সিন্যাক কি ও কিছু প্রশ্নের উত্তর

আসসালামু আলাইকুম, আজ এই পোষ্টটি লিখার কোন ইচ্ছা ছিল না বাট লিখতে বসলাম কিছু প্রশ্নের উত্তর দিতে ও সিন্যাক নিয়ে অনেকে জানতে চেয়েছেন সেই সম্পর্কে লিখতে । অনেকে হইত আমার গত পোষ্টটি https://www.facebook.com/groups/vorhelpcenter/permalink/691994155058387/ পরেছেন । এই পোষ্টটির কিছু বিষয় নিয়ে তাদের গ্রুপের কিছু পোষ্ট দেখলাম যেগুলার screenshot

Image for post
Image for post

তো পোষ্টগুলাই দুইটা জিনিস কমন তা হল -

  1. শেয়ার আইপি
  2. সিন্যাকে চাকুরী

যদি আমার গত পোষ্টটি পড়েন তাহলে সম্পূর্ণ পোষ্টে কোথাও আপনি এমন একটি লাইন খুঁজে পাবেন না যেইখানে আমি শেয়ার আইপি নিয়ে কোন কথা বলছি । তাহলে বার বার পোষ্টে শেয়ার আইপি কথাটি উল্লেখ করে তিনি বা তাহারা কি প্রমাণ করতে চায় ?

আমি আমার পোষ্টে বলেছি যেঃ এখন DDoS করা অনেক মেম্বারদের মধ্যে অনেকেই হইত রিয়েল আইপি ইউজার সো তাদের আইপি দিয়ে তাদের ইনফো বের করা কোন Security Agency কাছে খুব একটা কঠিন কাজ হবে না এন্ড সেখানে ওই বাক্তি নামে একটি abuse report হইল ।

এত সোজা বাংলা কথা অত ঘুরিয়ে উল্টা ভাবে বলার মানে কি ? নাকি তার/তাদের কাছে রিয়েল আইপি = শেয়ার আইপি ? 😜🤭😷

এখন রিয়েল আইপি ইউজারের ইনফর্মেশন একটি সংস্থা কিভাবে পেতে পারে এবং কেন শেয়ার আইপি ইনফর্মেশন পাওয়া কঠিন ?

প্রথমে আসি রিয়েল আইপি কি ? এইটার উত্তর what is real ip লিখে গুগলএ সার্চ করলে সুন্দর ভাবে বুঝতে পারবেন যার screenshot পোষ্টের সাথে দিয়ে দিয়েছি ।

Image for post
Image for post

সকল আইপি ইনফর্মেশন দেখার সহজ উপায় whois lookup করা । whois lookup কি সেইটা ও গুগলে সুন্দরভাবে দেওয়া আছে তবুও পোস্টের সাথে screenshot দিয়ে দিলাম ।

Image for post
Image for post

এখন আপনি যদি কোন আইপি whois lookup করেন তাহলে অনেক ইনফো দেখতে পারবেন তার মধ্যে কিছু ইনফো হইল

  1. IP status
  2. abuse-mailbox
  3. রেজিস্টার phone
  4. রেজিস্টার এড্রেস
  5. descr

এখন এইগুলা দিয়ে কিভাবে একজন রিয়েল আইপি ইউজার ইনফো বের করা পসিব ? যদি আপনি নিচে দেওয়া স্ক্রীনশট দেখেন সেইখানে আমি উপরে শেয়ারড আইপি ও নিচের অংশে রিয়েল আইপি whois lookup করেছি -

$ whois <IP Address>| grep -E “route:|descr:|country:|phone:|abuse-mailbox:|status:”

Image for post
Image for post

এইখানে কোনটি রিয়েল আইপি ও কোনটি শেয়ারড আইপি তা status value দেখে নির্ণয় করা সম্ভভ । যেই আইপিগুলা APNIC থেকে dedicated করা সেইগুলা status value হবে ALLOCATED PORTABLE , যা দ্বারা সহজভাবে বোঝায় যে আইপি ব্লকটি সরাসরি জাতীয় রেজিস্ট্রি পরিষেবা দ্বারা বরাদ্দ করা হয়েছিল, এক্ষেত্রে এপিএনআইসি ।

আর যদি আইপি শেয়ারড হয় তাহলে সেইটার status value হবে ALLOCATED NON-PORTABLE এবং এই আইপি ব্লকটি কোন ISP নামে registered যেখানে আইপি Internet পরিষেবা সরবরাহকারীদের কাছ থেকে ধার করা থাকে এবং কেবলমাত্র সেই সরবরাহকারীর সাথেই সেই আইপি ব্যবহার করা যেতে পারে।

এইবার উপরের স্ক্রীনশটে shared IP Info তে লক্ষ্য করলে দেখতে পারবেন শেয়ারড আইপি ক্ষেত্রে descr: ICC Communication কিন্তু রিয়েল আইপি ক্ষেত্রে তা descr: Abdullah Al Jubayer যা একটি ইউজারের নামে রেজিস্টার এবং তার এড্রেসটিও সেইখানে দেওয়া রয়েছে ।

নোটঃ কিছু ক্ষেত্রে রিয়েল আইপি ক্ষেত্রে whois lookup status ASSIGNED NON-PORTABLE শো করতে পারে যেইগুলা সরাসরি APNIC থেকে dedicated করা না এবং এইসকল আইপি ইউজার ইনফো ভুল থাকার সম্ভাভনা থাকে ।

উপরের আলোচনা হতে দেখতে পারলেন রিয়েল আইপি ক্ষেত্রে ইউজার নাম ও এড্রেসটি সহজে পাওয়া সম্ভভ । আবার আরও ইনফর্মেশন বের করতে হইলে কোন Security Agency সুধু সাইবার অ্যাটাক [ সেইটি হতে পারে DDoSঅ্যাটাক ] প্রুফ সহ whois lookup এ পাওয়া abuse-mailbox এর মেইলে যোগাযোগ করলে পাওয়া সম্ভব । কিন্তু শেয়ার আইপি ক্ষেত্রে abuse-mailbox এর মেইলে যোগাযোগ করলে পাওয়া কঠিন এই জন্য যে ISP হতে সকল ইউজার লগ তাদের কাছে হস্তান্তর করতে হবে যা পেতে হলে অনেক কাঠখর পুড়াতে হবে । এইজন্য আমি আমার পোষ্টে সরাসরি রিয়েল আইপি ইউজার উল্লেখ করে বলেছি ।

এইবার আসি সিন্যাকে চাকুরী বিষয়ে ,

প্রথমেই বলে নেই তার/তাদের For example ওয়ার্ডটির অর্থ শেখার জন্য কোন ভাল ইংলিশ course করা উচিত 😜🤭😷 আমি সহজভাবে আমার কথা বোঝানোর জন্য সিন্যাকে কথা পোষ্টে বলসি যেইটার শুরুতেই বলে নিয়েছি For example ওয়ার্ডটি কিন্তু তাদের পোষ্ট দেখে বোঝা গেল তারা For example ওয়ার্ডটি মানে বুঝে না 😂🤣

আবার অনেকে বলছে আমার আইপি থেকে কিভাবে আমার ব্যাকগ্রাউন্ড চেক করবে ?

দুনিয়াতে কোন আহাম্মকই আইপি ধরে ব্যাকগ্রাউন্ড চেক করতে পারবে না।

এখন আমি আবারও বলব আমার পোষ্টটি আবার ভাল করে পড়ুন । আমার পোষ্টে আমি বলেছি -

এখন DDoS করা অনেক মেম্বারদের মধ্যে অনেকেই হইত রিয়েল আইপি ইউজার সো তাদের আইপি দিয়ে তাদের ইনফো বের করা কোন Security Agency কাছে খুব একটা কঠিন কাজ হবে না এন্ড সেখানে ওই বাক্তি নামে একটি abuse report হইল ।

আমি কখনও বলিনি যে আইপি ধরে ব্যাকগ্রাউন্ড চেক করবে, বলেছি ওই বাক্তি নামে একটি abuse report ফাইল হবে এন্ড নাম কিভাবে পাবে সেইটি তো উপরে দেখিয়ে দিলাম ? 😉😎 Abuse report যেহেতু ইউজারের নামে হবে তাহলে ব্যাকগ্রাউন্ড চেক তা সরাসরি ধরা পরবে । ব্যাকগ্রাউন্ড চেক সাধারণত বিভিন্ন agency দিয়ে করানো হয় যার মধ্যে SterlingONE, Sterling Talent Solutions, Onfido অন্যতম । যেই বিষয়গুলা দেখা হই -

  1. Criminal history
  2. Social media checks [ ফেইসবুক, টুইটার, linkedin প্রোফাইল অ্যাক্টিভিটি চেক ]
  3. Identity verification
  4. Address verification

এখন আপনার নামে যদি একটা ইন্টারন্যাশনাল সাইবার অ্যাটাক abuse report থাকে তাহলে ব্যাকগ্রাউন্ড চেক তা ধরা খাওয়া এখনোও কঠিন মনে হচ্ছে কি ?

এইবার আসি সিন্যাক রেড টিম কি ?

যদি আপনি Synack লিখে গুগলে সার্চ করেন তাহলে নিচের স্ক্রীনশট মত উত্তর পাবেন

Image for post
Image for post

সিন্যাক এর রেড টিম হল একটি বেসরকারী ফ্রিল্যান্স সাইবার সিকিউরিটি রিসার্চার ও ইথিক্যালি হ্যাকার দল যাদের ৬ টি মহাদেশ এবং ৮০ টিরও বেশি দেশে থেকে তাদের দক্ষতার জন্য নিয়োগ দেওয়া হয়েছে এবং বিশ্বাসের ভিত্তিতে বেছে নেওয়া হয়েছে । সিন্যাক এর রেড টিমে নতুন মেম্বার নিয়োগ পদ্ধতি এত কঠিন যে যেসব হ্যাকাররা মেম্বার হওয়ার জন্য অ্যাপ্লাই করে তার শুধুমাত্র ১২ % সিন্যাক এর রেড টিম মেম্বার হয়তে পারে । তাদের মেম্বার নিয়োগ স্টেপস গুলা হল -

  1. প্রথমে https://www.synack.com/red-team/ হতে Apply Now এ ক্লিক করে ফরম পূরণ করে CV সহ জমা দিতে হবে
  2. যদি তারা আপনার ইনফর্মেশন ও CV দেখে পছন্দ হই তাহলে আপনাকে skills assessment জন্য যোগাযোগ করব, ৪৫% হ্যাকারই এই স্টেপে বাদ পরে যাই ।
  3. skills assessment হতে ৩০% হ্যাকারদের ভিডিও interview দেওয়ার সুযোগ দেওয়া হয় ।
  4. ভিডিও interview হতে ২৫% হ্যাকারদের ব্যাকগ্রাউন্ড চেক করা হয় ।
  5. এরপর তাদের মধ্যে থেকে ১২% হ্যাকারদের দক্ষতা ও বিশ্বাসের ভিত্তিতে বেছে নেওয়া হয় ।

আমাদের পার্শ্ববর্তী দেশ ইন্ডিয়া তেও অনেক সিন্যাক রেড টিম মেম্বার রয়েছে , কিন্তু বাংলাদেশের ক্ষেত্রে তা হাতে গোনা ৯/১০ জন । কিন্তু সিন্যাক নিয়ে তাদের মন্তব্য হল -

প্রথম কথা, যারা ডিডস দিয়েছে তাদের synack রে গুণায় ধরার প্রয়োজন হয় না।

তাদের এই কথা শুনে প্রচন্ড অবাক হলাম, তারা সিন্যাক নিয়ে কি বললো এটা ? বাইরের দেশে ইথিক্যালি হ্যাকাররা সিন্যাক মেম্বারদের আইডল ভাবে । আমার নিজের আইডল তারেক সিদ্দিকি ভাই ছিলেন সিন্যাকের ওয়েব অ্যাপ্লিকেশান দিক টপ ১০ হ্যাকারদের একজন । আমরাও চাই আমাদের দেশের আরও মানুষেরা সিন্যাক এর মত platform এ যাক, তুলে ধরুক বাংলাদেশকে বর্হিবিশ্বর কাছে । কিন্তু তাদের এই মন্তব্যের কারণে কি এখন এই platform এর দিকে মানুষের আগ্রহ কমে গেলো না? তাদের মন্তব্য দেখে আপনারাই বলুন কে কাকে দাবায়ে রাখছে ?

তাদের যদি বলেন ইন্টারন্যাশনাল কোন প্ল্যাটফর্মে তাদের achievements দেখাইতে তাহলে তারা বলবে

আমরা কোথায় বলেছি আমরা বাগ হান্টার ?

তাহলে বলি যেসব wordpress exploits ব্যাবহার করে সাইট হ্যাক করে হ্যাকড বাই অমুক লিখে দেন সেইগুলা কারা বের করে একটু খোজ নিয়ে জানবেন 😴

তারা নাকি আবার ইথিক্যালি হ্যাকার ! তাদের কর্মকাণ্ড কোন দিকে দিয়ে ইথিক্যালি কেও একটু বুঝাবেন ? সাধারণ মানুষকে চাপা মেরে তাদের Sentiments ব্যবহার করে, ফেইসবুক পোষ্ট boost দিয়ে like কামায়ে + টাকা দিয়ে নিউজ করে সাধারণ মানুষকে বোকা বানিয়ে like কামানো ও course বিক্রি ছাড়া কিছু করতে পারছে তারা ? অন্য দিকে প্ল্যাটফর্মে কাজ করে কত ইথিক্যালি হ্যাকার দেশে কত বৈদেশিক টাকা আনছে সেই হিসাব কেও করছেন ?

Recently একটা মেয়ে ফেইসবুকে ভুলনেরাবিলিটি বের করে ফেসবুকের বাউন্টি পাই যে এরিনা ওয়েব সিকিউরিটির সাবেক শিক্ষার্থী ছিল এবং এই বিষয়টি অনেকে ভুয়া বলেছেন, কিন্তু আমি নিজে মেয়েটির প্রোফাইল দেখে নিশ্চিত করি এটি সত্য এবং সবাইকে বিষয়টি বোঝানোর চেষ্টা করি । কারণ আমরা চাই বাংলাদেশের মানুষ আরও এগিয়ে যাক । তুলে ধরুক বাংলাদেশকে বর্হিবিশ্বর কাছে । ❤️

এখন তারা পোষ্ট দেখে বলতে পারে আমি কইদিন আসছি এই লাইনে যে senior দের নিয়ে কথা বলতেছি অথবা এত লাফাচ্ছি ? হ্যাঁ এইটা সত্যি যে হইত খুব একটা বেশি কিছু জানি না , এখনও অনেক কিছু শেখার বাকী আছে , কিন্তু আমার কাছে লজিক দিকে যেইটি ঠিক মনে হয়েছে সেইটি বলার চেষ্টা করেছি । আমার কথা সাথে সবাই একমত নাও হয়তে পারেন এইটাই স্বাভাবিক , আশা করি কিছু ভুল বললে শুধরায়ে দিবেন ।

Bonus round: তাদের অন্ধ ভক্তরা একবার https://www.facebook.com/AmjonotaCyberArmy/ এই পেইজের পোষ্টগুলা দেখে আসবেন । [ নোটঃ পোষ্টগুলা report করতে ভুলবেন না ❤️ ]

Written by

A teenager boy with passion of Breaking Security .

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store