মঙ্গলবার, ২৯ মার্চ ২০১৬
অর্থ লুটের ঘটনাটি হ্যাকিং হয়েছে বাংলাদেশ ব্যাংকের এমন দাবি আর টিকছে না!!
Home Page » অর্থ ও বানিজ্য » অর্থ লুটের ঘটনাটি হ্যাকিং হয়েছে বাংলাদেশ ব্যাংকের এমন দাবি আর টিকছে না!!
বঙ্গ-নিউজ ডটকমঃ সোসাইটি ফর ওয়ার্ল্ড ওয়াইড ইন্টার ব্যাংক ফাইন্যান্সিয়াল টেলিকমিউনিকেশনের (সুইফট) সঙ্গে করা চুক্তির শর্ত ভাঙ্গায় রিজার্ভের অর্থ লুটের ঘটনায় এবার ফেঁসে যাচ্ছে বাংলাদেশ ব্যাংক। শর্ত ভাঙ্গায় বাংলাদেশ ব্যাংককে সুইফট সাফ জানিয়ে দিয়েছে, অর্থ লুটের বিষয়ে কোন দায় নিবে না তারা। আন্তর্জাতিক এ প্রতিষ্ঠানটি আরো দাবি করেছে তাদের সিস্টেম হ্যাকড হয়নি। অথচ বাংলাদেশ ব্যাংক দাবি করছে কম্পিউটার হ্যাকিং করে সুইফটের মাধ্যমে অর্থ স্থানান্তর করা হয়েছে। ফেডারেল রিজার্ভও একে স্বাভাবিক লেনদেন বলে বিবৃতি দিয়েছে। ফলে সুইফটকে দোষারোপ ও অর্থ লুটের ঘটনাটি হ্যাকিং হয়েছে বাংলাদেশ ব্যাংকের এমন দাবি আর টিকছে না। এখন এ আলোচনাই হচ্ছে ব্যাংক পাড়া ও অর্থ মন্ত্রণালয়ে।
সোসাইটি ফর ওয়ার্ল্ড ওয়াইড ইন্টার ব্যাংক ফাইন্যান্সিয়াল টেলিকমিউনিকেশন(সুইফট) হচ্ছে এক ব্যাংক থেকে অন্য ব্যাংকে অর্থ লেনদেনে আন্তর্জাতিকভাবে স্বীকৃত একটি সংস্থা। ফেডারেল রিজার্ভ ব্যাংকের সঙ্গে পৃথিবীর সকল ব্যাংক ও আর্থিক প্রতিষ্ঠান সুইফটের মাধ্যমে অর্থ লেনদেন করে থাকে। সুইফটের নিরাপত্তা ব্যবস্থা অনেক উন্নত। ইলেকট্রনিক মেসেজ পদ্ধতিতে এ লেনদেন হওয়ায় এখন পর্যন্ত এ ব্যবস্থা হ্যাকড হয়নি।
সূত্র জানায়, সুইফটের সঙ্গে বাংলাদেশ ব্যাংকের সম্পাদিত চুক্তির শর্ত মোতাবেক, সুইফট সিস্টেম যে রুমে থাকবে সেখানে কোনো আইটি কর্মকর্তা নিয়োগ দেয়া যাবে না। কিন্তু বাংলাদেশ ব্যাংক আইটি বিভাগের দুই জন কর্মকর্তাকে নিয়োগ দিয়েছে সুইফট রুমে। সুইফট সার্ভার যে কম্পিউটারে থাকবে সেই কম্পিউটারে অন্য কোন সিস্টেম বা লোকাল নেটওয়ার্ক সংযোগ দেওয়া যাবে না। কিন্তু সুইফটকে না জানিয়ে সেই কম্পিউটারে আরটিজিএস(রিয়েল টাইম গ্রস সেটেলমেন্ট) নামের আন্ত:ব্যাংক লেনদেনের আরেকটি সিস্টেম সংযোগ করে বাংলাদেশ ব্যাংক। এক কম্পিউটার দিয়েই সুইফট ও আরটিজিএসের মাধ্যমে দেশে ও বিদেশে অর্থ লেনদেন করত বাংলাদেশ ব্যাংক।
এছাড়াও সুইফট নেটওয়ার্কের কম্পিউটারের সঙ্গে লোকাল এরিয়া নেটওয়ার্ক স্থাপন করে বাংলাদেশ ব্যাংকের সাড়ে তিন হাজার কম্পিউটারের সংযোগ দেওয়া হয়েছে। এর মাধ্যমে একজন কর্মকর্তা বাংলাদেশ ব্যাংকের সকল কম্পিউটারের কর্যক্রম মনিটর করত।
বাংলাদেশ ব্যাংকের এমন কা-ে বিস্ময় প্রকাশ করেছে সুইফট কর্তৃপক্ষ। সুইফটের কেন্দ্রীয় কার্যালয় বেলজিয়াম থেকে আসা দুই বিশেষজ্ঞ এ বিষয়গুলো চিহ্নিত করেছে বলে সংশ্লিষ্ট সূত্র জানিয়েছে। সূত্র জানায়, সুইফটের দেওয়া শর্ত পালন করতে ফরেক্স রিজার্ভের ডিলিং রুমের ফ্রন্ট ও ব্যাক অফিস আলাদা করতে হয়েছে বাংলাদেশ ব্যাংককে। আগে দুটো অফিস একই বিভাগে ছিল।
সূত্র জানায়, গত বছর সুইফটের শর্ত ভঙ্গ করে একাউন্টস এন্ড বাজেটিং বিভাগের ডিলিং রুমের কক্ষে আইটি বিভাগের দুই কর্মকর্তাকে নিয়োগ দেয়া হয়। নিয়োগ দেয়া দুই কর্মকর্তাকে নিয়ে সুইফট পদ্ধতি পরিচালনাও করা হয়েছে। শর্ত মোতাবেক সুইফটের কম্পিউটারে অন্য কোনো কাজ করা যাবে না। কিন্তু এ শর্ত মানেনি কর্মকর্তারা। সেই কম্পিউটার দিয়ে ইন্টারনেট চালিয়ে ইউটিউবে মুভি দেখা, গান শুনা ও নিয়মিত গেইম খেলতেন কর্মকর্তারা।
বাংলাদেশ ব্যাংকের রিজার্ভ থেকে ১০১ মিলিয়ন মার্কিন ডলার চুরি করেছে সংঘবদ্ধ একটি চক্র। কিন্তু বাংলাদেশ ব্যাংক দাবি করছে, বাংলাদেশ ব্যাংকের সিস্টেম হ্যাক করে সুইফট মেসেজ পাঠিয়ে যুক্তরাষ্ট্রের ব্যাংকে থাকা ১০ কোটি ডলার ফিলিপিন্স এবং শ্রীলঙ্কার দুটি ব্যাংকে ব্যক্তিগত অ্যাকাউন্টে স্থানান্তর করা হয়। এর মধ্যে ১৯.৯৩ মিলিয়ন মার্কিন ডলার শ্রীলংকা থেকে ফেরত আনা গেছে। আর ৮১ মিলিয়ন ডলার রয়েছে ফিলিপাইনে। সেখান থেকে মাত্র ৬৮ হাজার ডলার ফেরত পেয়েছে বাংলাদেশ। যা বাংলাদেশি মুদ্রায় ৫৪ লাখ টাকা। কিন্তু ফিলিপাইনের পত্রিকা বলছে, দ্বিতীয় দফায় আরো ৮৭০ মিলিয়ন মার্কিন ডলার যা বাংলাদেশি মুদ্রায় প্রায় ৬ হাজার ৯৬০ কোটি টাকা চুরি করে পাঠানো হয় ফিলিপাইনের কেন্দ্রীয় ব্যাংকে। ফেডারেল রিজার্ভের সন্দেহ হলে সেই অর্থের ছাড় আটকে দেয় ফিলিপাইন। পরে সে অর্থ ফেরত নেয় ফেডারেল রিজার্ভ। কিন্তু বাংলাদেশ ব্যাংক এখন পর্যন্ত এ বিষয়ে কিছুই বলেনি। এটিও চেপে রেখেছে।
বাংলাদেশ ব্যাংকের রিজার্ভ থেকে অর্থ চুরির ঘটনায় সুইফটের নেটওয়ার্ক হ্যাকড হয়নি বলে জানিয়েছেন প্রতিষ্ঠানটির প্রধান নির্বাহী কর্মকর্তা গটফ্রাইড লেইব্র্যান্ড। তিনি এক চিঠিতে বাংলাদেশে সুইফটের সদস্য ব্যাংকগুলোকে বলেছেন, তাদের সিস্টেমে হ্যাকিংয়ের কোনো ঘটনা ঘটেনি। যুক্তরাষ্ট্রের নিউইয়র্কের ফেডারেল রিজার্ভ ব্যাংকে থাকা বাংলাদেশ ব্যাংকের অর্থ স্থানান্তরের সঙ্গে তাদের সিস্টেমের কোনো দুর্বলতাও ছিল না।
সুইফটের সিইও আরো জানান, গণমাধ্যমে বাংলাদেশ ব্যাংক থেকে নিউইয়র্ক ফেডারেল রিজার্ভ ব্যাংকে অননুমোদিত অর্থ পরিশোধের বিষয়ে নানা ধরনের প্রতিবেদন হচ্ছে। আমরা বাংলাদেশের গণমাধ্যমের রিপোর্টের ওপর কোনো মন্তব্য করতে পারি না। আমরা শুধু এটা জানাতে চাই, বাংলাদেশ ব্যাংকের এ ঘটনা সুইফটের কোর মেসেজিং সার্ভিস-এর ওপর কোনো প্রভাব ফেলেনি। সুইফট তার নিরাপত্তা অত্যন্ত গুরুত্বের সঙ্গে দেখে। আমরা গ্রাহকদের ঝুঁকি সক্রিয়ভাবে পর্যালোচনা করি।
অর্থ স্থানান্তর করতে সুইফট প্রত্যেকটি সদস্যকে একটি নির্দিষ্ট কোড ও সিস্টেম ব্যবহারের জন্য গোপন নম্বর(পিন) দিয়ে থাকে।
অপরদিকে যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংকও তাদের সিস্টেম হ্যাক হয়নি বলে ইতিমধ্যে জানিয়েছে। অর্থ স্থানান্তর হয়েছে বিধি সম্মতভাবে। যার অর্থ দাঁড়িয়েছে অর্থ লুটের এই ঘটনার পুরো দায় বাংলাদেশ ব্যাংককেই নিতে হবে। তবে সুইফট বলেছে, অর্থ লুটের ঘটনার তদন্ত ও যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংক অব নিউ ইয়র্কের সঙ্গে যোগাযোগের ক্ষেত্রে বাংলাদেশ ব্যাংককে সহযোগিতা করবে সুইফট কর্তৃপক্ষ।
সুইফট তার সদস্য ব্যাংকগুলোকে সম্প্রতি একটি মেসেজ দিয়েছে। সংস্থাটি সেখানে উল্লেখ করেছে, সুইফট সিস্টেমের নিরাপত্তা আরো উন্নত করা হচ্ছে। গ্রাহকের নিজস্ব নেটওয়ার্ক সিস্টেমের সেট আপ, মেইনটেন্যান্স ও মনিটরিংয়ের দায়িত্ব তাকেই নিতে হবে বলে জানিয়ে দিয়েছে সুইফট। বাংলাদেশের ব্যাংকগুলোকে ম্যালওয়্যারের ঝুঁকি প্রতিরোধে যথাযথ নিরাপত্তা ব্যবস্থা নেওয়ার পরামর্শ দিয়েছে সংস্থাটি।
সম্প্রতি সুইফটের দুজন প্রতিনিধি বাংলাদেশ ব্যাংক ঘুরে গেছেন। ওই প্রতিনিধি দুজন বাংলাদেশ ব্যাংকের সংশ্লিষ্ট বিভাগ, তদন্তকারী সংস্থাগুলো ও বাংলাদেশের সুইফট ইউজার গ্রুপের সঙ্গেও বৈঠক করেন। এ বিষয়ে বাংলাদেশ ব্যাংকের নির্বাহী পরিচালক ও মুখপাত্র শুভংকর সাহা বলেছিলেন, তারা সুইফটের সিস্টেম পরীক্ষা করে দেখবেন। সেখানে কোনো ত্রুটি আছে কি-না বা কোনো আপগ্রেডেশন দরকার আছে কি না। এছাড়া রিজার্ভের অর্থ কীভাবে সরানো হয়েছে বা এই অর্থ সরাতে সুফইট মেসেজ কীভাবে ব্যবহার হয়েছে, সে বিষয়টিও তারা দেখবেন।
এ ঘটনায় বাংলাদেশ ব্যাংক নিযুক্ত সাইবার নিরাপত্তা বিশেষজ্ঞ প্রতিষ্ঠান ফায়ারআই ও ওয়ার্ল্ড ইনফরমেটিক্স একটি প্রতিবেদন জমা দিয়েছে বাংলাদেশ ব্যাংক ও অর্থমন্ত্রণালয়ে। প্রতিবেদনে উল্লেখ করা হয়েছে, হ্যাকাররা সুইফট নেটওয়ার্কে সংযোগ স্থাপনকারী সার্ভারে ক্ষতিকর ম্যালওয়্যার সফটওয়্যার স্থাপন করতে সক্ষম হয়। এর মাধ্যমে বাংলাদেশ ব্যাংকের সিস্টেম আয়ত্তে নিয়ে অর্থ স্থানান্তরের নির্দেশনা দেয় হ্যাকাররা। সুইফটের নিজস্ব নেটওয়ার্কে হ্যাকাররা ঢুকতে পেরেছিল কি-না তা নিয়ে তারা তাদের প্রতিবেদনে কিছু উল্লেখ করেনি।
বাংলাদেশ ব্যাংক থেকে জব্দ করা ১১ টি কম্পিউটার ও ল্যাপটপের হার্ড ডিক্সের ফরেনসিক পরীক্ষার জন্য পাঠানো হয়েছে। ইতিমধ্যে কিছু মেমোরি ডিলেট করা হয়েছে। তারপরও প্রাথমিকভাবে তদন্তকারি সংস্থা মনে করছে, অর্থ চুরির ঘটনাটি বাংলাদেশ ব্যাংকের কিছু অসৎ কর্মকর্তা ও দেশী চক্রের সহযোগিতাতেই করা হয়েছে। কম্পিউটারের ভিতরে ম্যালওয়্যার(এক প্রকার ভাইরাস) ঢুকিয়ে কম্পিউটার হ্যাকিং করা হয়েছে তা গাঁজাখুরি বক্তব্য ছাড়া আর কিছু নয়।
ব্যাংকিং খাতে ব্যবহৃত প্রফেশনাল সফটওয়্যার পরিচালনায় পরদর্শী এক প্রকৌশলী জানান, যেকোনো কেন্দ্রীয় ব্যাংকের নিয়ন্ত্রণাধীন কোন সফটওয়্যারই হ্যাকিং করা সম্ভব নয়। মূল সার্ভারের সঙ্গে লোকাল সার্ভারের যোগাযোগ স্থাপন না হলে অর্থ স্থানান্তর করা সম্ভব নয়। এই যোগাযোগ শুধু সার্ভার থেকে সার্ভার না, পিসি টু পিসি হতে হবে। এমন হার্ডওয়্যার পিসিতে লাগানো থাকে। নির্দিষ্ট পিসি ছাড়া এই যোগাযোগ হবে না।
এটা হল প্রযুক্তিগত দিক। কিন্তু চ্যানেল ব্যবহার করা জানলেই অর্থ স্থানান্তর করা সম্ভব নয়। অর্থ স্থানান্তরের জন্য প্রয়োজন আরো কিছু তথ্য। যা শুধুমাত্র এই কাজে সংশ্লিষ্ট ব্যক্তিরাই জানেন। এটা টপ মোস্ট কনফিডেনশিয়াল জব। কম্পিউটার চালাতে এটিএম কার্ডের মত একটি চিপস-কার্ড লাগে। তা ছাড়া কম্পিউটার চলবে না।
লেনদেনের জন্য প্রতিটি কমান্ডই যায় একাধিক লেয়ারের মাধ্যমে। আইপিও অ্যাড্রেসগুলো থাকে লুকানো। প্রতিটি কমান্ড যায় একইসঙ্গে দুটি আইপিও অ্যাড্রেস দিয়ে। কোন কারণে একটি আইপিও নষ্ট হলে বা ট্রাবল(কোন কারণে বাধাগ্রস্থ, যা হওয়ার সম্ভাবনা একেবারেই নেই) হলে তা বন্ধ হয়ে যায়। অন্য লেয়ারের দুটি আইপিও দিয়ে চলে লেনদেন। একটি লেয়ার কাজ না করলে অন্য লেয়ার কাজ শুরু করে দেয়। এটা অটোমেটেড প্রক্রিয়া।
সুইফটের সফটওয়্যারটি ব্যবহার করতে হয় নির্দিষ্ট কোড, কার্ড ও সংকেতের মাধ্যমে। এই কোড দিয়ে তথ্য প্রেরণ করার পরেই পুরো তথ্য স্বয়ংক্রিয়ভাবেই পরিবর্তন হয়ে নতুন সাংকেতিক চিহ্নে রুপান্তরিত হয়। এভাবেই বদলাতে বদলাতে সাংকেতিক চিহ্নের মাধ্যমে রিসিভার কম্পিউটারে পৌঁছে যায়। রিসিভার কম্পিউটার পুনরায় সিঙ্কক্রোনাইজ হওয়া তথ্য প্রেরণকারী সার্ভারের সঙ্গে যোগাযোগ স্থাপন করে তথ্য উদ্ধার করে। পুরো প্রক্রিয়াটা নিরাপদ হওয়ায় আন্তর্জাতিক ব্যাংকিং চ্যানেলে সুইফট প্রক্রিয়াটি অর্থ লেনেদেনে সবচেয়ে নিরাপদ বলে বিবেচিত হয়ে আসছে।
লেনদেনের প্রতিটি ধাপে পাসওয়ার্ড প্রয়োজন হয়। এর বাইরেও নতুন লেনদেনের জন্য সর্বশেষ লেনদেনের একটি সাংকেতিক চিহ্ন দিতে হয়। যা ব্যাংকের সংশ্লিষ্ট বিভাগের বিভাগের তিন সেকশনের দায়িত্বে নিয়োজিত ব্যক্তিরাই জানে।
বাংলাদেশ ব্যাংকের এক সূত্রের দাবি, লেনদেনের মাধ্যমেই হউক বা হ্যাকড হয়েই টাকা চুরি করা হোক। বাংলাদেশ ব্যাংকের সিস্টেমে তাকে প্রবেশ করতেই হবে। আর বাংলাদেশ ব্যাংকের কোর ব্যাংকিংয়ের একটি জায়গা হল ফরেক্স রিজার্ভ বিভাগ। তাদের সংশ্লিষ্টতা ছাড়া এ কা- ঘটানো সম্ভব নয়।
এখন বোদ্ধা মহলে প্রশ্ন উঠেছে সুইফটের সঙ্গে করা চুক্তি শর্ত বাংলাদেশের কেন্দ্রীয় ব্যাংক ভাঙ্গলো কেনো। অর্থ লুট করতে পরিকল্পিতভাবেই এ কাজটি করা হয়েছে কি-না তা তদন্ত করলেই দোষীদের খুঁজে বের করা সম্ভব হবে বলে মনে করছেন বিশ্লেষকরা।
বাংলাদেশ সময়: ১১:৩৩:৪৩ ৪৪৩ বার পঠিত