পেগাসাস, জিরো ডে ও স্পাইওয়ার কাহিনি
১০ অগাস্ট ২০১৬। আরব আমিরাতের মানবাধিকারকর্মী আহমেদ মনসুরের আইফোন সিক্সে অচেনা নাম্বার থেকে একটি এসএমএস আসে। সেটার কন্টেন্ট অনেকটা এরকম: 'দুবাই কারাগারে বন্দিদের নির্যাতন-লিংক …'।
জীবনে বহুবার এরকম মেসেজ পেয়েছেন মনসুর। এ ধরনের মেসেজ ওপেনে করে শিকার হয়েছেন ম্যালওয়্যারের। তাই এসএমএস দেখেই বুঝে ফেললেন যে মেসেজটি আসলে এক ধরেনের ভাইরাস বা ম্যালওয়্যার। তাই পরদিনই তিনি ফোনটি টরন্টো বিশ্ববিদ্যালয়ের গবেষণাগার দ্য সিটিজেন ল্যাবে পাঠিয়ে দেন। দ্য সিটিজেন ল্যাব, লুকাউট এবং বিভিন্ন দেশের ম্যালওয়ার এক্সপার্টরা গবেষণা শুরু করেন নতুন এই লিংকটিকে নিয়ে। উদ্দেশ্য ছিল, এটা আদৌ কোনো ভাইরাস কিনা তা জানা। যদি ভাইরাস হলে কীভাবে এটি আইফোন সিক্সের মত নিরাপদ আধুনিক ফোনকে টার্গেট করে।
পাঁচ দিনের মধ্যেই তাদের গবেষণা শেষ হয়। গবেষকরা বুঝতে পারেন, এটা পেগাসাস নামের একটা স্পাইওয়্যার। সম্ভবত পৃথিবীর সবচেয়ে সফিস্টিকেটেড স্পাইওয়্যার।
কী করতে পারে পেগাসাস?
ভিকটিমকে পাঠানো লিংকে ক্লিক করলে আইফোনের ডিফল্ট ব্রাউজারে একটি ওয়েবসাইট চালু হয়। ওয়েবসাইটটি লোড হওয়ার আগেই বন্ধ হয়ে যায় ব্রাউজারটি। সাধারণ ইউজারের কাছে মনে হবে কিছুই হয়নি, ফোন যেমন ছিল তেমনি আছে। কিন্তু ফোনের নেটওার্ক এনালাইসিস করলে দেখা যাবে, প্রতি মুহূর্তে আইফোন নিজে থেকে প্রচুর ডেটা বাইরের কোনো একটা সার্ভারে পাঠাচ্ছে। সেই ডেটা আসলে ফোনের মাইক্রোফোন ও ক্যামেরার লাইভ রেকর্ডিং, কল রেকর্ডিং। এছাড়া সেই সার্ভারে চলে যাচ্ছে ফেসবুক, ওয়াটসঅ্যাপ, ইমো, ভাইবারসহ নানা জনপ্রিয় সোশ্যাল মিডিয়া অ্যাপের মেসেজ ও কল। এমনকী ডিভাইসের জিপিএস লোকেশন, সিম কার্ডের তথ্য ইত্যাদি পাচার হচ্ছে ফোন ইন্টারনেটের সাথে সংযোগের সঙ্গে সঙ্গে। অর্থাৎ পেগাসাস কোন ম্যালওয়্যার বা ক্ষতিকারক সফটওয়্যার নয়। এটি একটি ভিক্টিমের উপর নজরদারী করার স্পাইওয়্যার।
এখানেই শেষ নয়। গবেষকেরা পেগাসাসের কোড এনালাইসিস করে দেখতে পান, এই স্পাইওয়্যারে আছে সেলফ ডিস্ট্রাক্টিভ মেকানিজম। অর্থাৎ সার্ভার থেকে একটি বিশেষ মেসেজ এলে পেগাসাস নিজের অস্তিত্ব সম্পুর্ণভাবে মুছে ফেলে, সেটা প্রথমে পাঠানো মেসেজটিসহ। এছাড়া পেগাসাসের যদি ২৪ ঘণ্টার বেশি সার্ভারের সাথে যোগাযোগ বিচ্ছিন্ন থাকে, তাহলেও এটি নিজেকে ধ্বংস করে ফেলে।
২.
একুশ শতকে স্পাইওয়্যার নতুন কিছু নয়। এরকম বিশেষ নজরদারীর ভাইরাস আগেও ব্যবহৃত হয়েছে। ২০০০ মার্কিন গোয়েন্দা সংস্থা এফবিআই এ ধরনের সফটওয়্যার দিয়ে ম্যাস সারভেইল্যান্স চালায়। কিন্তু ফোন বা কম্পিউটারের অপারেটিং সিস্টেম যত উন্নত হয়, তত বেশি সেটি নিরাপদ হয়ে ওঠে। তাহলে কীভাবে একেবারে আধুনিকতম আইওএসে এরকম শক্তিশালী স্পাইওয়্যার কাজ করে? এর উত্তর হচ্ছে জিরো ডে ভালনারেবিলিটি।
ধরুন আমি একটি অ্যাপ তৈরি করলাম। ক্যালকুলেটর অ্যাপ। সেটা দিয়ে সাধারণ যোগ-বিয়োগ গুণ-ভাগ করা যায়। ধরা যাক, একজন ইউজার এই ক্যালকুলেটর দিয়ে কাজ করছে। সে একটি সংখ্যাকে ০ (শূন্য) দিয়ে ভাগ করল। অঙ্কের বা কোডের ভাষায় করা সম্ভব নয়। ফলে অ্যাপটি ক্র্যাশ করল। এর কারণ হচ্ছে কোডে ০ দিয়ে ভাগ করলে এরর শো করবে, কিন্তু ভাগ করার চেষ্টাও করবে না। এমন লজিক দেওয়া নেই। এটা হচ্ছে আমার ক্যালকুলেটর অ্যাপের একটি ভালনারেবিলিটি বা দুর্বলতা।
অন্যদিকে জিরো ডে শব্দের অর্থ, এই বাগ বা ভালনারেবিলিটি অ্যাপ ডেভেলপারের জানা নেই। জানতে পারলে, অবশ্যই সহজেই কোডে সংশোধন করে আপডেট পাঠিয়ে দেবে। কিন্তু প্রশ্ন হতে পারে, এই দুর্বলতা একজন হ্যাকার কীভাবে কাজে লাগাবে?
বিষয়টা আরেকটু জটিল। এটা বোঝানোর জন্য অপারেটিং সিসটেম কীভাবে কাজ করে সে সম্পর্কে কিছু ধারণা লাগবে। একটি কম্পিউটার বা ফোন তার মেমরি বা র্যামে তার অপারেটিং সিস্টেম ও অন্যান্য অ্যাপের কোড ও ডেটা সংরক্ষণ করে। তবে নিরাপত্তার কারণে একটি অ্যাপ কখনো অন্য অ্যাপের তথ্য বা কোড একসেস করতে পারে না।
চলুন, আবার ক্যালকুলেটর অ্যাপে ফিরে যাই। ধরুন, ক্যালকুলেটরে ৮ ডিজিটের বেশি নাম্বার ইনপুট দাওয়া যাবে না। তাই ফোনের মেমরিতে অপারেটিং সিস্টেম ক্যালকুলেটর অ্যাপের ইনপুটের জন্য ঠিক ততটুকুই জায়গা রেখেছে (Memory Allocation) যতটুকুতে ৮ ডিজিট ইনপুটের জায়গা হয়। কিন্তু কোডে কোথাও ৮ ডিজিটের বেশি ডিজিট হলে এরর মেসেজ শো করতে হবে—এমন লজিক দেওয়া নেই। যদি ইউজার কোনভাবে ৮ ডিজিটের বেশি নাম্বার দেয়, তাহলে মেমরির ক্যালকুলেটর অ্যাপের জন্য বরাদ্দ খালি জায়গায় সেই নাম্বারটি আর জায়গা হবে না। এবং নাম্বারের শেষ কয়েকটি ডিজিট মেমরিতে অন্য অ্যাপ বা অপারেটিং সিস্টেমের নিজস্ব বরাদ্দ জায়গায় উপচে পড়বে। এই ধরনের ভালনারেবিলিটিকে বলে বাফার ওভারফ্লো বা মেমরি ওভারফ্লো।
হ্যাকার যদি নিখুঁতভাবে উপচে পড়া অংশটুকুতে নাম্বারের বদলে নিজের তৈরি কোড রেখে দেয়, তাহলে তা উপচে পড়ে অপারেটিং সিস্টেমের কোডকে ওভাররাইট করবে। অর্থাৎ মডিফাই করে ফেলবে। তবে বলা যত সহজ, করাটা এত সহজ নয়। অপারেটিং সিস্টেমের নিজস্ব কিছু নিরাপত্তা (Sandbox, মেমরি র্যান্ডমাইজার) থাকে, এই ধরনের ভালনারেবিলিটি থেকে রক্ষা পাবার জন্য। তাহলে পেগাসাস কীভাবে পারল?
পেগাসাস আসলে একটি নয়, আইফোনের তিনটি আলাদা আলাদা ভালনারেবিলিটিকে টার্গেট করে। এজন্য গবেষকেরা পেগাসাসকে ত্রিশুলও (Trident) নামকরণ করেন। প্রথমে এটি সাফারি ব্রাউজারের একটি বাফার ওভারফ্লো জাতীয় ভালনারেবিলিটি ব্যবহার করে নিজেকে মেমরিতে ইনজেক্ট করে। এরপর এটি মেমরি থেকে আইওএসের একটি ভালনারেবিলিটি ব্যবহার করে মেমরিতে কোথায় অপারেটিং সিস্টেমের কোড আছে, তা বের করে। সবশেষে আইওএসের আরেকটি ভালনারেবিলিটি ব্যবহার করে। পুরো অপারেটিং সিস্টেমের কন্ট্রোল নেয় জেইলব্রেক। অপারেটিং সিস্টেমের কন্ট্রোল মানেই পুরো ফোনের সকল অ্যাপ ও তথ্যের নিয়ন্ত্রণ নেওয়া।
অগাস্ট ১৫, ২০১৬-তে গবেষকেরা আইওএসের এই দুর্বলতাগুলো অ্যাপলকে জানান। ১০ দিনের মাথায় অ্যাপেল কোড সংশোধন করে নতুন আপডেট রিলিজ করে।
সহজেই ধরে নেয়া যায়, এত সফিস্টিকেটেড অ্যাট্যাক, এত বড় ভালনারেবিলিটি বের করা একজনের পক্ষে পক্ষে সম্ভব না। গবেষকেরা বের করেন, সার্ভারে পেগাসাস সকল তথ্য পাঠাচ্ছিল, সেটির মালিক ইসরায়েলি একটি টেকনোলজি ফার্ম এনএসও গ্রুপ। এনএসও গ্রুপের ওয়েবসাইটে পাওয়া যায় মোবাইল সাইবার ওয়ারফেয়ার সিস্টেম। এটা কিনতে পারবে যেকোন সরকারি বা মিলিটারি প্রতিষ্ঠান। তাদের প্রোডাক্ট লেটেস্ট আইওএস ও এন্ড্রয়েড, দুটো মোবাইলেই কাজ করবে ও পেগাসাস যা যা করে, তা করতে সক্ষম। অর্থাৎ এটা ধরে নেওয়া যায়, এনএসও গ্রুপের কাছ থেকেই কেউ পেগাসাস কিনে নিয়ে আহমেদ মনসুরকে টার্গেট করে।
২০১৬ সালেই ঘটনা শেষ নয়। ২০২১ এও এনএসও এর মোবাইল সাইবার ওয়ারফেয়ার সিস্টেম অ্যাক্টিভ, এবং এখনো তারা গর্বের সাথে নতুন জিরো ডে থেকে তৈরি স্পাইওয়্যার বিক্রি করছে। তবে এনালাইসিস না করা পর্যন্ত তার সত্যতা ও ক্ষমতা যাচাই করা অসম্ভব। অ্যামনেস্টি ইন্টারন্যাশনাল সিকিউরিটি ২০১৯ সালে পেগাসাসের এমন একটি নতুন সংস্করণের সন্ধান পায়। সেটা অ্যাকটিভ হতে লিংকও ক্লিক করা লাগে না। মেসেজ আসার সঙ্গে সঙ্গে স্বয়ংস্ক্রিয়ভাবে ফোন সংক্রমিত হয়। তার আদলেই ২০২১ জুলাই মাসে তারা পেগাসাস সম্পর্কে একটি প্রতিবেদন বের করে। এনএসওর ক্লায়েন্ট ও ভিক্টিমদের সম্পর্কে কিছু তথ্য পাওয়া যায় সেই প্রতিবেদনে। গুরুত্বপূর্ণ বিষয়টি হচ্ছে পেগাসাস অত্যন্ত জটিল, ক্ষমতাধর ও ব্যয়বহুল একটি স্পাইওয়্যার। সাধারণ মানুষ কখনোই এটা ব্যবহার করতে পারবে না।
এনএসওর ওয়েবসাইট থেকে জানা যায়, শুধু কাউন্টার টেররিজমের জন্য বিভিন্ন দেশকে পেগাসাস বিক্রি করে তারা। কিন্তু তার মানে এই নয়, পেগাসাসের মত স্পাইওয়্যার আর নেই। সিস্টেমের দুর্বলতা যদি থাকে, তাহলে এনএসও গ্রুপের মতো অনেকেই তা খুঁজে পেতে পারে। একজন সাধারণ নাগরিক হিসেবে অপরিচিত লিংক ক্লিক না করা, অপরিচিত নাম্বারে কলব্যাক না করা ইত্যাদির মাধ্যমে এ ধরনের টার্গেটেড অ্যাট্যাক থেকে বাঁচা সম্ভব হতে পারে।
প্রযুক্তি যতই উন্নত হবে, তত জটিল হয়ে উঠবে তার কোড। আর কোড যত জটিল, ভুল (ভালনারেবিলিটি) থাকার সম্ভাবনা তত বেশি। এনএসওর মতে, পেগাসাস একটি আইনসম্মত গোয়েন্দাগিরি সফটওয়্যার। এর সাহায্যে অনেকের জীবন বাঁচানো গেছে। আইনসম্মত হোক আর না হোক, অ্যাপ ও অপারেটিং সিস্টেমের ত্রুটি একটি সিস্টেমের দুর্বলতা। সেগুলো শিগগির খুঁজে বের করে ঠিক করা অত্যন্ত জরুরি। আর তাই অ্যাপেল, গুগলের মতো কোম্পানিগুলো আজ ডেভেলপরার-প্রোগ্রামারদের চেয়ে বেশি বেতন দিয়ে হ্যাকারদের চাকরি দিচ্ছে। বাগ বাউন্টি প্রোগ্রামের মাধ্যমে এ ধরনের ভালনারেবিলিটি খুঁজে বের করে দিলে দেওয়া হচ্ছে পুরস্কার।
লেখক: শিক্ষার্থী, দ্বাদশ শ্রেণী, নটরডেম কলেজ, ঢাকা