হ্যাকার হওয়ার কাহিনী

সরাসরি অনুপ্রবেশ: আগে থেকে টার্গেট করা কোনো কোম্পানির মধ্যে সরাসরি প্রবেশ করা, আমি কখনোই পছন্দ করি না। এটা খুব ঝুঁকিপূর্ণ। এ সম্পর্কে লিখতে গেলেও আমার ঘাম ছুটে যাচ্ছে।

কিন্তু আমি ছিলাম সেখানেই, এক বিলিয়ন ডলার কোম্পানির পার্কিং লটে সেই বসন্তের সন্ধ্যায়। সুযোগ খুঁজছিলাম। এক সপ্তাহ আগে আমি একবার ঘুরে গেছি এই অফিস বিল্ডিং। দিনের বেলায়। এসেছিলাম এক কর্মচারীর কাছে একটা চিঠি দিতে। আসল উদ্দেশ্য ছিল কোম্পানির কর্মচারীরা কোন ধরনের আইডি কার্ড ব্যবহার করে তা জানা। এসে দেখলাম এই কোম্পানি তাদের কর্মচারীদের আইডি কার্ডে কর্মচারীর মাথার ছবি রাখে উপরে বামদিকে, তার নিচেই নাম, প্রথমে নামের দ্বিতীয়াংশ, পুরো বড় হাতের অক্ষরে। আর কোম্পানির নাম কার্ডের একদম নিচে, ব্লক লেটারে, লাল রঙে।

আমি সেই কোম্পানির ওয়েবসাইটে গেলাম এবং সেখান থেকে কোম্পানির লোগো কপি করলাম। সেই লোগো এবং আমার ছবির স্ক্যানড কপি নিয়ে ফটোশপে কাজ করে একটি আইডি কার্ড বানাতে আমার লাগল বিশ মিনিট। মোটামুটি দাড়িয়ে গেল সেই আইডি কার্ড। সেটিকে ঢুকালাম আইডি কার্ড হোল্ডারে, যা সহজেই মনোহারী দোকানে পাওয়া যায়। কাজ চলবে এতেই, কেউ প্রথম দেখায় সন্দেহ করবে না। আমি দুটি আইডি কার্ড বানালাম, একটা আমার জন্য, আরেকটা আমার এক বন্ধুর জন্য, যার সাহায্য আমার দরকার হতে পারে।

খবর হলো: আইডি কার্ড যে সবসময় হুবহু একই রকম হতে হবে তা না। শতকরা নিরানব্বুই ভাগ সময়ে কেউ আইডি কার্ডের দিকে একবারের বেশি তাকায় না। যতক্ষণ সেই কার্ডে প্রয়োজনীয় তথ্যগুলো যথাস্থানে থাকছে এবং দেখতে কম-বেশি আসল আইডি কার্ডের মতো লাগছে ততক্ষণ কোনো সমস্যা নেই – সেটি দিয়েই কাজ চলবে, যদি না কিছু অতিবিদ্বেষী প্রহরী কিংবা নিরাপত্তা নিশ্চিত করার দায়ত্বে থাকা কিছু কর্মচারী সেটিকে কাছ থেকে দেখতে চায়। আমার মতো জীবনযাপন করলে অবশ্যই এই বিপদে থাকতে হবে আপনাকে।

পার্কিং এলাকায় আমি সবার নজরের বাইরে থাকলাম, সেখান থেকেই দেখতে পেলাম কিছু লোক ধুমপানের জন্য বেরিয়েছে। তাদের সিগারেটের আগুন দেখা যাচ্ছে। শেষে ছয়জনের মতো লোক তাদের ধুমপান শেষ করে বিল্ডিঙে ফিরে যাচ্ছে একসাথে। বিল্ডিঙের পেছনের দিকে যে দরজা আছে সেটি দিয়ে কার্ড পাঞ্চ করে ঢোকা যায়। সবার কাছেই তাদের পাঞ্চ কার্ড আছে। এক লম্বালাইনে ঢুকতে হবে সেখানে। আমি এগিয়ে গিয়ে সেই লাইনের শেষে দাঁড়ালাম। আমার আগে যেজন আছে সে একটু পেছন ফিরে দেখে নিল। তারপর ঢোকার সময় তার কার্ড পাঞ্চ করে দরজাটা খুলে ধরে রাখল যাতে আমি ঢুকতে পারি। আমি মাথা নেড়ে ধন্যবাদ জানালাম।

এই কৌশল হলো ‘লেজানুসরণ’, লাইনের শেষে দাঁড়িয়ে ঢুকে যাওয়া।

ভেতরে ঢুকেই প্রথমে আমার নজরে পড়ল একটি পোস্টার। যেকেউ ঢুকলেই প্রথমে সেটি নজরে আসবে। নিরাপত্তা সম্পর্কিত পোস্টার এটি। তাতে বলা হয়েছে কেউ দরজা খুলে অন্যজনের জন্য দরজা ধরে রাখবে না; প্রত্যেককে তাদের নিজ নিজ কার্ড পাঞ্চ করে ঢুকতে হবে। কিন্তু জানেনই তো, সৌজন্য বলে কথা আছে না, সহকর্মীর জন্য কিছু করতে সবাই রাজি – তাই অন্যের জন্য দরজা খুলে ধরে থাকে অনেকেই।

বিল্ডিঙের ভেতরে করিডর ধরে হাঁটতে থাকলাম লোকদের পেছনে এক গুরুত্বপূর্ণ কাজে। আসলে আমি এসেছি এক ধরনের অনুসন্ধান চালাতে, আবিষ্কার করতে – এই অফিসের তথ্যপ্রযুক্তি বিভাগ দেখতে। এই আইটি বিভাগ খুঁজে পেলাম মিনিট দশেক পর, এটি বিল্ডিঙের পশ্চিম অংশে। আমি হোমওয়ার্ক করেই এসেছিলাম এবং কোম্পানির নেটওয়ার্ক ইঞ্জিনিয়ারের নামও জানতাম। এটি বের করে ফেলেছি যে সেই নেটওয়ার্ক ইঞ্জিনিয়ারের থাকতে পারে পুরো নেটওয়ার্কের এডমিনিস্ট্রেররের ক্ষমতা।

হায়! যখন তার কাজের স্থলটি খুঁজে পেলাম তখন দেখলাম সেখানে ঢোকা যাচ্ছে না। সাধারন কিউবিকল নয় এটি, পুরো একটা রুম। দেয়ালে ঘেরা, দরজা বন্ধ। উপরের দিকে তাকিয়ে দেখলে শব্দনিরোধক ছাদ করা হয়েছে, আর যে পার্টিশন এই রুমটি তৈরি করেছে তার উপর দিয়ে ইলেকট্রিক্যাল লাইন, বাতাস প্রবাহের জন্য ডাক্ট, ইত্যাদি আছে। একটু ফাঁকা আছে সেখানে।

আমি আমার সেই বন্ধুকে ফোন করলাম। তাকে দরকার এখন। ঘুরে সেই পেছনের দরজার কাছে গেলাম। তাকে ঢুকতে দিলাম দরজা খুলে। তাকে সাথে নিয়েই আইটি ডিপার্টমেন্টে ফিরে আসলাম। সে একটু দেখে নিয়েই আমার কাঁধে চড়ে বসল, তারপর উপরের ফাঁকা জায়গাটুকু দিয়ে নিজেকে গলিয়ে দিল ভেতরে। ধুপ করে মেঝেতে পড়ার শব্দ পেলাম আমি। ভেতর থেকে বন্ধ দরজা খুলে দিল সে। তার হাসিমুখ দেখতে পেলাম দরজায়।

আমি ঢুকলাম এবং নি:শব্দে দরজাটা বন্ধ করলাম। এখন আমরা একটু নিরাপদ, কেউ দেখার সম্ভাবনা কম। অফিস এখন অন্ধকার। এখানে একটি লাইট জ্বালানো বিপজ্জনক হতে পারে, তার দরকারও নেই। ইঞ্জিনিয়ারের কম্পিউটার থেকে যে আলোর ছটা বেরুচ্ছিল তাই যথেষ্ট ছিল। আমার দরকারমতো সবকিছু দেখতে পাচ্ছিলাম। আমি চটজলদি তার ডেস্কের এদিকওদিক তাকালাম, ড্রয়ারের উপরে দেখলাম কীবোর্ডের নিচে দেখলাম – উদ্দেশ্য কোথাও তার পাসওয়ার্ড লেখা আছে কি না তা দেখা। ভাগ্য সুপ্রসন্ন নয়। তবে সমস্যা নেই।

আমার থলে থেকে একটা সিডি বের করলাম যার মধ্যে আছে বুটেবল লিনাক্স অপারেটিং সিস্টেম, সেইসাথে হ্যাকার টুলকিট। সিডিটি ঢুকালাম সিডিরম ড্রাইভে, এরপর কম্পিউটারের সুইচ টিপে রিস্টার্ট করলাম। এর মধ্যে একটি টুল আমাকে যাহায্য করল সেই লোকাল কম্পিউটারের এডমিনিস্ট্রেটর একাউন্টের পাসওয়ার্ড বদলাতে; সেটি বদলিয়ে এমন একটি পাসওয়ার্ড দিলাম যা আমি জানি এবং সেটি ব্যবহার করে আমি লগইন করতে পারি। এবার সিডি বের করে নিলাম এবং কম্পিউটার আবার রিস্টার্ট করলাম। কম্পিউটার চালু হলে লোকাল এডমিনিস্ট্রেট একাউন্ট দিয়ে লগইন করলাম।

খুব দ্রুতই আমি একটি রিমোট একসেস ট্রোজান ইনস্টল করলাম, যা আসলে পুরো সিস্টেমে আমার প্রবেশ নিশ্চিত করবে, যার মাধ্যমে আমি প্রতিটি কীস্ট্রোক লগ করতে পারব, পাসওয়ার্ড হ্যাশ পেয়ে যাবো, এমনকি ওয়েবক্যামকে নির্দেশ দিতে পারব কম্পিউটারের সামনে বসে থাকা মানুষটির ছবি তুলে পাঠাতে। যে ট্রোজান আমি ইনস্টল করলাম সেটি কম্পিউটার চালুর সাথে সাথে ইন্টারনেটে যুক্ত হয়ে আরেকটি সিস্টেমের সাথে যুক্ত হবে যাতে আমি এই কম্পিউটারে আমি পুরোপুরি ঢুকতে পারি এবং পুরো সিস্টেমকে নিয়ন্ত্রণ করতে পারি।

প্রায় শেষ করে ফেলেছি, শেষ ধাপ হিসেবে আমি সেই কম্পিউটারের রেজিস্ট্রিতে গেলাম এবং last logged-in user হিসেবে ইঞ্জিনিয়ারের ইউজারনেম বসিয়ে দিলাম যাতে কেউ আমার প্রবেশকে শনাক্ত করতে না পারে। সকালবেলা অফিসে এসে সেই ইঞ্জিনিয়ার হয়ত দেখবে সে লগআউট হয়ে আছে। তবে সমস্যা নেই, সে তার পাসওয়ার্ড দিয়ে লগইন করলেই সবকিছু আগের মতো দেখতে পাবে।

আমি এখন বেরুনোর জন্য প্রস্তুত। এর মধ্যে আমার সাথী উপরের টাইলস ঠিক করে দিয়েছে। আমি বেরুনোর সময় দরজার তালাটিও ঠিক করে দিয়ে আসলাম।

পরদিন সকালে সেই ইঞ্জিনিয়ার তার কম্পিউটার চালু করল সকাল ৮.৩০ নাগাদ। সেটি চালু করার সাথে সাথে তার কম্পিউটার যুক্ত হলো আমার ল্যাপটপের সাথে। এখন ট্রোজানটি তার একাউন্টের অধীনে চলছে বলে আমি পুরো ডোমেইনে ঢোকার সুযোগ পাচ্ছি। আমার কয়েক সেকেন্ড লাগল ডোমেইন কন্ট্রোলার চিহ্নিত করতে, যাতে পুরো কোম্পানির সকল ইউজার একাউন্টের পাসওয়ার্ড আছে। fgdump নামের একটি হ্যাকার টুল ব্যবহার করে আমি প্রতিটি ইউজারের পাসওয়ার্ড হ্যাশ (উল্টোপাল্টা,অবোধ্য পাসওয়ার্ড) সংগ্রহ করলাম।

কয়েকঘন্টার মধ্যে আমি এসব পাসওয়ার্ড হ্যাশকে তুলনা করলাম রেইনবো টেবিলের সাথে, যাতে অসংখ্য পাসওয়ার্ড রয়েছে। এই টেবিলের সাথে তুলনা করে আমি বেশিরভাগ কর্মচারীর পাসওয়ার্ড পেয়ে গেলাম। এরপরই আমি খুঁজে পেলাম ব্যাকএন্ড কম্পিউটার সার্ভার যা কাস্টমার ট্রানজ্যাকশন প্রসেস করে; সেখানে দেখলাম কাস্টমারদের ক্রেডিট কার্ড এনক্রিপ্টেড অবস্থায় আছে। সেটিও সমস্যা না: এসব কার্ড নম্বর এনক্রিপ্ট করার জন্য যে চাবি ব্যবহার করা হয়েছে সেটিকে পাওয়া গেল ডাটাবেজের মধ্যে রাখা এক স্টোরড প্রসেজিউরের মধ্যে। আর সেই ডাটাবেজ সার্ভারের নামও ছিল SQL Server, তাই বুঝতে কষ্ট হলো না, যেকোনো ডাটাবেজ এডমিনিস্ট্রেটর তাতে প্রবেশ করতে পারে।

লক্ষ লক্ষ ক্রেডিট কার্ড নম্বর এখন আমার হাতে। আমি প্রতিদিন প্রতিবার একটি নূতন কার্ড ব্যবহার করে কেনাকাটা করতে পারি, তারপরও ক্রেডিট কার্ড নম্বর শেষ হবে না।

কিন্তু আমি কিছুই কিনলাম না। এই সত্য ঘটনা এমন কোনো হ্যাকিং না যার জন্য আমি আবার আলোচনায় এসেছি। আসলে আমাকে নিয়োগ করা হয়েছিল এই কাজটি করার জন্য।

আমরা একে বলি পেন টেস্ট, যা পেনিট্রেশন টেস্ট এর সংক্ষিপ্তরূপ; আর এখন আমার দিনের বেশিরভাগ সময় যায় এটি করতে। আমি বিশ্বের বড় বড় কোম্পানি ও কঠিন কম্পিউটার সিস্টেম হ্যাক করেছি, তাদের নেটওয়ার্কে ঢুকেছি – এটি করেছি তাদের অনুরোধে, তাদের কম্পিউটার ও নেটওয়ার্কের নিরাপত্তাজনিত ত্রুটিসমূহ খুঁজে বের করতে যাতে তারা এরকম হ্যাকিঙের শিকার না হয়। আমি মূলত স্বশিক্ষিত এবং বছরের পর বছর ব্যয় করেছি কম্পিউটার নিরাপত্তাকে বৃদ্ধাঙ্গুলি দেখানোর পদ্ধতি, প্রয়োগ ও কৌশল এবং কীভাবে কম্পিউটার সিস্টেম ও টেলিকম্যুনিকেশন সিস্টেম কাজ করে তা জানার জন্য।

প্রযুক্তি সম্পর্কে আমার প্রবল আবেগ ও আকর্ষণ আমাকে অনেক বন্ধুর পথে নিয়ে গেছে। হ্যাকিঙের বিভিন্ন ঘটনায় ধরা না পড়লেও এটি কেড়ে নিয়েছে আমার জীবনের পাঁচটি বছর, আমাকে কাটাতে হয়েছে জেলে; আমার ভালোবাসার লোকদের পেতে হয়েছে কষ্ট।

এটাই আমার কাহিনী; আমার স্মৃতি, নোটবই, কোর্টের রেকর্ড, এফবিআই-এর রেকর্ড, অনেক ইন্টারভিউ এবং আলোচনা থেকে যতটুকু মনে করতে পারছি তার পুঙ্খানুপুঙ্খ বিবরণ আছে এখানে।

এই গল্প আমার পৃথিবীর সবচেয়ে কুখ্যাত কম্পিউটার হ্যাকার হয়ে ওঠার গল্প।

[Kevin Mitnick রচিত Ghost in the Wires: My Adventures as the most wanted Hacker in the world থেকে অনূদিত]


Leave a Reply

%d bloggers like this: