সোমবার, ০৫ ডিসেম্বর, ২০১৬, ২০ অগ্রাহায়ণ ১৪২৩

সুইফট টেকনিশিয়ানরাই ‘ছিদ্র’ রেখে গেছে বললেন পুলিশ

অর্থনীতি ডেস্ক | সোনালীনিউজ ডটকম
আপডেট: ১৬ জুন ২০১৬, বৃহস্পতিবার ০৪:০১ পিএম

সুইফট টেকনিশিয়ানরাই ‘ছিদ্র’ রেখে গেছে বললেন পুলিশ

বিশ্বজুড়ে আলোড়ন সৃষ্টি করা এই সাইবার চুরির ঘটনা তদন্ত করছে বাংলাদেশ পুলিশের অপরাধ তদন্ত বিভাগ। সিআইডির অতিরিক্ত উপ-মহাপরিদর্শক শাহ আলমকে উদ্ধৃত করে রয়টার্সের এক প্রতিবেদনে বলা হয়েছে, সেই টেকনিশিয়ানরা বাংলাদেশে প্রথমবারের মতো ‘রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেম’ এর সঙ্গে সুইফটকে যুক্ত করে যান।

আমরা বেশ কিছু লুপহোল খুঁজে পেয়েছি। ওই সময়ই বাংলাদেশ ব্যাংকের ঝুঁকি অনেক বেশি বেড়ে গেছে, বলেন তিনি। নাম প্রকাশ না করে কেন্দ্রীয় ব্যাংকের একজন কর্মকর্তার বরাত দিয়ে রয়টার্সের প্রতিবেদনে বলা হয়, বাংলাদেশ ব্যাংকে সুইফট মেসেজিং প্ল্যাটফরমের সঙ্গে ‘রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেম’ যুক্ত করার সময় নিরাপত্তা নিশ্চিত করার জন্য যে প্রক্রিয়াগুলো অনুসরণ করার কথা সুইফট ঠিক করে দিয়েছে, তাদের টেকনিশিয়ানরাই তা করেননি।
 
আর এ কারণে কেন্দ্রীয় ব্যাংকের সুইফট মেসেজিং প্ল্যাটফরমে প্রবেশ করার সুযোগ অনেক বেড়ে যায়। এমনকি সহজ একটি পাসওয়ার্ড দিয়ে রিমোট একসেসের (অন্য একপি কম্পিউটার থেকে) মাধ্যমেও ওই প্ল্যাটফরমে ঢোকার সুযোগ থেকে যায়। পুলিশ বলছে, বাংলাদেশ ব্যাংকের ওই প্ল্যাটফরমের সাইবার নিরাপত্তার জন্য কোনো ফায়ারওয়াল ছিল না। ব্যবহার করা হচ্ছিল সাধারণ সুইচ। কেন্দ্রীয় ব্যাংকের ওই কর্মকর্তা বলেন, দুর্বলতাগুলো খুঁজে দেখা সুইফটের দায়িত্ব ছিল, কেননা তারাই ওই সিস্টেম বসিয়ে দিয়ে গেছে। কিন্তু দেখা যাচ্ছে, তারা তা করেনি।

রয়টার্সের প্রতিবেদনে বলা হয়, সোসাইটি ফর ওয়ার্ল্ডওয়াইড ইন্টারব্যাংক ফাইন্যান্সিয়াল টেলিকমিউনিকেশনের বা স্ইুফটের প্রধান মুখপাত্র নাতাশা ডিটেরান বাংলাদেশের কর্তৃপক্ষের এ অভিযোগের বিষয়ে কোনো মন্তব্য্য করতে রাজি হননি। বাংলাদেশে সুইফট তাদের বা বাইরে থেকে কোনো টেকনিশিয়ান পাঠিয়েছিল কি না- সে বিষয়েও কিছু বলতে তিনি অস্বীকৃতি জানিয়েছেন। সুইফটের টেকনিশিয়ানদের কাজের বিষয়ে বাংলাদেশের পুলিশ বা কেন্দ্রীয় ব্যাংকের বক্তব্যের সত্যতা স্বাধীনভাবে তদন্ত করা রয়টার্সের পক্ষে সম্ভব হয়নি।   

প্রতিবেদনে বলা হয়েছে, তাদের অভিযোগ সঠিক হয়ে থাকলে সুইফটের ওপর আস্থায় ফাটল ধরবে, কেননা এই প্ল্যাটফরমই এখন আন্তর্জাতিক আর্থিক লেনদেনের মেরুদন্ড। যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংক অব নিউ ইয়র্ক ও সুইফট কর্তৃপক্ষের সঙ্গে বৈঠক করতে রোববার রাতে গভর্নর ড. ফজলে কবিরের নেতৃত্বে বাংলাদেশ ব্যাংকের চার সদস্যের একটি প্রতিনিধি দল সুইজারল্যান্ডের উদ্দেশ্যে রওনা হয়েছেন। মঙ্গলবার বেসেলে ওই বৈঠকে রিজার্ভ চুরির ঘটনা এবং খোয়া যাওয়া আট কোটি দশ লাখ ডলার আদায়ের বিষয়টি গুরুত্ব পাবে বলে কেন্দ্রীয় ব্যাংকের কর্মকর্তারা জানিয়েছেন।

রিমোট একসেস, ইউএসবি পোর্ট : রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেমের মাধ্যমে স্থানীয় ব্যাংকগুলো ও কেন্দ্রীয় ব্যংক বড় অংকের লেনদেনের বিষয়গুলো নিজেদের মধ্যে মেটাতে পারে। গতবছর অক্টোবরে বাংলাদেশ ব্যাংকে ওই সিস্টেম বসানো হয়। পরে তা যুক্ত করা হয় সুইফট মেসেজিং সিস্টেমের সঙ্গে।

এরপর ফেব্রুয়ারিতে হ্যাকাররা ফেডারেল রিজার্ভ ব্যাংক অব নিউ ইয়র্কে রক্ষিত বাংলাদেশের এক বিলিয়ন ডলার বিভিন্ন অ্যাকাউন্টে সরিয়ে নিতে ভুয়া বার্তা পাঠায় সুইফট মেসেজিং সিস্টেমের মাধ্যমে। ঢাকায় বাংলাদেশ ব্যাংকের সার্ভার ব্যবহার করেই বার্তা পাঠানোর কাজটি করা হয়েছিল বলে এখন পর্যন্ত তদন্তকারীদের ধারণা। ফেডারেল রিজার্ভের পাঠানো ৩৫টি অর্থ স্থানান্তরের আদেশের মধ্যে অধিকাংশ আটকে গেলেও চারটি আদেশে ৮টি কোটি ১০ লাখ ডলার ফিলিপাইনে এবং একটি আদেশে দুই কোটি ডলার শ্রীলঙ্কার একটি ব্যাংককে পাঠিয়ে দেওয়া হয়।

বানান ভুলের কারণে সন্দেহ হওয়ায় শ্রীলঙ্কায় যাওয়া টাকা আর অ্যাকাউন্টে জমা হয়নি। কিন্তু ফিলিপাইনে যাওয়া অর্থের পুরোটাই স্থানীয় মুদ্রায় বদলে ফেলা হয়, এর একটি বড় অংশ চলে যায় জুয়ার টেবিলে। বাকি টাকার কোনো খোঁজ এখনও মেলেনি। রিজার্ভ চুরির তদন্ত কতদূর এগিয়েছে সে বিষয়ে রয়টার্সকে কোনো তথ্য দিতে রাজি হননি বাংলাদেশ ব্যাংকের মুখপাত্র। তবে তিনি বলেছেন, রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেম এখন ভালোভাবেই কাজ করছে। বিপুল সংখ্যক দেশ ওই ধরনের সিস্টেম ব্যবহার করায় তার ভেতরে কোনো ঝুঁকি আছে বলেও মনে করছে না বাংলাদেশের কেন্দ্রীয় ব্যাংক। পুলিশ বলছে, সুইফটের টেকনিশিয়ানরা যে নেটওয়ার্কের মাধ্যমে রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেমের সঙ্গে সুইফটকে যুক্ত করে গেছেন, ওই একই নেটওয়ার্ক ব্যবহার করে কেন্দ্রীয় ব্যাংকের প্রায় পাঁচ হাজার কম্পিউটার, যেগুলো আবার উন্মুক্ত ইন্টারনেটের সঙ্গে যুক্ত।

তদন্তকারীরা মনে করছেন, রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেমের জন্য আলাদা লোকাল এরিয়া নেটওয়ার্ক তৈরি করে নেওয়া উচিৎ ছিল, যাতে কেন্দ্রীয় ব্যাংকের অন্য কম্পিউটার থেকে এই নেটওয়ার্কে প্রবেশ করা না যায়। আর রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেম বা সুইফট সিস্টেমের জন্য আলদা করে কোনো ফায়ারওয়ালও টেকনিশিয়ানরা তৈরি করেননি, যাতে নেটওয়ার্কে সন্দেহজনক অনুপ্রবেশ ঠেকিয়ে দেওয়া সম্ভব হয়।

আর ওই সিস্টেম বসানোর সময় সুইফট টেকনিশিয়ানরা একটি ওয়্যারলেস কানেকশনের ব্যবস্থা করেন, যাতে বন্ধ সুইফট রুমের বাইরে ব্যাংকের অন্য কম্পিউটার থেকেও ওই সিস্টেমে প্রবেশ করা যায়। কিন্তু চলে যাওয়ার সময় ওই রিমোট একসেস আর বিচ্ছিন্ন করে যাননি তারা। ফলে সাধারণ পাসওয়ার্ড ব্যবহার করেই ওই সিস্টেমে প্রবেশ করার সুযোগ থেকে যায়। পেনড্রাইভের মাধ্যমে গুরুত্বপূর্ণ কম্পিউটারে যাতে ম্যালওয়্যার বসানো না যায়, সেজন্য সাধারণত এ ধরনের সার্ভারের ইউএসবি পোর্ট অকার্যকর করে রাখা হয়। কিন্তু কেন্দ্রীয় ব্যাংকের ওই সুইফট সিস্টেমের ক্ষেত্রে তা করা হয়নি বলেও পুলিশের বরাত দিয়ে জানিয়েছে রয়টার্স।

এর আগে বিএই সিসটেমস নামের একটি ব্রিটিশ সাইবার নিরাপত্তা প্রতিষ্ঠান দাবি করে, রিজার্ভ চুরির ক্ষেত্রে সুইফটের ক্লায়েন্ট সফটওয়্যার ‘অ্যালায়েন্স একসেস’ থেকে ভুয়া মেসেজ পাঠানোর পর তার ট্র্যাক মুছে ফেলতে যে ম্যালওয়্যার চোরেরা ব্যবহার করেছিলে, তা খুঁজে পেয়েছে তারা।

বিএইর গবেষকরা বলছেন, evtdiag.exe  নামের ওই ম্যালওয়্যারে এমন কিছু বৈশিষ্ট যোগ করা হয়েছে, যার মাধ্যমে নির্দিষ্ট দেশের সুইফট অ্যালায়েন্স একসেস সফটওয়্যারে যোগাযোগ করা যায়। আবার বাংলাদেশ ব্যাংকের সুইফট সার্ভার থেকে অর্থ স্থানান্তরের ভুয়া আদেশ পাঠানোর পর সেই তথ্য মুছে ফেলা যায়।

এই ম্যালওয়্যার ব্যবহার করে সার্ভারে রাখা অ্যাকাউন্ট ও লেনদেনের তথ্যে পরিবর্তন আনা, এমনকি সুইফট থেকে আসা বার্তা বদলে দিয়ে ভুয়া বার্তা প্রিন্ট করারও সুযোগ রাখা হয়েছে বলে বিএইর তথ্য।

সোনালীনিউজ/ঢাকা/এমটিআই

add-sm
Sonali Tissue
সোমবার, ০৫ ডিসেম্বর, ২০১৬, ২০ অগ্রাহায়ণ ১৪২৩