হ্যাকিং যখন পেশা হিসেবে নেওয়া হয়

জুমবাংলা ডেস্ক : হ্যাকিং মানেই যেন খারাপ কিছু। তবে হ্যাকিংয়ের মাধ্যমে ভালো কাজও হয়ে থাকে। অনেক বড় প্রতিষ্ঠান হ্যাকারদের কাজেও লাগিয়ে থাকে। চাইলে হ্যাকিংকে পেশা হিসেবেও নেওয়া যায়। জানাচ্ছেন তামজীদ রহমান লিও

হ্যাকার। শব্দটি শুনলে একটি নেতিবাচক ভাব উঠে আসে অনেকের মনে। ইন্টারনেট জগতের ত্রাস যেন এই হ্যাকার। সেই ১৯৬০ সালের দিকে হ্যাকিং শব্দটি ব্যবহৃত হতো শুধু ইঞ্জিনিয়ারিং স্টুডেন্টদের মধ্যে। ‘হ্যাকিং’ বলতে সে সময় বোঝানো হতো কোনো সিস্টেম বা মেশিনকে কোনো উপায়ে বেশি কার্যকর করে তোলাকে। তবে এখন বেশির ভাগ মানুষই হ্যাকিং বলতে বোঝে ইন্টারনেট জগতে কোনো কিছুর ক্ষতিসাধনকে। আসলে সাইবার ওয়ার্ল্ডের শুধু খারাপ কাজগুলোকেই হ্যাকিং বলে না, এটির যেমন নেতিবাচক দিক আছে, তেমনি আছে ইতিবাচক দিকও। যাঁরা ভালো উদ্দেশ্যে হ্যাকিং করেন, তাঁদের বলা হয় ‘ইথিক্যাল হ্যাকার’, আর যাঁরা ক্ষতি করার জন্য হ্যাকিং করে থাকেন, তাঁদের বলা হয় ‘আনইথিক্যাল হ্যাকার’। দুঃখজনক হলেও সত্যি, বিশ্বে ইথিক্যাল হ্যাকারের চেয়ে আনইথিক্যাল হ্যাকারের সংখ্যা অনেক বেশি। কারণ শখের বশে হ্যাকিং চর্চা করতে গিয়ে অনেক তরুণই সাইবার অপরাধে জড়িয়ে পড়ছে। প্রতিবছর শুধু এই অপরাধের শিকার হয়ে বহু প্রতিষ্ঠান কোটি কোটি টাকার ক্ষতির মুখে পড়ছে। চুরি হয়ে যাচ্ছে অত্যন্ত গুরুত্বপূর্ণ গোপনীয় সব নথি। অপরাধের মাত্রা বেশি হওয়ায় একবার ধরা পড়লে বাকি জীবন ধ্বংস হয়ে যাচ্ছে এসব তরুণ হ্যাকারের।

কিন্তু বৈধ হ্যাকিং বা ইথিক্যাল হ্যাকিংয়ের মাধ্যমে যে ভালো অঙ্কের অর্থ উপার্জন করাও সম্ভব তা অনেকেরই অজানা।

ইথিক্যাল হ্যাকার হিসেবে চাকরি
প্রযুক্তি বিশ্বে এখন সাইবার আক্রমণের পরিমাণ অন্য যেকোনো সময়ের তুলনায় সবচেয়ে বেশি। ছোট প্রতিষ্ঠান তো বটেই, নামকরা বড় প্রতিষ্ঠান, এমনকি সরকারি প্রতিষ্ঠানও বাদ যাচ্ছে না সাইবার আক্রমণ থেকে। নাসা, যুক্তরাষ্ট্রের সেনাবাহিনী, এইচবিও, এনএসএ, উবার, ইকুয়াফ্যাক্স, অ্যাকসেঞ্চারের মতো বড় বড় প্রতিষ্ঠানের তথ্য চুরির ঘটনা ঘটেছে। এ ছাড়া একাধিক র‌্যানসমওয়ারও ছড়িয়ে পড়েছে অনেক দেশে। এসব থেকে নিজেদের প্রতিষ্ঠানকে সুরক্ষিত রাখতে বিশ্বের বড় বড় সরকারি ও বেসরকারি প্রতিষ্ঠান ইথিক্যাল হ্যাকার বা সাইবার নিরাপত্তা বিশেষজ্ঞ নিয়োগ দিচ্ছে। গ্লোবাল নলেজের রিপোর্ট অনুযায়ী সারা বিশ্বে আইটি খাতে দ্বিতীয় সর্বোচ্চ বেতনধারী হলো ইথিক্যাল হ্যাকার বা সাইবার নিরাপত্তা বিশেষজ্ঞরা। বাংলাদেশেও ইথিক্যাল হ্যাকার বা সাইবার নিরাপত্তা বিশেষজ্ঞের চাহিদা দিন দিন বেড়ে চলছে।

বাগ বাউন্টি
বাগ বাউন্টি এমন একটি প্রগ্রাম, যার মাধ্যমে বিভিন্ন সরকারি ও বেসরকারি প্রতিষ্ঠান তাদের সাইবার নিরাপত্তার ক্ষেত্রে দুর্বলতা খুঁজে দেওয়ার বিনিময়ে বিভিন্ন প্ল্যাটফর্মের মাধ্যমে সারা বিশ্বের স্বাধীন সাইবার নিরাপত্তা গবেষকদের পুরস্কার প্রদান করে থাকে। বিভিন্ন ছোট প্রতিষ্ঠান তো আছেই; পাশাপাশি ফেসবুক, মাইক্রোসফট, গুগল, নাসা, ইনটেল, উবার, নেটফ্লিক্স, এইচপির মতো বড় প্রতিষ্ঠানগুলো পর্যন্ত তাদের সাইবার নিরাপত্তার জন্য বাগ বাউন্টি প্ল্যাটফর্মগুলোর ওপর নির্ভরশীল। নিরাপত্তা ত্রুটি বা বাগের ধরনের ওপর নির্ভর করে প্রতিষ্ঠানগুলো উপহারের পাশাপাশি প্রতি রিপোর্টে ন্যূনতম ৫০ ডলার থেকে শুরু করে সর্বোচ্চ দুই লাখ ৫০ হাজার ডলার পর্যন্ত বাউন্টি দিয়ে থাকে। এ ক্ষেত্রে বাগ রিপোর্টারকে কিছু পদ্ধতি বা নিয়ম-কানুন মেনে বাগ রিপোর্ট জমা দিতে হয় এবং প্ল্যাটফর্মগুলোর এসব নিয়মবহির্ভূত কোনো কাজ করলে বা অনৈতিক কিছু করলে তা বাউন্টির জন্য উপযুক্ত হয় না।

বাউন্টি প্রদানের কারণ
হ্যাকিং শুধু প্রাতিষ্ঠানিকভাবে শেখা যায় না, এটি একটি শিল্পের মতো। সম্পূর্ণ দক্ষতা, চিন্তাশক্তি এবং সৃজনশীলতার ওপর একজন হ্যাকার কতটা শক্তিশালী তা নির্ভর করে। তাই কোনো প্রতিষ্ঠান বেতনধারী ইথিক্যাল হ্যাকার রাখলেও সম্পূর্ণ নিরাপদ থাকতে পারে না। বিশ্বের সব স্বনামধন্য প্রতিষ্ঠানেরই নিজস্ব সাইবার নিরাপত্তা এবং ইন্সিডেন্ট রেসপন্স টিম থাকে। এর পরও সাইবার দুনিয়ায় একটি বিষয় প্রচলিত আছে যে কোনো সিস্টেমই শতভাগ নিরাপদ নয়। এ কারণে প্রতিষ্ঠানগুলো শুধু তাদের নিজস্ব দলের ওপর নির্ভরশীল না থেকে বিভিন্ন প্ল্যাটফর্মের মাধ্যমে সারা পৃথিবীর হোয়াইট হ্যাট হ্যাকারদের আমন্ত্রণ জানায় তাদের সাইবার নিরাপত্তা ত্রুটিগুলো ধরিয়ে দেওয়ার জন্য।

বাগ বাউন্টির প্ল্যাটফর্ম
বাউন্টি প্রদানকারী প্রতিষ্ঠানগুলো নিজেদের ওয়েবসাইট ছাড়াও বিভিন্ন ওয়েব প্ল্যাটফর্মের মাধ্যমে হ্যাকারদের বাউন্টি দিয়ে থাকে। এই প্ল্যাটফর্মগুলোতে তারা তাদের চাহিদাগুলো জানিয়ে দেয়, পাশাপাশি কোন ধরনের বাগের জন্য বাউন্টি হিসেবে কত ডলার দেবে, তারও একটি তালিকা দিয়ে দেয়। শুধু তা-ই নয়, কোন ধরনের বাগগুলো বাউন্টির আওতায় পড়বে না, সে ব্যাপারেও পরিষ্কার নির্দেশনা দেওয়া থাকে। হ্যাকারদের কাছে জনপ্রিয় প্ল্যাটফর্মগুলো হলো :

HackerOne, Bugcrowd, Synack, Detectify, Cobalt, Open Bug Bounty, Zerocopter, YesWeHack, HackenProof, Vulnerability Lab, FireBounty, BugBounty Japan, Antihack, Intigriti, SafeHats, RedStorm, Cyber Army, Yogosha|

এ বছরের সেরা বাগ বাউন্টি প্রগ্রাম

মাইক্রোসফট
মাইক্রোসফট তাদের বাগ বাউন্টি প্রগ্রাম আনুষ্ঠানিকভাবে চালু করে ২০১৪ সালের ২৩ সেপ্টেম্বর। তারা শুধু জটিল ও গুরুত্বপূর্ণ বাগগুলোর জন্য বাউন্টি প্রদান করে থাকে। এই প্রগ্রামে তারা সর্বনিম্ন ১৫ হাজার ডলার থেকে সর্বোচ্চ আড়াই লাখ ডলার পর্যন্ত বাউন্টি দিয়ে থাকে। বাগ বাউন্টি প্রগ্রামগুলোতে মাইক্রোসফটই অন্য সবার চেয়ে বেশি বাউন্টি দিয়ে থাকে।

অ্যাপল
অ্যাপল যখন প্রথম তাদের বাগ বাউন্টি প্রগ্রাম চালু করল, তখন তারা মাত্র ২৪ জন সিকিউরিটি রিসার্চারকে এই প্রগ্রামে অংশগ্রহণের সুযোগ দিয়েছিল। পরে অবশ্য সবার জন্য নিজেদের বাউন্টি প্রগ্রাম উন্মুক্ত করে দেয় অ্যাপল। বাউন্টি প্রদানের ক্ষেত্রে অ্যাপলের কোনো নির্দিষ্ট অঙ্ক না থাকলেও তারা দুই লাখ ডলার পর্যন্ত বাউন্টি প্রদান করেছে।

ফেসবুক
ফেসবুকের বাগ বাউন্টি প্রগ্রামের মাধ্যমে সিকিউরিটি রিসার্চাররা ইনস্টাগ্রাম, অ্যাটলাস এবং হোয়াটস অ্যাপের নিরাপত্তাজনিত দুর্বলতাগুলো রিপোর্ট করতে পারবেন। তাঁদের ন্যূনতম বাউন্টি ৫০০ ডলার হলেও আকর্ষণীয় বিষয় হলো, তাঁদের কোনো সর্বোচ্চ বাউন্টি সীমাবদ্ধতা নেই। বাগের ধরনের ওপর ভিত্তি করে তারা যেকোনো অঙ্কের বাউন্টি দিতে রাজি।

গুগল
গুগলের বাউন্টি প্রগ্রামের আওতায় ব্লগার এবং ইউটিউবও রয়েছে। এরা শুধু পাঁচ ধরনের বাগের ওপর বাউন্টি দিয়ে থাকে। গুগল সর্বনিম্ন ৩০০ ডলার থেকে শুরু করে সর্বোচ্চ ৩১ হাজার ডলার পর্যন্ত বাউন্টি দিয়ে থাকে।

ইয়াহু
ইয়াহু বারবার হ্যাকিংয়ের শিকার হওয়ার কারণে তাদের বাগ বাউন্টি প্রগ্রাম পরিচালনা করার জন্য আলাদা একটি দলই রেখে দিয়েছে। সিকিউরিটি রিসার্চারদের পাঠানো বাগ রিপোর্টগুলো ভালো করে পরীক্ষা-নিরীক্ষা করা এবং এই বাগগুলো সর্বোচ্চ কতটুকু ক্ষতি সাধন করতে পারে, তা অনুধাবন করাই এই দলের মূল কাজ। ইয়াহুর বাউন্টি প্রগ্রামের ক্ষেত্রে ন্যূনতম কোনো পরিমাণ নেই, তবে সর্বোচ্চ ১৫ হাজার ডলার পর্যন্ত তারা বাউন্টি দিয়ে থাকে। আনন্দের বিষয় এই যে বাংলাদেশের একজন সিকিউরিটি রিসার্চারও ইয়াহুর খুব গুরুত্বপূর্ণ বাগ ধরে দেওয়ার জন্য তাদের সর্বোচ্চ বাউন্টি পেয়েছেন।

উবার
জনপ্রিয় রাইড শেয়ারিং সার্ভিস উবার তাদের ব্যবহারকারী এবং চাকরিজীবীদের তথ্যের সুরক্ষা প্রদানের জন্য বাউন্টি  প্রগ্রাম চালু করেছে। তাদের সর্বনিম্ন বাউন্টির ক্ষেত্রে নির্দিষ্ট কোনো অঙ্ক না থাকলেও সর্বোচ্চ তারা ১০ হাজার ডলার পর্যন্ত বাউন্টি প্রদান করে।

অ্যাভাস্ট
অ্যান্টি ভাইরাস কম্পানি অ্যাভাস্ট বিভিন্ন বিভাগে নিরাপত্তাজনিত দুর্বলতার জন্য সিকিউরিটি রিসার্চারদের বাউন্টি দিয়ে থাকে। ন্যূনতম ৪০০ থেকে সর্বোচ্চ ১০ হাজার ডলার পর্যন্ত বাউন্টি তাদের প্রগ্রামের মাধ্যমে পাওয়া সম্ভব। তাদের নিজস্ব ওয়েবসাইটেই তারা এই বাউন্টি প্রগ্রাম পরিচালনা করে।

টুইটার
টুইটার তাদের সাইবার নিরাপত্তাজনিত দুর্বলতাগুলো ধরিয়ে দেওয়ার বিনিময়ে সর্বনিম্ন ১৪০ থেকে সর্বোচ্চ ১৫ হাজার ডলার পর্যন্ত প্রদান করে থাকে। বাগ বাউন্টির জনপ্রিয় প্ল্যাটফর্ম হ্যাকারওয়ানের মাধ্যমে নিজেদের এই বাউন্টি প্রগ্রাম পরিচালনা করে থাকে।