ব্ল্যাক হ্যাট: জনপ্রিয় পেমেন্ট টার্মিনালগুলো হ্যাক করে গেম খেলে দেখালেন নিরাপত্তা বিশেষজ্ঞরা

PriyoTech's picture
Submitted by PriyoTech on Sat, 28/07/2012 - 1:00pm

(প্রিয় টেক) বেশ কয়েক বছর হলো কার্ড জোচ্চুরির কারণে ইউরোপে চালু হয়েছে নতুন চিপ অ্যান্ড পিন ক্রেডিট এবং ডেবিট কার্ড। সে সময় বলা হয়েছিল নতুন এই কার্ড এবং এদের মেশিনগুলো সহজে হ্যাক করা যাবে না। কিন্তু মাত্র কয়েক বছরের মধ্যে সে ধারণা ভুল বলে প্রমাণ করে দিল গবেষকেরা। যুক্তরাজ্যের এমডাব্লিউআর ইনফোসিকিউরিটির গবেষকেরা ব্ল্যাক হ্যাট সম্মেলনে জানিয়েছে মার্কিন যুক্তরাষ্ট্র এবং যুক্তরাজ্যের বহুলভাবে ব্যবহৃত হয় এমন তিন ধরণের টার্মিনালে দুর্বলতা রয়েছে যা ব্যবহার করে আক্রমণকারীরা ক্রেডিট কার্ড তথ্য এবং পিন নাম্বার চুরি করতে পারে।

ইনফোসিকিউরিটির গবেষকেরা ব্ল্যাক হ্যাট সম্মেলনে দেখান কিভাবে একটি চিপ অ্যান্ড পিন কার্ডের চিপে ক্ষতিকর কোড সংযুক্ত করার মাধ্যমে পস (POS পয়েন্ট অব সেল) টার্মিনালগুলোতে সমস্যা সৃষ্টি করা সম্ভব।

এমডাব্লিউআর এর গবেষণা প্রধান নীল এবং নিরাপত্তা গবেষক রাফায়েল ডোমিনগুয়েজ ভেগা জানিয়েছেন তিনটি টার্মিনালের মধ্যে দুইটি ইউকেতে বেশ জনপ্রিয় এবং তৃতীয়টি ইউএসএ -তে বহুলভাবে ব্যবহৃত হয়।

ইউকের মেশিন দুইটির অর্থ পরিশোধ প্রক্রিয়া নিয়ন্ত্রণ অ্যাপ্লিকেশনে দুর্বলতা রয়েছে বলে জানিয়েছেন। এই দুর্বলতা ব্যবহার করে ডিভাইসটির ডিসপ্লে, রশিদ মুদ্রণ যন্ত্র, কার্ড রিডার অথবা পিন প্যাডটির মত বিভিন্ন অংশ নিয়ন্ত্রণ করা সম্ভব বলে উল্লেখ করেন তারা।

ক্ষতিকর কোড যুক্ত ইএমভি কার্ড টার্মিনালের স্মার্ট কার্ড রিডারে প্রবেশ করানোর সাথে সাথে কোডগুলো সক্রিয় হয়ে যাবে। গবেষকেরা সম্মেলনে এই উপায় অবলম্বন করে তিনটি মেশিনের একটিতে রেসিং গেম ইনস্টল করে এবং পিন প্যাড ও ডিসপ্লে ব্যবহার করে গেমটি খেলে দেখিয়েছেন।

দ্বিতীয় ডিভাইসটিতে একই পদ্ধতি ব্যবহার করে একটি ট্রোজান ইনস্টল করেন তারা। কার্ড এবং পিন নাম্বার মনে রাখাই এই ট্রোজানের কাজ। ট্রোজান যে সকল তথ্য সংগ্রহ করবে সেগুলো উদ্ধারের জন্য ডিভাইসে অন্য আরেকটি প্রোগ্রাম লিখা কার্ড প্রবেশ করতে হবে বলে জানানা গবেষকদ্বয়।

এছাড়া এই দুর্বলতা ব্যবহার করে অর্থ পরিশোধ করা হয়েছে এই দেখিয়ে ধোঁকা দেয়াও সম্ভব বলে জানিয়েছেন তারা।

এছাড়া কার্ডগুলোর ম্যাগনেটিক স্ট্রাইপের তথ্য চুরির জন্য বিশেষ ব্যবস্থাও গ্রহণ করাও যাবে এই বিশেষ কোডের মাধ্যমে।

তৃতীয় ডিভাইস, যেটি মার্কিন যুক্তরাষ্ট্রে বহুলভাবে ব্যবহৃত হয়। ডিভাইসটি বাকি দুটির চাইতে আরো অত্যাধুনিক। ক্রেতারা যেন স্বাক্ষর করতে পারে সে জন্য রয়েছে টাচস্ক্রিন সুবিধা, স্মার্ট কার্ড রিডার, মোবাইলের সাথে সংযোগের জন্য সিম কার্ড রিডার, কন্টাক্টলেস পেমেন্ট ব্যবস্থা, ইউএসবি পোর্ট, ইথারনেট পোর্ট এবং ব্যবস্থাপনা ইন্টারফেস যা স্থানীয় এবং দূর থেকে নিয়ন্ত্রণ করা সম্ভব।

কিন্তু টার্মিনালের সাথে দূরবর্তী ব্যবস্থাপনা সার্ভারের মধ্যের যে যোগাযোগ ব্যবস্থা তা এনক্রিপ্টেড না হবার কারণে গবেষকেরা রিমোটলি টেলনেট সার্ভিস অন করে রুট হিসেবে লগ ইন করতে সক্ষম হন।

গবেষকদ্বয়ের মতে এধরণের অর্থ পরিশোধ ডিভাইসের ব্যাপারে মানুষের আস্থার পরিমাণ বেশি থাকায় এগুলোর দুর্বলতা চিহ্নিত করতে দেখা যায় না।

নীল অন্য কোন নির্মাতার তৈরি মডেলে দুর্বলতা রয়েছে কিনা সে ব্যাপারে আলোকপাত করতে না পারলেও কম্পিউটার সিস্টেম হবার কারণে এদের সবার মধ্যে কিছু না কিছু দুর্বলতা থাকার সম্ভাবনা রয়েছে বলে উল্লেখ করেন।

বিভিন্ন ডিভাইসের সফটওয়্যারের মাণের মধ্যেও পার্থক্য লক্ষ্য করেছে গবেষকেরা, কিছু ডিভাইসের সফটওয়্যারের নিরাপত্তা ব্যবস্থা অত্যন্ত ভালো আবার কয়েকটির তেমন নয়, কিন্তু কোন সিস্টেমই শতভাগ ঠিক নয় বলে উল্লেখ করেন তারা।

Tags: