স্যামি ওয়ার্ম: বন্ধু পাওয়ার জন্য তৈরি করা হয়েছিল যে ভাইরাস!

বন্ধু বানানোর জন্য আমরা কত কিছুই না করি। মানুষের সাথে পরিচিত হই, পত্রমিতালী করি, সামাজিক যোগাযোগ মাধ্যমে ফ্রেন্ড রিকোয়েস্ট পাঠাই। উল্টোপাল্টা ফোন নাম্বারে কল করার মতো ঘটনাও ঘটায় অনেকে। কিন্তু বন্ধু পাওয়ার জন্য কম্পিউটার ভাইরাস বানানো? এটি বেশ চমকপ্রদই শোনানোর কথা।     

২০০৫ সালের ৫ অক্টোবর মাইস্পেস ব্যবহারকারীদের জন্য পরিস্থিতিটা এমনই ছিলো। সেদিন তারা দেখতে পায়, তাদের অ্যাকাউন্ট থেকে স্যামি ক্যামকার নামের কাউকে ফ্রেন্ড রিকোয়েস্ট পাঠানো হয়েছে এবং তাদের প্রোফাইলের ওপর লেখা “but most of all, Samy is my hero”!

যদিও তারা বেশ ভালোভাবেই নিশ্চিত যে এ দুটি কাজের কোনোটিই তারা করেনি, তবুও এই অবস্থা দেখে তাদের মাথা বনবন করে ঘুরতে থাকে। কে এই স্যামি? তার কাছে ফ্রেন্ড রিকোয়েস্ট গেলো কীভাবে? প্রোফাইলে এই লেখাটিই বা কীভাবে আসলো?

প্রিয় পাঠক, এ প্রশ্নের উত্তর নিহিত আছে ‘স্যামি ওয়ার্ম’ এর ভেতরে, খ্যাতি এবং বন্ধু পাওয়ার জন্য একজন হ্যাকার যেটি দিয়ে গোটা অনলাইন জগতকে কাঁপিয়ে দিয়েছিলো। এই কম্পিউটার ওয়ার্মটি ‘স্যামি ইজ মাই হিরো’ বা “স্পেস হিরো” ভাইরাস নামেও পরিচিত।

২০০৫ সালের কথা। ফেসবুকের যাত্রা শুরু হয়েছে মাত্র এক বছর আগে, তখনও এত জনপ্রিয় হয়ে ওঠেনি সেটি। তাই সামাজিক যোগাযোগ মাধ্যমের জগতে একটি নামই করে বেড়াচ্ছে একচেটিয়া রাজত্ব, আর তা হলো মাইস্পেস।

সে বছরই উনিশে পা দিয়েছেন স্যামি ক্যামকার নামের এক তরুণ। মাত্র ষোল বছর বয়সে হাইস্কুল থেকে ড্রপআউট হবার পর ‘ফোনালিটি’ নামে একটি আইটি স্টার্টআপ চালাচ্ছেন তিনি।

স্যামি দেখলেন, মাইস্পেস ব্যবহারকারীরা এইচটিএমএল কোড ব্যবহার করে নিজেরাই নিজেদের প্রোফাইল কাস্টমাইজ করতে পারছেন। এ সুবিধা দেয়া হয়েছে, যাতে ব্যবহারকারীরা নিজেদের প্রোফাইল আরো ভিন্নভাবে সাজাতে পারেন।

ছোটবেলা থেকে বন্ধুহীন স্যামির একমাত্র সঙ্গী ছিলো কম্পিউটার, যেটি নিয়েই কাটতো তার অবসর। এভাবেই প্রোগ্রামিংয়ের প্রতি তার নেশা জন্মায়। নিজেকে প্রমাণ করার নেশায় উন্মুখ হয়ে থাকা স্যামি মাইস্পেসের কাস্টমাইজেশনের ঠিক এই সুবিধাটাই নিলেন, তবে একটু ভিন্নভাবে।   

তিনি লক্ষ্য করলেন, মাইস্পেসের অন্যতম সীমাবদ্ধতা হলো এতে কেবল ১২টি ছবি আপলোড করা যায়। কয়েকদিন এইচটিএমএল কোড দিয়ে ঘাঁটাঘাঁটি করে এ সংখ্যাকে ১৩-তে উন্নীত করতে সক্ষম হলেন তিনি। এরপর রিলেশনশিপ অপশনের ড্রপডাউন মেন্যুতে ‘ইন অ্যা হট রিলেশনশিপ’ নামে নতুন একটি বাটনও যোগ করে ফেললেন।

প্রথম প্রচেষ্টাতেই এমন সাফল্য পেয়ে স্যামি আরো আত্মবিশ্বাসী হয়ে উঠলেন। তিনি এমন একটি প্রোগ্রাম তৈরিতে হাত দিলেন, যাতে কেউ তার প্রোফাইলে ক্লিক করলে তা নিজে থেকেই স্যামিকে একটি ফ্রেন্ড রিকোয়েস্ট পাঠাবে এবং ক্লিককারীর প্রোফাইলের ‘ইন্টারেস্টস’ অপশনের ‘হিরোস’ সাব-অপশনে “but most of all, Samy is my hero” এই বাক্যটি যোগ করে দেবে।

স্যামি চিন্তা করলেন, প্রোগ্রামটি যদি শুধু তার অ্যাকাউন্টে থাকে, তাহলে তা খুব কম সংখ্যক মানুষের কাছেই পৌঁছাতে পারবে। তাই তিনি সেটিকে এমনভাবে প্রোগ্রাম করলেন, যাতে তা ভিজিটকারীর নিজস্ব অ্যাকাউন্টে কপি হয়ে যায়।

এভাবেই এক সপ্তাহের সাধনা শেষে এমন একটি প্রোগ্রাম তৈরি হলো, যা নিজেই এক অ্যাকাউন্ট থেকে আরেক অ্যাকাউন্টে ছড়িয়ে পড়তে পারে। এককথায়, ‘কম্পিউটার ওয়ার্ম’। স্যামির ভাষ্যমতে, কিছু বন্ধু এবং খ্যাতি জোগাড় করার জন্য ‘নির্দোষ’ রসিকতার এ পথ বেছে নেওয়া।

স্যামি ভাবলেন, এই ওয়ার্মের মাধ্যমে খুব বেশি হলে মাসে একশো বা দু’শোজনের কাছে ফ্রেন্ড রিকোয়েস্ট পৌঁছাবে। তারপর তিনি এটি ডিলিট করে দেবেন। তাই তিনি সেদিনের মতো নিশ্চিন্তে ঘুমুতে গেলেন।

পরদিন সকালে ঘুম থেকে ওঠার পর কম্পিউটারের স্ক্রিন দেখে চমকে উঠলেন স্যামি। তার অ্যাকাউন্টে প্রায় দু’শোর মতো ফ্রেন্ড রিকোয়েস্ট জমা হয়েছে। এর মানে, ওয়ার্মটি তার আন্দাজের চাইতেও অনেক অনেক দ্রুত ছড়িয়ে পড়ছে।

ওয়ার্মটি সম্পর্কে সতর্ক করতে তিনি তখনই মাইস্পেসকে একটি বেনামী মেইল করলেন। যদিও সেই মেইলটি সঠিকভাবে পৌঁছেছিলো কি না, তা নিয়ে সন্দিহান তিনি।

ঘড়ির কাঁটা যখন ১.৩০ এর দিকে, স্যামির অ্যাকাউন্টে বন্ধুসংখ্যা তখন প্রায় ছ’হাজার। নতুন রিকোয়েস্ট জমা পড়েছে আড়াই হাজার। সেই রাতেই স্যামি তার নিজস্ব ব্লগে লিখলেন,

“এটা আমার নিয়ন্ত্রণের বাইরে চলে গেছে। মানুষ আমাকে মেসেজ দিচ্ছে যে আমি তাদের অ্যাকাউন্ট হ্যাক করেছি এবং একারণে তারা আমাকে কর্তৃপক্ষের কাছে রিপোর্ট করেছে।”

ঝামেলাটা কোথায় হয়েছে সেটি খুঁজে বের করতে মাইস্পেস তাদের ওয়েসাইট বন্ধ করে দিলো। তবে বন্ধ করার আগেই ওয়ার্মটি প্রায় এক মিলিয়ন অ্যাকাউন্টে ছড়িয়ে পড়েছে।

দু’ঘণ্টা পরই আবার সচল হলো মাইস্পেস। স্যামি দেখলেন, তার মাইস্পেস অ্যাকাউন্টটি ডিলিট করে দেয়া হয়েছে। ওয়ার্মটিরও অস্তিত্ব খুঁজে পাওয়া যাচ্ছে না আর। এভাবেই ইতি ঘটলো দিন জুড়ে চলতে থাকা এক দুঃস্বপ্নের।  

স্যামি ওয়ার্মের আক্রমণের ধরনকে বলে ক্রস সাইট স্ক্রিপ্টিং অ্যাটাক, সংক্ষেপে XSS, যেখানে একজন হ্যাকার কোনো সাইট বা ব্রাউজারে একটি ক্ষতিকর কোড ঢুকিয়ে দেয়, যা মুহূর্তের মধ্যেই অনেকগুলো ডিভাইসে ছড়িয়ে পড়তে পারে।

হোয়াইটহ্যাট সিকিউরিটি ফার্মের প্রতিষ্ঠাতা এবং ওয়েব নিরাপত্তা বিশেষজ্ঞ জেরেমিয়া গ্রসম্যান বিষয়টিকে ব্যাখ্যা করেন ঠিক এভাবে,

স্যামি ওয়ার্ম খুব দ্রুত ছড়িয়ে পড়লেও আদতে এর কোনো ক্ষতিকর বৈশিষ্ট্য ছিল না। এটি শুধু সংক্রমিত ব্যবহারকারীর প্রোফাইলে “but most of all, Samy is my hero” বাক্যটি লিখে দিতো এবং স্যামিকে একটি ফ্রেন্ড রিকোয়েস্ট পাঠানো ছাড়া ওয়ার্মটির আর কোনো ক্ষমতা ছিলো না। স্যামির উদ্দেশ্য যদি অসৎ হতো, তবে তিনি চাইলে অ্যাকাউন্টগুলোর সম্পূর্ণ নিয়ন্ত্রণ নিয়ে নিতে পারতেন।

সেসময়কার অনলাইন নিরাপত্তার সাথে সংশ্লিষ্ট সকলেই জানতেন, কোনো প্রশিক্ষিত হ্যাকারের পক্ষে এমন ধরনের আক্রমণ চালানো খুব একটা কঠিন নয়। কিন্তু তারা স্যামি ওয়ার্মের আগে এ ব্যাপারে তেমন একটা মাথা ঘামাননি।

গ্রসম্যান বলেন,

সকলেই জানতেন, সাইটগুলোর এমন ধরনের আক্রমণে পড়বার তীব্র ঝুঁকিতে রয়েছে, তবে সেটা কীভাবে হতে পারে, তা নিয়ে কারো কোনো ধারণা ছিল না। মূলত স্যামি ওয়ার্ম আমাদের সবার চোখ খুলে দেয়।

এ ঘটনা অনলাইন নিরাপত্তা জগতে তুমুল সাড়া ফেলে দেয়। পর্যবেক্ষণ করে দেখা যায়, সেসময়কার প্রায় ৮০ থেকে ৯০ শতাংশ সাইট এ ধরনের আক্রমণের ঝুঁকিতে আছে। ওপেন ওয়েব অ্যাপ্লিকেশন সিকিউরিটি প্রজেক্ট এর অধীনে প্রতিটি ওয়েবসাইটের জন্য তৈরি করা হয় নিজস্ব API। এর উদ্দেশ্য, কোনো ব্যবহারকারী নিজের প্রোফাইলে কোনো কোড পরিবর্তন করলে, তা যেন ওয়েবসাইটটিকে XSS আক্রমণের ঝুঁকিতে না ফেলতে পারে। এই প্রজেক্টটির নাম দেয়া হয় অ্যান্টিস্যামি প্রজেক্ট।

স্যামির ভাষ্যমতে, তার কোনো ধরনের ক্ষতি সাধনের উদ্দেশ্য ছিল না। তবে তার এ অজুহাত তাকে আইনের হাত থেকে বাঁচাতে পারেনি। এ ঘটনাটি ঘটবার ছ’মাস পর স্যামির নামে সার্চ ওয়ারেন্ট জারি করা হয়। লস অ্যাঞ্জেলস পুলিশ ডিপার্টমেন্টে স্যামির অ্যাপার্টমেন্টে তল্লাশি চালিয়ে সকল ইলেকট্রনিক ডিভাইস জব্দ করে নেয়।

লস অ্যাঞ্জেলস ডিস্ট্রিক্ট অ্যাটর্নির উদ্যোগে স্যামির বিরুদ্ধে কম্পিউটার ভাইরাসের সাহায্যে ক্ষতিসাধনের অভিযোগ গঠনের প্রস্ততি চলতে থাকে। এটি ক্যালিফোর্নিয়ার আইন অনুযায়ী একটি শাস্তিযোগ্য অপরাধ।      

২০০৭ সালে পুরো এক বছর ধরে, স্যামি ক্যামকার এবং আদালতের মধ্যে তুমুল লড়াই চলে। কারাদণ্ড এড়াতে স্যামি নিজের দোষ স্বীকার করে ক্ষমা প্রার্থনা করেন। তাকে তিন বছর প্রবেশনের দণ্ড প্রদান করা হয়। একইসাথে তার ওপর ইন্টারনেট ব্যবহারের নিষেধাজ্ঞা জুড়ে দেয় আদালত। তাকে কেবল একটি কম্পিউটার ব্যবহারের অনুমতি দেয়া হয়, যাতে কোনো ইন্টারনেট প্রবেশাধিকার থাকতে পারবে না। এছাড়াও স্যামিকে ২০,০০০ মার্কিন ডলার জরিমানা প্রদান এবং কমিউনিটি সার্ভিসে ৭২০ ঘণ্টা কাজ করার আদেশ দেয় লস অ্যাঞ্জেলস সুপিরিয়র কোর্ট।

এই সময়টাতে স্যামি নিজের স্টার্টআপে মনোনিবেশ করেন। তিনি বিভিন্ন কনফারেন্স ও মিট-আপে অংশ নেন, যেখানে নিজের ভুল স্বীকারের পাশাপাশি কীভাবে এ ধরনের নিরাপত্তা ঝুঁকি এড়িয়ে চলা সম্ভব, তা নিয়ে দিকনির্দেশনামূলক বক্তব্য দেন। এর মধ্যে ২০০৭ সালের OWASP & WASC AppSec conference বিশেষভাবে উল্লেখযোগ্য।

২০০৮ সালে আদালত স্যামির ওপর থেকে নিষেধাজ্ঞা তুলে নেয়। তিন বছর পর, তিনি আবার পা রাখেন অনলাইন জগতের গণ্ডিতে। ফিরে আসার পর স্যামি নিজের নানা আইডিয়া নিয়ে কাজ করতে শুরু করেন, যার কিছু নমুনা ২০১০ সালে হ্যাকিং কনফারেন্স DEF CON-এ উপস্থাপিত হয়। এরপর তিনি নিজের স্টার্টআপ ছেড়ে দেন।

বর্তমানে তিনি গুগল, অ্যাপল এবং মাইক্রোসফটের মতো টেক জায়ান্টগুলো কীভাবে তারা নিজেদের নিরাপত্তা কৌশলকে আরো দুর্ভেদ্য করে গড়ে তুলতে পারে, সেটি চিহ্নিত করতে গ্রে হ্যাট হ্যাকারের ভূমিকা পালন করছেন।

স্যামি ক্যামকার চেয়েছিলেন খ্যাতি এবং বন্ধুত্বের স্বাদ পেতে। আজ অনলাইন জগতে তিনি এক সুপরিচিত নাম। আপাতদৃষ্টিতে একজন অপরাধী হিসেবে নিজের যাত্রা শুরু করলেও তার কারণেই যে অনলাইন নিরাপত্তা ব্যবস্থা পেয়েছে এক নতুন মাত্রা, এটি অস্বীকার করার উপায় নেই।

কম্পিউটার ভাইরাস সম্পর্কে আরও জানতে পড়ুন এই বইটি

১) নিজে নিজে শিখুন কম্পিউটার ভাইরাস নিরাময়