স্যামি ওয়ার্ম: বন্ধু পাওয়ার জন্য তৈরি করা হয়েছিল যে ভাইরাস!

বন্ধু বানানোর জন্য আমরা কত কিছুই না করি। মানুষের সাথে পরিচিত হই, পত্রমিতালী করি, সামাজিক যোগাযোগ মাধ্যমে ফ্রেন্ড রিকোয়েস্ট পাঠাই। উল্টোপাল্টা ফোন নাম্বারে কল করার মতো ঘটনাও ঘটায় অনেকে। কিন্তু বন্ধু পাওয়ার জন্য কম্পিউটার ভাইরাস বানানো? এটি বেশ চমকপ্রদই শোনানোর কথা।     

২০০৫ সালের ৫ অক্টোবর মাইস্পেস ব্যবহারকারীদের জন্য পরিস্থিতিটা এমনই ছিলো। সেদিন তারা দেখতে পায়, তাদের অ্যাকাউন্ট থেকে স্যামি ক্যামকার নামের কাউকে ফ্রেন্ড রিকোয়েস্ট পাঠানো হয়েছে এবং তাদের প্রোফাইলের ওপর লেখা “but most of all, Samy is my hero”!

যদিও তারা বেশ ভালোভাবেই নিশ্চিত যে এ দুটি কাজের কোনোটিই তারা করেনি, তবুও এই অবস্থা দেখে তাদের মাথা বনবন করে ঘুরতে থাকে। কে এই স্যামি? তার কাছে ফ্রেন্ড রিকোয়েস্ট গেলো কীভাবে? প্রোফাইলে এই লেখাটিই বা কীভাবে আসলো?

প্রিয় পাঠক, এ প্রশ্নের উত্তর নিহিত আছে ‘স্যামি ওয়ার্ম’ এর ভেতরে, খ্যাতি এবং বন্ধু পাওয়ার জন্য একজন হ্যাকার যেটি দিয়ে গোটা অনলাইন জগতকে কাঁপিয়ে দিয়েছিলো। এই কম্পিউটার ওয়ার্মটি ‘স্যামি ইজ মাই হিরো’ বা “স্পেস হিরো” ভাইরাস নামেও পরিচিত।

২০০৫ সালের কথা। ফেসবুকের যাত্রা শুরু হয়েছে মাত্র এক বছর আগে, তখনও এত জনপ্রিয় হয়ে ওঠেনি সেটি। তাই সামাজিক যোগাযোগ মাধ্যমের জগতে একটি নামই করে বেড়াচ্ছে একচেটিয়া রাজত্ব, আর তা হলো মাইস্পেস।

সে বছরই উনিশে পা দিয়েছেন স্যামি ক্যামকার নামের এক তরুণ। মাত্র ষোল বছর বয়সে হাইস্কুল থেকে ড্রপআউট হবার পর ‘ফোনালিটি’ নামে একটি আইটি স্টার্টআপ চালাচ্ছেন তিনি।

স্যামি ক্যামকার; Image source: kcur.org

স্যামি দেখলেন, মাইস্পেস ব্যবহারকারীরা এইচটিএমএল কোড ব্যবহার করে নিজেরাই নিজেদের প্রোফাইল কাস্টমাইজ করতে পারছেন। এ সুবিধা দেয়া হয়েছে, যাতে ব্যবহারকারীরা নিজেদের প্রোফাইল আরো ভিন্নভাবে সাজাতে পারেন।

ছোটবেলা থেকে বন্ধুহীন স্যামির একমাত্র সঙ্গী ছিলো কম্পিউটার, যেটি নিয়েই কাটতো তার অবসর। এভাবেই প্রোগ্রামিংয়ের প্রতি তার নেশা জন্মায়। নিজেকে প্রমাণ করার নেশায় উন্মুখ হয়ে থাকা স্যামি মাইস্পেসের কাস্টমাইজেশনের ঠিক এই সুবিধাটাই নিলেন, তবে একটু ভিন্নভাবে।   

তিনি লক্ষ্য করলেন, মাইস্পেসের অন্যতম সীমাবদ্ধতা হলো এতে কেবল ১২টি ছবি আপলোড করা যায়। কয়েকদিন এইচটিএমএল কোড দিয়ে ঘাঁটাঘাঁটি করে এ সংখ্যাকে ১৩-তে উন্নীত করতে সক্ষম হলেন তিনি। এরপর রিলেশনশিপ অপশনের ড্রপডাউন মেন্যুতে ‘ইন অ্যা হট রিলেশনশিপ’ নামে নতুন একটি বাটনও যোগ করে ফেললেন।

কয়েকদিন এইচটিএমএল কোড দিয়ে ঘাঁটাঘাঁটি করে এ সংখ্যাকে ১৩-তে উন্নীত করতে সক্ষম হলেন তিনি; image source: gigazine.net

প্রথম প্রচেষ্টাতেই এমন সাফল্য পেয়ে স্যামি আরো আত্মবিশ্বাসী হয়ে উঠলেন। তিনি এমন একটি প্রোগ্রাম তৈরিতে হাত দিলেন, যাতে কেউ তার প্রোফাইলে ক্লিক করলে তা নিজে থেকেই স্যামিকে একটি ফ্রেন্ড রিকোয়েস্ট পাঠাবে এবং ক্লিককারীর প্রোফাইলের ‘ইন্টারেস্টস’ অপশনের ‘হিরোস’ সাব-অপশনে “but most of all, Samy is my hero” এই বাক্যটি যোগ করে দেবে।

তিনি এমন একটি প্রোগ্রাম তৈরিতে হাত দিলেন, যা ক্লিককারীর প্রোফাইলে “but most of all, Samy is my hero” বাক্যটি যোগ করে দেবে; image source: medium.com

স্যামি চিন্তা করলেন, প্রোগ্রামটি যদি শুধু তার অ্যাকাউন্টে থাকে, তাহলে তা খুব কম সংখ্যক মানুষের কাছেই পৌঁছাতে পারবে। তাই তিনি সেটিকে এমনভাবে প্রোগ্রাম করলেন, যাতে তা ভিজিটকারীর নিজস্ব অ্যাকাউন্টে কপি হয়ে যায়।

এভাবেই এক সপ্তাহের সাধনা শেষে এমন একটি প্রোগ্রাম তৈরি হলো, যা নিজেই এক অ্যাকাউন্ট থেকে আরেক অ্যাকাউন্টে ছড়িয়ে পড়তে পারে। এককথায়, ‘কম্পিউটার ওয়ার্ম’। স্যামির ভাষ্যমতে, কিছু বন্ধু এবং খ্যাতি জোগাড় করার জন্য ‘নির্দোষ’ রসিকতার এ পথ বেছে নেওয়া।

স্যামি ভাবলেন, এই ওয়ার্মের মাধ্যমে খুব বেশি হলে মাসে একশো বা দু’শোজনের কাছে ফ্রেন্ড রিকোয়েস্ট পৌঁছাবে। তারপর তিনি এটি ডিলিট করে দেবেন। তাই তিনি সেদিনের মতো নিশ্চিন্তে ঘুমুতে গেলেন।

পরদিন সকালে ঘুম থেকে ওঠার পর কম্পিউটারের স্ক্রিন দেখে চমকে উঠলেন স্যামি। তার অ্যাকাউন্টে প্রায় দু’শোর মতো ফ্রেন্ড রিকোয়েস্ট জমা হয়েছে। এর মানে, ওয়ার্মটি তার আন্দাজের চাইতেও অনেক অনেক দ্রুত ছড়িয়ে পড়ছে।

বন্ধ করার আগেই ওয়ার্মটি প্রায় এক মিলিয়ন অ্যাকাউন্টে ছড়িয়ে পড়ে; image source: gigazine.net

ওয়ার্মটি সম্পর্কে সতর্ক করতে তিনি তখনই মাইস্পেসকে একটি বেনামী মেইল করলেন। যদিও সেই মেইলটি সঠিকভাবে পৌঁছেছিলো কি না, তা নিয়ে সন্দিহান তিনি।

ঘড়ির কাঁটা যখন ১.৩০ এর দিকে, স্যামির অ্যাকাউন্টে বন্ধুসংখ্যা তখন প্রায় ছ’হাজার। নতুন রিকোয়েস্ট জমা পড়েছে আড়াই হাজার। সেই রাতেই স্যামি তার নিজস্ব ব্লগে লিখলেন,

“এটা আমার নিয়ন্ত্রণের বাইরে চলে গেছে। মানুষ আমাকে মেসেজ দিচ্ছে যে আমি তাদের অ্যাকাউন্ট হ্যাক করেছি এবং একারণে তারা আমাকে কর্তৃপক্ষের কাছে রিপোর্ট করেছে।”

ঝামেলাটা কোথায় হয়েছে সেটি খুঁজে বের করতে মাইস্পেস তাদের ওয়েসাইট বন্ধ করে দিলো। তবে বন্ধ করার আগেই ওয়ার্মটি প্রায় এক মিলিয়ন অ্যাকাউন্টে ছড়িয়ে পড়েছে।

দু’ঘণ্টা পরই আবার সচল হলো মাইস্পেস। স্যামি দেখলেন, তার মাইস্পেস অ্যাকাউন্টটি ডিলিট করে দেয়া হয়েছে। ওয়ার্মটিরও অস্তিত্ব খুঁজে পাওয়া যাচ্ছে না আর। এভাবেই ইতি ঘটলো দিন জুড়ে চলতে থাকা এক দুঃস্বপ্নের।  

স্যামি দেখলেন, তার মাইস্পেস অ্যাকাউন্টটি ডিলিট করে দেয়া হয়েছে; image source: gigazine.net

স্যামি ওয়ার্মের আক্রমণের ধরনকে বলে ক্রস সাইট স্ক্রিপ্টিং অ্যাটাক, সংক্ষেপে XSS, যেখানে একজন হ্যাকার কোনো সাইট বা ব্রাউজারে একটি ক্ষতিকর কোড ঢুকিয়ে দেয়, যা মুহূর্তের মধ্যেই অনেকগুলো ডিভাইসে ছড়িয়ে পড়তে পারে।

হোয়াইটহ্যাট সিকিউরিটি ফার্মের প্রতিষ্ঠাতা এবং ওয়েব নিরাপত্তা বিশেষজ্ঞ জেরেমিয়া গ্রসম্যান বিষয়টিকে ব্যাখ্যা করেন ঠিক এভাবে,

স্যামি ওয়ার্ম খুব দ্রুত ছড়িয়ে পড়লেও আদতে এর কোনো ক্ষতিকর বৈশিষ্ট্য ছিল না। এটি শুধু সংক্রমিত ব্যবহারকারীর প্রোফাইলে “but most of all, Samy is my hero” বাক্যটি লিখে দিতো এবং স্যামিকে একটি ফ্রেন্ড রিকোয়েস্ট পাঠানো ছাড়া ওয়ার্মটির আর কোনো ক্ষমতা ছিলো না। স্যামির উদ্দেশ্য যদি অসৎ হতো, তবে তিনি চাইলে অ্যাকাউন্টগুলোর সম্পূর্ণ নিয়ন্ত্রণ নিয়ে নিতে পারতেন।

ক্রস সাইট স্ক্রিপ্টিং অ্যাটাক; image source: spanning.com

সেসময়কার অনলাইন নিরাপত্তার সাথে সংশ্লিষ্ট সকলেই জানতেন, কোনো প্রশিক্ষিত হ্যাকারের পক্ষে এমন ধরনের আক্রমণ চালানো খুব একটা কঠিন নয়। কিন্তু তারা স্যামি ওয়ার্মের আগে এ ব্যাপারে তেমন একটা মাথা ঘামাননি।

গ্রসম্যান বলেন,

সকলেই জানতেন, সাইটগুলোর এমন ধরনের আক্রমণে পড়বার তীব্র ঝুঁকিতে রয়েছে, তবে সেটা কীভাবে হতে পারে, তা নিয়ে কারো কোনো ধারণা ছিল না। মূলত স্যামি ওয়ার্ম আমাদের সবার চোখ খুলে দেয়।

এ ঘটনা অনলাইন নিরাপত্তা জগতে তুমুল সাড়া ফেলে দেয়। পর্যবেক্ষণ করে দেখা যায়, সেসময়কার প্রায় ৮০ থেকে ৯০ শতাংশ সাইট এ ধরনের আক্রমণের ঝুঁকিতে আছে। ওপেন ওয়েব অ্যাপ্লিকেশন সিকিউরিটি প্রজেক্ট এর অধীনে প্রতিটি ওয়েবসাইটের জন্য তৈরি করা হয় নিজস্ব API। এর উদ্দেশ্য, কোনো ব্যবহারকারী নিজের প্রোফাইলে কোনো কোড পরিবর্তন করলে, তা যেন ওয়েবসাইটটিকে XSS আক্রমণের ঝুঁকিতে না ফেলতে পারে। এই প্রজেক্টটির নাম দেয়া হয় অ্যান্টিস্যামি প্রজেক্ট।

স্যামির ভাষ্যমতে, তার কোনো ধরনের ক্ষতি সাধনের উদ্দেশ্য ছিল না। তবে তার এ অজুহাত তাকে আইনের হাত থেকে বাঁচাতে পারেনি। এ ঘটনাটি ঘটবার ছ’মাস পর স্যামির নামে সার্চ ওয়ারেন্ট জারি করা হয়। লস অ্যাঞ্জেলস পুলিশ ডিপার্টমেন্টে স্যামির অ্যাপার্টমেন্টে তল্লাশি চালিয়ে সকল ইলেকট্রনিক ডিভাইস জব্দ করে নেয়।

লস অ্যাঞ্জেলস পুলিশ স্যামির অ্যাপার্টমেন্টে তল্লাশি চালিয়ে সকল ইলেকট্রনিক ডিভাইস জব্দ করে; image source: gigazine.net

লস অ্যাঞ্জেলস ডিস্ট্রিক্ট অ্যাটর্নির উদ্যোগে স্যামির বিরুদ্ধে কম্পিউটার ভাইরাসের সাহায্যে ক্ষতিসাধনের অভিযোগ গঠনের প্রস্ততি চলতে থাকে। এটি ক্যালিফোর্নিয়ার আইন অনুযায়ী একটি শাস্তিযোগ্য অপরাধ।      

২০০৭ সালে পুরো এক বছর ধরে, স্যামি ক্যামকার এবং আদালতের মধ্যে তুমুল লড়াই চলে। কারাদণ্ড এড়াতে স্যামি নিজের দোষ স্বীকার করে ক্ষমা প্রার্থনা করেন। তাকে তিন বছর প্রবেশনের দণ্ড প্রদান করা হয়। একইসাথে তার ওপর ইন্টারনেট ব্যবহারের নিষেধাজ্ঞা জুড়ে দেয় আদালত। তাকে কেবল একটি কম্পিউটার ব্যবহারের অনুমতি দেয়া হয়, যাতে কোনো ইন্টারনেট প্রবেশাধিকার থাকতে পারবে না। এছাড়াও স্যামিকে ২০,০০০ মার্কিন ডলার জরিমানা প্রদান এবং কমিউনিটি সার্ভিসে ৭২০ ঘণ্টা কাজ করার আদেশ দেয় লস অ্যাঞ্জেলস সুপিরিয়র কোর্ট।

এই সময়টাতে স্যামি নিজের স্টার্টআপে মনোনিবেশ করেন। তিনি বিভিন্ন কনফারেন্স ও মিট-আপে অংশ নেন, যেখানে নিজের ভুল স্বীকারের পাশাপাশি কীভাবে এ ধরনের নিরাপত্তা ঝুঁকি এড়িয়ে চলা সম্ভব, তা নিয়ে দিকনির্দেশনামূলক বক্তব্য দেন। এর মধ্যে ২০০৭ সালের OWASP & WASC AppSec conference বিশেষভাবে উল্লেখযোগ্য।

২০০৮ সালে আদালত স্যামির ওপর থেকে নিষেধাজ্ঞা তুলে নেয়। তিন বছর পর, তিনি আবার পা রাখেন অনলাইন জগতের গণ্ডিতে। ফিরে আসার পর স্যামি নিজের নানা আইডিয়া নিয়ে কাজ করতে শুরু করেন, যার কিছু নমুনা ২০১০ সালে হ্যাকিং কনফারেন্স DEF CON-এ উপস্থাপিত হয়। এরপর তিনি নিজের স্টার্টআপ ছেড়ে দেন।

বর্তমানে তিনি গুগল, অ্যাপল এবং মাইক্রোসফটের মতো টেক জায়ান্টগুলো কীভাবে তারা নিজেদের নিরাপত্তা কৌশলকে আরো দুর্ভেদ্য করে গড়ে তুলতে পারে, সেটি চিহ্নিত করতে গ্রে হ্যাট হ্যাকারের ভূমিকা পালন করছেন।

২০১০ সালে হ্যাকিং কনফারেন্স DEF CON-এ স্যামি; image source: Dan Tentler

স্যামি ক্যামকার চেয়েছিলেন খ্যাতি এবং বন্ধুত্বের স্বাদ পেতে। আজ অনলাইন জগতে তিনি এক সুপরিচিত নাম। আপাতদৃষ্টিতে একজন অপরাধী হিসেবে নিজের যাত্রা শুরু করলেও তার কারণেই যে অনলাইন নিরাপত্তা ব্যবস্থা পেয়েছে এক নতুন মাত্রা, এটি অস্বীকার করার উপায় নেই।

কম্পিউটার ভাইরাস সম্পর্কে আরও জানতে পড়ুন এই বইটি

১) নিজে নিজে শিখুন কম্পিউটার ভাইরাস নিরাময়

This Bangla article is about Samy worm and it's history. Necessary references have been hyperlinked.

Feature Image: vice.com

Related Articles

Exit mobile version