ভেদন পরীক্ষা

ভেদন পরীক্ষা বলতে কোনও কম্পিউটার ব্যবস্থার নিরাপত্তা বা আক্রান্তপ্রবণতা যাচাই করতে সেটির উপর অনুমোদিত কৃত্রিম আক্রমণকে বোঝায়। এমন পরীক্ষায় পরিপূর্ণভাবে যথাসম্ভব ঝুঁকি মূল্যায়নের মাধ্যমে একটি ব্যবস্থার দূর্বলতা ও শক্তি দুটোই চিহ্নিত করা হয়। একে ইংরেজি ভাষায় পেনেট্রেশন টেস্ট (Penetration Test) বা সংক্ষেপে পেন টেস্ট বলা হয়।

এ প্রক্রিয়ায় সাধারণত লক্ষ্যের সিস্টেম ও নির্দিষ্ট লক্ষ্য নির্বাচন করে, তারপর প্রাপ্ত তথ্যকে পর্যালোচনা ও লক্ষ্যার্জনে বিভিন্ন পদক্ষেপ গ্রহণ করা হয়। সাদা বাক্স (হোয়াইট বক্স) ও কালো বাক্সে (ব্ল্যাক বক্স) নামক দুই ধরনের আক্রমণ হতে পারে। সাদা বাক্স আক্রমণের ক্ষেত্রে ব্যবস্থাটি সম্পর্কে পর্যাপ্ত তথ্য প্রদান করা হয়, অন্যদিকে কালো বাক্স আক্রমণের ক্ষেত্রে ব্যবস্থা সম্পর্কে শুধুমাত্র প্রাথমিক তথ্য প্রদান করা হয় বা কোন তথ্যই প্রদান করা হয় না। কোনও আক্রমণ থেকে ব্যবস্থাটি সুরক্ষিত কি না তা নির্ণয় করতে ভেদন পরীক্ষা সাহায্য করে, এবং সুরক্ষিত না হলে প্রতিরোধের ব্যবস্থা গ্রহণ করা হয়। ^[১]

ভেদন পরীক্ষাতে পাওয়া নিরাপত্তাজনিত সমস্যাগুলি ব্যবস্থার মালিকের কাছে প্রতিবেদন আকারে পাঠানো হয়।^[২] ভেদন পরীক্ষা প্রতিবেদনে কোনও সংগঠনের উপর সম্ভাব্য আক্রমণের ব্যাপারে অবহিত করা হয় ও এবং হামলা-প্রতিরোধী পরামর্শ প্রদান করে।

ভেদন পরীক্ষার লক্ষ্য অনুমোদিত কার্যক্রমের উপর ভিত্তি করে পরিবর্তিত হয়।^[৩] ভেদন পরীক্ষা একটি পূর্ণাঙ্গ নিরাপত্তা নিরীক্ষা (সিকিউরিটি অডিট) একটি অংশ। উদাহরণস্বরূপ, মূল্যপরিশোধ কার্ড শিল্পে (পেমেন্ট কার্ড ইন্ডাস্ট্রি) উপাত্ত নিরাপত্তা মান বা আদর্শগুলির (ডাটা সিকিউরিটি স্ট্যান্ডার্ড) নিয়মিত সময়সূচিতে ভেদন পরীক্ষণ করা উচিত।^[৪]

সরঞ্জাম

ভেদন পরীক্ষার জন্যে বহুবিভিন্ন ধরনের নিরাপত্তা মূল্যায়ন সরঞ্জাম রয়েছে, যার মধ্যে বিনামূল্য ও বাণিজ্যিক সফটওয়্যার দুই ধরনেরই রয়েছে।

বিশেষ অপারেটিং সিস্টেম বিতরণ

ভেদন পরীক্ষার উপযোগী অনেকগুলো অপারেটিং সিস্টেম বিতরণ রয়েছে।^[৫] এসব বিতরণগুলিতে সাধারণত প্রাক-মোড়কীকৃত ও প্রাক-বিন্যস্ত সরঞ্জামের সংকলন থাকে। ভেদন পরীক্ষকের সবগুলি সরঞ্জাম আলাদা আলাদা করে খুঁজে নিতে হয় না, যা সংকলক ত্রুটি, নির্ভরশীলতা সমস্যা (ডিপেন্ডেন্সি ইস্যু), বিন্যস্তকরণ সমস্যা (কনফিগারেশন ইস্যু), ইত্যাদির মত জটিলতা বাড়াতে পারে।

উল্লেখযোগ্য ভেদন পরীক্ষা অপারেটিং সিস্টেমের উদাহরণ হলো:

ব্যাকবক্স, উবুন্টু ভিত্তিক
কালি লিনাক্স, ডেবিয়ান ভিত্তিক
প্যারোট সিকিউরিটি ওএস, ডেবিয়ান ভিত্তিক
পেন্টু, জেন্টু ভিত্তিক
ডব্লিউএইচএএক্স, স্ল্যাকওয়্যার ভিত্তিক

ভেদন পরীক্ষাকে সহজতর করতে আলাদা আলাদা ক্ষেত্রের জন্যে অনেকগুলি আলাদা আলাদা বিশেষ অপারেটিং সিস্টেম রয়েছে।

সফটওয়্যার পরিকাঠামো

বার্প স্যুট
মেটাস্পলেয়েট প্রকল্প
এনম্যাপ
ওউসাপ জ্যাপ
ডব্লিউথ্রিএএপ

ধাপ

ভেদন পরীক্ষা প্রক্রিয়ার পাঁচটি ধাপ রয়েছে: ১) প্রাথমিক নিরীক্ষণ - লক্ষ্যবস্তু সম্পর্কে প্রয়োজনীয় তথ্য সংগ্রহ। ভাল আক্রমণের কাজে এ তথ্য সহায়তা করে। উদাহরণস্বরূপ, ওপেন সোর্স সার্চ ইঞ্জিন ব্যবহার করে সোশ্যাল ইঞ্জিনিয়ারিং এর কাজে ব্যবহৃত তথ্য সংগ্রহ করা হয়।

২) নির্ণয় করা - টেকনিক্যাল টুল ব্যবিহার করে আক্রমণকারীর সিস্টেম সম্পর্কে জ্ঞান বাড়ায়। যেমন, এনম্যাপ বা নেটওয়ার্ক ম্যাপিং ওপেন পোর্ট স্ক্যান করতে ব্যবহৃত হয়।

৩) প্রবেশাধিকার অর্জন - প্রাথমিক নিরীক্ষণ ও স্ক্যানিং ধাপে সংগৃহীত তথ্য ব্যবহার করে, আক্রমণকারী লক্ষ্যবস্তু অর্জনের জন্যে পেলোড ব্যবহার করতে পারে। যেমন— জ্ঞাত দূর্বলতার জন্যে মেটাস্পলেয়েট ব্যবিহার করা হয়।

৪) প্রবেশাধিকার বহাল রাখা - প্রবেশাধিকার বহাল রাখার জন্যে কিছু পদক্ষেপের প্রয়োজন হয়, যাতে করে লক্ষ্যবস্তুর অভ্যন্তরে থেকে যতটুকু ডাটা সম্ভব সংগ্রহ করা।

৫) পদচিহ্ন মুছে ফেলা - আক্রমণকারী অবশ্যই নিজেকে অজ্ঞাত রাখতে আক্রান্ত সিস্টেমে রাখা সমস্ত চিহ্ন, লগ ও ডাটা মুছতে হবে।^[৬]

একবার আক্রমণকারী কোন দুর্বলতা খুঁজে ফেলে, তারা অন্যান্য যন্ত্রেও প্রবেশ করতে পারে, যাতে প্রক্রিয়াটির পুনরাবৃত্তি হয়। এ প্রক্রিয়াটি অভিমুখ পরিবর্তন ("পিভটিং") নামে পরিচিত।

তথ্যসূত্র

↑ "Penetration Testing: Assessing Your Overall Security Before Attackers Do"। SANS Institute। সংগ্রহের তারিখ ১৬ জানুয়ারি ২০১৪।
↑ "Writing a Penetration Testing Report"। SANS Institute। সংগ্রহের তারিখ ১২ জানুয়ারি ২০১৫।
↑ Patrick Engebretson, The basics of hacking and penetration testing ওয়েব্যাক মেশিনে আর্কাইভকৃত ৪ জানুয়ারি ২০১৭ তারিখে, Elsevier, 2013
↑ Alan Calder and Geraint Williams। PCI DSS: A Pocket Guide, 3rd Edition। আইএসবিএন 978-1-84928-554-4। network vulnerability scans at least quarterly and after any significant change in the network
↑ Faircloth, Jeremy (২০১১)। "Chapter 1:Tools of the Trade"। Penetration Tester's Open Source Toolkit (PDF) (Third সংস্করণ)। Elsevier। আইএসবিএন 1597496278। সংগ্রহের তারিখ ৪ জানুয়ারি ২০১৮। ^{[যাচাই করার জন্য উদ্ধৃতি প্রয়োজন]}
↑ "Summarizing The Five Phases of Penetration Testing - Cybrary"। Cybrary। ২০১৫-০৫-০৬। ২০১৯-০৪-০৮ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০১৮-০৬-২৫।

[1] "Penetration Testing: Assessing Your Overall Security Before Attackers Do"। SANS Institute। সংগ্রহের তারিখ ১৬ জানুয়ারি ২০১৪।

[SANS_Institute-2] "Writing a Penetration Testing Report"। SANS Institute। সংগ্রহের তারিখ ১২ জানুয়ারি ২০১৫।

[3] Patrick Engebretson, The basics of hacking and penetration testing ওয়েব্যাক মেশিনে আর্কাইভকৃত ৪ জানুয়ারি ২০১৭ তারিখে, Elsevier, 2013

[4] Alan Calder and Geraint Williams। PCI DSS: A Pocket Guide, 3rd Edition। আইএসবিএন 978-1-84928-554-4। network vulnerability scans at least quarterly and after any significant change in the network

[5] Faircloth, Jeremy (২০১১)। "Chapter 1:Tools of the Trade"। Penetration Tester's Open Source Toolkit (PDF) (Third সংস্করণ)। Elsevier। আইএসবিএন 1597496278। সংগ্রহের তারিখ ৪ জানুয়ারি ২০১৮। ^{[যাচাই করার জন্য উদ্ধৃতি প্রয়োজন]}

[6] "Summarizing The Five Phases of Penetration Testing - Cybrary"। Cybrary। ২০১৫-০৫-০৬। ২০১৯-০৪-০৮ তারিখে মূল থেকে আর্কাইভ করা। সংগ্রহের তারিখ ২০১৮-০৬-২৫।

[১]

[২]

[৩]

[৪]

[৫]

[৬]