আপনি কি স্ট্রাভা-এর মতো ফিটনেস-কেন্দ্রিক সামাজিক নেটওয়ার্কিং অ্যাপের অনুরাগী? তুমি একা নও. এমনকি সামরিক কর্মীরা তাদের রান ট্র্যাকিং এবং ভাগ করে নিতে উপভোগ করে। এটি দুর্দান্ত শোনাচ্ছে, স্ট্রভা অ্যাপটি সংগ্রহ করে এবং প্রকাশ করে এমন সমস্ত কার্যকলাপ এবং জিপিএস ডেটা ব্যতীত সামরিক ঘাঁটির সুনির্দিষ্ট অবস্থান প্রকাশ করে।
আজ ইন্টারনেটে যে ধরনের তথ্য সর্বজনীনভাবে উপলব্ধ তা দেখে আপনি অবাক হতে পারেন৷ কিন্তু ওভারশেয়ারিংয়ের দিনগুলিতে আমরা কীভাবে জীবনযাপন করি তা বিবেচনা করে এটি অবাক হওয়া উচিত নয়। আমরা টুইটারে ঘোষণা করি এবং আমাদের অবকাশের পরিকল্পনা সম্পর্কে স্বয়ংক্রিয় প্রতিক্রিয়া ইমেল করি, মূলত ডাকাতদের আমন্ত্রণ জানিয়ে। নিরাপত্তা পেশাদাররা এটিকে বলে OSINT (ওপেন সোর্স ইন্টেলিজেন্স), এবং আক্রমণকারীরা প্রক্রিয়া, প্রযুক্তি এবং লোকেদের মধ্যে দুর্বলতা চিহ্নিত করতে এবং শোষণ করতে সর্বদা এটি ব্যবহার করে। OSINT ডেটা সাধারণত সংগ্রহ করা সহজ, এবং প্রক্রিয়াটি লক্ষ্যের কাছে অদৃশ্য। (তাই কেন সামরিক বুদ্ধিমত্তা এটিকে HUMIT, ELINT, এবং SATINT-এর মতো অন্যান্য OSINT টুলের সাথে ব্যবহার করে।)
ভাল খবর? আপনি আপনার ব্যবহারকারীদের রক্ষা করতে OSINT-এ ট্যাপ করতে পারেন। কিন্তু প্রথমে আপনাকে বুঝতে হবে কিভাবে আক্রমণকারীরা আপনার আক্রমণের সারফেসকে পর্যাপ্তভাবে মূল্যায়ন করতে OSINT কে কাজে লাগায় এবং সেই অনুযায়ী আপনার প্রতিরক্ষাকে শক্তিশালী করে।
OSINT একটি প্রাচীন ধারণা। ঐতিহ্যগতভাবে, টিভি, রেডিও এবং সংবাদপত্রের মাধ্যমে ওপেন সোর্স গোয়েন্দা তথ্য সংগ্রহ করা হতো। আজ, এই ধরনের তথ্য সমস্ত ইন্টারনেট জুড়ে বিদ্যমান, যার মধ্যে রয়েছে:
সামাজিক এবং পেশাদার নেটওয়ার্ক যেমন Facebook, Instagram, এবং LinkedIn
· ডেটিং অ্যাপে পাবলিক প্রোফাইল
· ইন্টারেক্টিভ মানচিত্র
· স্বাস্থ্য এবং ফিটনেস ট্র্যাকার
· OSINT টুলস যেমন Censys এবং Shodan
এই সমস্ত সর্বজনীনভাবে উপলব্ধ তথ্য লোকেদের বন্ধুদের সাথে দুঃসাহসিক কাজগুলি ভাগ করতে, অস্পষ্ট অবস্থানগুলি খুঁজে পেতে, ওষুধের ট্র্যাক রাখতে এবং স্বপ্নের চাকরি এবং এমনকি আত্মার সঙ্গী খুঁজে পেতে সহায়তা করে৷ কিন্তু এর আরেকটি দিকও আছে। সম্ভাব্য লক্ষ্য সম্পর্কে অজানা, এই তথ্যটি স্ক্যামার এবং সাইবার অপরাধীদের কাছে ঠিক ততটাই সহজলভ্য।
উদাহরণস্বরূপ, একই ADS-B এক্সচেঞ্জ অ্যাপ যা আপনি আপনার প্রিয়জনের ফ্লাইটের রিয়েল-টাইমে ট্র্যাক রাখার জন্য ব্যবহার করেন তা দূষিত অভিনেতারা তাদের লক্ষ্যগুলি সনাক্ত করতে এবং ঘৃণ্য পরিকল্পনা তৈরি করতে ব্যবহার করতে পারে।
OSINT এর বিভিন্ন অ্যাপ্লিকেশন বোঝা
ওপেন সোর্স তথ্য শুধুমাত্র তাদের জন্য উপলব্ধ নয় যার জন্য এটি উদ্দিষ্ট। সরকার এবং আইন প্রয়োগকারী সংস্থাগুলি সহ যে কেউ এটি অ্যাক্সেস করতে এবং ব্যবহার করতে পারে৷ সস্তা এবং সহজলভ্য হওয়া সত্ত্বেও, দেশ-রাষ্ট্র এবং তাদের গোয়েন্দা সংস্থাগুলি OSINT ব্যবহার করে কারণ এটি সঠিকভাবে সম্পন্ন হলে ভাল বুদ্ধিমত্তা প্রদান করে। এবং যেহেতু এটি সমস্ত অবাধে উপলব্ধ তথ্য, তাই এটি একটি একক সত্তার অ্যাক্সেস এবং ব্যবহার বৈশিষ্ট্যযুক্ত করা খুব কঠিন।
চরমপন্থী সংগঠন এবং সন্ত্রাসীরা তাদের লক্ষ্যবস্তু সম্পর্কে যতটা সম্ভব তথ্য সংগ্রহ করতে একই ওপেন সোর্স তথ্যকে অস্ত্র দিতে পারে। সাইবার অপরাধীরা অত্যন্ত লক্ষ্যবস্তু সামাজিক প্রকৌশল এবং বর্শা ফিশিং আক্রমণ তৈরি করতে OSINT ব্যবহার করে।
ব্যবসাগুলি প্রতিযোগিতা বিশ্লেষণ করতে, বাজারের প্রবণতাগুলির পূর্বাভাস দিতে এবং নতুন সুযোগগুলি সনাক্ত করতে ওপেন সোর্স তথ্য ব্যবহার করে৷ কিন্তু এমনকি ব্যক্তিরা কিছু সময়ে এবং বিভিন্ন কারণে OSINT সঞ্চালন করে। এটি একটি পুরানো বন্ধু বা প্রিয় সেলিব্রিটি গুগলিং হোক না কেন, এটি সব OSINT।
কিভাবে একাধিক OSINT টেকনিক ব্যবহার করবেন
বাড়িতে থেকে কর্মস্থলে স্থানান্তর অনিবার্য ছিল, কিন্তু কোভিড-১৯ আঘাত হানলে পুরো প্রক্রিয়াটিকে ত্বরান্বিত করতে হয়েছিল। প্রতিষ্ঠানের ঐতিহ্যগত নিরাপত্তা পরিধির বাইরে বাড়ি থেকে কাজ করা লোকেদের বিরুদ্ধে দুর্বলতা এবং ডেটা খোঁজা, কখনও কখনও শুধুমাত্র একটি দ্রুত অনলাইন অনুসন্ধান দূরে।
সামাজিক যোগযোগ মাধ্যম: সাইবার অপরাধীরা ব্যক্তিগত আগ্রহ, অতীত অর্জন, পারিবারিক বিবরণ এবং কর্মচারী, ভিপি এবং তাদের টার্গেট সংস্থার নির্বাহীদের বর্তমান এবং এমনকি ভবিষ্যতের অবস্থানের মতো ডেটা সংগ্রহ করতে পারে। তারা পরে বর্শা-ফিশিং বার্তা, কল এবং ইমেল তৈরি করতে এটি ব্যবহার করতে পারে।
গুগল: দূষিত ব্যবহারকারীরা Google এর তথ্য যেমন আইটি সরঞ্জামের নির্দিষ্ট ব্র্যান্ড এবং মডেলের ডিফল্ট পাসওয়ার্ড এবং রাউটার, নিরাপত্তা ক্যামেরা এবং হোম থার্মোস্ট্যাটগুলির মতো IoT ডিভাইসগুলিকে Google করতে পারে৷
গিটহাব: GitHub-এ কয়েকটি নিরীহ অনুসন্ধান শেয়ার করা, ওপেন সোর্স কোডে অ্যাপ, পরিষেবা এবং ক্লাউড সংস্থানগুলির জন্য শংসাপত্র, মাস্টার কী, এনক্রিপশন কী এবং প্রমাণীকরণ টোকেন প্রকাশ করতে পারে। কুখ্যাত ক্যাপিটাল ওয়ান লঙ্ঘন এই ধরনের আক্রমণের একটি প্রধান উদাহরণ।
গুগল হ্যাকিং: Google dorking নামেও পরিচিত, এই OSINT কৌশলটি সাইবার অপরাধীদের অ্যাপে নিরাপত্তা দুর্বলতা, ব্যক্তি সম্পর্কে নির্দিষ্ট তথ্য, ব্যবহারকারীর শংসাপত্র ধারণকারী ফাইল এবং আরও অনেক কিছু খুঁজে পেতে উন্নত Google অনুসন্ধান কৌশল ব্যবহার করতে দেয়।
শোদান এবং সেন্সিস: Shodan এবং Censys হল ইন্টারনেট-সংযুক্ত ডিভাইস এবং শিল্প নিয়ন্ত্রণ ব্যবস্থা এবং প্ল্যাটফর্মগুলির জন্য অনুসন্ধান প্ল্যাটফর্ম। পরিচিত দুর্বলতা, অ্যাক্সেসযোগ্য ইলাস্টিক অনুসন্ধান ডাটাবেস এবং আরও অনেক কিছু সহ নির্দিষ্ট ডিভাইসগুলি খুঁজে পেতে অনুসন্ধান ক্যোয়ারীগুলি পরিমার্জিত করা যেতে পারে।
প্রতিরক্ষা অনুশীলনের জন্য OSINT-এর আবেদন
যে ব্যবসাগুলি ইতিমধ্যে সুযোগগুলি সনাক্ত করতে এবং প্রতিযোগীদের অধ্যয়নের জন্য OSINT ব্যবহার করছে তাদের সাইবার নিরাপত্তার জন্য তাদের OSINT-এর প্রয়োগকে প্রসারিত করতে হবে।
ওএসআইএনটি ফ্রেমওয়ার্ক, OSINT সরঞ্জামগুলির একটি সংগ্রহ, OSINT এর শক্তিকে কাজে লাগানোর জন্য উদ্যোগগুলির জন্য একটি ভাল সূচনা পয়েন্ট। এটি অনুপ্রবেশ পরীক্ষক এবং নিরাপত্তা গবেষকদের অবাধে উপলব্ধ এবং সম্ভাব্য শোষণযোগ্য ডেটা আবিষ্কার এবং সংগ্রহ করতে সহায়তা করে।
Censys এবং Shodan এর মতো সরঞ্জামগুলি প্রাথমিকভাবে কলম-পরীক্ষার জন্যও ডিজাইন করা হয়েছে। তারা এন্টারপ্রাইজগুলিকে তাদের ইন্টারনেট-সংযুক্ত সম্পদ সনাক্ত এবং সুরক্ষিত করার অনুমতি দেয়।
ব্যক্তিগত ডেটা ওভারশেয়ার করা ব্যক্তি এবং তারা যে সংস্থাগুলির জন্য কাজ করে তাদের জন্য সমস্যাযুক্ত। উদ্যোগগুলিকে নিরাপদ এবং দায়িত্বশীল সামাজিক মিডিয়া ব্যবহার সম্পর্কে কর্মীদের শিক্ষিত করা উচিত।
কর্মচারীদের সাইবার নিরাপত্তা সচেতনতা প্রশিক্ষণ হওয়া উচিত, অন্ততপক্ষে, একটি আধা-বার্ষিক উদ্যোগ। অঘোষিত সাইবার আক্রমণ এবং ফিশিং সিমুলেশন এই প্রশিক্ষণ কর্মশালার অংশ হতে হবে।
