অনেকে জানতে চান যে এন্ড টু এন্ড এনক্রিপশন (E2EE) কি হ্যাক করা যায় কি না। সংক্ষেপে উত্তর হলো—প্রায় সব বাস্তব পরিস্থিতিতে নয়, কারণ এনক্রিপশন নিজেই ভাঙা খুব কঠিন। হ্যাকাররা সাধারণত এনক্রিপশন ভাঙার চেষ্টা করে না। তারা তার পরিবর্তে দুর্বল দিক খোঁজে, যেমন নকল অ্যাপ, অ্যাকাউন্ট দখল, বা সংক্রমিত ডিভাইস।
আমরা আগের imo আর্টিকেলে ইতিমধ্যেই E2EE কী এবং কীভাবে কাজ করে তা ব্যাখ্যা করেছি। এই লেখায় মূলত ফোকাস থাকবে কোথায় প্রকৃত ঝুঁকি থাকে এবং আক্রমণকারীরা সাধারণত কীভাবে সিস্টেম অতিক্রম করার চেষ্টা করে।
কেন এন্ড টু এন্ড এনক্রিপশন ভাঙা কঠিন
E2EE-এর নিরাপত্তা মূলত এনক্রিপশন কী পরিচালনার পদ্ধতির উপর নির্ভর করে। শুধু আপনি এবং আপনি যে ব্যক্তির সাথে কথা বলছেন তারাই কী ধারণ করেন। মেসেজ একটি ডিভাইসে এনক্রিপ্ট হয় এবং অন্য ডিভাইসে ডিক্রিপ্ট হয়। কোনো মধ্যবর্তী সার্ভারে পাঠযোগ্য টেক্সট বা কী-এর ব্যাকআপ রাখা হয় না।
আধুনিক সাইফার, যেমন Curve25519 এবং AES-GCM, দুর্বলতার জন্য পরীক্ষা করা হয়েছে এবং এগুলো ভাঙার কোনো সহজ উপায় জানা যায়নি। কেউ যদি আপনার ট্রাফিক ধরে রাখে, তবে তারা কেবল অপ্রচলিত তথ্যই পায়।
বেশিরভাগ আক্রমণ এনক্রিপশন সিস্টেমের বাইরে ঘটে। অপরাধীরা ব্যবহারকারীর ভুল বা অ্যাপ চালানো ডিভাইসের দুর্বলতায় আক্রমণ করে। সাধারণ একটি পদ্ধতি হলো কাউকে লগইন কোড প্রকাশ করার জন্য ফাঁদে ফেলা। আরেকটি পদ্ধতি হলো ফোনে ম্যালওয়্যার ইনস্টল করা, যাতে মেসেজ ডিক্রিপ্ট হওয়ার পরও পড়া যায়। এই ধরনের আক্রমণ এনক্রিপশনকে এড়িয়ে চলে।
পাবলিক WiFi, নিরাপদ নয় এমন ব্যাকআপ, এবং ব্যবহারকারীরা যেসব যাচাই ধাপ এড়িয়ে যান সেগুলোও সুযোগ দেয়। এনক্রিপশন নিজেই শক্তিশালী থাকে, কিন্তু তার আশেপাশের পরিবেশ ব্যবহারকারীর সতর্কতার উপর নির্ভর করে।
মানবিক ভুল যা নিরাপত্তা ঝুঁকি তৈরি করে
মানবিক ভুল প্রায়ই সবচেয়ে সহজ প্রবেশপথ। সোশ্যাল ইঞ্জিনিয়ারিং সবচেয়ে সাধারণ। আক্রমণকারীরা প্রায়ই সহায়তা কর্মী বা বন্ধু হিসাবে মেসেজ পাঠায়। তারা ভিকটিমকে একটি যাচাই কোড দিতে বা একটি “সিকিউরিটি আপডেট” ইনস্টল করতে উসকানি দেয়, যা আসলে নকল অ্যাপ।
তৃতীয় পক্ষের ওয়েবসাইট থেকে অ্যাপ ডাউনলোড করাও ঝুঁকিপূর্ণ। কিছু নকল অ্যাপ আসলটির মতোই দেখতে, কিন্তু এর মধ্যে লুকানো স্পাইওয়্যার থাকে। একবার ইনস্টল হলে, তারা স্ক্রিনে সবকিছু পড়তে পারে। ব্যবহারকারীদের ফিশিং লিঙ্কের দিকে সতর্ক থাকতে হবে, যা এই ধরনের নকল ডাউনলোড পৃষ্ঠায় নিয়ে যায়।
অ্যাকাউন্ট দখল ঘটে যখন কেউ পুরনো পাসওয়ার্ড পুনরায় ব্যবহার করে বা দুই ধাপের যাচাই এড়ায়। একবার হ্যাকার অ্যাকাউন্ট নিয়ন্ত্রণে নিলে, তাকে এনক্রিপশন ভাঙার দরকার হয় না। তারা সরাসরি প্রবেশদ্বার ব্যবহার করে।
ডিভাইস সংক্রমণ যা ডেটা প্রকাশ করতে পারে
যদি কোনো ডিভাইস সংক্রমিত হয়, তাহলে এন্ড টু এন্ড এনক্রিপশন স্ক্রিনে যা দেখা যাচ্ছে তা রক্ষা করতে পারে না। স্পাইওয়্যার কীবোর্ডের স্ট্রোক, স্ক্রিনশট, নোটিফিকেশন প্রিভিউ এবং এমনকি ক্লিপবোর্ড ডেটা সংগ্রহ করতে পারে। কিছু টুল লোকাল ফোল্ডার স্ক্যান করে এক্সপোর্ট করা ব্যাকআপ বা ক্যাশড ফাইলও সংগ্রহ করে। এই ধরনের প্রোগ্রাম সাধারণত চুপচাপ চলে এবং ব্যবহারকারী না জেনে চ্যাট বা ছবি রিমোট সার্ভারে পাঠায়।
নিরাপদ নয় এমন ডিভাইস ব্যাকআপও আক্রমণকারীদের জন্য একটি পথ খুলে দেয়। অনেকেই চ্যাট বা স্ক্রিনশট ক্লাউডে ব্যাকআপ করে, কিন্তু জানে না যে ব্যাকআপটি এন্ড টু এন্ড এনক্রিপ্ট করা নেই। কেউ যদি স্টোলেন পাসওয়ার্ড, পুনঃব্যবহৃত ক্রেডেনশিয়াল বা দুর্বল রিকভারি সেটিংসের মাধ্যমে ক্লাউড অ্যাকাউন্টে প্রবেশ পায়, তারা পুরো চ্যাট ইতিহাস দেখতে পারে। এ কারণেই, ডিভাইসের সঠিক ব্যবস্থাপনা একটি নিরাপদ অ্যাপ ব্যবহারের মতোই গুরুত্বপূর্ণ।
ম্যান-ইন-দ্য-মিডল আক্রমণ
ম্যান-ইন-দ্য-মিডল (MitM) আক্রমণ ঘটে যখন কেউ গোপনভাবে দুই ব্যবহারকারীর মধ্যে অবস্থান করে। E2EE-তে এটি কঠিন, যদি না ভিকটিম যাচাই ধাপ এড়ায়। অনেক অ্যাপ ব্যবহারকারীদের একটি নিরাপত্তা কোড তুলনা বা QR প্যাটার্ন স্ক্যান করে কন্ট্যাক্টের পরিচয় নিশ্চিত করার সুযোগ দেয়। এই ধাপটি যদি উপেক্ষা করা হয়, আক্রমণকারীরা ক্লোন অ্যাকাউন্ট তৈরি করতে পারে, নতুন কী জেনারেট করতে পারে এবং আসল ব্যক্তির ছদ্মবেশ নিতে পারে।
পাবলিক WiFi ও ঝুঁকিপূর্ণ হতে পারে। যদিও E2EE বার্তার বিষয়বস্তু রক্ষা করে, আক্রমণকারীরা নকল হটস্পট তৈরি করে ব্যবহারকারীকে কানেক্ট করাতে পারে। এরপর তারা ফিশিং পেজ, নকল আপডেট প্রম্পট বা ম্যালওয়্যার ইনস্টল করার চেষ্টা চালাতে পারে। লক্ষ্য হলো এনক্রিপশন ভাঙা নয়, বরং কী ধারণকারী ডিভাইসের নিয়ন্ত্রণ নেওয়া।
সার্ভার-সাইড দুর্বলতা
এন্ড টু এন্ড এনক্রিপশন বার্তার বিষয়বস্তু রক্ষা করে, কিন্তু কিছু মেটাডেটা এখনও সার্ভারের মাধ্যমে প্রক্রিয়াজাত করতে হয়। এর মধ্যে রয়েছে কে কার সঙ্গে যোগাযোগ করেছে, টাইমস্ট্যাম্প, ডেলিভারি স্ট্যাটাস এবং ফাইলের আকার। মেটাডেটা চ্যাটের বিষয়বস্তু প্রকাশ করতে পারে না, তবে এটি যোগাযোগের প্যাটার্ন বা ঘনত্ব প্রকাশ করতে পারে।
ব্যাকআপও একটি সীমাবদ্ধতা। যদি ব্যবহারকারীরা ক্লাউড ব্যাকআপ সক্রিয় করে যা ডিভাইসে ব্যবহৃত এন্ড টু এন্ড কী দিয়ে সুরক্ষিত নয়, সার্ভার চ্যাট ইতিহাসের পাঠযোগ্য সংস্করণ সংরক্ষণ করতে পারে। মাল্টি-ডিভাইস সিঙ্কও ঝুঁকি বাড়ায়, কারণ প্রতিটি সংযুক্ত ডিভাইস একটি সম্ভাব্য প্রবেশদ্বার হয়ে যায়। যদি একটি ডিভাইস পুরনো বা নিরাপদ না হয়, পুরো সিস্টেম দুর্বল হয়ে যায়।
মেসেজিং অ্যাপগুলো এবং E2EE সুরক্ষা
আধুনিক মেসেজিং অ্যাপগুলো এমন ফিচার অন্তর্ভুক্ত করে যা E2EE কে আরও সুরক্ষিত করে। কী যাচাই (Key Verification) ব্যবহারকারীদের নিশ্চিত করতে সাহায্য করে যে তারা ঠিক সেই ব্যক্তির সঙ্গে যোগাযোগ করছে যাদের উদ্দেশ্যে বার্তা পাঠানো হয়েছে। লোকাল পাসকোড লক চ্যাটগুলোকে গোপন রাখে, এমনকি যদি কেউ ডিভাইসে প্রবেশাধিকার পায়। কিছু মেসেজিং সার্ভিস অদৃশ্যবার্তা (disappearing messages) এবং সময়ভিত্তিক নিয়ন্ত্রণের ফিচার ব্যবহার করে, যা সংরক্ষিত ডেটার পরিমাণ সীমিত করে।
এই ফিচারগুলো শক্তিশালী এনক্রিপশন তৈরি করে না, বরং এনক্রিপশনকে ঘিরে থাকা এলাকাগুলোকে সুরক্ষিত রাখে, যেগুলো আক্রমণকারীরা লক্ষ্য করে।
আপনার এন্ড টু এন্ড এনক্রিপশন ক্ষতিগ্রস্ত হতে পারে এমন সংকেত
কিছু সংকেত নির্দেশ করতে পারে যে কোনো অ্যাকাউন্ট বা ডিভাইস আর নিরাপদ নয়। অজানা ডিভাইস থেকে লগইন বা অপ্রত্যাশিত সেশন কার্যকলাপের সতর্কতা গুরুত্বসহকারে দেখা উচিত। অনেক অ্যাপ সব সংযুক্ত ডিভাইসের তালিকা দেখায়, এবং যেকোনো অচেনা ডিভাইস দ্রুত মুছে ফেলা উচিত।
অন্যান্য সতর্ক সংকেতের মধ্যে রয়েছে হঠাৎ অ্যাপ ক্র্যাশ, এমন বার্তা “পড়া হয়েছে” হিসেবে চিহ্নিত হওয়া যা আপনি কখনো খোলেননি, অথবা কন্ট্যাক্টরা জানায় যে তারা আপনার কাছ থেকে অস্বাভাবিক বার্তা পেয়েছে। এগুলো অ্যাকাউন্ট দখল, ম্যালওয়্যার বা অননুমোদিত প্রবেশের ইঙ্গিত হতে পারে। অস্বাভাবিক ব্যাটারি খরচ বা পটভূমিতে অতিরিক্ত ডেটা ব্যবহারও ইঙ্গিত দিতে পারে যে লুকানো অ্যাপ অনুমতি ছাড়া চলছে।
এন্ড টু এন্ড এনক্রিপশন ব্যবহার করার সময় নিরাপদ থাকুন
কিছু সহজ অভ্যাসও অনেক দূর যেতে পারে। আপনার ডিভাইস সর্বদা আপডেট রাখুন। কেবল অফিসিয়াল স্টোর থেকে অ্যাপ ইন্সটল করুন। শক্তিশালী পাসওয়ার্ড ব্যবহার করুন এবং দুই ধাপের লগইন সক্রিয় করুন। যাচাই কোড কাউকে শেয়ার করবেন না, এমনকি যদি বার্তাটি জরুরি মনে হয়। অজানা লিঙ্ক এড়িয়ে চলুন এবং অপ্রত্যাশিত ফাইলকে সতর্কতার সঙ্গে বিবেচনা করুন। সম্ভব হলে, ঘনিষ্ঠ কন্ট্যাক্টের সঙ্গে যাচাই কোড মিলিয়ে দেখুন। পাবলিক হটস্পটের পরিবর্তে নিরাপদ WiFi বা মোবাইল ডেটা ব্যবহার করুন।
এন্ড টু এন্ড এনক্রিপশন শক্তিশালী, তবে এটি মূলত ডিভাইসের ব্যবহারকারীর উপর নির্ভর করে। ভালো অভ্যাস বজায় রাখলে আপনার ব্যক্তিগত কথোপকথন গোপনই থাকে।