পেগাসাস কী ভাবে কাজ করে, কিভাবে আড়িপাতা রুখবেন?
ইজরায়েলি এনএসও গ্রুপের পেগাসাস আড়িপাতা ঘিরে রিপোর্ট তথ্য গোপনীয়তা ও ডিজিটাল সুরক্ষা প্রসঙ্গে নানা বিতর্ক উস্কে দিচ্ছে।
সাংবাদিক, সমাজকর্মী, স্বাস্থ্য বিশেষজ্ঞ, রাজনীতিবিদ থেকে রাজনৈতিক উপদেষ্টাদের বিরুদ্ধে ইজরায়েলি 'স্পাইওয়্যার' বা আড়িপাতার সফটওয়্যার প্রযুক্তি পেগাসাস (Pegasus)-এর ব্যবহারের প্রতিবেদন সংসদের বাদল অধিবেশনের শুরুতেই ঝড় তুলেছে।
এ ব্যাপারে, 'পেগাসাস প্রোজেক্ট'-এর তৈরি একটি রিপোর্ট সম্প্রতি বেরিয়েছে। তাতে বলা হয়েছে যে, ইজরায়েলি সংস্থ্যা এনএসও গ্রুপের তৈরি, সামরিক বাহিনীর ব্যবহারযোগ্য আড়িপাতার গোয়েন্দা সফ্টওয়্যার, বা যাকে 'গোয়েন্দাওয়্যার'ও বলা যেতে পারে, সেটি স্মার্টফোন থেকে অনায়াসে সব ব্যক্তিগত তথ্য তুলে নিতে পারে। ফোন ব্যবহারকারীরা তা টেরও পাবেন না।
পেগাসাস প্রোজেক্ট (Pegasus Project) হল কয়েকটি সংবাদ সংস্থার চালানো এক যৌথ আন্তর্জাতিক তদন্ত।
২০১৯-এ হোয়াটসঅ্যাপ জানায় যে, বার্তা আদান-প্রদান করার ওই অ্যাপ-এর কিছু ঘাটতিকে কাজে লাগিয়ে, ১,৪০০ হোয়াটসঅ্যাপ ব্যবহারকারীর ফোনে পেগাসাস জুড়ে দেওয়া হয়। একটি 'মিস্ডকলের' মাধ্যমেই তা করা সম্ভব হয়। সেই থেকে, এনএসও-র পদ্ধতিগুলি আরও উন্নত হয়েছে। তার ফলে পেগাসাস এখন আইমেসেজের খামতিগুলিকেও কাজে লাগিয়ে, লক্ষ লক্ষ আইফোনের মধ্যে ঢুকে পড়তে পারে।
পেগাসাস প্রোজেক্ট দেখেছে যে, ইতিমধ্যেই ওই গোয়েন্দাওয়্যারের সম্ভাব্য নিশানায় ৫০,০০০ ফোন নম্বর রয়েছে।
তা সত্ত্বেও আমরা যদি আন্তর্জাল ও স্মার্টফোন ব্যবহার করতে চাই ও সেই সঙ্গে সুরক্ষিত রাখতে চাই আমাদের ব্যক্তিগত তথ্য, তাহলে এই বিপদকে আরও ভাল ভাবে বুঝতে হবে। এবং তা প্রতিহত করার কী উপায় আছে তা দেখতে হবে।
আরও পড়ুন: বিভ্রান্তিকর দাবিতে জিইয়ে উঠল পাঞ্জাবে শিখ ব্যক্তির বেত্রাঘাতের ছবি
চিহ্নিত যন্ত্রে পেগাসাস কী ভাবে ইনস্টল করা হয়
এনএসও-র হ্যাকিং করার পদ্ধতি সংক্রান্ত আগের ও সম্প্রতি রিপোর্ট থেকে এটা স্পষ্ট যে, কোনও একটি ফোনে পেগাসাস নামক 'ম্যালওয়্যার' বা ক্ষতিকর সফটওয়্যার ইনস্টল করার কোনও একটি নির্দিষ্ট পদ্ধতি নেই। বরং বলা যেতে পারে, এর নিত্য নতুন পন্থা বেরচ্ছে।
কেরলের সুরক্ষা বিশেষজ্ঞ নিনো স্টিফেন পেগাসাস প্রোজেক্টের তদন্তের অগ্রগতি খুব কাছ থেকে অনুসরণ করছেন। তাঁর মতে, তাঁদের নিশানায় রয়েছেন এমন কোনও ব্যক্তির স্মার্টফোনে গোয়েন্দা্ওয়্যার বসানোর জন্য, এনএসও সেই ফোনের সফ্টওয়্যারের সুরক্ষাবলয়ে কোনও ফাঁক খুঁজতে থাকে।
"এই ধরনের কম্পানিগুলি, প্রচলিত অ্যাপগুলিতে '০-ডে' তৈরি করার কাজে বিপুল অর্থ বিনিয়োগ করে থাকে। সেটা ফোনের নিজস্ব অ্যাপ, যেমন আই-মেসেজ, বা কোনও 'থার্ড পার্টি' (বাইরের ডাউনলোড করা) অ্যাপ, যেমন হোয়াটসঅ্যাপ, হতে পারে। এই অ্যাপ্লিকেশনগুলি বেশ জটিল। ফলে সেগুলির মধ্যে অপব্যবহার করার মতো কিছু অংশ থাকা সম্ভব," বুমকে বলেন স্টিফেন।
'০-ডে' কী? সেটি হল সফ্টওয়্যারের মধ্যে এমন একটা দুর্বল জায়গা যেটির অস্তিত্ব কারও জানা থাকে না। এমনকি যাঁরা ওই সফ্টওয়্যারটির সুরক্ষার দায়িত্বে থাকেন, তাঁদেরও অজানা থেকে যায় ওই ফাঁকটি। যতক্ষণ না ০-ডে'র অস্তিত্ব ধরা পড়ছে ও সেটিকে ঠিক করা হচ্ছে, ততক্ষণ সফ্টওয়্যারটিকে হ্যাক করা বা সেটিকে ভাঙ্গতে পারার সম্ভাবনা থেকে যায়। অর্থাৎ, যে ওই ০-ডে'র অস্তিত্বের কথা জানতে পারবে, সেইই সেটিকে ব্যবহার করে সফ্টওয়্যারটির মধ্যে ঢুকে পড়তে পারবে।
"এনএসও গ্রুপের টিম হয়তো এমন একাধিক ০-ডে'র অস্তিত্বের কথা জানে, যার সাহায্যে তারা বেশ কিছু যন্ত্রকে বিপন্ন করতে পারে। সেটি একটি পুরনো অ্যান্ড্রয়েড ফোন হতে পারে বা অত্যাধুনিক আইফোনও হতে পারে," বলেন স্টিফেন।
স্টিফেনের সঙ্গে একমত রামান চিমা। চিমা হলেন ডিজিটাল বিষয়ক নাগরিক অধিকার রক্ষা সংস্থা 'অ্যাকসেস নাও'-এর এশিয়া পলিসি ডিরেক্টর ও সিনিয়র ইন্টারন্যাশনাল কাউনসেল।
"সব যন্ত্রেই, একটি নয়, একাধিক দুর্বলতা থাকে। এনএসও'র মতো সংস্থা প্রতিদিন ওই দুর্বলতাগুলির সন্ধান করে যায়। যাতে সেগুলিকে কাজে লাগিয়ে তাদের ম্যালওয়্যার ঢুকিয়ে দিতে পারে।," বুমের সঙ্গে এক আলাপচারিতায় বলেন চিমা।
তাছাড়া হোয়াটসঅ্যাপ ও আইমেসেজ'র মতো ব্যাপক ব্যবহৃত ও ফোন তৈরির সময়ে লাগানো সফ্টওয়্যারগুলি এনএসও'র মতো কম্পানিগুলিকে এক বিপুল সংখ্যক ফোন ব্যবহারকারীকে নিশানা করার সুযোগ করে দেয়।
'দ্য গার্ডিয়ান'-এ প্রকাশিত এক রিপোর্টে বলা হয়েছে যে, এই গোয়েন্দাওয়্যারটি ফোন থেকে দূরে রাখা ওয়্যারলেস বা তারবিহীণ ট্রান্সরিসিভারেও ঢুকিয়ে দেওয়া যায়। উল্লেখ করা যেতে পারে যে, দ্য গার্ডিয়ান তদন্তকারী পেগাসাস প্রোজেক্ট-এ অংশ নিচ্ছে।
ইনস্টল করা হলে, কী করতে পারে?
একটি আধুনিক মোবাইল ফোনে এত ফিচার বা বৈশিষ্ট্য থাকে যে, তার ফলে ওই ধরনের ফোনে আড়িপাতা সম্ভব হয়। একজন ব্যক্তির স্বাধীনতা ও ক্ষমতা খর্ব করা যায়, যদি তাঁর ডিজিটাল সম্পত্তিগুলিকে অসুরক্ষিত করে ফেলতে পারে কেউ," বলেন স্টিফেন।
আক্রান্তদের ফোনগুলির ফরেনসিক বিশ্লেষণ করে অ্যামনেস্টি ইন্টারন্যাশনাল দেখেছে যে, একটি ফোনে পেগাসাস ঢুকিয়ে দিতে পারলে, সেই ফোন থেকে যে কোনও তথ্য বার করে নেওয়া সম্ভব।
পেগাসাস'র সাহায্যে 'কন্ট্যাক্টস' (ফোনে রাখা পরিচিতদের নাম ও ফোন নম্বর), এসএমএস, তাৎক্ষণিক বার্তা, ইমেইল, ছবি, ভিডিও, ব্রাউজিং হিস্ট্রি (ওয়েবসাইট দেখার রেকর্ড), 'কল হিস্ট্রি (ফোন করার রেকর্ড), সবই জেনে নেওয়া যায়। তাছাড়া, ফোন ব্যবহারকারীর অজান্তেই, তাঁর ফোনের মাইক্রোফোন, ক্যামেরা ও কথাবার্তা রেকর্ড করার যন্ত্র চালু করে দেওয়া যায়। এবং জিপিএস চালু করে দিয়ে, ফোনটি কোথায় আছে সেই তথ্যও সংগ্রহ করে নেওয়া যায়।
বার্লিন-এ অ্যামনেস্টি'র সিকিউরিটি (সুরক্ষা) ল্যাবের প্রধান ক্লডিও গোয়ারনেইরি দ্য গার্ডিয়ানকে বলেন যে, ফোনের ওপর পেগাসাস-সজ্জিত আক্রমণকারীর নিয়ন্ত্রণ ফোনের মালিকের চেয়ে বেশি হয়।
"একটি আইফোন যখন অরক্ষিত হয়ে পড়ে, তখন আক্রমণকারী ফোনটির 'রুট প্রিভিলেজ' বা 'অ্যাডমিনিসট্রেটিভ প্রিভিলেজ' পেয়ে যায়। ফোনের মালিক যা করতে পারেন, তার ঢের বেশি করতে পারে পেগাসাস," বলেন গোয়ারনেইরি।
আমরা কী ভাবে নিজেদের রক্ষা করতে পারি
এই ধরনের আক্রমণ রুখতে আমরা কী করতে পারি? এই প্রশ্নের জবাবে গোয়ারনেইরি দ্য গার্ডিয়ানকে বলেন, "সত্যি কথা বলতে কি, কিছুই না"। তিনি চিন্তিত এই কারণে যে, গোয়েন্দাওয়্যারের পেছনে যাঁরা আছেন, তাঁরা সবসময় এমন সব ত্রুটির সন্ধান করতে থাকেন, যেগুলি প্রযুক্তি সম্পর্কে খুব ওয়াকিবহাল ব্যক্তিদেরও নজরে আসে না।
তবে চিমা মনে করেন, ফোনগুলির সুরক্ষা আরও বাড়ানো সম্ভব। তার ফলে আক্রমণকারীরা ফোনের দুর্বলতাগুলি সহজে খুঁজে পাবে না।
"একটি গুরুত্বপূর্ণ উপায় হল খুব শক্তিশালী হার্ডওয়্যার ও সফ্টওয়্যার ব্যবহার করা। তাছাড়া আপনার যন্ত্রটিতে যাতে প্রস্তুতকারকের কাছ থেকে নিয়মিত আপডেট আসে, তাও নিশ্চিত করতে হবে," চিমা বলেন বুমকে।
উনি আরও বলেন, "আপনার অ্যাকাউন্ট সুরক্ষিত রাখতে একটি দু' ফ্যাক্টরের প্রমাণীকরণ যথেষ্ট সহায়ক হতে পারে। যে সব এককালীন পাসওয়ার্ড আপনার ফোনে আসে, আমি সেগুলির কথা বলছি না। টেক্সট মেসেজও অরক্ষিত হয়ে পড়তে পারে। সেগুলি অ্যাপ বা সিকিউরিটি-কি'র মাধ্যমে আসে। "আইনজীবী বা 'হুইসিলব্লোয়ার'দের (যাঁরা সকলকে সতর্ক করে দেন) উচিৎ বিশেষজ্ঞদের পরামর্শ নেওয়া, যাতে তাঁরা প্রয়োজনীয় ব্যবস্থা নিতে পারেন।"
আইনি ব্যবস্থা
এনএসও গ্রুপের গ্রাহকদের নাম কম্পানিটি এখনও প্রকাশ করেনি। কিন্তু যেহেতু তারা পরিষেবাটি কেবল সরকারি সংস্থাদেরই দিয়ে থাকে, তাই নরেন্দ্র মোদী পরিচালিত প্রশাসনের দিকেই দৃষ্টি যায়।
পেগাসাস'র ব্যবহার সম্পর্কে সরকার এখনও ধারণা স্পষ্ট করেনি। আবার সেটি ব্যবহার করার কথা অস্বীকারও করেনি তারা। চিমা মনে করেন যে, পেগাসাস'র ব্যবহারকে নজরদারি বলা ভুল হবে। তিনি এটাকে সরাসরি হ্যাকিং বলেই মনে করেন। এবং হ্যাকিং হল একটি অপরাধ, যেটির বিরুদ্ধে আইনি ব্যবস্থা নেওয়া যেতে পারে।
"এটাকে নজরদারি বলাটা মিথ্যে। পেগাসাস'র ব্যবহার আইনমাফিক ইন্টারসেপশন (বার্তা বাজেয়াপ্ত) নয়। সেটা হল হ্যাকিং। আপনি একটা আইনকে মান্যতা দিতে গিয়ে অন্য একটি আইন ভাঙ্গতে পারেন না। বিচারক বি এস শ্রীকৃষ্ণ'র নেতৃত্বে গঠিক তথ্য সুরক্ষার ওপর সরকারের নিজের কমিটিই বলেছে যে, সরকারে আইনি ক্ষমতা সময়ের সঙ্গে খাপ খায় না," বলেন চিমা।
নজরদারি আইনের সংস্কার প্রয়োজন বলে তাদের রিপোর্টে অভিমত দেয় ওই কমিটি ।
আরও পড়ুন: মিথ্যে দাবিতে জন্ম নিয়ন্ত্রণ বিলের সাথে জুড়ল রোহিঙ্গা পরিবারের ছবি
তথ্য প্রযুক্তি সংশোধিত আইন ২০০৪-এর ৬৯ ধারায় বলা আছে যে, গণ নিরাপত্তা ও সুরক্ষার স্বার্থে সরকার যে কোনও যন্ত্রে রাখা তথ্য বাজেয়াপ্ত, নিরীক্ষণ বা 'ডিক্রিপ্ট' (মানে উদ্ধার) করতে পারে।
তবে চিমা মনে করেন, সাংবাদিক, সমাজকর্মী ও বিভিন্ন রাজনৈতিক নেতাদের নিশানা করার জন্য সরকারের জবাবদদিহি করা উচিৎ। "এই নতুন পরিস্থিতিকে স্বাভাবিক বলে মেনে নেওয়া ঠিক নয়।"
চিমা বলেন, নজরদারির বিরুদ্ধে আইনি লড়াই ইতিমধ্যেই শুরু হয়ে গেছে।২০১৯-এর রিট পিটিশন (সিভিল) নং ৪৪'তে (ইন্টারনেট ফ্রিডম ফাউন্ডেশন ও অন্যান্যরা বনাম ইউনিয়ন অফ ইন্ডিয়া) ভারতের বর্তমান নজরদারি আইনের সাংবিধানিক বৈধতা সম্পর্কে জানতে চেয়েছেন আবেদনকারীরা।
সংবাদ মাধ্যমের স্বাধীনতা রক্ষা করার জন্য কাজ করে 'রিপোর্টাস উইথআউট বর্ডারস'। সংস্থাটি এনএসও গ্রুপ ও তার গোয়েন্দাওয়্যার ব্যবহারের বিরুদ্ধে আইনি পদক্ষেপ নেওয়ার দিকে এগোচ্ছে। ওই সংস্থার আন্তর্জাতিক প্রচারের ডিরেক্টর রেবেকা ভিনসেন্ট এ কথা জানিয়েছেন।
ফেসবুকের মালিকানাধীন হোয়াটসঅ্যাপ ২০১৯-এ এনএসও-র বিরুদ্ধে মামলা করে। বিচারক ফিলিস হ্যামিলটন তাঁর নির্দেশে বলেন যে, মার্কিন যুক্তরাষ্ট্রের ক্যালিফর্নিয়ায় একটি জেলা আদালতে মামলাটি চলতে পারে। তিনি এও বলেন যে, হোয়াটসঅ্যাপের ১,৪০০ ব্যবহারকারীকে নিশানা করার ব্যাপারে তাদের কোনও হাত নেই, এনএসও-র এই যুক্তিতে তিনি সন্তুষ্ট নন।
হ্যাকিংয়ের শিকার হলে আপনি কী করবেন
"যে সব সাংবাদিক তাঁদের ওপর নজরদারি বা হ্যাকিংয়ের শিকার হচ্ছে বলে মনে করছেন, তাঁরা ২৪x৭ হেল্পলাইনের সাহায্য নিতে পারেন। তৎপর হলে, ভবিষ্যতের আক্রমণগুলি ঠেকানো সম্ভব," বলেন চিমা।
অ্যাকসেস নাও-এর ডিজিটাল সিকিউরিটি হেল্পলাইন ও ডিজিটাল ফার্স্ট এইড কিট-এর লিঙ্ক তিনি আমাদের পাঠান। ফোন বা অন্য কোনও যন্ত্র যদি অরক্ষিত হয়ে পড়ে, তা হলে আপৎকালীন সাহায্য পাওয়া যেতে পারে ওই হেল্পলাইনগুলি থেকে।
সাংবাদিক হিসেবে যদি আপনার মনে হয় যে, আপনার ফোন বা অন্য কোনও যন্ত্র সুরক্ষিত নেই বা হ্যাকিংয়ের প্রচেষ্টা লক্ষ করেছেন, তা হলে পরামর্শের জন্য ইলেক্ট্রনিক ফ্রন্টিয়ার ফাউন্ডেশন বা কমিটি ফর দ্য প্রোটেকশন অফ জার্নালিস্টস-এর সঙ্গে যোগাযোগ করতে পারেন।
আরও পড়ুন: পেগাসাস আড়িপাতার নিশানায় রাহুল, প্রশান্ত, অভিষেক: রিপোর্ট
