কম্পিউটার নিরাপত্তা, প্রায়শই সাইবার সিকিউরিটি বা তথ্য প্রযুক্তি সুরক্ষা (আইটি সুরক্ষা) হিসাবে পরিচিত, হার্ডওয়্যার, সফ্টওয়্যার এবং সঞ্চিত ডেটা চুরি বা ক্ষতি থেকে তথ্য সিস্টেমের সুরক্ষা, পাশাপাশি তারা সরবরাহ করা পরিষেবাগুলির ব্যাঘাত বা ভুল দিক থেকে সুরক্ষা।
উচ্চতর কম্পিউটার নিরাপত্তা অর্জনের জন্য একটি বহুমুখী পদ্ধতি গ্রহণ করতে হবে, যার মধ্যে তথ্য সিস্টেম বা ডিভাইসগুলিতে শারীরিক অ্যাক্সেস / প্রবেশকঠোরভাবে পর্যবেক্ষণ এবং নিয়ন্ত্রণ করা, পাশাপাশি দায়িত্বজ্ঞানহীন / বেপরোয়া ইন্টারনেট ব্যবহার, ডেটা এবং কোড ইনজেকশনের মাধ্যমে আসতে পারে এমন কম্পিউটারের ক্ষতির বিরুদ্ধে সুরক্ষা এবং অপারেটরদের দ্বারা অসদাচরণের কারণে, ইচ্ছাকৃত, দুর্ঘটনাজনিত বা নিরাপদ পদ্ধতি থেকে বিচ্যুত হওয়ার কারণে।
প্রযুক্তির প্রচলিত সূচকীয় বৃদ্ধির সাথে সাথে ক্রমান্বয়ে আরও পরিশীলিত কম্পিউটার সিস্টেমের উপর নির্ভরতা নিঃসন্দেহে বাড়ছে। ইন্টারনেটের সর্বজনীন উপস্থিতি, "স্মার্ট" ডিভাইসের উত্থান এবং ব্লুটুথ এবং ওয়াই-ফাই এর মতো ওয়্যারলেস নেটওয়ার্কগুলির উত্থান সাইবার নিরাপত্তার জন্য চ্যালেঞ্জ এবং দুর্বলতার একটি সম্পূর্ণ নতুন সেট চালু করেছে।
দুর্বলতা এবং আক্রমণ
কম্পিউটার নিরাপত্তায়, দুর্বলতা একটি দুর্বলতা বা একটি দুর্ঘটনাজনিত ত্রুটি যা আক্রমণকারীর মতো কোনও মারাত্মক সত্তা দ্বারা শোষণ এবং অপব্যবহার করা যেতে পারে, যা কম্পিউটার সিস্টেমের মধ্যে অবৈধ, লাইসেন্সবিহীন বা অননুমোদিত ক্রিয়াকলাপ পরিচালনা করতে চায়। একটি দুর্বলতা কাজে লাগানোর জন্য একজন আক্রমণকারীর অবশ্যই একটি প্রোগ্রাম, সফটওয়্যারের টুকরা, একটি নির্দিষ্ট সরঞ্জাম বা পদ্ধতি থাকতে হবে যা কম্পিউটারের দুর্বলতার সুবিধা নিতে পারে। এই প্রসঙ্গে, দুর্বলতাকে আক্রমণের পৃষ্ঠ হিসাবেও উল্লেখ করা হয়।
প্রদত্ত ডিভাইসের দুর্বলতাগুলি আবিষ্কার এবং শোষণের প্রাথমিক উপায়টি একটি স্বয়ংক্রিয় সরঞ্জাম বা ম্যানুয়াল বেস্পোক স্ক্রিপ্টের সাহায্যে ঘটে।
যদিও একটি কম্পিউটার সিস্টেমের বিরুদ্ধে বিভিন্ন আক্রমণের আধিক্য রয়েছে, এই হুমকিগুলি সাধারণত নীচের এই বিভাগগুলির মধ্যে একটিতে শ্রেণিবদ্ধ করা যেতে পারে:
ব্যাকডোর এন্ট্রি
একটি কম্পিউটার সিস্টেম, একটি ক্রিপ্টোসিস্টেম, একটি প্রোগ্রাম বা সফ্টওয়্যারের পিছনের দরজা, সাধারণ প্রমাণীকরণ বা সুরক্ষা নিয়ন্ত্রণকে বাইপাস করার যে কোনও গোপন পদ্ধতি। এগুলি মূল নকশা বা দুর্বল কনফিগারেশন সহ বেশ কয়েকটি কারণে বিদ্যমান থাকতে পারে। এগুলি কোনও অনুমোদিত পক্ষ দ্বারা কিছু বৈধ অ্যাক্সেসের অনুমতি দেওয়ার জন্য বা ক্ষতিকারক কারণে আক্রমণকারী দ্বারা যুক্ত করা হতে পারে; কিন্তু তাদের অস্তিত্বের উদ্দেশ্য নির্বিশেষে, তারা একটি দুর্বলতা তৈরি করে।
পরিষেবা প্রত্যাখ্যান আক্রমণ
ডিনায়াল-অফ-সার্ভিস অ্যাটাকের (ডিওএস) উদ্দেশ্য হ'ল কোনও তথ্য সিস্টেম, ডিভাইস বা নেটওয়ার্কের সংস্থানগুলি তার ব্যবহারকারীদের কাছে অ্যাক্সেসযোগ্য করে তোলা। এই সাইবার আক্রমণের ফলে ভুক্তভোগীর অ্যাকাউন্ট পুরোপুরি বন্ধ হয়ে যেতে পারে কারণ পাসওয়ার্ডটি দ্রুত পরপর একাধিকবার প্রবেশ করা হয়েছে বা তারা কোনও ডিভাইসের প্রসেসিং ক্ষমতা পুরোপুরি ওভারলোড করতে পারে, যার ফলে সমস্ত ব্যবহারকারী একবারে অবরুদ্ধ হয়ে যেতে পারে।
যদিও একটি একক, স্ট্যাটিক আইপি থেকে আসা ডস আক্রমণগুলি অ্যান্টিভাইরাস সফ্টওয়্যার বা পর্যাপ্ত ফায়ারওয়াল দ্বারা সহজেই অবরুদ্ধ করা যেতে পারে, ডিস্ট্রিবিউটেড ডিনায়াল অফ সার্ভিস (ডিডিওএস) আক্রমণগুলি, যেখানে আক্রমণটি একই সময়ে একাধিক, গতিশীল আইপি এবং অবস্থান থেকে আসে, থামানো আরও কঠিন হতে পারে। সাধারণ ডিডিওএস আক্রমণগুলি স্বয়ংক্রিয় বট বা "জম্বি কম্পিউটার" দ্বারা পরিচালিত হয়, তবে প্রতিফলন এবং পরিবর্ধন আক্রমণ সহ অন্যান্য কৌশলগুলির একটি পরিসীমা সম্ভব, যেখানে নিরীহ সিস্টেমগুলি শিকারের কাছে ট্র্যাফিক প্রেরণে বোকা বানানো হয়।
ডাইরেক্ট-অ্যাক্সেস অ্যাটাক
একটি সরাসরি-অ্যাক্সেস আক্রমণ কেবল লক্ষ্যযুক্ত কম্পিউটার সিস্টেমে শারীরিক অ্যাক্সেস অর্জন করছে। এটি আক্রমণকারীকে হার্ডওয়্যার এবং সফ্টওয়্যারক্ষতি করতে, কীলগার, কৃমি, ভাইরাস এবং গোপন শ্রবণ ডিভাইস ইনস্টল করতে বা ডিভাইস থেকে সংবেদনশীল তথ্য এবং ডেটা ম্যানুয়ালি অনুলিপি করতে সক্ষম করবে।
ডিস্ক এনক্রিপশন এবং বিশ্বস্ত প্ল্যাটফর্ম মডিউল এই আক্রমণগুলি প্রতিরোধ করার জন্য ডিজাইন করা হয়েছে।
ইভসড্রপিং
ইভেসড্রপিং, প্রায়শই ওয়্যারট্যাপিং বা কেবল গুপ্তচরবৃত্তি হিসাবে পরিচিত, গোপনে দুই বা ততোধিক ব্যক্তির মধ্যে মৌখিক কথোপকথন শোনাবা পাঠ্য যোগাযোগের বিভিন্ন ফর্ম পড়ার কাজ।
"কার্নিভোর" এবং "নারাসইনসাইট" এর মতো প্রোগ্রামগুলি এফবিআই এবং এনএসএ ইন্টারনেট পরিষেবা সরবরাহকারীদের (আইএসপি) উপর নজর রাখতে ব্যবহার করেছে।
এমনকি যে ডিভাইসগুলি ইন্টারনেট বা ল্যান নেটওয়ার্কের সাথে সংযুক্ত নয় (অর্থাৎ বাইরের বিশ্বের সাথে যোগাযোগ নেই), এখনও TEMPEST পর্যবেক্ষণের মাধ্যমে গুপ্তচরবৃত্তি করা যেতে পারে যা "8" এ উল্লিখিত হিসাবে বলা হয়েছে। কোডনেমের পরিধি: TEMPEST", হার্ডওয়্যার দ্বারা উত্পন্ন হালকা ইলেক্ট্রোম্যাগনেটিক ট্রান্সমিশন।
মাল্টি-ভেক্টর, পলিমারফিক আক্রমণ এবং ম্যালওয়্যার
2017 সালে, পলিমোরফিক আক্রমণ বা ম্যালওয়্যার সনাক্ত করা অত্যন্ত কঠিন কারণ তারা ক্রমাগত তাদের সনাক্তযোগ্য বৈশিষ্ট্যগুলি (ফাইলের নাম এবং প্রকার বা এনক্রিপশন কী) পরিবর্তন করে, এইভাবে সহজেই অপরিশোধিত সনাক্তকরণ এবং অ্যান্টিভাইরাস প্রোগ্রামগুলি এড়িয়ে যায়। ভাইরাস, কৃমি, বট, ট্রোজান বা কীলগার সহ ম্যালওয়্যারের অনেকগুলি সাধারণ ফর্ম পলিমারফিক হতে পারে।
ফিশিং এবং সোশ্যাল ইঞ্জিনিয়ারিং
ফিশিং ("ফিশিং" শব্দটি থেকে উদ্ভূত নিওলজিজম) হ'ল সংবেদনশীল ডেটা এবং তথ্য যেমন লগইন বিবরণ বা ক্রেডিট কার্ড নম্বরগুলি সরাসরি লক্ষ্যযুক্ত ব্যবহারকারীর কাছ থেকে নিজেকে একটি নির্ভরযোগ্য সত্তা হিসাবে বিভ্রান্ত করে অর্জনের প্রতারণামূলক প্রচেষ্টা।
ফিশিং সাধারণত ইমেল স্পুফিং (জাল প্রেরকের ঠিকানা দিয়ে ইমেল বার্তা তৈরি) বা তাত্ক্ষণিক বার্তা (যে কোনও অনলাইন চ্যাট যা ইন্টারনেটে রিয়েল-টাইম টেক্সট ট্রান্সমিশন সরবরাহ করে) দ্বারা পরিচালিত হয়।
সাধারণত, ফিশিং ভুক্তভোগীকে একটি ভুয়া ওয়েবসাইটের দিকে নিয়ে যায় যার চেহারা একটি সুপ্রতিষ্ঠিত, বৈধ ওয়েবসাইটের সাথে প্রায় অভিন্ন। যদি ভুক্তভোগী ফাঁদটি উপলব্ধি করার জন্য প্রযুক্তিগতভাবে যথেষ্ট সচেতন না হয় তবে একটি উচ্চ সম্ভাবনা রয়েছে যে সে তার অ্যাকাউন্টে অ্যাক্সেস করার জন্য প্রয়োজনীয় লগইন বিবরণ প্রবেশ করবে, ভুয়া ওয়েবসাইট সেগুলি চুরি করবে এবং সাইবার আক্রমণকারীর কাছে প্রেরণ করবে।
ফিশিংকে সামাজিক প্রকৌশলের একটি রূপ হিসাবে শ্রেণিবদ্ধ করা যেতে পারে যা তথ্য সুরক্ষার প্রসঙ্গে, ক্রিয়াকলাপ সম্পাদন বা গোপনীয় তথ্য প্রকাশকরার ক্ষেত্রে মানুষের মনস্তাত্ত্বিক ম্যানিপুলেশন।
বেশিরভাগ ক্ষেত্রে, সামাজিক প্রকৌশলের প্রাথমিক উদ্দেশ্য হ'ল লক্ষ্যযুক্ত ব্যবহারকারীকে (প্রায়শই একটি দুর্বল এবং ভুল তথ্যযুক্ত ব্যক্তি) পাসওয়ার্ড, কার্ড নম্বর ইত্যাদির মতো ব্যক্তিগত তথ্য প্রকাশ করতে পুরোপুরি বোঝানো। উদাহরণস্বরূপ, ব্যাংক, সরকার বা ঠিকাদারের মতো একটি কর্তৃপক্ষের সত্তার ছদ্মবেশে।
বিশেষাধিকার বৃদ্ধি
প্রিভিলেজ এস্কেলেশন হ'ল এক ধরণের প্রতারণামূলক ক্রিয়াকলাপ যেখানে আক্রমণকারী, যিনি বিশেষাধিকার বা অনুমোদনের অভাবে কোনও ডিভাইসে অ্যাক্সেস সীমাবদ্ধ করেছেন, প্রবেশের জন্য তাদের সুবিধাগুলি বাড়িয়ে তুলতে / বাড়িয়ে তুলতে সক্ষম হন।
বেশিরভাগ ক্ষেত্রে, এটি ঘটে যখন আক্রমণকারী প্রশাসনিক অধিকার বা এমনকি "রুট" অ্যাক্সেস অর্জনের জন্য একটি দুর্বলতা কাজে লাগাতে সক্ষম হয় এবং কোনও সিস্টেমে সম্পূর্ণ সীমাহীন অ্যাক্সেস থাকে।
স্পুফিং
স্পুফিং হ'ল এক ধরণের প্রতারণামূলক ক্রিয়াকলাপ যেখানে আক্রমণকারী বা প্রোগ্রাম একটি প্রকৃত ব্যবহারকারী হিসাবে ছদ্মবেশ ধারণ করে এবং সংবেদনশীল তথ্য বা বৈদ্যুতিন সংস্থানগুলিতে অ্যাক্সেস অর্জনের উদ্দেশ্যে ডেটা (যেমন আইপি ঠিকানা) জাল করার মাধ্যমে অবৈধ সুবিধা অর্জন করে।
বিভিন্ন ধরণের স্পুফিং রয়েছে, যার মধ্যে রয়েছে:
- ইমেল স্পুফিং, যেখানে আক্রমণকারী বা প্রোগ্রাম কোনও ইমেলের প্রেরণ (উত্স থেকে) ঠিকানাটি জাল করে।
- আইপি অ্যাড্রেস স্পুফিং, যেখানে আক্রমণকারী বা প্রোগ্রাম তাদের পরিচয় লুকাতে বা অন্য কম্পিউটিং সিস্টেমের নকল করার জন্য একটি নেটওয়ার্ক প্যাকেটে উত্স আইপি ঠিকানা পরিবর্তন করে।
- ম্যাক স্পুফিং, যেখানে আক্রমণকারী বা প্রোগ্রাম তাদের নেটওয়ার্ক ইন্টারফেসের মিডিয়া অ্যাক্সেস কন্ট্রোল (এমএসি) ঠিকানাটি পরিবর্তন করে নেটওয়ার্কে বৈধ ব্যবহারকারী হিসাবে পোজ দেয়।
- বায়োমেট্রিক স্পুফিং, যেখানে আক্রমণকারী বা প্রোগ্রাম অন্য ব্যবহারকারীর পরিচয় বৈশিষ্ট্য অর্জনের জন্য একটি জাল বায়োমেট্রিক (শরীরের পরিমাপ এবং গণনার জন্য প্রযুক্তিগত শব্দ) নমুনা তৈরি করে।
টেম্পারিং
টেম্পারিং অনেক ধরণের নাশকতার কথা উল্লেখ করতে পারে, তবে শব্দটি প্রায়শই পণ্য বা পরিষেবাগুলির ইচ্ছাকৃত পরিবর্তনকে এমনভাবে বোঝাতে ব্যবহৃত হয় যা ভোক্তার পক্ষে ক্ষতিকারক হওয়ার মূল্যে আক্রমণকারীকে মূল্য দেয়।
কম্পিউটার নিরাপত্তা প্রসঙ্গে, "এভিল মেইড আক্রমণ" টেম্পারিংয়ের একটি প্রাথমিক উদাহরণ। ইভিল মেইড আক্রমণ হ'ল এক ধরণের প্রতারণামূলক ক্রিয়াকলাপ যা একটি অপ্রত্যাশিত ডিভাইসে পরিচালিত হয়, যেখানে শারীরিক অ্যাক্সেসের সাথে অনুপ্রবেশকারী সত্তা এটিকে কিছু সনাক্তযোগ্য উপায়ে পরিবর্তন করতে সক্ষম হয় যাতে তারা পরে ডিভাইসটি অ্যাক্সেস করতে পারে।