Back

ⓘ আক্রান্তপ্রবণতা (কম্পিউটিং)




                                     

ⓘ আক্রান্তপ্রবণতা (কম্পিউটিং)

কম্পিউটার নিরাপত্তার ক্ষেত্রে, আক্রান্তপ্রবণতা বলতে এক ধরনের দুর্বলতাকে বোঝায় যা আক্রমণকারীকে সিস্টেমের তথ্যের নিরাপত্তা নিশ্চিতকরণ করার ক্ষমতা কমাতে সাহায্য করে। একে ইংরেজি ভাষায় ভালনেরাবিলিটি বলা হয়। কোনও আক্রান্তপ্রবণতা তিনটি উপাদান নিয়ে গঠিত হয়: প্রথমত, আলোচ্য কম্পিউটার ব্যবস্থাতে সংবেদনশীলতা বা ক্রুটি বিদ্যমান থাকতে হয়, সেই ত্রুটিতে আক্রমণকারীর প্রবেশাধিকার থাকতে হয়, এবং আক্রমণকারীর সেই ত্রুটিকে কাজে লাগানোর সামর্থ্য থাকতে হয়। আক্রান্তপ্রবণতা আবিষ্কার করার জন্য আক্রমণকারীর কাছে কমপক্ষে একটি সরঞ্জাম অথবা পদ্ধতি থাকতে হবে, যা ব্যবহার করে আক্রমণকারী ব্যবস্থার দুর্বলতার সঙ্গে নিজেকে সংযুক্ত করতে পারবে। এ ক্ষেত্রে আক্রান্তপ্রবণতাকে আক্রমণ পৃষ্ঠ-ও বলা হয়।

আক্রান্তপ্রবণতা ব্যবস্থাপনা একটি চক্রাকার প্রক্রিয়া। এ প্রক্রিয়ার মধ্যে রয়েছে আক্রান্তপ্রবণতা নির্ণয় করা, শ্রেণীভুক্ত করা, দূর করা এবং নির্বাপণ করা। এই প্রক্রিয়া সাধারণত কম্পিউটিং সিস্টেমে সফটওয়্যার আক্রান্তপ্রবণতার ক্ষেত্রে প্রযোজ্য।

নিরাপত্তা ঝুঁকিকে ভুল করে আক্রান্তপ্রবণতা হিসাবে শ্রেণীবদ্ধ করা হতে পারে। আক্রান্তপ্রবণতা এবং ঝুঁকি উভয়ের অর্থ কাছাকাছি হওয়ার কারণে দ্বন্দ্বের সৃষ্টি হতে পারে। ঝুঁকি বলতে কোনও কারণে উল্লেখযোগ্য পরিমাণে ক্ষতির সম্ভাবনা থাকাকে বোঝায়। অন্য দিকে কিছু কিছু আক্রান্তপ্রবণাতে ঝুঁকি না-ও থাকতে পারে। যেমন যখন কোনও আক্রান্তপ্রবণ সম্পদের কোন মূল্য থাকে না, সেটি কোনও ঝুঁকি নয়। যখন কোন আক্রান্তপ্রবণতার এক বা একাধিক দৃষ্টান্ত থাকে এবং হামলা সম্পূর্ণরূপে বাস্তবায়ন করা যায়, তাকে সুযোগগ্রহণযোগ্য আক্রান্তপ্রবণতা হিসাবে শ্রেণিবদ্ধ করা হয় - এটি এমন এক ধরনের আক্রান্তপ্রবণতা, যার জন্য একটি সুযোগগ্রহণকারক এক্সপ্লোয়েট বিদ্যমান থাকে। একটি আক্রান্তপ্রবণতা আবিষ্কার হওয়া থেকে শুরু করে ঠিক করা পর্যন্ত সময়কালকে আক্রান্তপ্রবণ পর্ব "উইন্ডো অফ ভালনেরাবিলিটি" বলা হয়।

নিরাপত্তা ত্রুটি বাগ একটি সংকীর্ণ ধারণা। এমন কিছু আক্রান্তপ্রবণতা আছে যা সফটওয়্যারের সাথে সম্পর্কিত নয়। হার্ডওয়্যার, ওয়েবসাইট, অথবা কর্মীদের দুর্বলতা এমন কিছু আক্রান্তপ্রবণতার উদাহরণ যা সফটওয়্যার নিরাপত্তা ত্রুটির সাথে সম্পর্কিত নয়।

প্রোগ্রামিং ভাষার যেসব নির্মাণ সহজভাবে ব্যবহার করা কঠিন, সেসব নির্মাণ আক্রান্তপ্রবণতার একটি বড় উৎস হতে পারে।

                                     

1. সংজ্ঞা

ISO 27005 অনুযায়ী আক্রান্তপ্রবণতা:

এক বা একাধিক সম্পদের দুর্বলতা, যা এক বা একাধিক ভীতিপ্রদর্শনে ব্যবহারিত হতে পারে।

এক্ষেত্রে, সেই সম্পত্তির মূল্য থাকে একটি নির্দিষ্ট প্রতিষ্ঠানের, তার ব্যবসা সংক্রান্ত কাজে এবং তাদের ধারাবাহিকতায়, এবং তাদের প্রতিষ্ঠানের লক্ষ্যে এগিয়ে যাওয়ার তথ্যের নিকট

IETF RFC 2828 অনুযায়ী আক্রান্তপ্রবণতা:

একটি ব্যবস্থার নকশায় ত্রুটি বা দুর্বলতা, বাস্তবায়ন, বা কর্মপরিচালনা এবং ব্যবস্থাপনা, যা ব্যবস্থাটির নিরাপত্তা নীতি লঙ্ঘন করতে কাজে লাগতে পারে

মার্কিন যুক্তরাষ্ট্রের জাতীয় নিরাপত্তা ব্যবস্থা নিয়ে কমিটি ২৬ এপ্রিল ২০১০ তারিখে করা জাতীয় তথ্য নিশ্চিতকরণ শব্দকোষে সিএনএসএস নির্দেশ নং ৪০০৯ অনুযায়ী আক্রান্তপ্রবণতা:

আক্রান্তপ্রবণতা: - একটি তথ্যব্যবস্থায় দুর্বলতা, ব্যবস্থাটির নিরাপত্তাব্যবস্থা, অভ্যন্তরীণ নিয়ন্ত্রণ, বা বাস্তবায়ন করা যেতে পারে এমন কিছু

অনেক ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজির প্রকাশনী তাদের বিভিন্ন প্রকাশনার আইটি প্রতিযোগিতায়: FISMApedia টার্ম একটি তালিকা প্রদান করে। তাদের মধ্যে এসপি ৮০০-৩০, একটি বৃহত্তর দেয়ঃ

সিস্টেম সিকিউরিটি পদ্ধতি, নকশা, বাস্তবায়ন, বা অভ্যন্তরীণ নিয়ন্ত্রণণে একটি ত্রুটি বা দুর্বলতা যা ইচ্ছাকৃত ভাবে ব্যবহার করে নিরাপত্তা ভঙ্গ বা একটি সিস্টেমের নিরাপত্তা নীতি লঙ্ঘন করা যেতে পারে।

ENISA আক্রান্তপ্রবণতাকে সংজ্ঞায়িত করেঃ

নকশা, বা বাস্তবায়নে দুর্বলতার অস্তিত্ব একটি অপ্রত্যাশিত ও অনাকাঙ্খিত ঘটনার জন্ম দিতে পারে, এর সাথে জড়িত হতে পারে কম্পিউটার সিস্টেমের নিরাপত্তা, নেটওয়ার্ক, অ্যাপ্লিকেশন, বা প্রোটোকল। ITSEC

ওপেন গ্রুপ আক্রান্তপ্রবণতাকে সংজ্ঞায়িত করেঃ

একটি সম্ভাব্য হুমকি যা সে হুমকির মোকাবেলা করার ক্ষমতাকে অতিক্রম করে

তথ্য ঝুঁকির উৎপাদক বিশ্লেষণ, এফএআইআর আক্রান্তপ্রবণতাকে সংজ্ঞায়িত করেঃ

একটি সম্পদ যা হুমকিদাতার কার্যক্রম প্রতিহত করতে অক্ষমতার সম্ভাবনা

এফএআইআর অনুযায়ী, আক্রান্তপ্রবণতা শক্তি নিয়ন্ত্রণ করার সাথে সম্পর্কিত, যেমন একটি নির্দিষ্ট বলের বিপক্ষে নিজের নিয়ন্ত্রণের শক্তি যাচাই করা এবং হুমকির ক্ষমতার আন্দাজ করা, অর্থাৎ সম্ভাব্য বলের স্তর জেনে নেয়া যা একজন হুমকিদাতা প্রদান একটি সম্পদের বিরুদ্ধে প্রদান করতে পারে।

ISACA রিস্ক ইট ফ্রেকওয়ার্কে আক্রান্তপ্রবণতাকে নিম্নোক্তভাবে সংজ্ঞায়িত করেঃ

নকশা, বাস্তবায়ন, পরিচালন বা অভ্যন্তরীণ নিয়ন্ত্রণে একটি দুর্বলতা

উপাত্ত এবং কম্পিউটার নিরাপত্তা: মানের ধারণা এবং পদের অভিধানের কম্পিউটার নিরাপত্তায় স্বয়ংক্রিয় সিস্টেম সিকিউরিটি, পদ্ধতি, প্রশাসনিক নিয়ন্ত্রণ, ইন্টারনেট নিয়ন্ত্রণ, ইত্যাদিতে একটি দুর্বলতা যা কোন হুমকিদাতা অননুমোদিত প্রবেশাধিকার লাভ করার জন্য অথবা সমালোচনামূলক প্রক্রিয়া ব্যাহত করার লক্ষে ব্যবহার করতে পারে। ২) কম্পিউটার নিরাপত্তায় শারীরিক বিন্যাস, সংগঠন, পদ্ধতি, কর্মচারীবৃন্দ, ব্যবস্থাপনা, প্রশাসন, হার্ডওয়্যার বা সফটওয়্যারে দুর্বলতা, যা এডিপি সিস্টেম বা কার্যকলাপে ক্ষতির কারণ হয়ে উঠতে পারে। ৩) কম্পিউটার নিরাপত্তায় সিস্টেমে কোনো দুর্বলতা বা ত্রুটি বিদ্যমান থাকলে, আক্রমণ বা ক্ষতিকারক ঘটনা বা আক্রমণকারী আক্রমণ করার সুযোগ পেয়ে যায়।

ম্যাট বিশপ এবং ডেভ বেইলি কম্পিউটার আক্রান্তপ্রবণতার নিম্নোক্ত ব্যাখ্যা দেনঃ

একটি কম্পিউটার সিস্টেম গঠিত হয়, যুক্তরাষ্ট্র বর্ণনা, বর্তমান কনফিগারেশন সত্ত্বা আপ যে কম্পিউটার সিস্টেম. সিস্টেম গণনা করে আবেদন মাধ্যমে রাষ্ট্র রূপান্তরের যে অবস্থা পরিবর্তন সিস্টেম. সব মার্কিন যুক্তরাষ্ট্র পৌঁছানো থেকে দেওয়া একটি প্রাথমিক অবস্থায় একটি সেট ব্যবহার করে, রাষ্ট্র রূপান্তরের মধ্যে পড়ে ক্লাস এর অনুমোদিত বা অননুমোদিত দ্বারা সংজ্ঞায়িত হিসাবে একটি নিরাপত্তা নীতি. এই কাগজ, সংজ্ঞা, এই শ্রেণীর ও স্থানান্তর বিবেচনা করা হয় সর্বজনবিদিত. একটি অরক্ষিত অবস্থায় একটি অনুমোদিত রাষ্ট্র, যা থেকে একটি অননুমোদিত অবস্থায় পৌঁছে যাবে ব্যবহার অনুমোদিত রাষ্ট্র রূপান্তরের. একটি সংকটাপন্ন অবস্থায় রাষ্ট্র, তাই পৌঁছেছেন. একটি আক্রমণ একটি ক্রম অনুমোদিত রাষ্ট্র রূপান্তরের, যা শেষ পর্যন্ত একটি সংকটাপন্ন অবস্থায়. সংজ্ঞা দ্বারা, একটি আক্রমণ শুরু হয় একটি ঝুঁকিপূর্ণ রাষ্ট্র. দুর্বলতার একটি চরিত্রায়ন একটি নাজুক অবস্থা যা থেকে এটি আলাদা, সব অ-প্রবন যুক্তরাষ্ট্র. যদি জেনেরিক, দুর্বলতা হতে পারে প্রভেদ অনেক ঝুঁকিপূর্ণ যুক্তরাষ্ট্র; যদি নির্দিষ্ট, এটা হতে পারে প্রভেদ শুধুমাত্র এক.

জাতীয় তথ্য নিশ্চিত প্রশিক্ষণ ও শিক্ষা কেন্দ্র আক্রান্তপ্রবণতাকে সংজ্ঞায়িত করে:

                                     

2. আক্রান্তপ্রবণতা ও ঝুঁকি উৎপাদক প্রতিমানসমূহ

একটি সম্পদে বাস্তবিক অথবা ধারনা এক বা তার অধিক আক্রান্তপ্রবণতা থাকতে পারে যা একজন হুমকিদাতা তার হুমকি কার্যকর করার সময় কাজে লাগাতে পারবে।

সামগ্রিক ছবি প্রতিনিধিত্ব করে ঝুঁকির পরিস্থিতি এবং ঝুঁকির বিষয়গুলির।

                                     

3. সাইট

আক্রান্তপ্রবণতা তাদের সম্পদের শ্রেণি অনুযায়ী শ্রেণীবদ্ধ করা হয়, যা সম্পর্কিতঃ

  • অরক্ষিত স্টোরেজের সংবেদনশীলতা
  • ধুলোর সংবেদনশীলতা
  • হার্ডওয়্যার
  • আর্দ্রতার সংবেদনশীলতা
  • ময়লার সংবেদনশীলতা
  • সফ্টওয়্যার
  • অপর্যাপ্ত টেস্টিং
  • নিরীক্ষা পথের অভাব
  • অরক্ষিত যোগাযোগ লাইন
  • অনিরাপদ নেটওয়ার্ক স্থাপত্য
  • নেটওয়ার্ক
  • অপর্যাপ্ত নিরাপত্তা সচেতনতা
  • অপর্যাপ্ত নিয়োগের প্রক্রিয়া
  • কর্মীদের
  • শারীরিক সাইট
  • এলাকা সাপেক্ষে বন্যা
  • অবিশ্বস্ত ক্ষমতার উৎস
  • ধারাবাহিক পরিকল্পনার অভাব
  • নিয়মিত অডিটের অভাব
  • নিরাপত্তার অভাবে
  • সাংগঠনিক
                                     

4. কারণসমূহ

  • জটিলতা: বৃহৎ, জটিল সিস্টেম ত্রুটি এবং অনিচ্ছাকৃত প্রবেশের সম্ভাবনা বৃদ্ধি করে।
  • ঘনিষ্ঠতা: সাধারন, সুপরিচিত কোড, সফটওয়্যার, অপারেটিং সিস্টেম, এবং/অথবা হার্ডওয়্যার; আক্রমণ কারীকে ব্যবহারকারী সম্পর্কে দুর্বলতা কাজে লাগানোর জন্য প্রয়োজনীয় জ্ঞান এবং সরঞ্জাম প্রদান করে থাকে।
  • সংযুক্ততা: অতিরিক্ত শারীরিক সংযোগ, সুবিধা, পোর্ট, প্রোটোকল এবং পরিষেবা এবং এ সকল প্রবেশের সময়কাল আক্রান্তপ্রবণতার পরিমাণ বাড়িয়ে দিতে পারে।
  • পাসওয়ার্ড ব্যবস্থাপনা সংক্রান্ত ত্রুটিগুলি: কম্পিউটার দুর্বল পাসওয়ার্ড ব্যবহার করে, যা ব্রুট ফোর্স আক্রমণের মাধ্যমে নির্ণয় করা যায়। কম্পিউটার ব্যবহারকারী কম্পিউটারের এমন স্থানে পাসওয়ার্ড সংরক্ষন করেন, যেখানে অন্য কোন প্রোগ্রাম প্রবেশ করতে পারে। ব্যবহারকারী একই পাসওয়ার্ড অনেক প্রোগ্রাম এবং ওয়েবসাইটে ব্যবহার করেন।

গবেষণায় দেখা গেছে যে বেশিরভাগ তথ্যব্যবস্থায় সবচেয়ে ঝুঁকিপূর্ণ বিন্দুগুলি হচ্ছে ব্যবহারকারী মানুষ, পরিচালক, নকশাবিদ, বা অন্যান্য ব্যক্তি। তাই মানুষকে বিভিন্ন ভূমিকায় চিন্তা করা যেতে পারে; সম্পদ, হুমকিদাতা অথবা তথ্য সম্পদ হিসাবে. সামাজিক প্রকৌশল একটি ক্রমবর্ধমান নিরাপত্তা উদ্বেগ.

তথ্য নিরাপত্তার একটি প্রধান ধারণা গভীরতার মধ্যে প্রতিরক্ষা নীতির একটি মূল বিষয়ের সাথে মিলে জায়ঃ কয়েক স্তরের প্রতিরক্ষা সিস্টেম সেটআপ করা জাঃ

  • হুমকিদাতাদের খুঁজে বের করা এবং তাদের বিরুদ্ধে আইনি ব্যবস্থা নেয়া
  • সনাক্ত এবং আক্রমণের পথিমধ্যে রোধ করতে পারবে
  • সে কাজে লাগানোকে প্রতিরোধ করতে পারবে

আক্রমণ সনাক্ত করতে যেসব শ্রেণীর সিস্টেম ব্যবহার করা হয়, অনুপ্রবেশের সনাক্তকরণ সিস্টেম তাদের মধ্যে একটি উদাহরণ।



                                     

5. আক্রান্তপ্রবণতা প্রকাশের তারিখ

একটি আক্রান্তপ্রবণতা প্রকাশের সময় বিভিন্ন সুরক্ষা গোষ্ঠী এবং ইন্ডাস্ট্রিতে ভিন্ন ভাবে সংজ্ঞায়িত করা হয়। তবে সবচেয়ে বেশি অভিহিত করা হয় এক ধরনের নিরাপত্তা তথ্য প্রকাশ যা নির্দিষ্ট দল দ্বারা প্রকাশিত হয়েছে বলে। সাধারণত আক্রান্তপ্রবণতা তথ্যগুলি প্রকাশ করা হয় কোন নির্দিষ্ট মেইলিং তালিকায় অথবা কোন নিরাপত্তা ওয়েব সাইটে প্রকাশ করা হয় এবং নিরাপত্তাজনিত অ্যাডভাইসরির পরে ফলাফল প্রকাশ করা হয়।

প্রকাশের সময়ই হলো প্রথম তারিখ যখন একটি নিরাপত্তাজনিত আক্রান্তপ্রবণতা কোন একটি যোগাযোগ মাধ্যমে বা গণমাধ্যমে পরিপূর্ণ তথ্যসহ বর্ণনা করা হয়। এক্ষেত্রে নিম্নের শর্ত গুলো মেনে চলতে হয়ঃ

  • দুর্বলতার তথ্য একটি বিশ্বস্ত এবং স্বাধীন চ্যানেল / উৎস দ্বারা প্রকাশিত হওয়া
  • দক্ষ বিশ্লেষকদের মাধ্যমে পর্যালোচনা করে আক্রান্তপ্রবণতার ঝুঁকির পরিমাণও প্রকাশ করা
  • তথ্য অবাধে জনসাধারণের জন্য উপলব্ধ হওয়া
                                     

6. আক্রান্তপ্রবণতার উদাহরণ

আক্রান্তপ্রবণতাকে নিচের বিষয়গুলির সাথে সম্পর্কিত করা যায়ঃ

  • সফ্টওয়্যার
  • হার্ডওয়্যার
  • ব্যবস্থাপনা
  • সিস্টেমের একটি প্রকৃত পরিবেশ
  • যোগাযোগে সরঞ্জাম ও সুবিধা
  • কর্মচারীরা
  • এবং তাদের সমন্বয়.
  • প্রতিষ্ঠানের মধ্যে প্রশাসন পদ্ধতি এবং নিরাপত্তা ব্যবস্থা
  • ব্যবসায়িক অপারেশন এবং সেবা বিতরণ

এটা স্পষ্ট যে, একটি বিশুদ্ধ প্রযুক্তিগত প্রচেষ্টাও শারীরিকভাবে সম্পদ রক্ষা করতে পারবে নাঃ একজনের উচিৎ রক্ষণাবেক্ষণের জন্য এবং পর্যাপ্ত জ্ঞান সমৃদ্ধ কর্মিবৃন্দের সুবিধায় প্রবেশের ক্ষেত্রে প্রশাসনিক পদ্ধতি ব্যবহার করা। এবং সঠিক যত্নের সঙ্গে এটি অনুসরণ করতে অনুপ্রাণিত করা। দেখুনঃ সামাজিক প্রকৌশল নিরাপত্তা

আক্রান্তপ্রবণতা কাজে লাগানোর চারটি উদাহরণ:

  • একজন আক্রমণকারী একটি বিশেষ ভাবে তৈরি করা প্রোগ্রাম একটি থাম্ব ড্রাইভে নিয়ে তা তার কাঙ্খিত স্থানে আক্রমণ করে;
  • একজন আক্রমণকারী একটি উপচে পড়া দুর্বলতা খুঁজে বের করে এবং তা ব্যবহার করে সেখানে একটি ম্যালওয়্যার ইন্সটল করে। সে ম্যালওয়্যার ব্যবহার করে তার সংবেদনশীল তথ্য সে পেতে পারে;
  • এক ধরনের বিশেষ বন্যা কারো কম্পিউটার সিস্টেমকে ক্ষতিগ্রস্ত করে।
  • একজন আক্রমণকারী একটি ম্যালওয়্যার সংযুক্ত ইমেইল বার্তা খোলার জন্য ব্যবহারকারীকে বুঝাতে সক্ষম হয় ;


                                     

6.1. আক্রান্তপ্রবণতার উদাহরণ সফটওয়্যার আক্রান্তপ্রবণতা

সাধারণ ধরনের সফটওয়্যার সংক্রান্ত নিন্ম আক্রান্তপ্রবণতাগুলিতে রূপান্তরিত হতে পারে:

  • বাফার ওভারফ্লো এবং ওভার রিড
  • ঝুলন্ত পয়েন্টার
  • মেমরি নিরাপত্তা লঙ্ঘন, যেমন
  • ই-মেইল ইনজেকশন
  • HTTP প্রতিক্রিয়া বিভাজন
  • ইনপুট ভ্যালিডেশন ত্রুটি, যেমন
  • HTTP-র হেডার ইনজেকশন
  • ডাইরেক্টরি ট্র্যাভেরসাল
  • এসকিউএল ইনজেকশন
  • ফরম্যাট স্ট্রিং আক্রমণ
  • ক্রস সাইট স্ক্রিপ্টিং এর মধ্যে ওয়েব অ্যাপ্লিকেশন
  • কোড ইনজেকশন
  • রেস শর্ত, যেমন
  • সিমলিংক রেস
  • ব্যবহারের সময়-থেকে-সময়-এর পরীক্ষা বাগ
  • ওয়েব অ্যাপ্লিকেশনে ক্রস সাইট অনুরোধ জালিয়াতি
  • বিশেষ সুযোগ-বিভ্রান্তি বাগ, যেমন
  • FTP বাউন্স আক্রমণ
  • ক্লিকজ্যাকিং
  • সতর্কতা ক্লান্তি বা ব্যবহারকারী কন্ডিশন
  • বিশেষাধিকার উদ্দীপন
  • ভুক্তভোগীকেই দোষারোপ করা, তাকে সম্পূর্ণ তথ্য না দিয়েই কোন নিরাপত্তার সিদ্ধান্ত নিতে বলা।
  • রেস শর্ত
  • ইউজার ইন্টারফেস ব্যর্থতা, যেমন

কিছু কোডিং নির্দেশিকা উন্নত করা হয়েছে, এবং এই কোড নির্দেশিকা অনুসরন করে কিনা তা যাচাই করার জন্য অনেক স্ট্যাটিক কোড অ্যানালাইজার ব্যবহার করা হয়েছে।

                                     

7. আরও দেখুন

  • কম্পিউটার জরুরী ব্যবস্থা প্রত্যুত্তর দল
  • আক্রান্তপ্রবণতা অনুপুঙ্খ পরীক্ষক স্ক্যানার
  • মোবাইল নিরাপত্তা
  • তথ্য নিরাপত্তা
  • ব্রাউজার নিরাপত্তা
  • ইন্টারনেট নিরাপত্তা