যাকাররা ফেসবুক একাউন্ট হ্যাক করে ।সুযোগ হলে বাকিগুলো নিয়ে আরেকদিন আলোচনা করা হবে । 

উপরে আলোচিত বিষয়গুলো এভয়েড করা। এবং strong password অর্থাৎ 8-12 letter long, special characters,number,Capital and small letter এর সংমিশ্রণে পাসওয়ার্ড ব্যবহার করা উচিৎ। যেমনঃ [email protected]$$w0rd (তাই বলে আবার এটিই ব্যবহার করবেন নাহ, আমি উদাহরণ দিয়েছি মাত্র) 

Two factor Authentication (2FA) ব্যবহার করতে হবে । ট্রাস্টেড ফ্রেন্ড এড করে রাখতে হবে । 

সাইবার সিকিউরিটি জব রোল:

1. Application Security Administrator – Keep software / apps safe and secure.

2. Artificial Intelligence Security Specialist – Use AI to combat cybercrime.

3. Automotive Security Engineer – Protect cars from cyber intrusions. 

4. Blockchain Developer / Engineer – Code the future of secure transactions.

5. Blue Team Member – Design defensive measures / harden operating systems.

6. Bug Bounty Hunter – Freelance hackers find defects and exploits in code.

7. Cybersecurity Scrum Master – Watch over and protect all data. 

8. Chief Information Security Officer (CISO) – Head honcho of cybersecurity.

9. Chief Security Officer (CSO) – Head up all physical/info/cyber security. 10. Cloud Security Architect – Secure apps and data in the cloud. 

11. Counterespionage analyst – Thwart cyber spies from hostile nation states.

12. Cryptanalyst – Decipher coded messages without a cryptographic key.

13. Cryptographer – Develop systems to encrypt sensitive information.

14. Cyber Insurance Policy Specialist – Consult on cyber risk and liability protection.

15. Cyber Intelligence Specialist – Analyze cyber threats and defend against them.

16. Cyber Operations Specialist – Conduct offensive cyberspace operations.

17. Cybercrime Investigator – Solve crimes conducted in cyberspace. 

18. Cybersecurity Hardware Engineer – Develop security for computer hardware.

19. Cybersecurity Lawyer – Attorney focused on info/cyber security and cybercrime.

20. Cybersecurity Software Developer / Engineer – Bake security into applications.

21. Data Privacy Officer – Ensure legal compliance related to data protection. 22. Data Recovery Specialist – Recover hacked data from digital devices.

23. Data Security Analyst – Protect information on computers and networks. 24. Digital Forensics Analyst – Examine data containing evidence of cybercrimes.

25. Disaster Recovery Specialist – Plan for and respond to data and system catastrophes. 26. Ethical / White Hat Hacker – Perform lawful security testing and evaluation.

27. Governance Compliance & Risk (GRC) Manager – Oversee risk management.

28. IIoT (Industrial Internet of Things) Security Specialist – Protect industrial control systems.

29. Incident Responder – First response to cyber intrusions and data breaches. 30. Information Assurance Analyst – Identify risks to information systems.

31. Information Security Analyst – Plan and carry out infosecurity measures.

32. Information Security Manager / Director – Oversee an IT security team(s).

33. Intrusion Detection Analyst – Use security tools to find targeted attacks.

34. IoT (Internet of Things) Security Specialist – Protect network connected devices.

35. IT Security Architect – Implement network and computer security.

36. Malware Analyst – Detect and remediate malicious software. 

37. Mobile Security Engineer – Implement security for mobile phones and devices.

38. Network Security Administrator – Secure networks from internal and external threats.

39. Penetration Tester (Pen-Tester) – Perform authorized and simulated cyberattacks.

40. PKI (Public Key Infrastructure) Analyst – Manage secure transfer of digital information.

41. Red Team Member – Participate in real-world cyberattack simulations. 

42. SCADA (Supervisory control and data acquisition) Security Analyst – Secure critical infrastructures. 

43. Security Auditor – Conduct audits on an organization’s information systems.

44. Security Awareness Training Specialist – Train employees on cyber threats.

45. Security Operations Center (SOC) Analyst – Coordinate and report on cyber incidents.

46. Security Operations Center (SOC) Manager – Oversee all SOC personnel.

47. Source Code Auditor – Analyze software code to find bugs, defects, and breaches.

48. Threat Hunter – Search networks to detect and isolate advanced threats.

49. Virus Technician – Detect and remediate computer viruses and malware.

50. Vulnerability Assessor – Find exploits in systems and applications.

Leave a comment