ছোটবেলায় বাংলা ব্যাকরণের ধ্বনির পরিবর্তন বেশ মজা লাগতো। যেমন:
স্কুল > ইস্কুল; পিশাচ > পিচাশ; স্পর্ধা > আস্পর্ধা; এরকম আরো অনেক শব্দ।
তবে ভালো লাগতো এ কারণে যে একটু বেমানান শোনালেও এগুলো নিয়মের মধ্যেই ছিল। বুঝতাম ধ্বনির পরিবর্তন কীভাবে হয়। বাংলাদেশে জন্মানোর সুবাদে বড় বেলায় এসে আরো অনেককিছুই দেখতে হলো। তবে এগুলো কোনো নিয়মের মধ্যে ছিলো না। যেমন:
NOKIA > NOKLA; SAMSUNG > SAMSONG; Apex > Adex; Bata > Bala এরকম আরো অনেক কিছু। শব্দগুলোর উপর দিয়ে দ্রুত চোখ নিয়ে গেলে বোঝার উপায় নেই সেটা আসলে মূল পণ্যের নাম নাকি পরিবর্তিত নাম।
প্রযুক্তি নিয়ে পড়ে থাকার সুবাদে, ফিশিং সাইট নিয়ে যখন জানলাম তখন আবার চোখে পড়লো আরো অনেক কিছু। যেমন: facebook.com > faeebook.com; gmail.com (g-m-a-i-এল) > gmaiI.com (g-m-a-i-আই)এরকম আরো বহু।
হঠাৎ করে দেখলে মনে হবে মূল সাইটটিই। কিন্তু আসলে তা ফিশিং সাইট। মৃদু পরিবর্তন করা হয়েছে যা প্রথমবার দেখার সময় অতোটা পরিবর্তন চোখে পড়ে না। প্রত্যেকটা জিনিসই যদি নিয়মমাফিক হয়ে থাকে তাহলে আমার কোনো আপত্তি নেই। কারোরই আপত্তি থাকার কথা না। কিন্তু ভুল করে যদি এরকম কিছু হয়ে যায় তাহলে তার প্রভাব বেশ মারাত্মক। যার খেসারত দিতে হচ্ছে পাইথন (Python) কে। তো চলুন দেখে নেয়া যাক পাইথনে আসলে ঠিক কী ঘটেছে।
স্লোভাকিয়া’র একটি কম্পিউটার নিরাপত্তা প্রতিষ্ঠান সতর্কবাণী প্রচার করেছে যে, পাইথন এর অফিসিয়াল লাইব্রেরিতে কিছু মডিফায়েড কোড প্যাকেজ যুক্ত করা হয়েছে। তারা এটাও বলেছে যে কিছু অসচেতন ডেভেলপাররা গত তিনমাস ধরে ভুল করে প্যাকেজটি ডাউনলোড করে সফটওয়্যারে ব্যবহার করে আসছে।
গত বৃহস্পতিবার স্লোভাকিয়ার জাতীয় নিরাপত্তা পরিষদের তরফ থেকে বলা হয়, বেশ কয়েকটি মডিফায়েড প্যাকেজ গত জুন মাস থেকে এ পর্যন্ত সফটওয়্যারটিতে একাধিকবার যুক্ত হয়ে আসছে। এই মডিফায়েড প্যাকেজগুলোর কোডগুলো প্রায় হুবহু স্ট্যান্ডার্ড পাইথন প্যাকেজগুলোর মতোই।
পাইথন এর প্যাকেজ ইনডেক্স কে সংক্ষেপে বলা হয় ‘পাই পাই’(PyPI)।
স্লোভাক কর্তৃপক্ষ আরো জানান যে তারা ইতোমধ্যেই ব্যাপারটি পাইথন কর্তৃপক্ষকে অবহিত করেছেন এবং এরপর সকল মডিফায়েড প্যাকেজগুলো সরানো হয়েছে। আর এগুলো সরানোর ফলে সেটা মূল সার্ভারে কোনো প্রভাব ফেলবে না। তারা ডেভেলপারদের বারবার করে বলেছেন যে তাদের কোনো সার্ভারে এই মডিফায়েড প্যাকেজটির কোনো অস্তিত্ব আছে কিনা।
শুধু তাই নয়, তারা বিষয়টি পরীক্ষা করার জন্য বেশ ভালভাবেই কিছু নির্দেশনা প্রদান করেন। মডিফায়েড বা আক্রান্ত প্যাকেজগুলো খুঁজে পাওয়া যায় আর অ্যাডমিনরা সেগুলো সরিয়ে দিয়ে উপযুক্ত প্যাকেজগুলো সেখানে যুক্ত করেন। মূল প্যাকেজটির নাম ছিল ‘urllib’ আর মডিফায়েড প্যাকেজের নাম ছিল ‘urlib’। আর এই ঠিক একটা কারণেই উপরের বিষয়গুলো আপনাদের প্রথমে জানালাম। প্রথমদিকে এটাকে টাইপিং ভুল বলা হলেও পরবর্তীতে কিছু কোডের কারণে এটাকে ম্যালিসিয়াস হিসেবে আখ্যায়িত করা হয়।
বৃহস্পতিবারের ঠিক পরেই সেখানকার কর্মী ও গবেষক বেঞ্জামিন ব্যাচ এবং সাংবাদিক হ্যানো বক্ ঘোষণা করে দেন যে, তারা এ ধরনের আক্রান্ত আরো ২০ লাইব্রেরি পেয়েছিলেন। তারা সেগুলোকে পরিবর্তন করে দেন। কারণ, এই প্যাকেজগুলো অন্য একটি সার্ভারের সাথে যুক্ত ছিল যা ডেভেলপারদের আইপি অ্যাড্রেস জমা করতো। কয়েক মিনিটের মধ্যেই লাইব্রেরিগুলো নতুন করে ইন্সটল দেয়া হয়। ফলাফলে দেখা যায় প্যাকেজগুলো মাত্র ২ দিনের ব্যাবধানে ৭ হাজার বারেরও বেশি বার ডাউনলোড হয়েছিল!!!
স্ট্যান্ডার্ড পাইথন লাইব্রেরিগুলো কোনো থার্ড পার্টি স্টোর প্যাকেজ থেকে পাইথন-এ যুক্ত করা হয় না। যুক্ত করা হয় পাইথন-এর অফিসিয়াল কোনো স্টোর থেকে। তবে বৃহস্পতিবারের বক্তব্যের পর শুক্রবারের ঘোষণাতে বলা হয় যে এ ঘটনায় প্রমাণ হয় যে ডেভেলপাররা ভালভাবে কাজ করছে না।
তাদের সেরাটা দিচ্ছেনা। এর ফলে পাইথনের নিরাপত্তা ব্যবস্থা বেশ প্রশ্নবিদ্ধ হচ্ছে। জরুরী প্রয়োজনে কোনো ডেভেলপার যদি পাইথনের অফিসিয়াল প্যাকেজ ব্যবহার না করে থার্ড পার্টি কোনো প্যাকেজ না বুঝে ব্যবহার করে ফেলে, তাহলে যেকোন অ্যাপের ক্রিপ্টোগ্রাফিক ফাংশানগুলো বুঝতে পারা ও সম্পাদন করা আক্রমণকারীর জন্য বেশ সহজ হয়।
বক্ গত শুক্রবার বলেন,
শনিবার সকালে পাইথনের অ্যাডমিনরা প্রায় ২০ টির মতো সর্বাধিক ডাউনলোডকৃত পাইথন প্যাকেজগুলো নিশ্চিহ্ন করে দেন। তবে এটা এখনও পরিষ্কার না যে PyPI সত্যিসত্যিই নতুন প্যাকেজেগুলোকে আগের নাম ব্যবহারে বাঁধা দিচ্ছে কিনা।
গতবছর এরকমই একটা ঘটনা ঘটেছিল জার্মানিতে। হ্যামবার্গ ইউনিভার্সিটির ছাত্র নিকোলাই ফিলিপ থ্যাচার তার ব্যাচেলর থিসিজ-এর কাজে PyPI-তে প্যাকেজগুলো আপলোড করে। সেই সাথে আরো দুটি লাইব্রেরিতেও সেটা যোগ করে। অন্যান্য সবাই যে প্যাকেজটি সাবমিট করেছিল, প্রায় হুবহু একই নামে সে প্যাকেজটি সাবমিট করে।
সেই সাথে সে এমন কিছু কোড যুক্ত করে যার মাধ্যমে ডেভেলপারকে ট্র্যাক করা যায়। মাত্র এক মাসের ব্যবধানে তার এই মডিফায়েড কোডটি ৪৫ হাজার জায়গায় চালু করা হয়। এর মধ্যে ১৭ হাজার ছিল আলাদা আলাদা ডোমেইনে। আর প্রায় অর্ধেক ক্ষেত্রে এমন হয়েছে যে তার কোডটির মাধ্যমে প্রায় সব ধরনের অ্যাডমিনিস্ট্রেটিভ সুবিধা পাওয়া যেত।
দুইটি .mil ডোমেইন এই কোডগুলোতে আক্রান্ত হয়ে শেষ হয়ে যায়। এতে করে ধারণা করা হয় মার্কিন মিলিটারি সার্ভিসের কেউও এই স্ক্রিপ্টটি ব্যবহার করেছিল। ব্যাচ ও বক্ তাদের গবেষণা কাজ চালিয়ে যান এবং দেখেন যে PyPI তে থ্যাচার-এর সেই ব্যবহৃত নামগুলো পুনরায় ব্যবহৃত হয়েছে। বক বলেন,
এই সমস্যাটি হয়েছে মূলত পাইথন অ্যাডমিন ও ডেভেলপারদের নির্বুদ্ধিতার কারণে যারা প্যাকেজটিকে যাচাই বাছাই না করেই ব্যবহার করেছে। অফিসিয়াল যে প্যাকেজটি সবচেয়ে বেশি ব্যবহৃত হয় তা চালু করার সময় কোনো প্রকার ক্রিপ্টোগ্রাফিক সিগনেচার দরকার হয় না। বক্ বলেন যে PyPI বর্তমানে আক্রান্ত প্যাকেজগুলোর ব্যবহার বন্ধের জন্য কাজ করছে। তবে দুজনেই মনে করেন এর জন্য আরো বিস্তারিত কোনো সমাধান দরকার।
পরিশেষে, টেকটিউনস হলো বিজ্ঞান ও প্রযুক্তি সম্পর্কে জানার এক সুবিশাল প্ল্যাটফর্ম।প্রতিনিয়তই থাকবেন নতুন নতুন জ্ঞানের মধ্যে। জানবেন অজানাকে। তবে হ্যাঁ। শুধু জেনেই বসে থাকবেন না। এই জ্ঞানগুলো ছড়িয়ে দিন তাদের নিকট যাদের কাছে এই টিউনগুলো পৌঁছানো সম্ভব হয় না। জ্ঞান নিজের কাছে রাখার জিনিস না। ছড়িয়ে দিন আশেপাশে যারা আছে সবার মাঝে। প্রযুক্তিকে ভালবাসুন, প্রযুক্তির সাথে থাকুন। টেকটিউনসের সাথে থাকুন।
আজকের মতো এ পর্যন্তই। সামনে আবারও হাজির হবো নতুন কোনো তথ্য নিয়ে। আর টিউনটি কেমন লাগলো জানাতে ভুলবেন না। টিউন বিষয়ে কোনো প্রশ্ন থাকলে নিচে টিউমেন্ট বক্সে প্রশ্নটি করুন। এছাড়াও ফেইসবুকে আমার সাথে যোগাযোগ করতে পারেন।
ফেইসবুকে আমি: Mamun Mehedee
আমি মামুন মেহেদী। Civil Engineer, The Builders, Bogra। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 11 বছর 5 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 92 টি টিউন ও 360 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 12 ফলোয়ার আছে এবং আমি টেকটিউনসে 1 টিউনারকে ফলো করি।
আমি আপনার অবহেলিত ও অপ্রকাশিত চিন্তার বহিঃপ্রকাশ।
মামুন ভাই, আমি আপনার সাথে মিউজিক নিয়ে কিছু কথা বলতে চাই, কিভাবে যোগাযোগ করব?