আস-সালামু আলাইকুম !

আজকের এই পস্টে আমি দেখাব বাগ-হান্টিং কি এবং কিভাবে শুরু করবেন ! আসলে "আমি দেখাবো" বললে ভুল হবে, কারন আমি বাগ-হান্টিং এর ধারে কাছেও নাই !শুধু সাহী-মির্জা ভাই এর বাগ-হান্টিং নিয়ে প্রেসেন্টেশনটা সেয়ার করব।
সেয়ার করার আগে কেন আমি বাগ-হান্টিং নিয়ে কথা বলতে এলাম এটা বলে ফেলি !

২০১২-তে যখন হ্যাকিং এর কিছুই বুঝতাম না, তখন আমি ভাবতাম হ্যাকাররা মনে হয় অনেক জ্ঞেনি হয়। আর আসলেও হ্যাকাররা অনেক জ্ঞেনি থাকে। কিন্তু ২০১৪/২০১৫ তে হ্যাকিংকে এখন সেলেব্রেটি হওয়ার হাতিয়ার হিসাবে বেছে নেওয়া হচ্ছে ! দুই-একটা এক্সপ্লইট ইউয করে ডিফেইস দিয়ে দিয়েই হ্যাকার হয়ে গেলাম ! এমনটা কিন্তু না ! আমিও এক সময় ভাবতাম সাইট ডিফেইস মারা মানে "বিশাল বড় হ্যাকার"। আমি তখন খুব ডিফেইস দিতাম।

এই দেখেন এই কথাটা আমাকে সেই ২০১৩ কিবা ২০১৪ তে এক বড় ভাই বলেছিলেন, আমি এখনও তাকে স্বরন করি, রেগুলার হয়ত কথা হয় না কিন্তু ঠিকি স্বরন করি। তিনি বলেছিলেন "তুমি ডিফেইসার হইতে পারবা বাট হ্যাকার হতে পারবা না্‌ " তখন সেটা না বুঝলেও এখন এটা হাড়ে হাড়ে বুঝি !

এই লাইনে যত দিন যাচ্ছে শুধু শিখতেই আছি ! যারা ডিফেসিং করতে যানে এরা কখনই হ্যাকার না ! এর মানে এই না যে ডিফেসিং হ্যাকিং এর অংশ না, এর মানে এও না যে ডিফেসাররা হ্যাকার !

হ্যাকার যারা তারা অবশ্যই কডিং যানবে, পারবে, বুঝবে। All the hackers are programmer but all the programmers are not hacker.   আমাদের দেশে তো তথা কথিত হওকাররা হ্যাকিং শিখায়, আবার রিকুয়রমেন্টে বলে " কম্পিউটার প্রোগ্রামিং সংক্রান্ত কিছু জানতে হবে না, শুধু ধারনা থাকতে হবে "

আমাদের দেশে হ্যাকিংটা এমন এক পর্যায়ে চলে গেছে যে ল্যামারদের কে আমরা বাংলাদেশের টপ হ্যাকার বলে চিনি !

থাক আজ আমি আসলে হ্যাকিং নিয়ে কিছু বলব না ! বাগ-হান্টিং নিয়ে কিছু বলব।
বাগ-হান্টিং কে এখনও কেউ ল্যামিং এর পর্যায় নেয় নাই, কিন্তু একজন বাগ হান্টিং দিয়ে ল্যামিং শুরু করে দিয়েছিল। সে যদি বাগ-হান্টিং কে ল্যামিং এর কাতারে নিয়ে যায় তাহলে আমাদের দেশে আরও অনেক তাঞ্জিমের জন্ম হবে আরও অনেক  নুকুল মহনের  জন্ম হবে। বাগ-হান্টিংকে কুলশিত করার আগে যদি আমরা পদক্ষেপ না নেই তাহলে ওয়ামিম-ফাহিম-মিমেরা জন্ম নিবে ! বাংলাদেহশে আর কোন ফাহিমের জন্ম হোক এটা আমি চাই না ! তাই আজকের এই লেখা !

আমি লেখার একেবারে শেষে বাগ-হান্টিং এর উপর সাহী-মির্জা ভাই (Pioneer of white hat hacking in BD) এর প্রেসেন্টেশন দেব, কেউ ভুল বুঝবে না। এখন ওয়ামিমের গুগলে হোল অফ ফেইম পাওয়া নিয়ে কিছু কথা বলে ফেলি।
সাইবার জগতে ফাহিম যেমন কুখ্যাত ল্যামার, নতুন আরেক জন এড হলেন, তিনি হলেন ওয়ামিম। নামের কি মিল দেখেন !
ওয়ামিমকে নিয়ে  মাথা ঘামানর টাইম আমার নাই। তাও লিখছি কারন আমি যানি এখন থেকে সতর্ক না হলে, সতর্ক না করলে দুই দিন পর "মিম" নামে নতুন কোন ল্যামারের জন্ম হবে !

এই ল্যামার শুধু ল্যামার না ! অনেক চালাক "একক্ষান চিয" বলতে পারেন। একি সাথে ফটসপের মাস্টার !

ল্যামিং পইন্ট নামাবার একঃ

যিনি w3schools.com থেকে C++ শিখেন তিনি প্রগ্রামিং language সম্পর্কে কতটুকু ধারনা রাখেন, বুঝে নেন। w3schools এ c++  ?
how funy !
just have a  look on w3schools.com .
ল্যামিং পইন্ট নামাবার টুঃ  { পিকচার গুলা তারেক ভাই এর ভিডিও থেকে নেওয়া }

উনি উনার সব নিউজে বলসেন যে তিনি গুগল স্টোরে DOM Based XSS পাইসেন.. কিন্তু এখানে কি দেখা যায়?

– এটা গুগলের একটা এ্যকুইজিশন সাইট (pro.nest.com), যেখানে তিনারা ইনসিকিউরড কুকিস-এর বাগ রিপোর্ট করেছেন.. বলা বাহুল্য, ইনসিকিউরড কুকিস রিলেটেড ইস্যুগুলি খুবই লো সেভেরিটির বাগ. বেশিরভাগ কোম্পানিই এই ধরণের রিপোর্ট ইগনোর করে.. এজন্য শুধুমাত্র ওয়াmim নুব-রাই এটা বেশিরভাগ সময় রিপোর্ট করে থাকে। কারণ, এর বেশি কিছু করার আওকাদ তাদের নাই।

-নিচে স্পস্ট লিখা আছে এটা আমাদের মহামান্য গুগল হ্যাকার করেন নাই, করেছে ইতালিয়ান সিমোন।

ল্যামিং পইন্ট নামাবার থ্রিঃ

তারিখ দেখেন। এইটা রিপোর্ট করা হইছে গত বছরের সেপ্টেম্বর মাসে! তারমানে এক বছরেরও আগে।

ল্যামিং পইন্ট নামাবার ফউরঃ

মোস্ট এপিক পার্ট। আমাদের গুগল হ্যাকার(!) তারেক ভাইরে বিশ্বাস করানোর জন্য এক বছর আগের ই-মেইল রিপ্লাই করে নিজের নাম লিখ্যা দিসেন! ভাবসেন তারেক ভাইরে এইটা দিয়া বুঝ দিয়ে দেয়া যাবে।

ছেলেটার এই ভন্ডামি ধরেছেন তারেক ভাই, vedio সহ লিঙ্ক।

পার্ট ১ঃ Fake google bug bounty of Ali Wamim Khan (Part-1)

পার্ট ২ঃ Fake google bug bounty of Ali Wamim Khan (Part:2)

এখন আসে বাংলাদেশি মিডিয়ার বিষয়টা, আমি বুঝি না উনারা কিভাবে নিউজ কালেক্ট করতে নামেন। ব্যাঙ্গের ছাতার মতো গজিয়ে উঠা অনলাইন টয়লেট পেপারগুলির কথা যদি বাদই দিই, তারপরও বড় বড় অনলাইন পোর্টালগুলির ব্যাপারে কথা থাকে।

প্রথম-আলোর মতো পত্রিকা কিভাবে এমন একটা ফ্যাব্রিক্যাটেড নিউজ কোন রকম চেক না করেই পাবলিশ করে?

শাহী মির্জা ভাই গুগল, ফেসবুক, ইয়াহু, অ্যাপল, মাইক্রোসফট সহ পঞ্চাশটার উপরে ওয়ার্ল্ড ফেমাস কোম্পানির “হল অফ ফেম”-এ লিস্টেড.. দুনিয়াতে খুব কম সিকিউরিটি রিসার্চার আছে, যে তার প্রোফাইল দেখে ঈর্ষা করবে না। কই? তাকে নিয়ে তো কেউ নিউজ লিখে না।

তারেক সিদ্দিকি ভাইও গুগল, ফেসবুক, অ্যাপল, মাইক্রোসফট এর “হল অফ ফেম”-এ লিস্টেড। দুনিয়ার সবচেয়ে এলিট প্রোগ্রাম (http://synack.com) এর সাথে কাজ করতেসে। জাস্ট লেভেলটা বুঝানোর স্বার্থে উল্লেখ করতে হচ্ছে, শুধুমাত্র Synack থেকে গত আট নয় মাসে বাংলাদেশী টাকায় চল্লিশ লক্ষ টাকার বেশি বাউন্টি পেয়েছেন, HackerOne গত ছয় মাস কাজ না করেও এ সারা দুনিয়ার মধ্যে টপ ৫০ এ আছেন। কই, এদেরকে নিয়ে তো কাউকে লিখতে দেখি না।

নাহিদুল কিবরিয়া ভাইয়ের কথাই বাদ যাবে কেনো? Synack-এর মতো প্লাটফর্মে যে অনলি তিনজন রিসার্চার বাংলাদেশের প্রতিনিধিত্ব করছেন, তিনি তাদের একজন। দুনিয়ার সেরা সিকিউরটি রিসার্চার/বাউন্টি হান্টারদের মধ্যকার কন্টেস্টে বিজয়ী। কিন্তু আমরা ক’জন তাকে চিনি?
চেনার বেলায় আমরা আলি ওয়ামিম খানদের চিনছি। এ দায় কার?

faisal ভাই,  http://faisalahmed.me/security-contributions/ এই লিঙ্কে ঘুরে আসলেই হবে।
এই চলতি সপ্তাহেই ইন্ডিয়া তে self-proclaimed ethical hacker(!) অংকিত ফাদিয়াকে Digital India Program এর ব্রান্ড এ্যমব্যাসাডর নিয়োগ করায় পুরো ইন্ডিয়ার টেক ও ইন্টারনেটের সাথে জড়িতরা প্রতিবাদে ফেটে পড়েছে। এর ফলে তাকে পদ থেকে অপসারণও করা হতে পারে।

তাহলে আমাদের দেশে কেন এমন হচ্ছে না? তাহলে কি ধরে নিবো সত্য-মিথ্যে মিলিয়ে নিজের ঢোল নিজে পিটিয়ে বানানো Good PR ই সব? গুড ওয়র্কের কি কোন দামই নেই?
অবশ্য আপনি ক্রেডিট দিন আর নাইবা দিন.. এদের মতো মানুষেরা সবসময়ই নিরবে নিজের সেরাটুকু দিয়ে যাবে।
চার-পাচ ঘন্টা খোজাখুজির পর পাওয়া সিকিউরিটি ইস্যুটা আরও আধা ঘন্টা খরচ করে লিখে ভালনারেবল কোম্পানির কাছে পাঠাবে… রিওয়ার্ড হিসেবে ৪০০/৫০০ ডলার কিংবা কোন ক্ষেত্রে একটা টিশার্ট পেয়েই খুশি থাকবে.. কিন্তু চাইলেই ব্লাক-মার্কেটে ইস্যুটা দুই-তিন হাজার ডলারে বিক্রি করে দিতে পারতো।

করছে না শুধু একটা কারণে, তারা বিশ্বাস করে, “Honesty Never Goes Unrewarded”। হয়তো চাপাবাজদের মতো বড় গলায় বলবে না, আমরা দেশের জন্য কাজ করে  কিন্তু এন্ড অফ দ্য ডে, তাদেরকে “বাংলাদেশী হোয়াইট হ্যাট” ই বলা হয়। জানি না এতে দেশের সম্মান বাড়ে নাকি কমে!

অল্প কদ্দুর  আমার লেখা , বাকিটুকু ফাইসাল ভাই এর টিউন থেকে নেওয়া !

বাগ হান্টিং কিভাবে করবেন, কত্তেকে শুরু করবেন ?
http://www.slideshare.net/shaheemirza
এই স্লাইড ফলও করেন। ব্যাস আর কিছু লাগবে না !

এইটা পড়লে নিচের দুইটা পড়ার ইচ্ছা হইতে পারে তাই লিঙ্ক দিলাম !
http://www.zugtech.com/hacking/post-id/9547
http://www.zugtech.com/hacking/post-id/9361
আমাদের ওয়েব সাইটঃ greenweb.com.bd