November 16, 2018

নভেম্বরেই সার্ভার উন্মুক্ত করে সুইফটের কর্মীরা

ঢাকাঃ  গত বছর আগস্ট থেকে নভেম্বর। এই চার মাস সুইফটের টেকনিশিয়ানরা বাংলাদেশ ব্যাংকের সার্ভারে কাজ করে। সুইফট সার্ভারের সঙ্গে তারা আরটিজিএস (রিয়েল টাইম গ্রস সেটেলমেন্ট) নামে আরেকটি সার্ভারকে সংযুক্ত করে। নিয়ম অনুযায়ী সুইফট সার্ভারে আরেকটি সার্ভার আইপির সংযোগ দেয়ার কথা ছিল। কিন্তু তা না করে সেখানে লোকাল এরিয়া নেটওয়ার্কের একটি আইপির সংযোগ দেয়। এতে সুইফট সার্ভারের সঙ্গে ব্যাংকের ৫ হাজার সাধারণ কম্পিউটারের সংযোগ এক হয়ে যায়। এমনকি ওই সার্ভারে কোনো ধরনের ফায়ার ওয়াল বা ম্যানেজেবল সুইচও বসানো হয়নি। একই সঙ্গে সুইফটের একজন টেকনিশিয়ান সার্ভার রুমের বাইরে বসে রিমোট একসেসের মাধ্যমে পাসওয়ার্ড ব্যবহার করে কাজ করেন। যাবার সময় সেই রিমোট একসেসটি চালু রেখেই চলে যান তারা। এসব কারণে তদন্তকারী সংস্থা বাংলাদেশ পুলিশের অপরাধ তদন্ত বিভাগ-সিআইডি বলছে, সুইফটের টেকনিশিয়ানরা এটা ইনটেনশনালি করেছে বলে তাদের মনে হয়েছে। সুইফট সার্ভার অরক্ষিত রাখার দু’মাসের মধ্যেই বাংলাদেশ ব্যাংক থেকে ৮১ মিলিয়ন ডলার হ্যাকিং হয়েছে।

বিষয়টি জানতে ইতিমধ্যে সুইফটের ৮ কারিগরকে জিজ্ঞাসাবাদের জন্য বাংলাদেশ ব্যাংকের মাধ্যমে চিঠি দিয়েছে সিআইডি। একই সঙ্গে বিষয়টির বিস্তারিত জানতে সুইফটের প্রধান কার্যালয় বেলজিয়ামে গিয়েছেন বাংলাদেশ ব্যাংকের গভর্নর ফজলে কবির। তার সঙ্গে ব্যাংকের কয়েকজন তথ্য-প্রযুক্তি বিশেষজ্ঞ রয়েছেন। সিআইডির অতিরিক্ত উপ-মহাপরিদর্শক শাহ আলম বলেন, আমরা সুইফটের টেকনিশিয়ানদের মারাত্মক কিছু অবহেলার প্রমাণ পেয়েছি। বিষয়টি নিয়ে আমরা গভীরভাবে অনুসন্ধান করছি। সিআইডি সূত্র জানায়, গত বছরের শুরুতে বাংলাদেশ ব্যাংক লোকাল ব্যাংকগুলোর কাছে দ্রুত টাকা ট্রান্সফারের জন্য একটি সিস্টেম চালুর উদ্যোগ নেয়। আরটিজিএস বা রিয়েল টাইম গ্রস সেটলমেন্ট সিস্টেম চালুর জন্য একটি কর্ম-পরিকল্পনাও তৈরি হয়। এই সিস্টেম চালুর মাঝামাঝি সময়ে সুইফট এই প্রক্রিয়ার সঙ্গে যুক্ত হয়। বাংলাদেশ ব্যাংকের চাহিদা অনুযায়ী আরটিজিএসের সঙ্গে সুইফট সার্ভারের সংযোগ করিয়ে দেয়ার জন্য সুইফট কয়েকজন টেকনিশিয়ান পাঠায়।

তারা সুইফট সার্ভারের সঙ্গে আরটিজিএস সার্ভারের সংযোগ দিতে গিয়ে লোকাল এরিয়া নেটওয়ার্কের সঙ্গে যুক্ত করে দেয়। সিআইডির ঊর্ধ্বতন একজন কর্মকর্তা বলেন, এটি কোনোভাবেই অনিচ্ছাকৃত ভুল হতে পারে না। কারণ এটি এমন নয় যে ‘প্লাগ অ্যান্ড প্লে’ সিস্টেমে এটি চালু হয়ে যাবে। লোকাল এরিয়া নেটওয়ার্কের সঙ্গে কানেকশন দেয়ার পর কনফিগার করতে হয়েছে। আরো অনেক কাজ রয়েছে। যার ফলে এটা অনিচ্ছাকৃত ভুল বলার কোনো সুযোগ নেই। ওই কর্মকর্তা বলেন, সুইফট টেকনেশিয়ানের এই কাজের ফলে সুইফটের নিজস্ব সার্ভারের সঙ্গে ব্যাংকে যে ৫ হাজার কম্পিউটার রয়েছে তার সঙ্গে অটো সংযোগ হয়ে যায়। এটিতে হ্যাকারদের হ্যাকিংয়ে সুযোগ করে দেয়া হয়েছে।

সিআইডি সূত্র জানায়, লোকাল এরিয়া নেটওয়ার্কের সঙ্গে সংযোগ স্থাপন করার পর নিয়ম অনুযায়ী যে ফায়ার ওয়াল বসানোর কথা তাও বসানো হয়নি। এটি বসানো হলে হ্যাকারদের হয়তো আরেকটু বেশি কষ্ট হতো বা সার্ভারে ঢুকতে বাধা পেত। একই সঙ্গে ম্যানেজেবল সুইচ দেয়া থাকলেও হতো। ম্যানেজেবল সুইচ নির্দিষ্ট কম্পিউটার বা আইপিগুলো একসেস দেয়ার ক্ষেত্রে সহায়তা করে। এটিও করেনি সুইফটের কর্মীরা। উল্টো তারা পুরনো একটা সুইচ বসিয়ে দিয়েছে, যা কোনো কাজ করেনি। তদন্ত সংশ্লিষ্টরা বলছেন, সুইফট সিস্টেমে সংযুক্ত কম্পিউটারের ইউএসবি পোর্টও নিষ্ক্রিয় করতে পারেনি টেকনিশিয়ানরা। গুরুত্বপূর্ণ নেটওয়ার্কগুলোতে যাতে ক্ষতিকর সফটওয়্যার ইনস্টল না করা যায় তার জন্যই এসব নেটওয়ার্কে কোনো ইউএসবি পোর্ট নিষ্ক্রিয় রাখা হয়। তবে সুইফট রুমের পরিচালনা ব্যবস্থার সঙ্গে পরিচিত ব্যাংকের অন্য একজন কর্মকর্তা বার্তা সংস্থা রয়টার্সকে নিশ্চিত করেন যে অর্থ কেলেঙ্কারির ঘটনা জানাজানি হওয়ার আগ পর্যন্ত ওই পোর্ট ‘সক্রিয়’ ছিল।

তবে সিআইডির এমন অভিযোগের বিষয়ে মন্তব্য জানতে রয়টার্সের পক্ষ থেকে সুইফটের প্রধান মুখপাত্র নাতাশা ডি তেরানের সঙ্গে যোগাযোগ করা হয়। তবে তিনি এ বিষয়টি নিয়ে কোনো মন্তব্য করেননি। বিশ্বের প্রায় আট হাজার ব্যাংক অর্থ স্থানান্তরের জন্য সুইফট মেসেজিং সিস্টেম ব্যবহার করে। অনেক ব্যাংকেই সুইফট সিস্টেম যুক্ত রয়েছে আরটিজিএস সিস্টেমের সঙ্গে। এখনও পর্যন্ত এই দুই সিস্টেমের মধ্যে সংযোগ বিষয়ে কোনো অভিযোগ পাওয়া যায়নি। গত সপ্তাহে নিউইয়র্ক ফেডারেল রিজার্ভ ব্যাংকের একজন কর্মকর্তা রিচার্চ ডিজিনা এক সংবাদ সম্মেলনে বলেন, অর্থ স্থানান্তরে ব্যাংকের কর্মীরা ‘সঠিকভাবে কাজ করছেন’। তিনি বলেন, ওই সিস্টেমে অনুপ্রবেশ ঘটেছিল কারণ হ্যাকাররা অর্থ স্থানান্তরের জন্য প্রয়োজনীয় তথ্যাদি হাতিয়ে নিতে পেরেছিল।

সিআইডির তদন্ত সংশ্লিষ্ট কর্মকর্তারা জানান, গত বছরের আগস্ট থেকে অক্টোবর পর্যন্ত প্রথম দফায় সুইফটের কর্মীরা কাজ করে যাবার পর নভেম্বরের প্রথম দিকে আরেকজন কর্মী পাঠায় সুইফট। প্রথম কয়েকদিন এই কর্মী বাংলাদেশ ব্যাংকের ব্যাক অফিসের সার্ভার রুমে প্রবেশ করে কাজ করছিল। পরে ব্যাংক কর্তৃপক্ষ জানতে পারে এই কর্মী সরাসরি সুইফটের কর্মী নন। তিনি চুক্তিভিত্তিক বা তালিকাভুক্ত অস্থায়ী কর্মী। এই তথ্য পেয়ে বাংলাদেশ ব্যাংকের সংশ্লিষ্টরা তাকে সার্ভার রুম থেকে সরিয়ে আনে। এ নিয়ে সুইফটের সঙ্গে তাদের যোগাযোগও হয়। পরে অস্থায়ী ওই কর্মী ব্যাক অফিসের সার্ভার রুমের বাইরে বসেই কাজ করেন। এক্ষেত্রে তিনি রিমোট অ্যাকসেস নিয়ে কাজ করেন। একটি পাসওয়ার্ডের মাধ্যমে লোকাল এরিয়া নেটওয়ার্কের সংযোগ রয়েছে এমন কম্পিউটার থেকে সুইফ সার্ভারে প্রবেশ করে কাজ করেন তিনি। সিআইডি সূত্র জানায়, গত বছরের ২৫ নভেম্বর ওই কর্মী চলে যাবার আগে রিমোট অ্যাকসেস উন্মুক্ত রেখেই চলে যান। এটিও উদ্দেশ্যমূলকভাবে করা হয়েছে বলে মনে করছেন সিআইডির কর্মকর্তারা। সিআইডির ওই সূত্রের দাবি, এই সিস্টেমের নিরাপত্তা নিশ্চিত করার বিষয়ে সুইফটের কর্মীরা নিজেদের প্রক্রিয়া অনুসরণ করেননি বলেই দৃশ্যত মনে হচ্ছে। এ কারণে, কেন্দ্রীয় ব্যাংকের সুইফট মেসেজিং ব্যবস্থায় বাইরে থেকে প্রবেশ সহজ হয়ে যায়। সিআইডি সূত্র জানায়, ব্যাংকের সার্ভারে এসব সংযোগ ঘটানোর পর এর দুর্বলতার দিকগুলো যাচাই করার দায় সুইফটের। কিন্তু তারা তা করেনি।

তদন্ত সংশ্লিষ্ট সূত্র জানায়, বাংলাদেশ ব্যাংকের ব্যাক অফিস অব দি ডিলিং রুমের যেসব কম্পিউটার থেকে অর্থ ট্রান্সফারের জন্য অটো মেসেজ প্রদান করা হয়, সেসব কম্পিউটারে একটি করে ইলেকট্রনিকস চিপস লাগানো থাকে। সাধারণত দিনের কাজ শেষে সেই চিপস খুলে রাখার কথা। চিপস রাখার জন্য ব্যাংকে আলাদা সুরক্ষিত ভল্টও রয়েছে। কিন্তু জিজ্ঞাসাবাদে ব্যাক অফিসের কর্মকর্তারা জানিয়েছেন, সুইফটের কারিগররা তাদের চিপস না খোলার পরামর্শ দিয়ে গেছে। এজন্য তারা চিপসটি ২৪ ঘণ্টাই কম্পিউটারে লাগানো অবস্থায় রাখতো। সিআইডির উচ্চ পর্যায়ের ওই কর্মকর্তা বলেন, চিপসটি যথাযথভাবে খুলে ভল্টে রাখা হলে অর্থ ট্রান্সফারের জন্য বার্তাটি যেত না। এসব কারণেই তারা সুইফটের কারিগরদের সন্দেহ করছেন। ওই কর্মকর্তা বলেন, প্রথম দিকে সুইফট যেমন শক্তভাবে তাদের কোনো অবহেলা বা দুর্বলতা ছিল না বলে জানিয়েছে, পয়েন্ট টু পয়েন্ট ধরিয়ে দেয়ার পর তাদের স্বর এখন নরম হয়েছে। বিষয়টি জানতে ইতিমধ্যে ৪-৫ জন দক্ষ প্রযুক্তি বিশেষজ্ঞ নিয়ে বাংলাদেশ ব্যাংকের গভর্নর ফজলে কবির বেলজিয়ামে সুইফটের প্রধান কার্যালয়ে গিয়েছেন। সেখানকার টপ ম্যানেজমেন্টের সঙ্গে কথা বলবেন তিনি। একই সঙ্গে তিনি সুইজারল্যান্ডের ব্যাসেলে রাজকোষ কেলেঙ্কারির অর্থ উদ্ধার নিয়ে নিউইয়র্ক ফেডারেল রিজার্ভ ব্যাংকের প্রধান ও সুইফটের একজন ঊর্ধ্বতন কর্মকর্তার সঙ্গে আলোচনায় বসবেন।

সিআইডি সূত্র জানায়, তারা সন্দেহভাজন হিসেবে সুইফটের কর্মীদের জিজ্ঞাসাবাদ করতে চাইছেন। তাদের জিজ্ঞাসাবাদ করতে পারলে তারা কেন এমন কাজ করেছে তার একটা জবাব পাওয়া যাবে। এ কারণে বাংলাদেশ ব্যাংকের মাধ্যমে সুইফটের কাছে চিঠি পাঠানো হয়েছে। সূত্র জানায়, সুইফট কর্মীর ভুল বা অবহেলা শনাক্ত করার পর বাংলাদেশ ব্যাংকের ব্যাক অফিস, ফরেন রিজার্ভ বিভাগ ও আইটি বিভাগের কর্মকর্তাদের দফায় দফায় জিজ্ঞাসাবাদ করেছেন। জিজ্ঞাসাবাদে তারা একজনের দায়িত্ব আরেকজনের ওপর চাপানো এবং বিষয়টি সম্পর্কে অনভিজ্ঞ বলে দাবি করেছেন। সিআইডির বিশেষ পুলিশ সুপার আব্দুল্লাহহেল বাকি বলেন, আমরা হ্যাকিংয়ের ক্ষেত্র তৈরি করে দেয়ার কিছু সূত্র পেয়েছি। সেসব নিয়ে জোর তদন্ত চলছে। আশা করছি পুরো বিষয়টি ক্লিয়ার করা যাবে।

রাজকোষ কেলেঙ্কারির এই ঘটনাটির তদন্তে সহায়তা করছে আন্তর্জাতিক পুলিশ সংস্থা ইন্টারপোল ও মার্কিন যুক্তরাষ্ট্রের ফেডারেল ব্যুরো অব ইনভেস্টিগেশন-এফবিআই। গত ৩রা থেকে ৬ই মে ইন্টারপোল ও এফবিআইয়ের ছয় কর্মকর্তা সিআইডির আইটি ফরেনসিক ল্যাবে কর্মকর্তাদের সহায়তা করেন। সিআইডি সূত্র জানায়, আইটি ফরেনসিক ল্যাব থেকে পরীক্ষা-নিরীক্ষার পর সিআইডি তিনটি বিষয়ের তথ্য পেয়েছেন। ইন্টারপোল ও এফবিআই পরীক্ষ নিরীক্ষার পর নতুন একটি তথ্য আবিষ্কার করেছেন। যেটি তদন্তে আরো গতি এনে দিতে পারে বলে মন্তব্য করেছেন সিআইডির একজন ঊর্ধ্বতন কর্মকর্তা।মানব জমিন

Related posts