Sheersha Media

ব্রেকিং নিউজ

সকাল ৮:২৭ ঢাকা, বৃহস্পতিবার  ১৫ই নভেম্বর ২০১৮ ইং

‘রিজার্ভ লুন্ঠন বাংলাদেশ ব্যাংকের কাহারও কাজ, হ্যাকডে ঘটেনি’: বিএনপি

বাংলাদেশ ব্যাংকের রিজার্ভ চুরি নিয়ে বিএনপি বিশদ ভাবে ব্যাখ্যা দিয়ে বলছে ‘রিজার্ভ লুট কোন হ্যাকড বা ম্যালওয়ারের মাধ্যমে ঘটেনি, ‘এ লুন্ঠন বাংলাদেশ ব্যাংকের অভ্যান্তরীন কাহারও কাজ‘ দলটির মূল্যায়ন পাঠকদের জানার সুবিধার্থে তাদের ফেসবুক পেজ থেকে নিয়ে হুবহু নিম্নে দেয়া হল।

বিএনপির মূল্যায়ন

বাংলাদেশ ব্যাংকের রিজার্ভ লুট কোন হ্যাকড বা ম্যালওয়ারের মাধ্যমে ঘটেনি, এটি ব্যাংকের অভ্যান্তরীন কারো কাজ।

‘সুইফ্ট’ সিষ্টেম ব্যবহার করে বংলাদেশ ব্যাংকের ১০১ মিলিয়ন ইউএস ডলার (প্রায় ৮০০ কোটি টাকা) লুন্ঠনের কেলেংকারী

গত ৪ এবং ৫ ফেব্রুয়ারী বাংলাদেশ ব্যাংকের “সুইফ্ট” সিষ্টেম ব্যবহার করে ১০১ মিলিয়ন ডলার (প্রায় ৮০০ কোটি টাকা) ফিলিপাইন ও শ্রীলংকায় স্থানান্তর করা হয়।

* ফিলিপাইনে গেছে ৮১ মিলিয়ন এবং ২০ মিলিয়ন ডলার শ্রীলংকায়।
৪টি ট্র্যান্জেকশানের মাধ্যমে ফিলিপাইনের রিজাল ব্যাংকে এ অর্থ সফলভাবে স্থানান্তরিত হয়।
* ১টি ট্র্যান্জেকশানের মাধ্যমে অর্থ শ্রীলংকায় পাঠান হয়। কিন্তু বানান ভুলের কারনে ঐ অর্থ নগদায়ন না হয়ে শ্রীলংকার প্যান এশিয়া ব্যাংক হতে বাংলাদেশ ব্যাংকে ফেরৎ পাঠান হয়।
* এ ছাড়া অতিরিক্ত আরও ৮৫০ মিলিয়ন ডলার চুরির চেষ্টা হয়। কিন্তু যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংক প্রাপকদের কিছু তথ্যের অভাবে ঐ সব ট্র্যান্জেকশান প্রসেস করেনি।
এ জাতীয় ৩০টি ট্র্যানজেকশন সফল হয়নি প্রাপকদের বিভিন্ন তথ্যের অপ্রতুলতার কারনে।
ঘটনার পর পরই বংলাদেশ ব্যাংক বিষয়টি অর্থমন্ত্রনালয় অথবা সংবাদ মাধ্যমকে অবহিত করেনি।
ঘটনার ৩ সপ্তাহ পর বিচ্ছিন্ন ও খন্ড খন্ডভাবে বাংলাদেশ ব্যাংক থেকে এ বিষয়ে তথ্য প্রকাশিত হওয়া শুরু হয়।

স্ইুফট্ বলতে কি বুঝায়?
সোসাইটি ফর ওয়াল্ড ইন্টার ব্যাংক ফাইন্যানসিয়াল টেলিকমিউনিকেশন (ঝডওঋঞ) নেটওয়ার্ক।
* বেলজিয়ামের আইনেরঅধীনে সুইফট্ একটি সমবায় সমিতি। এর মালিকানা এর সদস্য আর্থিক প্রতিষ্ঠান গুলোর হাতে ন্যস্ত। এর সদর দপ্তর বেলজিয়ামের লা হুল্পে।
* বিশ্ব পরিসরে ফাইন্যানসিয়াল ইন্সটিটিউশন সমূহ এর মাধ্যমে আর্থিক লেনদেনের তথ্য পেয়ে থাকে। এর জন্য রয়েছে রুদ্ধ এবং অত্যন্ত নিরাপদ পদ্ধতি।
সর্ম্পূন ভাবে রুদ্ধ, নিরাপদ এবং মানসম্মত নেটওয়ার্ক।
প্রত্যেক সদস্য ব্যাংক লাইসেন্স প্রাপ্ত হয়ে একটি একক পরিচিতি কোড, সফটওয়ার এবং সেবা পায় যার দ্বারা সুইফটনেট নেটওয়ার্কের সাথে যুক্ত হতে পারে।
* এটি আর্ন্তজাতিক ভাবে স্বীকৃত এবং পৃথিবীর বেশির ভাগ প্রতিষ্ঠান এই নেটওয়ার্ক ব্যবহার করে।
এটি প্রতিদিন ২০০ মিলিয়ন (২ কোটি) বার্তা দেয়া নেয়া করে। এতে ১০,০০০ এর ও বেশি আর্থিক প্রতিষ্ঠান জড়িত।

স্ইুফট এর…. মাইক ফিশ বলেছেন,
* আমরা সেবা দেই সবোর্চ্চ নিরাপত্তা মানে। এর কারন হলো আমরা গ্রাহকেরব্যক্তিগত গোপনীয়তা এবং সদস্যদের তথ্য সুরক্ষার বিষয়গুলো গুরুত্বের সাথে নেই।
* আমাদের কাছে এমন কোন সাক্ষ্য নেই, যা প্রমাণ করে যে আমাদের নেটওয়ার্কে অথবা আমাদের তথ্য ভান্ডারে আজ পর্যন্ত কখনও অননুমোদিত অনুপ্রবেশ ঘটেছে।
* আমরা বিরতিহীন ভাবে সাইবার নিরাপত্তা বিঘিœত হওয়ার হুমকি পরিবীক্ষন করি। আমাদের সেবার নিরাপত্তার উপর ঝুকি সৃষ্টি হয়েছে, এমনটি বিশ্বাস করার কারন থাকলে, আমরা অবশ্যই এগুলোর চুলচেরা তদন্ত করি এবং ঝুকি বিদূরিত করার জন্য যথাযথ কার্যক্রম গ্রহন করি।
সুত্র: (ওয়াল স্ট্রিট জার্নাল)

চিত্র -১bnp15

স্ইুফট্নেট টারমিনাল/ কম্পিউটার

* স্ইুফট্ নেট টারমিনাল/ কম্পিউটার একক নির্দিষ্ট সিষ্টেম ব্যবহার করে। ফিজিকাল সিস্টেমের জন্য বিশেষ লাইসেন্সের ব্যবস্থা করা আছে।
* ডঙ্গল (পেন ড্রাইভের মত একটি যন্ত্র) যার মধ্যে রয়েছে একটি সার্টিফিকেট (যা অনন্য চাবি হিসেবে পরিচিত)।
* অনুমোদিত ব্যবহারকারীর পাসওয়ার্ড।
* লগইন করা তখনই সম্ভব হয়, যখন সার্টিফিকেট এবং পাসওয়ার্ড দুটোই থাকে। ডঙ্গলের মধ্যে নিহিত সার্টিফিকেট এবং পাসওয়ার্ড পরস্পর যৌথভাবে সংযুক্ত।
* সুইফট্ মেসেজ পাঠানোর শর্ত হলো একটি অতিরিক্ত টোকেন যেটি টঝই পেনড্রাইভে মজুত থাকে যা সুইফট্ই সরবরাহ করে এবং এটিকে সশরীরে সিস্টেমে প্রবেশ করাতে হয়।

সহজ সরল দৃষ্টিতে সুইফট্নেট সেট আপ:
সুইফট্ নেট রেফারেন্স ডিপ্লয়মেন্ট মডেল অনুযায়ী সুইফট্ ঘরানার সফট্ওয়ার ইনস্টল এবং অপারেট করার জন্য যে কাজ করার পরিবেশের প্রয়োজন হয়, তার একটি ছবি নিম্নে প্রদর্শিত হলো:

চিত্র -২bnp16

গুরুত্বপূর্ণ মন্তব্য:
স্ইুফট্ নেট অ্যালাএন্সের সফট্ওয়ার আবদ্ধ এবং বিচ্ছিন্ন পরিবেশের মধ্যে ইনস্টল্ করা হয়। এবং এটি একটি ফায়ার ওয়াল দ্বারা সুরক্ষিত থাকে। সুইফট্ অ্যালাএন্স এক্সেস সিস্টেম সংহত করতে সুইফট্ সংগঠন নিজেই অথবা সুইফটের কাছ থেকে সনদ প্রাপ্ত সেবা প্রদানকারীর দ্বারা বাস্তবায়ন করা হয়। সংহত করনের কাজটি সম্পন্ন হয়ে যাওয়ার পর সুইফট্ সংগঠনকে অডিট এবং ভেরিফিকেশনের জন্য ডাকতে হয়। সুইফট্ সফট্ওয়ার সিকিউরিটি প্রটকোল এবং পদ্ধতি সমূহ যাতে কোন ভাবেই বিকৃত না হয়। সব সুইফট্ এক্সেস সিস্টেম একাধিক চাবির দ্বারা সুরক্ষিত থাকে। মেসেজ গেইটওয়ে টি একটি অতিরিক্ত টোকেন বা চাবির দ্বারা সুরক্ষিত থাকে। গেইটওয়ে সিস্টেম সমূহ সকল বার্তা গেইটওয়ে সিস্টেম দ্বারা পরিক্ষীত হয়। যেই সব বার্তা আদান প্রদান হয়, সেগুলো একটি এনক্সিপটেড লগ ফাইলে সংরক্ষিত করা থাকে যাতে করে পরবর্তী কালে যাচাই বাছাই করা সম্ভব হয়।

ম্যালওয়ার এবং সুইফট্ : এটা কি সম্ভব?
যেসব সফটওয়ারের অনুপ্রবেশের কারনে একটি কম্পিউটারের কার্যক্রম ক্ষতিগ্রস্থ হয়, তার মধ্যে ট্রোজান হর্স, স্পাইওয়ার, এ্যাডওযার, স্ক্যায়ারওয়ার ইত্যাদি উল্লেখ্যযোগ্য। সাধারনভাবে এসব সফটওয়ার ম্যালওয়ার ভাইরাস হিসেবে পরিচিত এবং এই ভাইরাসের কারনে একটি কম্পিউটারের বিভিন্ন কার্যক্রম বা সামগ্রিক কার্যক্রম ক্ষতিগ্রস্ত হতে পারে।
কিন্তু কিছু কিছু ক্ষেত্রে এসব ভাইরাস কম্পিউটার ব্যবস্থায় অনুপ্রবেশ করতে পারে না। সুইফট্ নেট এবং সুইফট্ ব্যবস্থা এমন এক সফটওয়ার দ্বারা পরিচালিত হয় যেক্ষেত্রে ভাইরাসের এর অনুপ্রবেশ কোনভাবেই সম্ভব নয়।
সুইফট্ কর্তৃপক্ষ দাবী করেন, এ পর্যন্ত কোনদিন কোন ভাইরাসের অনুপ্র্রবেশের কারনে সুইফট্ ব্যবহৃত সফটওয়ার বা সুইফট্ কার্যক্রম ক্ষতিগ্রস্থ হয়নি।
সুইফট্ যে পদ্ধতিতে কাজ করে সেখানে শুধু মাত্র সুইফট্ কর্তৃপক্ষ অনুমোদিত সফটওয়ার ব্যবহৃত হয়। এই সফটওয়ার বিভিন্ন নিরাপত্তা ব্যবস্থা দ্বারা সুরক্ষিত। সেখানে মানুষের উপস্থিতি ভিন্ন এ ব্যবস্থায় অনুপ্রবেশ সর্ম্পূন অসম্ভব। যদি এ সফটওয়ারের মানুষ ভিন্ন অন্য কোনভাবে কোন ভাইরাসের অনুপ্রবেশ ঘটত তাহলে পৃথিবীর আর্থিক ব্যবস্থা ভেঙ্গে পড়ত, আর্ন্তজাতিক ব্যবসায়িক লেনদেন বন্ধ হয়ে যেত এবং ৯/১১ এর চেয়ে অনেক ভয়াবহ প্রতিক্রিয়া হত।

ফায়ার- আই এর অনুসন্ধান
“ফায়ার-আই ইনকর্পোরেশন যুক্তরাষ্ট্র ভিত্তিক একটি পাবলিক লিষ্টেড নেটওয়ার্ক সিকিউরিটি কোম্পানী। এ কোম্পানীটি
* অতি অগ্রসর সাইবার হুমকির বিরুদ্ধে স্বয়ংক্রীয় হুুমকি ফরেনসিক্স এবং গতিশীল ম্যালওয়ার থেকে নিরাপত্তা বিধান করে থাকে।
বাংলাদেশ ব্যাংক ফায়ার-আই এবং ওয়ার্ল্ড ইনফরমেটিক্স কোম্পানীদ্বয়কে অর্থ কেলেংকারীর বিষয়টি তদন্ত করার জন্য নিয়োগ করেছে।
‘ফায়ার-আই’ এর এ পর্যন্ত পরিচালিত অনুসন্ধানের ফাইন্ডিংস নি¤œরুপ:
বাংলাদেশ ব্যাংক এর স্ইুফট্ নেট সফটওয়ার পরিচালনাকারী সিষ্টেমে (যার মাধ্যমে সুইফট্ নেটওয়ার্ক এর সাথে সংযোগ স্থাপন এবং ফান্ড স্থানান্তরের জন্য সুইফট্ মেসেজ প্রেরন করা হয়ে থাকে) কোন সমস্যা পাওয়া যাইনি।
ফায়ার-আই দেখেছে যে বাংলাদেশ ব্যাংকে ব্যবহৃত ৩২টি কম্পিউটার ম্যালওয়ার দ্বারা সংক্রমিত হয়েছে। কিন্তু ঐ ৩২টি কম্পিউটারই ফায়ার-ওয়াল ব্যবহারের মাধ্যমে সুইফট্ যন্ত্রপাতি সংস্থাপিত এরিয়া থেকে বিচ্ছিন্ন বা আলাদা করা আছে।

ওয়ালস্ট্রীট র্জানাল (আন-অফিসিয়াল রির্পোটের ভিত্তিতে), মার্চ ২২/২০১৬ এবং
ব্লুমবার্গ রির্পোট, মার্চ ১৯/২০১৬

দ্যা ওয়ার্ল্ড ইনফরমেটিক্স আন-অফিসিয়াল রিপোর্ট:
ওয়ার্ল্ড ইনফরমেটিক্স অথবা ইহার প্রতিষ্ঠাতা এবং ব্যবস্থাপনা পরিচালক রাকেশ আস্তানা এর নিকট হতে কোন মন্তব্য পাওয়া যায়নি। রাকেশ আস্তানা সাইবার নিরাপত্তা বিষয়ে বাংলাদেশ ব্যাংককে পরামর্শ দিয়ে আসছিলেন। তিনিই যুক্তরাষ্ট্র ভিত্তিক বিশেষায়িত সংস্থা ফায়ার-আইকে নিযুক্ত করার উদ্যোগ নিয়েছেন।

বিশেষজ্ঞ মতামত:
ম্যাট বিশপ, প্রফেসর, ডির্পাটমেন্ট অব কম্পিউটার সাইন্স, ইউনির্ভাসিটি অফ ক্যালিফোর্নিয়া (টঈ উঅটওঝ)
এটি স্পষ্ট যে, কোথাও না কোথাও, খারাপ লোকদের দুরভিসন্ধি জড়িত। দুটি সম্ভাবনা থাকতে পারে।
* যে কোন ব্যক্তি যার সিস্টেমটি ব্যবহার করার অনুমতি আছে এবং তিনি ছাড়া অন্য কেউ এই সিস্টেমে প্রবেশ করার অনুমতি নাই, এমন কেউ এতে জড়িত ছিল।
* একটি নিবেদিত ডেডিকেটেড সিস্টেম (যেটি স্পর্শকাতর নেটওয়ার্কের সাথে সংযুক্ত এবং যা অনুমোদিত সফটওয়ার ব্যবহার করে) সুনির্দিষ্ট পলিসি ও প্রক্রিয়ার দ্বারা সুরক্ষিত থাকা উচিৎ।
* এই প্রক্রিয়া গুলোর উদ্দেশ্য হচ্ছে সিস্টেমটিকে কুলষমুক্ত থাকতে নিশ্চিত করা। কেবল মাত্র অনুমোদিত সফটওয়ারই সিস্টেমে থাকতে পারে। এবং কেবল মাত্র অনুমোদিত ব্যক্তিরাই এটি ব্যবহার করতে পারে,অথবা এর পরিবর্তন করতে পারে।
* সুতরাং ম্যালওয়ার এর সম্ভাবনা নাকচ করে দেয়া হচ্ছে।

উপসংহার:
কেবল মাত্র দায়িত্ব প্রাপ্ত অথবা ক্ষমতা প্রাপ্ত ব্যক্তি দ্বারা এ কাজ করা সম্ভব।

শেইন শুক, নিরাপত্তা বিশ্লেষক
নিরাপত্তা বিশেষজ্ঞ ও পরামর্শক, শেইন শুক এরঅসংখ্য সাইবার ক্রাইম তদন্ত করার অভিজ্ঞতা আছে। তিনি বলেন, ভেতরকার মানুষ জড়িত না থাকলে এটি প্রায় অসম্ভব। যদি ভেতরকার লোকজন জড়িত না থাকে, তাহলে আক্রমন কারীদের কে ভেতর থেকে সহায়তা করা হয়েছে।
এই ধরনের অপরাধ করার জন্য যে কোন ব্যক্তির ব্যাংকিং শিল্প সম্পর্কে গভীর জ্ঞান থাকতে হবে।
সুত্র: ফরচুন ম্যাগাজিন, ১২ মার্চ, ২০১৬

স্ইুফট্ কর্তৃপক্ষের মন্তব্য
বাংলাদেশ ব্যাংকের অর্থ স্থানান্তরের ঘটনার পর সুইফট্ কর্তৃপক্ষ বলেছেন “আমরা একথা পূর্নব্যক্ত করতে চাইযে, সুইফট্ নেটওয়ার্কে কোন অনুপ্রবেশ ঘটেনি। বর্তমানে আমাদের অগ্রাধিকার হচ্ছে অর্ন্তবর্তীকালীন ফলাফল যাচাই করে দেখা এবং স্থানীয়ভাবে ব্যবহৃত ব্যবস্থার পর্যালোচনা করা এবং প্রয়োজনে সে ব্যবস্থা উন্নীত করার বিষয় পর্যালোচনা করার জন্য গ্রাহককে উৎসাহিত করা”।(সূত্র: ওয়াল স্ট্রীট জার্নাল, ২২ মার্চ ২০১৬)
* সুইফট্ কর্তৃপক্ষ অবশ্য চলমান তদন্ত সম্পর্কে কোন মন্তব্য করেননি।
সুইফট্ এর উল্লেখিত বক্তব্যের প্রতিধব্বনি করেছেন সুইফট্ এর প্রতিনিধিত্বকারী প্রতিষ্ঠান ব্রুনসউইক গ্রুপ এর চার্লি বুথ। (সূত্র: ওয়াশিংটন পোষ্ট, ২১ মার্চ ২০১৬)
* সুইফট্ যে বার্তা (ম্যসেজ) আদান প্রদান করে তা অত্যন্ত সুরক্ষিত। ম্যালওয়ার তত্ব দিয়ে এই বার্তার নিরাপত্তা সম্পর্কে প্রশ্ন তোলা যাবে না। একমাত্র যাদের কাছে অনন্য চাবি ও পাসওয়ার্ড আছে তাদের পক্ষেই সুইফট্ ব্যবহৃত ব্যবস্থায় অনুপ্রবেশ সম্ভব। সম্ভবত এই বিষয়টি লুকানোর জন্যই ম্যালওয়ার বা অন্যান্য তত্ব সামনে নিয়ে আসা হয়েছে।

অর্থ লুটের মুল কারন সম্পর্কে সমাপনী মন্তব্য
* ম্যালওয়ার বিষয়ক অনুমান ধোপে টিকছে না, কেননা সুইফট্ বার্তা সমূহ পরিপূর্ণভাবে নিরাপদ।
* সুইফট্ বার্তা প্রেরন করতে অনুমোদিত/প্রাধিকার প্রাপ্ত ব্যবহারকারী/ অপরেটর কে বিশেষ নিরাপত্তা টোকেন/চাবি সশরীরে নির্দিষ্ট সুইফট্ সিস্টেমে ঢুকতে হয়।
* সুইফট্ বার্তা ভিপিএন(ঠচঘ) এ পর্যন্ত কখনই ভাঙ্গাঁ বা ভেদ করা যায়নি।
* এমনটি ঘটে থাকলে ব্যাংকিং ব্যবস্থাপনায় মহা বির্পযয় ঘটতো, কেননা সব ব্যাংকের ক্ষেত্রেই ভিপিএন একই রকম ভাবে কাজ করে।

বাংলাদেশ ব্যাংকের ক্ষেত্রে ভিপিএন অন্য রকম কেন হবে?
শেষ মন্তব্য:
এ লুন্ঠন বাংলাদেশ ব্যাংকের অভ্যান্তরীন কাহারও কাজ যাদের পাসওয়ার্ড, বাস্তব চাবি সার্টিফিকেট সহকারে ডংগল এবং বায়োমেট্রিকস্ সনাক্তকরন এর মাধ্যমে সুইফট্ সিস্টেমে প্রবেশের অনুমোদন/প্রাধিকার রয়েছে।
* সকল প্রামানিক সাক্ষ্য, সুইফট্ নেট আর্কিটেকচার বিশ্লেষণ এবং বিশেষজ্ঞ মতামতের ভিত্তিতে এটা স্পষ্ট যে-
এই লুন্ঠন কোন হ্যাকিং কিংবা ম্যালওয়ার এর কারনে ঘটেনি।

 

https://web.facebook.com/bnpbd.org/posts/980055085383782