Monday 18th of December 2017 03:43:57 AM
 
  Top News:
ঢাকা বিশ্ববিদ্যালয়ে গণহারে দ্বিতীয়, তৃতীয় শ্রেণীর শিক্ষক নিয়োগ দেয়া হচ্ছে----মো:নাসির  |  দীর্ঘমেয়াদি সম্পর্ক টিকিয়ে রাখার ৫টি সহজ উপায়  |  ৫ মিনিটের কম সময়ে এসিডিটির সমস্যা থেকে মুক্তি পাওয়ার উপায়  |  Beat Diabetes: 4 Ways to Prevent Type 2 Diabetes  |  নারীদের সফলতার পেছনে রয়েছে এই ৩টি কারণ  |  পাঁচ বদভ্যাসে ক্ষুধা নষ্ট  |  এই খাবারগুলো খালি পেটে খাবেন না  |  রক্তচাপ বেড়ে যাওয়ার এ কারণটি জানেন কি?  |  কম খরচে বিদেশ ভ্রমণে এশিয়ার সেরা ৭  |  শুধু ছেলেরাই নয়, মেয়েদেরকেও দিতে হবে প্রেমের প্রস্তাব   |  উৎকৃষ্ট সব অভ্যাস যাতে মেলে সুখ  |  যে ৪টি কারণে মানুষ অজ্ঞান হয়ে যায়  |  মেঘদূত - জেবু নজরুল ইসলাম  |  3 Things Not To Say To Your Toddler  |   Men lose their minds speaking to pretty women  |  Lessons From a Marriage  |  চুইং গামে কী রয়েছে জানেন কি?  |  নিজেই তৈরি করে নিন দারুচিনি দিয়ে মাউথ ওয়াশ  |  সুস্থ থাকুন বৃষ্টি-বাদলায়  |  অপ্রত্যাশিত পরিস্থিতি সামলে উঠুন ৪টি উপায়ে  |  
 
 

সুইফট টেকনিশিয়ানরাই ‘ছিদ্র’ রেখে গেছে: পুলিশ

May 11, 2016, 4:07 AM, Hits: 301

 

এনজেবিডি নিউজ : রিজার্ভ চুরির ঘটনার তিন মাস আগে বাংলাদেশ ব্যাংকে সুইফট মেসেজিং প্ল্যাটফরমের সঙ্গে একটি নতুন ট্রানজেকশন সিস্টেম যুক্ত করে যান সুইফটের টেকনিশিয়ানরা; আর তাদের ‘অবহেলার কারণেই’ বাংলাদেশের কেন্দ্রীয় ব্যাংকের সার্ভার হ্যাকারদের সামনে অনেক বেশি উন্মুক্ত হয়ে পড়ে বলে মনে করছেন পুলিশের তদন্তকারীরা।

বিশ্বজুড়ে আলোড়ন সৃষ্টি করা এই সাইবার চুরির ঘটনা তদন্ত করছে বাংলাদেশ পুলিশের অপরাধ তদন্ত বিভাগ।

সিআইডির অতিরিক্ত উপ-মহাপরিদর্শক শাহ আলমকে উদ্ধৃত করে রয়টার্সের এক প্রতিবেদনে বলা হয়েছে, সেই টেকনিশিয়ানরা বাংলাদেশে প্রথমবারের মতো ‘রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেম’ এর সঙ্গে সুইফটকে যুক্ত করে যান।

“আমরা বেশ কিছু লুপহোল খুঁজে পেয়েছি। ওই সময়ই বাংলাদেশ ব্যাংকের ঝুঁকি অনেক বেশি বেড়ে গেছে,” বলেন তিনি। 

নাম প্রকাশ না করে কেন্দ্রীয় ব্যাংকের একজন কর্মকর্তার বরাত দিয়ে রয়টার্সের প্রতিবেদনে বলা হয়, বাংলাদেশ ব্যাংকে সুইফট মেসেজিং প্ল্যাটফরমের সঙ্গে ‘রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেম’ যুক্ত করার সময় নিরাপত্তা নিশ্চিত করার জন্য যে প্রক্রিয়াগুলো অনুসরণ করার কথা সুইফট ঠিক করে দিয়েছে, তাদের টেকনিশিয়ানরাই তা করেননি।

আর এ কারণে কেন্দ্রীয় ব্যাংকের সুইফট মেসেজিং প্ল্যাটফরমে প্রবেশ করার সুযোগ অনেক বেড়ে যায়। এমনকি সহজ একটি পাসওয়ার্ড দিয়ে রিমোট একসেসের (অন্য একপি কম্পিউটার থেকে) মাধ্যমেও ওই প্ল্যাটফরমে ঢোকার সুযোগ থেকে যায়।

পুলিশ বলছে, বাংলাদেশ ব্যাংকের ওই প্ল্যাটফরমের সাইবার নিরাপত্তার জন্য কোনো ফায়ারওয়াল ছিল না। ব্যবহার করা হচ্ছিল সাধারণ সুইচ। 

কেন্দ্রীয় ব্যাংকের ওই কর্মকর্তা বলেন, “দুর্বলতাগুলো খুঁজে দেখা সুইফটের দায়িত্ব ছিল, কেননা তারাই ওই সিস্টেম বসিয়ে দিয়ে গেছে। কিন্তু দেখা যাচ্ছে, তারা তা করেনি।”

রয়টার্সের প্রতিবেদনে বলা হয়, সোসাইটি ফর ওয়ার্ল্ডওয়াইড ইন্টারব্যাংক ফাইন্যান্সিয়াল টেলিকমিউনিকেশনের বা সু্ইফটের প্রধান মুখপাত্র নাতাশা ডিটেরান বাংলাদেশের কর্তৃপক্ষের এ অভিযোগের বিষয়ে কোনো মন্তব্য্য করতে রাজি হননি। বাংলাদেশে সুইফট তাদের বা বাইরে থেকে কোনো টেকনিশিয়ান পাঠিয়েছিল কি না- সে বিষয়েও কিছু বলতে তিনি অস্বীকৃতি জানিয়েছেন।

সুইফটের টেকনিশিয়ানদের কাজের বিষয়ে বাংলাদেশের পুলিশ বা কেন্দ্রীয় ব্যাংকের বক্তব্যের সত্যতা স্বাধীনভাবে তদন্ত করা রয়টার্সের পক্ষে সম্ভব হয়নি।

প্রতিবেদনে বলা হয়েছে, “তাদের অভিযোগ সঠিক হয়ে থাকলে সুইফটের ওপর আস্থায় ফাটল ধরবে, কেননা এই প্ল্যাটফরমই এখন আন্তর্জাতিক আর্থিক লেনদেনের মেরুদণ্ড।”

যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংক অব নিউ ইয়র্ক ও সুইফট কর্তৃপক্ষের সঙ্গে বৈঠক করতে রোববার রাতে গভর্নর ড. ফজলে কবিরের নেতৃত্বে বাংলাদেশ ব্যাংকের চার সদস্যের একটি প্রতিনিধি দল সুইজারল্যাণ্ডের উদ্দেশ্যে রওনা হয়েছেন।

মঙ্গলবার বেসেলে ওই বৈঠকে রিজার্ভ চুরির ঘটনা এবং খোয়া যাওয়া আট কোটি দশ লাখ ডলার আদায়ের বিষয়টি গুরুত্ব পাবে বলে কেন্দ্রীয় ব্যাংকের কর্মকর্তারা জানিয়েছেন। 

রিমোট একসেস, ইউএসবি পোর্ট

রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেমের মাধ্যমে স্থানীয় ব্যাংকগুলো ও কেন্দ্রীয় ব্যংক বড় অংকের লেনদেনের বিষয়গুলো নিজেদের মধ্যে মেটাতে পারে। গতবছর অক্টোবরে বাংলাদেশ ব্যাংকে ওই সিস্টেম বসানো হয়। পরে তা যুক্ত করা হয় সুইফট মেসেজিং সিস্টেমের সঙ্গে।

এরপর ফেব্রুয়ারিতে হ্যাকাররা ফেডারেল রিজার্ভ ব্যাংক অব নিউ ইয়র্কে রক্ষিত বাংলাদেশের এক বিলিয়ন ডলার বিভিন্ন অ্যাকাউন্টে সরিয়ে নিতে ভুয়া বার্তা পাঠায় সুইফট মেসেজিং সিস্টেমের মাধ্যমে। ঢাকায় বাংলাদেশ ব্যাংকের সার্ভার ব্যবহার করেই বার্তা পাঠানোর কাজটি করা হয়েছিল বলে এখন পর্যন্ত তদন্তকারীদের ধারণা।

ফেডারেল রিজার্ভের পাঠানো ৩৫টি অর্থ স্থানান্তরের আদেশের মধ্যে অধিকাংশ আটকে গেলেও চারটি আদেশে ৮টি কোটি ১০ লাখ ডলার ফিলিপাইনে এবং একটি আদেশে দুই কোটি ডলার শ্রীলঙ্কার একটি ব্যাংককে পাঠিয়ে দেওয়া হয়।

বানান ভুলের কারণে সন্দেহ হওয়ায় শ্রীলঙ্কায় যাওয়া টাকা আর অ্যাকাউন্টে জমা হয়নি। কিন্তু ফিলিপাইনে যাওয়া অর্থের পুরোটাই স্থানীয় মুদ্রায় বদলে ফেলা হয়, এর একটি বড় অংশ চলে যায় জুয়ার টেবিলে। বাকি টাকার কোনো খোঁজ এখনও মেলেনি।

রিজার্ভ চুরির তদন্ত কতদূর এগিয়েছে সে বিষয়ে রয়টার্সকে কোনো তথ্য দিতে রাজি হননি বাংলাদেশ ব্যাংকের মুখপাত্র। তবে তিনি বলেছেন, রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেম এখন ভালোভাবেই কাজ করছে।

বিপুল সংখ্যক দেশ ওই ধরনের সিস্টেম ব্যবহার করায় তার ভেতরে কোনো ঝুঁকি আছে বলেও মনে করছে না বাংলাদেশের কেন্দ্রীয় ব্যাংক।   

পুলিশ বলছে, সুইফটের টেকনিশিয়ানরা যে নেটওয়ার্কের মাধ্যমে রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেমের সঙ্গে সুইফটকে যুক্ত করে গেছেন, ওই একই নেটওয়ার্ক ব্যবহার করে কেন্দ্রীয় ব্যাংকের প্রায় পাঁচ হাজার কম্পিউটার, যেগুলো আবার উন্মুক্ত ইন্টারনেটের সঙ্গে যুক্ত।

তদন্তকারীরা মনে করছেন, রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেমের জন্য আলাদা লোকাল এরিয়া নেটওয়ার্ক তৈরি করে নেওয়া উচিৎ ছিল, যাতে কেন্দ্রীয় ব্যাংকের অন্য কম্পিউটার থেকে এই নেটওয়ার্কে প্রবেশ করা না যায়।

আর রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেম বা সুইফট সিস্টেমের জন্য আলদা করে কোনো ফায়ারওয়ালও টেকনিশিয়ানরা তৈরি করেননি, যাতে নেটওয়ার্কে সন্দেহজনক অনুপ্রবেশ ঠেকিয়ে দেওয়া সম্ভব হয়।

আর ওই সিস্টেম বসানোর সময় সুইফট টেকনিশিয়ানরা একটি ওয়্যারলেস কানেকশনের ব্যবস্থা করেন, যাতে বন্ধ সুইফট রুমের বাইরে ব্যাংকের অন্য কম্পিউটার থেকেও ওই সিস্টেমে প্রবেশ করা যায়। কিন্তু চলে যাওয়ার সময় ওই রিমোট একসেস আর বিচ্ছিন্ন করে যাননি তারা। ফলে সাধারণ পাসওয়ার্ড ব্যবহার করেই ওই সিস্টেমে প্রবেশ করার সুযোগ থেকে যায়।  

পেনড্রাইভের মাধ্যমে গুরুত্বপূর্ণ কম্পিউটারে যাতে ম্যালওয়্যার বসানো না যায়, সেজন্য সাধারণত এ ধরনের সার্ভারের ইউএসবি পোর্ট অকার্যকর করে রাখা হয়। কিন্তু কেন্দ্রীয় ব্যাংকের ওই সুইফট সিস্টেমের ক্ষেত্রে তা করা হয়নি বলেও পুলিশের বরাত দিয়ে জানিয়েছে রয়টার্স।

এর আগে বিএই সিসটেমস নামের একটি ব্রিটিশ সাইবার নিরাপত্তা প্রতিষ্ঠান দাবি করে, রিজার্ভ চুরির ক্ষেত্রে সুইফটের ক্লায়েন্ট সফটওয়্যার ‘অ্যালায়েন্স একসেস’ থেকে ভুয়া মেসেজ পাঠানোর পর তার ট্র্যাক মুছে ফেলতে যে ম্যালওয়্যার চোরেরা ব্যবহার করেছিলে, তা খুঁজে পেয়েছে তারা।

বিএইর গবেষকরা বলছেন, evtdiag.exe  নামের ওই ম্যালওয়্যারে এমন কিছু বৈশিষ্ট যোগ করা হয়েছে, যার মাধ্যমে নির্দিষ্ট দেশের সুইফট অ্যালায়েন্স একসেস সফটওয়্যারে যোগাযোগ করা যায়। আবার বাংলাদেশ ব্যাংকের সুইফট সার্ভার থেকে অর্থ স্থানান্তরের ভুয়া আদেশ পাঠানোর পর সেই তথ্য মুছে ফেলা যায়।

এই ম্যালওয়্যার ব্যবহার করে সার্ভারে রাখা অ্যাকাউন্ট ও লেনদেনের তথ্যে পরিবর্তন আনা, এমনকি সুইফট থেকে আসা বার্তা বদলে দিয়ে ভুয়া বার্তা প্রিন্ট করারও সুযোগ রাখা হয়েছে বলে বিএইর তথ্য।