আপনার পুরোনো রাউটারই এখন সাইবার অপরাধীদের মূল আস্তানা
১৫ এপ্রিল, ২০২৬
হুডি পরা কোনো হ্যাকার নয়, আপনার ঘরের সবচেয়ে বড় সাইবার ঝুঁকি হতে পারে কোণায় পড়ে থাকা পুরোনো রাউটারটি। এর সফটওয়্যার বহু দিন আপডেট করা হয় না, আর অপরাধীরা জানে কীভাবে একে সহজে নিয়ন্ত্রণে নেওয়া যায়।
বেশিরভাগ মানুষ মনে করে সাইবারসিকিউরিটির শুরু হয় পাসওয়ার্ড ম্যানেজার, অ্যান্টিভাইরাস অ্যাপ বা কোনো সন্দেহজনক ইমেইল দিয়ে। এটা একটা আরামদায়ক ভুল ধারণা। আসল সত্যিটা হলো, অনেক বাড়ি এবং ছোট অফিসের সবচেয়ে বিপজ্জনক যন্ত্রগুলোর একটি হলো সেই রাউটার, যা তাকের উপর চুপচাপ বসে থাকে। একবার বসানোর পর বছরের পর বছর এটাতে হাত দেওয়া হয় না। এটি দেখতে তেমন কিছু নয়। এটি মনোযোগও কাড়ে না। আর ঠিক একারণেই এটি অপরাধীদের জন্য এত সহজ একটি টার্গেটে পরিণত হয়েছে।
রাউটার হলো ডিজিটাল জীবনের সদর দরজা। ল্যাপটপ, ফোন, ক্যামেরা, স্মার্ট টিভি, গেম কনসোল, বেবি মনিটর এবং আরও অনেক ইন্টারনেট-সংযুক্ত গ্যাজেট এর মাধ্যমেই যুক্ত থাকে। তবুও এটিকে ঘরের দেয়ালের মতোই অবহেলা করা হয়। একবার ওয়াই-ফাই চালু হয়ে গেলে বেশিরভাগ মানুষ আর কখনো এতে লগ-ইন করে না। এই অভ্যাসটিই অপরাধীদের জন্য একটি বিশাল সুযোগ তৈরি করেছে। বিভিন্ন দেশের নিরাপত্তা সংস্থাগুলো বছরের পর বছর ধরে সতর্ক করে আসছে যে পুরোনো ও আপডেট না করা রাউটারগুলো বটনেট-এর অংশ বানানো হচ্ছে। এগুলো গুপ্তচরবৃত্তি বা ডেটা চুরির কাজেও লাগানো হচ্ছে। আমেরিকাতে, এফবিআই বারবার বাড়ি ও অফিসের রাউটার হ্যাক হওয়ার বিষয়ে সতর্ক করেছে। ব্রিটেনের ন্যাশনাল সাইবার সিকিউরিটি সেন্টারও একই কাজ করেছে। এটা কোনো বিচ্ছিন্ন আতঙ্ক নয়। এটি একটি প্রতিষ্ঠিত দুর্বলতা যা সবার চোখের সামনেই রয়েছে।
এর প্রমাণও স্পষ্ট। ২০১৮ সালে, ভিপিএনফিল্টার ম্যালওয়্যার বিশ্বজুড়ে কয়েক লক্ষ নেটওয়ার্কিং ডিভাইসকে সংক্রমিত করে, যার মধ্যে বাড়ি ও ছোট ব্যবসার রাউটারও ছিল। সিসকো-র গবেষকরা এই হামলার পেছনে একটি সংগঠিত চক্রকে চিহ্নিত করেন। পরে এফবিআই ক্ষতিগ্রস্ত ডিভাইসগুলো রিবুট করার পরামর্শ দেয়। তবে রিবুট করাটা ছিল কেবল একটি সাময়িক সমাধান। এর থেকে বড় শিক্ষাটি ছিল ভয়াবহ: দৈনন্দিন ইন্টারনেট হার্ডওয়্যারকে বড় আকারে গোপনে অস্ত্রে পরিণত করা হয়েছিল। এরও কয়েক বছর আগে, মিরাই বটনেট দেখিয়েছিল অরক্ষিত ডিভাইসগুলোর কী পরিণতি হতে পারে। এটি ২০১৬ সালে হ্যাক করা ডিভাইসগুলোর একটি বিশাল বাহিনী ব্যবহার করে বড় বড় অনলাইন পরিষেবা বন্ধ করে দিয়েছিল। মিরাই বটনেট ক্যামেরা ও অন্যান্য গ্যাজেটের দুর্বল ডিফল্ট পাসওয়ার্ড ব্যবহার করে পরিচিতি পেয়েছিল, কিন্তু এর মূল বিষয়টি এখনও সত্যি। সস্তা ও অবহেলিত ইন্টারনেট হার্ডওয়্যারকে হামলার পরিকাঠামোতে পরিণত করা যায়।
তারপর থেকে এই সমস্যাটি চলে যায়নি, বরং এটি আরও বেড়েছে। হামলাকারীদের সব সময় অত্যাধুনিক পদ্ধতির প্রয়োজন হয় না। কখনও তারা ডিফল্ট লগইন তথ্য ব্যবহার করে, যা মালিকরা কখনো পরিবর্তন করেনি। কখনও তারা পুরোনো ফার্মওয়্যারের পরিচিত দুর্বলতা ব্যবহার করে, যা কোম্পানিগুলো অনেক আগেই ঠিক করে দিয়েছে। তারা ধরে নেয় যে কেউ আপডেটটি ইনস্টল করার কষ্ট করবে না। কখনও আবার কোনো সমাধানই থাকে না, কারণ ডিভাইসটির সাপোর্ট বন্ধ হয়ে গেছে এবং এর নির্মাতা প্রতিষ্ঠানটিও দায় ছেড়ে দিয়েছে। ব্রিটেনের উপভোক্তা সংস্থা 'হুইচ?' এবং 'দি ইন্টারনেট সোসাইটি' উভয়েই একটি সাধারণ কিন্তু উদ্বেগজনক বিষয় তুলে ধরেছে: অনেক ডিভাইস দুর্বল সাপোর্ট এবং অস্পষ্ট আপডেট নীতির প্রতিশ্রুতি দিয়ে বিক্রি করা হয়। এগুলোর নিরাপত্তা ফিচারগুলো কীভাবে ব্যবহার করতে হয়, তা সাধারণ ক্রেতাদের কখনোই শেখানো হয় না।
এখানেই বাজার ব্যবস্থা ব্যর্থ হয়েছে, এবং খুব খারাপভাবে ব্যর্থ হয়েছে। গ্রাহকদের অনলাইনে আরও দায়িত্বশীল হতে বলা হয়, কিন্তু তাদের এমন সব পণ্য বিক্রি করা হয় যা দায়িত্ব পালন করাকে প্রায় অসম্ভব করে তোলে। রাউটারের সেটিংসগুলো প্রায়ই জটিল ইন্টারফেসের আড়ালে লুকানো থাকে। নিরাপত্তা আপডেটের জন্য ম্যানুয়াল ইনস্টলেশনের প্রয়োজন হতে পারে। সাপোর্ট পেজগুলো খুঁজে পাওয়া কঠিন। ডিভাইসের সাপোর্ট বন্ধের নোটিশ সহজে চোখে পড়ে না। কিছু ইন্টারনেট পরিষেবা প্রদানকারী এমন হার্ডওয়্যার দেয় যা গ্রাহকরা ভালোভাবে বোঝে না এবং সহজে বদলাতেও পারে না। সাধারণ অর্থে এটাকে ব্যবহারকারীর ভুল বলা যায় না। এটা আসলে কোম্পানিগুলোর একটি ডিজাইনগত সিদ্ধান্ত। এই ব্যবস্থাটি ধরেই নেয় যে ব্যবহারকারীরা অবহেলা করবে, এবং যখন অপরাধীরা এর সুযোগ নেয় তখন তারা অবাক হওয়ার ভান করে।
ছোট ব্যবসাগুলো বিশেষভাবে ঝুঁকির মধ্যে রয়েছে। তারা প্রায়ই সাধারণ মানের বা পুরোনো অফিসের নেটওয়ার্কিং সরঞ্জাম ব্যবহার করে, কারণ এগুলো সস্তা এবং পরিচিত। তাদের কোনো নির্দিষ্ট আইটি কর্মী নাও থাকতে পারে। তারা বছরের পর বছর একই রাউটার ব্যবহার করে। এর সুরক্ষার উপরই তাদের বেতন, গ্রাহকদের ডেটা এবং পেমেন্টের তথ্য নির্ভর করে। যখন সেই ডিভাইসটি হ্যাক হয়, তখন নীরবে ক্ষতি ছড়িয়ে পড়তে পারে। অপরাধীরা ট্র্যাফিক আটকাতে পারে, ম্যালওয়্যার ছড়াতে পারে, ডিভাইসটিকে বটনেটে যুক্ত করতে পারে, অথবা এটিকে ব্যবহার করে আরও গুরুত্বপূর্ণ সিস্টেমে ঢুকতে পারে। আমেরিকার সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (CISA) বারবার সতর্ক করেছে যে রাউটার এবং ফায়ারওয়ালের মতো ডিভাইসগুলো আকর্ষণীয় টার্গেট, কারণ এগুলো নেটওয়ার্কের সীমানায় থাকে এবং প্রায়ই ভালোভাবে পর্যবেক্ষণ করা হয় না।
এখানে একটি জাতীয় নিরাপত্তার দিকও রয়েছে যা আরও বেশি মনোযোগের দাবি রাখে। রাষ্ট্রীয় মদতপুষ্ট হ্যাকার গ্রুপগুলো শুধু বড় প্রতিরক্ষা ঠিকাদার বা গোয়েন্দা সংস্থাগুলোর পেছনেই ছোটে না। তারা প্রায়ই সাধারণ ইন্টারনেট-মুখী হার্ডওয়্যার হ্যাক করে কারণ এটি কার্যকর এবং বড় আকারে করা সহজ। সাম্প্রতিক বছরগুলোতে, পশ্চিমা সরকারগুলো বড় বড় কোম্পানির তৈরি রাউটার, ফায়ারওয়াল এবং ভিপিএন অ্যাপ্লায়েন্সকে টার্গেট করা গুপ্তচর গোষ্ঠীগুলো সম্পর্কে যৌথ সতর্কতা জারি করেছে। এর মানে এই নয় যে প্রতিটি পুরোনো রাউটারই রাষ্ট্রীয় নজরদারির অধীনে রয়েছে। এমনটা দাবি করা বেপরোয়া হবে। মূল কথা হলো, এই ডিভাইসগুলোকে কৌশলগত টার্গেট হিসেবে দেখা হয়, কারণ এগুলো হ্যাক করতে পারলে গোপনে দীর্ঘ সময় ধরে নেটওয়ার্কে প্রবেশাধিকার পাওয়া যায়। যারা মনে করে শুধু বড় প্রতিষ্ঠানগুলোই গুরুত্বপূর্ণ, তাদের জন্য এটি একটি সতর্কবার্তা হওয়া উচিত।
এর ফল সবার আগে সাধারণ মানুষের উপরই পড়ে। একটি হ্যাক হওয়া রাউটার ইন্টারনেটের গতি কমিয়ে দিতে পারে, ক্ষতিকর ডিএনএস পরিবর্তনের মাধ্যমে ব্যবহারকারীদের নকল ওয়েবসাইটে নিয়ে যেতে পারে, ব্রাউজিং ট্র্যাফিক ফাঁস করে দিতে পারে, বা স্মার্ট হোম ডিভাইসগুলোকে অরক্ষিত করে তুলতে পারে। একটি পরিবারে এর অর্থ হলো বাচ্চাদের ডিভাইস, কাজের ল্যাপটপ এবং ব্যক্তিগত যোগাযোগ—সবই একই বিষাক্ত গেটওয়ের মাধ্যমে চলছে। কোনো ক্লিনিক, দোকান বা স্থানীয় অফিসে এর মানে হলো ব্যবসায়িক ক্ষতি এবং মেরামতের জন্য বড় খরচ। সাইবারসিকিউরিটিকে প্রায়ই ক্লাউডের একটি কাল্পনিক যুদ্ধ হিসেবে দেখানো হয়। বাস্তবে, এর শুরু হতে পারে টেলিভিশনের পাশে রাখা একটি পুরোনো প্লাস্টিকের বাক্স থেকে।
এর সমাধান আছে, এবং সেগুলো কোনো রহস্য নয়। প্রথমটি খুব সহজ: পুরোনো রাউটার নষ্ট হওয়ার আগেই বদলে ফেলুন, পরে নয়। যদি কোনো ডিভাইসে আর নিরাপত্তা আপডেট না আসে, তবে সেটিকে সস্তা জিনিস না ভেবে একটি অসুরক্ষিত ইন্টারনেট যন্ত্র হিসেবে দেখা উচিত। ক্রেতাদের এমন কোম্পানি বেছে নেওয়া উচিত যারা আপডেটের নীতি স্পষ্টভাবে জানায়। দ্বিতীয়টি হলো ডিফল্ট অ্যাডমিনিস্ট্রেটর পাসওয়ার্ড পরিবর্তন করা এবং রিমোট ম্যানেজমেন্ট বন্ধ রাখা, যদি না এর সত্যিই প্রয়োজন হয়। তৃতীয়টি হলো ফার্মওয়্যার আপডেট আসামাত্রই ইনস্টল করা, ডিভাইসটি দোকান থেকে কেনা হোক বা ইন্টারনেট পরিষেবা প্রদানকারীর কাছ থেকে পাওয়া হোক। CISA এবং NCSC-এর মতো সংস্থাগুলো অব্যবহৃত ফিচার বন্ধ রাখা, শক্তিশালী ওয়াই-ফাই এনক্রিপশন ব্যবহার করা এবং কোনো বড় ঝুঁকি দেখা দিলে ডিভাইস রিস্টার্ট করার পরামর্শ দেয়। তবে, শুধু রিস্টার্ট করাই যথেষ্ট নয় যদি মূল দুর্বলতাটি থেকেই যায়।
কিন্তু শুধু ব্যক্তিগত পদক্ষেপই যথেষ্ট নয়। নিয়ন্ত্রক সংস্থা এবং নির্মাতাদের এটা ভান করা বন্ধ করতে হবে যে নিরাপত্তা একটি ঐচ্ছিক প্রিমিয়াম ফিচার। অবশেষে কিছু অগ্রগতি দেখা যাচ্ছে। ব্রিটেনের ‘প্রোডাক্ট সিকিউরিটি অ্যান্ড টেলিকমিউনিকেশনস ইনফ্রাস্ট্রাকচার অ্যাক্ট’ অনিরাপদ ডিফল্ট পাসওয়ার্ড এবং অন্যান্য সাধারণ দুর্বলতাকে টার্গেট করে। ইউরোপীয় ইউনিয়নের ‘সাইবার রেজিলিয়েন্স অ্যাক্ট’-এর লক্ষ্য হলো নির্মাতাদের উপর নিরাপত্তার দায় চাপানো। এই পদক্ষেপগুলো গুরুত্বপূর্ণ, কারণ বর্তমান মডেলটি উল্টো। সাধারণ ইন্টারনেট সরঞ্জাম নিরাপদে ব্যবহার করার জন্য গ্রাহকদের বিশেষজ্ঞ পর্যায়ের সতর্কতা অবলম্বনের প্রয়োজন হওয়া উচিত নয়।
সাইবারসিকিউরিটি নিয়ে পুরোনো ধারণাটি হলো, বিপদ আসে একটি মাত্র বেপরোয়া ক্লিকের মাধ্যমে। কখনও কখনও তা সত্যি। কিন্তু আরও অস্বস্তিকর বাস্তবতা হলো, ঝুঁকি প্রায়শই সেই ডিভাইসগুলোর মধ্যেই তৈরি করা থাকে যেগুলোকে মানুষ বিশ্বাস করতে শেখে এবং তারপর ভুলে যায়। কোণায় পড়ে থাকা রাউটারটি আর কোনো সাধারণ যন্ত্র নয়। এটি এখন একটি রণক্ষেত্র। আর যতদিন আমরা এটিকে একটি নিরাপত্তা যন্ত্রের বদলে সাধারণ যন্ত্র হিসেবে দেখব, ততদিন আমরা অপরাধীদের হাতে আরও একটি সহজ জয় তুলে দেব।
Source: Editorial Desk