যদিও হ্যাকিংকে সাধারণত একটি বেআইনি কার্যকলাপ হিসাবে বিবেচনা করা হয়, নৈতিক হ্যাকিং কোম্পানিগুলিকে তাদের কম্পিউটার নেটওয়ার্ক, সিস্টেম এবং ওয়েব অ্যাপ্লিকেশনে অনুপ্রবেশের স্পষ্ট উদ্দেশ্যে উচ্চ প্রশিক্ষিত সাইবার নিরাপত্তা বিশেষজ্ঞ নিয়োগ করে। এই সিমুলেটেড সাইবার আক্রমণের পিছনে যুক্তি হলো যে তারা সংস্থাগুলিকে আগে থেকেই দুর্বলতাগুলি উন্মোচন করতে, সাইবার অপরাধীদের ক্রিয়াকলাপের পূর্বাভাস দিতে এবং "বাস্তব বিশ্বের" অবস্থার উপর ভিত্তি করে দূর্ঘটনা পুনরুদ্ধারের পরিকল্পনা তৈরি করতে সক্ষম করে।
একটি দুর্বলতা আবিষ্কার করার পরে, যেমন অনুপস্থিত ডেটা এনক্রিপশন বা ক্রস-সাইট স্ক্রিপ্টিং, এই "হোয়াইট হ্যাট" হ্যাকারদের অবশ্যই সেগুলি নথিভুক্ত করতে হবে এবং সংস্থাকে প্রতিকারের পরামর্শ প্রদান করতে হবে। অন্যদিকে, একজন "ব্ল্যাক হ্যাট" হ্যাকার হলো একজন অননুমোদিত অনুপ্রবেশকারী যিনি তথ্য আহরণ করতে বা একটি সিস্টেমের সাথে আপস করতে চান।
সাইবার সিকিউরিটি কনসালটিং ফার্ম এলটেনির প্রতিষ্ঠাতা এবং সিইও আনন্দ মহবীর বলেন, “এথিক্যাল হ্যাকিং প্রথমে কৌতূহল দিয়ে শুরু হয়। "আপনি যদি প্রকৃতির দ্বারা একজন কৌতূহলী ব্যক্তি হন এবং আপনি যদি জিনিসগুলি ভাঙতে চান এবং প্রযুক্তিগত দৃষ্টিকোণ থেকে সেগুলি ঠিক করতে চান তবে এটি সম্ভবত আপনার জন্য।"
যদিও এই সৌম্য হ্যাকারদের অনুপ্রবেশ পরীক্ষা করার জন্য কোম্পানিগুলির দ্বারা চুক্তিবদ্ধ করা হয়, একটি সার্টিফাইড এথিক্যাল হ্যাকার (CEH) হয়ে ওঠার জন্য একটি লাইসেন্স দেওয়া হয় না। একটি নৈতিক হ্যাক সাবধানে পরিকল্পনা করা হয়েছে, যেখানে হ্যাকার কোম্পানির সাথে একটি আইনি চুক্তিতে প্রবেশ করে যাতে তারা কোন সিস্টেম এবং অ্যাপ্লিকেশনগুলির সাথে আপোস করতে পারে, সিমুলেটেড সাইবার আক্রমণের জন্য শুরু এবং শেষের সময়, কাজের সুযোগ এবং সম্ভাব্য দায়বদ্ধতার সমস্যাগুলির জন্য সুরক্ষা দেয়।
"আমাদের নিশ্চিত করতে হবে যে এই জিনিসগুলি করার জন্য আমাদের একটি আইনি ভিত্তি আছে এবং আইনী আশ্রয় থেকে নিজেদের রক্ষা করতে হবে," মহবীর ব্যাখ্যা করেছেন। "সুতরাং এই নৈতিক হ্যাকিং অনুশীলনের চুক্তি করার ক্ষেত্রে এটি একটি খুব আনুষ্ঠানিক প্রক্রিয়া।"
এথিক্যাল হ্যাকিং এর সুবিধা কি কি?
নৈতিক হ্যাকিংয়ের তিনটি প্রধান সুবিধা রয়েছে (যা সাইবার নিরাপত্তা বিশ্লেষকদের অন্যতম দায়িত্ব)।
♣দুর্বলতা খোঁজা→কোন নিরাপত্তা ব্যবস্থা কার্যকর তা নির্ধারণ করা, কোনটি আপডেট করা প্রয়োজন এবং কোনটিতে দুর্বলতা রয়েছে যা কাজে লাগানো যেতে পারে।
♣সাইবার অপরাধীদের দ্বারা ব্যবহৃত পদ্ধতিগুলি প্রদর্শন করা→ এক্সিকিউটিভদের হ্যাকিং কৌশলগুলি দেখানো যা হোয়াইট হ্যাট হ্যাকাররা তাদের সিস্টেমে আক্রমণ করতে ব্যবহার করতে পারে৷
♣সাইবার আক্রমণের জন্য প্রস্তুতি→সাইবার আক্রমণের পূর্বাভাস দেওয়া এবং সংস্থার সাইবার নিরাপত্তা পরিকাঠামোতে দুর্বল স্থানগুলিকে চাপা দেওয়া।
এথিক্যাল হ্যাকিং কিভাবে কাজ করে?
পেনিট্রেশন টেস্টিং হলো একধরনের নৈতিক হ্যাকিং যাতে অ্যাপ্লিকেশন সিস্টেম, এপিআই, ফ্রন্ট-এন্ড/ব্যাক-এন্ড সার্ভার, অপারেটিং সিস্টেম এবং আরও অনেক কিছু লঙ্ঘন করার চেষ্টা করা হয়। এথিক্যাল হ্যাকাররা অভ্যন্তরীণ পরীক্ষা, বাহ্যিক পরীক্ষা এবং ওয়েব অ্যাপ্লিকেশন পরীক্ষা সহ একটি প্রতিষ্ঠানের সাইবার নিরাপত্তা প্রস্তুতি নির্ধারণের জন্য বিভিন্ন ধরনের অনুপ্রবেশ পরীক্ষা করে থাকে।
বাহ্যিক পরীক্ষাগুলি হলে সবচেয়ে সাধারণ প্রকার এবং নিরাপত্তা ব্যবস্থায় অনুপ্রবেশ করার চেষ্টাকারী সংস্থার বাইরের কাউকে জড়িত করে৷ ভুল কনফিগার করা ফায়ারওয়াল বা থার্ড-পার্টি অ্যাপ্লিকেশানগুলির দুর্বলতাগুলি সাধারণ দুর্বলতা, এবং একটি সংস্থাকে মিলিয়ন ডলার আর্থিক এবং সুনামগত ক্ষতি করতে পারে৷ উদাহরণস্বরূপ, সংস্থার বাইরের ডোমেনে গোপনীয় নথি পাঠানো থেকে কর্মচারীদের আটকাতে একটি ইমেল সার্ভার কনফিগার করা আবশ্যক এবং একটি শক্তিশালী পাসওয়ার্ড নীতি সহ কর্মীদের তাদের কর্পোরেট ইমেল অ্যাকাউন্টগুলিকে সুরক্ষিত করতে হবে।
অন্যদিকে, অভ্যন্তরীণ পরীক্ষাগুলি প্রতিষ্ঠানের মধ্যে দুর্বলতা খুঁজে বের করার জন্য ডিজাইন করা হয়েছে। প্রকৃতপক্ষে, কর্মচারীরা সাইবার নিরাপত্তার সবচেয়ে দুর্বল লিঙ্কের প্রতিনিধিত্ব করে কারণ তারা সোশ্যাল ইঞ্জিনিয়ারিং-এর জন্য প্রবণ-যেকোনো ধরনের মনস্তাত্ত্বিক ম্যানিপুলেশন যা মানুষকে সংবেদনশীল তথ্য প্রকাশ করতে প্ররোচিত করে।
২০২০ সালে, নিরাপত্তা লঙ্ঘনের প্রায় এক তৃতীয়াংশ সামাজিক প্রকৌশল কৌশলগুলিকে অন্তর্ভুক্ত করেছে, যার ৯০% ফিশিং আক্রমণ ছিল৷ আরও খারাপ, Cisco-এর একটি রিপোর্টে দেখা গেছে যে এন্টারপ্রাইজ নেটওয়ার্কে ৯৫% লঙ্ঘনের জন্য বর্শা ফিশিং আক্রমণের জন্য দায়ী। যদিও ফিশিংয়ে সাধারণত নির্বিচারে ব্যাপক ইমেল বা টেক্সট বার্তা পাঠানো জড়িত থাকে যার মধ্যে ক্ষতিকারকের ডিভাইসে ম্যালওয়্যার ডাউনলোড করে এমন ক্ষতিকারক URL রয়েছে, স্পিয়ার ফিশিং একটি নির্দিষ্ট ব্যক্তিকে লক্ষ্য করে একটি লক্ষ্যযুক্ত পদ্ধতি গঠন করে, যেমন একজন সি-লেভেল এক্সিকিউটিভ।
"মানুষ অভ্যাসের প্রাণী, তারা পাসওয়ার্ড পুনঃব্যবহার করে এবং তারা সোশ্যাল ইঞ্জিনিয়ারিং প্রচেষ্টা শনাক্ত করতে খুব ভালে নয়," বলেছেন মহবীর। "আমরা যা জানি লোকেরা সাধারণত অন্য লোকেদের বিশ্বাস করে, তাই আমরা যখন এই ধরণের পরীক্ষা করি তখন আমরা এটিকে কাজে লাগাতে চাই।"
নৈতিক হ্যাকারদের সৃজনশীল হতে হবে যখন এটি লোক-সম্পর্কিত দুর্বলতাগুলিকে বের করে দেওয়ার ক্ষেত্রে আসে। উদাহরণস্বরূপ, তারা একটি রহস্যজনকভাবে লেবেলযুক্ত ইউএসবি ড্রাইভ একজন কর্মচারীর ডেস্কে রেখে দেখতে পারে যে তারা এটিকে তাদের কম্পিউটারে প্লাগ করবে কিনা, গ্রাহকের তথ্য প্রকাশ করার জন্য ফোনে একজন কর্মচারীকে প্রলোভন দিতে পারে, অথবা "এমনকি একজন পিজা ডেলিভারি গাইয়ের ছদ্মবেশ ধারণ করে এবং কারো কাছে যেতে পারে।
প্রকৃতপক্ষে, ডাম্পস্টার ডাইভিং একটি সম্ভাব্য ডেটা লঙ্ঘন থেকে একটি সংস্থাকে রক্ষা করার একটি গুরুত্বপূর্ণ অংশ। যখন ভুলভাবে নিষ্পত্তি করা হয়, তখন একটি ব্যবসার ট্র্যাশে হার্ড ড্রাইভ, USB ড্রাইভ বা হ্যান্ড-শেড করা চেক থাকতে পারে যা গোপন তথ্য প্রকাশ করে।
প্রায়শই, নৈতিক হ্যাকাররা সংস্থাগুলিকে সামাজিক প্রকৌশলের সম্ভাব্য ক্ষয়ক্ষতি যেমন ডেটা ক্ষতি প্রতিরোধ (DLP) সমাধান বা ফায়ারওয়াল এবং ওয়েব ফিল্টারিংয়ের আশেপাশে কঠোর নীতিগুলি প্রশমিত করার জন্য প্রযুক্তিগত সুরক্ষা ব্যবস্থা স্থাপন করতে সহায়তা করে। কর্মচারীদেরকেও প্রশিক্ষিত করতে হবে যে তারা কোন সাইবার হুমকির সম্মুখীন হতে পারে এবং কীভাবে সামাজিক প্রকৌশলকে চিনতে হয়।
তৃতীয় ধরনের পেনিট্রেশন টেস্টিং যা ওয়েব অ্যাপ্লিকেশন টেস্টিং নামে পরিচিত। সম্ভাব্য বাগগুলির জন্য একটি ওয়েবসাইট পরীক্ষা করে। সাইটটি লাইভ হওয়ার আগে এটি সফ্টওয়্যার বিকাশের জীবনচক্রের একটি সাধারণ পদ্ধতি। বিশেষত ওয়েব টেস্টিং অ-কার্যকর প্রয়োজনীয়তা যেমন প্রাপ্যতা, নির্ভরযোগ্যতা, নিরাপত্তা, কর্মক্ষমতা এবং আরও অনেক কিছুর জন্য পরীক্ষা করে, সাইবার আক্রমণের ক্ষেত্রে সমস্ত কিছুর সাথে আপস করা যেতে পারে।
কিছু কৌশল যা নৈতিক হ্যাকাররা একটি সিস্টেমের তদন্তের জন্য ব্যবহার করে সেগুলির মধ্যে রয়েছে:
১.একটি কোম্পানির সিস্টেম স্ক্যান করার জন্য Nmap, Nessus বা Wireshark-এর মতো পোর্ট স্ক্যানিং টুল ব্যবহার করে দুর্বলতা খুঁজে বের করতে পোর্ট স্ক্যান করা, খোলা পোর্ট শনাক্ত করা, প্রতিটি পোর্টের দুর্বলতা অধ্যয়ন করা এবং প্রতিকারমূলক ব্যবস্থা নেওয়া। (একটি পোর্ট হলো একটি যোগাযোগের শেষ বিন্দু যা একটি নির্দিষ্ট প্রক্রিয়া বা পরিষেবার সাথে যুক্ত৷ পোর্টগুলি কম্পিউটারগুলিকে বিভিন্ন ধরণের ট্র্যাফিকের মধ্যে পার্থক্য করতে দেয়৷)
২.সফ্টওয়্যার আপডেটের মাধ্যমে তারা নতুন দুর্বলতা প্রবর্তন করে না তা নিশ্চিত করার জন্য প্যাচ ইনস্টলেশন প্রক্রিয়াগুলি পরীক্ষা করা।
৩.অনুপ্রবেশ সনাক্তকরণ সিস্টেম, হানিপট এবং ফায়ারওয়াল এড়াতে চেষ্টা করা।
৪.নেটওয়ার্ক ট্র্যাফিক বিশ্লেষণ সম্পাদন করা এবং উপযুক্ত সরঞ্জাম ব্যবহার করে স্নিফিং করা।
৫.সোশ্যাল ইঞ্জিনিয়ারিং শেষ ব্যবহারকারীদের ম্যানিপুলেট করতে এবং একটি প্রতিষ্ঠানের কম্পিউটিং পরিবেশ সম্পর্কে তথ্য পেতে।
কিভাবে নৈতিক হ্যাকিং শুরু করবেন: বাগ বাউন্টি প্রোগ্রাম
সাইবার অ্যাটাকগুলি এতই ব্যয়বহুল→IBM অনুমান করে যে একটি একক ডেটা লঙ্ঘনের জন্য গড়ে একটি ব্যবসায় $৩.৮৬ মিলিয়ন খরচ হয়—যে কিছু কোম্পানি স্বাধীন নিরাপত্তা গবেষকদের বাগগুলি খুঁজে বের করতে এবং সংস্থাকে রিপোর্ট করার জন্য আর্থিক পুরস্কার দেয়৷ এই বাগগুলি নিরাপত্তা শোষণ এবং দুর্বলতা, তবে প্রক্রিয়া সমস্যা এবং হার্ডওয়্যার ত্রুটিগুলিও অন্তর্ভুক্ত করতে পারে। বাগ বাউন্টি প্রোগ্রাম ব্যক্তিগত বা সর্বজনীন (কেউ সাইন আপ করতে পারেন) হতে পারে।
আমাজন, অ্যাপল, ফেসবুক, স্ন্যাপচ্যাট, ড্রপবক্স এবং আরও অনেক বড় কোম্পানিগুলি বাগ বাউন্টি প্রোগ্রাম অফার করে। বেশিরভাগ কোম্পানি ন্যূনতম এবং সর্বোচ্চ পে-আউট অফার করে- মাইক্রোসফ্ট, উদাহরণ স্বরূপ, ক্রিটিকাল বাগ খুঁজে বের করার জন্য সর্বনিম্ন $১৫,০০০ প্রদান করে, যেখানে পুরষ্কারগুলি $২৫০,০০০-এ শীর্ষে রয়েছে।
যাইহোক, বাগ বাউন্টি হ্যাকিং একটি ধনী-দ্রুত স্কিম থেকে অনেক দূরে। একটি কম্পিউটার সিস্টেমে প্রবেশ করা সময়সাপেক্ষ এবং অপারেটিং সিস্টেম এবং অ্যাপ্লিকেশনগুলি কীভাবে কাজ করে, একটি সংস্থার প্রযুক্তি স্ট্যাক সম্পর্কে আরও শিখতে এবং শোষণের বিকাশ ও পরীক্ষা করার জন্য প্রচুর উন্নত গবেষণার প্রয়োজন।
"এথিক্যাল হ্যাকাররা হ্যাকিংয়ের চেয়ে গবেষণায় অনেক বেশি সময় ব্যয় করে," মোহাবির বলেন। "এর কারণ হলো আমরা ক্লায়েন্টের পরিবেশে একটি উপায় বিকাশ করার চেষ্টা করছি এবং এতে তারা কীভাবে কাজ করে, তাদের কী সিস্টেম রয়েছে, সেই সিস্টেমগুলি আক্রমণের জন্য ঝুঁকিপূর্ণ কিনা এবং আমরা কী ধরণের শোষণ বিকাশ করতে পারি তা বোঝার সাথে জড়িত।"
যদিও একজন নৈতিক হ্যাকার হওয়ার জন্য কোন আনুষ্ঠানিক শিক্ষার পথ নেই, অনেকেই কম্পিউটার বিজ্ঞানের ডিগ্রি অর্জন করে বা সাইবার সিকিউরিটির একটি কোর্স গ্রহণ করে, যেমন স্প্রিংবোর্ডের সাইবার সিকিউরিটি ক্যারিয়ার ট্র্যাক। ইন্টারন্যাশনাল কাউন্সিল অফ ইলেকট্রনিক কমার্স কনসালটেন্টস থেকে আপনার সার্টিফাইড এথিক্যাল হ্যাকার (CEH) সার্টিফিকেশন পাওয়ার আগে নেটওয়ার্ক সাপোর্ট, নেটওয়ার্ক ইঞ্জিনিয়ারিং এবং তথ্য নিরাপত্তার অভিজ্ঞতা সহায়ক।
"যখন আপনি একজন নৈতিক হ্যাকার হওয়ার চেষ্টা করছেন তখন অনেক কিছু কার্যকর হয়। আপনাকে জানতে হবে কিভাবে একটি নেটওয়ার্ক ডিজাইন ও পরিচালিত হয়, কিভাবে সার্ভার ইন্টারঅ্যাক্ট করে, কিভাবে ভার্চুয়াল মেশিন, স্টোরেজ এবং ফায়ারওয়াল কাজ করে,” বলেছেন মহবীর। "বাস্তবতা হলো আপনাকে অন্তত জানতে হবে যে সিস্টেমগুলি কীভাবে ইন্টারঅপারেটিং করে যাতে আপনি দুর্বলতাগুলি খুঁজে পেতে এবং তাদের শোষণ করতে তাদের বিপরীত প্রকৌশলী করতে পারেন।"