সাইবার নিরাপত্তার জগৎ এখন বিশ্ব রাজনীতির গতিতে চলছে। একটি ছোট্ট ত্রুটি সরবরাহ চেইন জুড়ে বিশাল ক্ষতি করতে পারে, একটি সফটওয়্যার দুর্বলতা হ্যাকারদের হাতে শক্তিশালী হাতিয়ার হয়ে উঠতে পারে, এবং নিয়ন্ত্রণ হারানোর ঝুঁকি তৈরি করতে পারে। ব্যবসায়ী নেতাদের জন্য এর অর্থ হলো, নিরাপত্তা আর শুধু ফায়ারওয়াল বা প্যাচের বিষয় নয়—এটি এখন কৌশলগত সিদ্ধান্তের অংশ। শক্তিশালী প্রতিষ্ঠানগুলো সবচেয়ে বেশি টুলস ব্যবহার করে না, বরং তারা বোঝে যে সাইবার ঝুঁকি কীভাবে ব্যবসা, বিশ্বাস এবং ক্ষমতার সাথে জড়িত। এই সপ্তাহের সাইবার খবরগুলো দেখায় কীভাবে প্রযুক্তিগত ত্রুটি বাস্তব জগতের চাপে রূপ নেয় এবং কেন নিরাপত্তার সিদ্ধান্ত এখন আইটির বাইরেও গুরুত্বপূর্ণ।
সপ্তাহের প্রধান হুমকি: পাসওয়ার্ড ম্যানেজারে ক্লিকজ্যাকিং
জনপ্রিয় পাসওয়ার্ড ম্যানেজার প্লাগইনগুলোতে একটি গুরুতর নিরাপত্তা ত্রুটি (clickjacking) ধরা পড়েছে, যা হ্যাকাররা ব্যবহার করে অ্যাকাউন্টের তথ্য, টু-ফ্যাক্টর অথেনটিকেশন (2FA) কোড এবং ক্রেডিট কার্ডের বিবরণ চুরি করতে পারে। স্বাধীন নিরাপত্তা গবেষক মারেক টোথ এই ত্রুটিকে ডকুমেন্ট অবজেক্ট মডেল (DOM)-ভিত্তিক এক্সটেনশন ক্লিকজ্যাকিং নাম দিয়েছেন। তিনি এই তথ্য ডিফ কন ৩৩ (DEF CON 33) সম্মেলনে উপস্থাপন করেন। ২২ আগস্ট পর্যন্ত বিটওয়ার্ডেন (Bitwarden), ড্যাশলেন (Dashlane), এনপাস (Enpass), কিপাসএক্সসি-ব্রাউজার (KeePassXC-Browser), কিপার (Keeper), লাস্টপাস (LastPass), নর্ডপাস (NordPass), প্রোটনপাস (ProtonPass) এবং রোবোফর্ম (RoboForm) এই ত্রুটির সমাধান প্রকাশ করেছে।
শীর্ষ সংবাদ
রাশিয়ান হ্যাকারদের পুরনো সিসকো ত্রুটি শোষণ রাশিয়ার সাথে যুক্ত হ্যাকাররা সাত বছরের পুরনো একটি সিসকো নেটওয়ার্কিং ডিভাইসের ত্রুটি (CVE-2018-0171) কাজে লাগিয়ে যুক্তরাষ্ট্র ও বিশ্বের বিভিন্ন দেশের গুরুত্বপূর্ণ অবকাঠামো ও প্রতিষ্ঠানের নেটওয়ার্কে হামলা চালাচ্ছে। সিসকো এই হ্যাকার গ্রুপকে স্ট্যাটিক টুন্ড্রা (Static Tundra) নামে ট্র্যাক করছে। তারা হাজার হাজার নেটওয়ার্ক ডিভাইস থেকে কনফিগারেশন ফাইল সংগ্রহ করেছে এবং কিছু ডিভাইসে অননুমোদিত অ্যাক্সেস তৈরি করেছে। তারা শিল্প ব্যবস্থায় ব্যবহৃত প্রোটোকল এবং অ্যাপ্লিকেশনের উপর নজর রাখছে এবং এসএনএমপি (SNMP) শংসাপত্র চুরি করে ডিভাইস নিয়ন্ত্রণ করছে। তারা টেলনেট (Telnet) এবং সিনফুল নক (SYNful Knock) নামে একটি ব্যাকডোর ব্যবহার করে ডিভাইসে লুকিয়ে থাকছে।
অ্যাপলের জিরো-ডে ত্রুটির সমাধান অ্যাপল একটি উচ্চ-গুরুতর ত্রুটি (CVE-2025-43300) ঠিক করেছে, যা আইওএস (iOS), আইপ্যাডওএস (iPadOS) এবং ম্যাকওএস (macOS) এর ইমেজআইও ফ্রেমওয়ার্কে ছিল। এই ত্রুটি একটি দূষিত ইমেজ প্রক্রিয়াকরণের সময় মেমরি দুর্নীতির কারণ হতে পারে। অ্যাপল জানিয়েছে, এই ত্রুটি ইতোমধ্যে বাস্তবে শোষণ করা হয়েছে। তারা উন্নত বাউন্ড চেকিংয়ের মাধ্যমে এটি সমাধান করেছে, তবে হামলার বিষয়ে বিস্তারিত কিছু জানায়নি, শুধু বলেছে এটি অত্যন্ত পরিশীলিত এবং লক্ষ্যভিত্তিক।
মার্কি পান্ডা ক্লাউডে আক্রমণ মার্কি পান্ডা (Murky Panda) নামে পরিচিত হ্যাকার গ্রুপ ক্লাউড পরিবেশে বিশ্বস্ত সম্পর্কের অপব্যবহার করে এন্টারপ্রাইজ নেটওয়ার্কে হামলা চালাচ্ছে। তারা এন-ডে এবং জিরো-ডে ত্রুটি ব্যবহার করে ওয়েব শেল এবং ক্লাউডেডহোপ (CloudedHope) নামে একটি গোলাং ম্যালওয়্যার ছড়াচ্ছে। তারা সফটওয়্যার-অ্যাজ-এ-সার্ভিস (SaaS) প্রোভাইডারদের ক্লাউডে হামলা করে এবং সেখান থেকে অন্য শিকারের নেটওয়ার্কে প্রবেশ করছে।
ইন্টারপোলের অভিযান ইন্টারপোল জানিয়েছে, আফ্রিকার ১৮টি দেশে ১,২০৯ জন সাইবার অপরাধীকে গ্রেপ্তার করা হয়েছে, যারা ৮৮,০০০ জনের উপর হামলা চালিয়েছিল। এই অভিযানে ৯৭.৪ মিলিয়ন ডলার উদ্ধার করা হয়েছে এবং ১১,৪৩২টি ক্ষতিকর অবকাঠামো ধ্বংস করা হয়েছে। এটি অপারেশন সেরেঙ্গেটির (Operation Serengeti) দ্বিতীয় ধাপ, যা জুন থেকে আগস্ট ২০২৫ পর্যন্ত চলেছে।
স্ক্যাটার্ড স্পাইডারের সদস্যের সাজা স্ক্যাটার্ড স্পাইডার (Scattered Spider) গ্রুপের ২০ বছর বয়সী সদস্য নোয়া মাইকেল আরবানকে যুক্তরাষ্ট্রে ১০ বছরের কারাদণ্ড দেওয়া হয়েছে। তিনি ২০২২ থেকে ২০২৩ সালের মধ্যে তারের জালিয়াতি এবং পরিচয় চুরির অভিযোগে দোষী সাব্যস্ত হন। তাকে ১৩ মিলিয়ন ডলার ক্ষতিপূরণ দিতে হবে।
উত্তর কোরিয়ার ফিশিং হামলা উত্তর কোরিয়ার কিমসুকি (Kimsuky) গ্রুপ দক্ষিণ কোরিয়ায় ইউরোপীয় দূতাবাসগুলোকে স্পিয়ার-ফিশিং (spear-phishing) হামলার লক্ষ্য করছে। তারা গিটহাব (GitHub) ব্যবহার করে কমান্ড-অ্যান্ড-কন্ট্রোল চ্যানেল হিসেবে এবং জেনো র্যাট (Xeno RAT) নামে একটি ম্যালওয়্যার ছড়াচ্ছে।
ট্রেন্ডিং সিভিই (CVEs)
হ্যাকাররা নতুন ত্রুটিগুলো দ্রুত কাজে লাগাচ্ছে। এই সপ্তাহের উচ্চ-ঝুঁকির ত্রুটিগুলো হলো:
- CVE-2025-43300: অ্যাপলের আইওএস, আইপ্যাডওএস এবং ম্যাকওএসে ইমেজআইও ত্রুটি।
- CVE-2025-7353: রকওয়েল অটোমেশন কন্ট্রোললজিক্স (Rockwell Automation ControlLogix)।
- CVE-2025-8714: পোস্টগ্রেএসকিউএল (PostgreSQL)।
- CVE-2025-54988: অ্যাপাচি টিকা (Apache Tika)।
সাইবার জগতের খবর
মাইক্রোসফটের চীনা অ্যাক্সেস সীমিতকরণ মাইক্রোসফট চীনা কোম্পানিগুলোর জন্য তাদের আর্লি ওয়ার্নিং সিস্টেমের অ্যাক্সেস কমিয়েছে। এই সিদ্ধান্ত শেয়ারপয়েন্ট সার্ভারে ব্যাপক হ্যাকিংয়ের পর নেওয়া হয়েছে, যার জন্য বেইজিংকে দায়ী করা হচ্ছে।
লাজারাস স্টিলারের নতুন হুমকি লাজারাস স্টিলার (Lazarus Stealer) নামে একটি নতুন অ্যান্ড্রয়েড ব্যাঙ্কিং ট্রোজান ধরা পড়েছে। এটি গিফটফ্লিপসফট (GiftFlipSoft) নামে একটি নিরীহ অ্যাপ হিসেবে ছদ্মবেশ ধারণ করে রাশিয়ান ব্যাঙ্কিং অ্যাপ থেকে তথ্য চুরি করছে।
গুগলের ৩০ মিলিয়ন ডলার জরিমানা গুগল ইউটিউবে শিশুদের গোপনীয়তা লঙ্ঘনের অভিযোগে ৩০ মিলিয়ন ডলার জরিমানা দিতে সম্মত হয়েছে। এর আগে ২০১৯ সালে তারা ১৭০ মিলিয়ন ডলার জরিমানা দিয়েছিল।
সপ্তাহের টিপ
ফাইল শুধু সংরক্ষণ নয়, লক করুন গুগল ড্রাইভ (Google Drive), ওয়ানড্রাইভ (OneDrive) বা ড্রপবক্সে (Dropbox) ফাইল সংরক্ষণ করলে তা নিরাপদ মনে হতে পারে, কিন্তু এই ক্লাউড সার্ভিসগুলো সার্ভারে ফাইল এনক্রিপ্ট করে এবং তারা নিজেরাই চাবি রাখে। ফলে হ্যাকিং বা অভ্যন্তরীণ ত্রুটির ক্ষেত্রে আপনার ফাইল ঝুঁকিতে থাকে। সমাধান হলো এন্ড-টু-এন্ড এনক্রিপশন (end-to-end encryption)। আপলোডের আগে ফাইল এনক্রিপ্ট করুন, যাতে শুধু আপনার কাছে চাবি থাকে। বিনামূল্যের টুলস:
- ক্রিপ্টোমেটর (Cryptomator): ড্রপবক্স বা ড্রাইভে এনক্রিপ্টেড ভল্ট তৈরি করে।
- কোপিয়া (Kopia): শক্তিশালী এনক্রিপশন সহ ব্যাকআপ টুল।
- রেস্টিক (Restic): দ্রুত এবং এনক্রিপ্টেড ব্যাকআপ।
- আরক্লোন (Rclone): ক্লাউডে ফাইল সিঙ্ক এবং এনক্রিপ্ট করার জন্য।
উপসংহার
সাইবার নিরাপত্তা শুধু প্রযুক্তির বিষয় নয়, এটি নেতৃত্বের পরীক্ষা। বোর্ডরুমে নেওয়া সিদ্ধান্তগুলো নির্ধারণ করে কীভাবে সিস্টেম সুরক্ষিত হবে, হামলার জবাব দেওয়া হবে এবং পুনরুদ্ধার করা হবে। এই সপ্তাহের খবরগুলো একটি সত্য তুলে ধরে: নিরাপত্তা মানে সিদ্ধান্ত—কোথায় বিনিয়োগ করবেন, কোন ঝুঁকি নেবেন এবং কোন দুর্বলতা ঠিক করবেন। শ্রেষ্ঠ নেতারা নিখুঁত নিরাপত্তার প্রতিশ্রুতি দেন না, বরং তারা স্পষ্টতা, স্থিতিস্থাপকতা এবং সঠিক সময়ে দিকনির্দেশনা দেন।
