Google: গুগলের সিস্টেমে ত্রুটি খুঁজে দিয়ে ১৮ লক্ষ টাকা পেল দুই ভারতীয়

Google Cloud সিস্টেমে বাগ আবিষ্কার করে ১৮ লক্ষ টাকা পেল দুই ভারতীয় হ্যাকার

Google Pays Indian Hackers ₹18 Lakh

শীর্ষস্থানীয় প্রযুক্তি সংস্থাগুলি তাদের প্রোগ্রাম বা সিস্টেমে কোনো প্রকারের বাগ অথবা দুর্বলতা (vulnerability) সনাক্ত করার বিনিময়ে আবিষ্কর্তাদের বাগ বাউন্টি অফার করে থাকে। এক্ষেত্রে আমেরিকা ভিত্তিক টেক জায়ান্ট গুগল (Google) -ও এই একই নীতি অনুসরণ করে বাগ সনাক্তকরণের জন্য নেপথ্যে থাকা ব্যক্তিদের পুরস্কৃত করে। সম্প্রতি দু’জন ভারতীয় হ্যাকার গুগলের ক্লাউড প্রোগ্রাম প্রজেক্টে একটি নিরাপত্তাজনিত ত্রুটি খুঁজে পেয়েছিলেন। যার দরুন, সুন্দর পিচাই পরিচালিত টেক সংস্থাটি পুরস্কার স্বরূপ তাদের ২২,০০০ ডলার বা ভারতীয় মূল্যে প্রায় ১৮ লক্ষ টাকা প্রদান করেছে। এক্ষেত্রে, ৫,০০০ ডলার দেওয়া হয়েছে শুধুমাত্র একটি মেজর সার্ভার সাইড রিকোয়েস্ট ফ্রজেরি বাগ এবং সাব-সিকোয়েন্ট প্যাচ বাইপাস স্পট করার জন্য।

Google Cloud সিস্টেমে বাগ আবিষ্কার করে ১৮ লক্ষ টাকা পেল দুই ভারতীয় হ্যাকার

গুগলের ক্লাউড সিস্টেম প্রজেক্টে বাগ খুঁজে পাওয়ার নেপথ্যে আছেন শ্রীরাম কেএল (Sreeram KL) এবং শিবানেশ অশোক (Sivanesh Ashok) নামের দুই ভারতীয় হ্যাকার। এই বিষয়ে তারা জানিয়েছেন, গুগলের সফ্টওয়্যারে, বিশেষ করে গুগল ক্লাউড প্ল্যাটফর্মে বাগ খুঁজে বের করার চেষ্টা করছিলেন তারা। এই প্ল্যাটফর্মটি তাদের কাছে নতুন ছিল, কিন্তু তা সত্ত্বেও তারা ‘এসএসএইচ-ইন-ব্রাউজার’ (SSH-in-browser) নামক একটি ফিচারের মধ্যে ত্রুটি খুঁজে পেয়েছিলেন।

অশোক একটি ব্লগ পোস্টে জানান যে, “যেহেতু গুগল ক্লাউড নিয়ে আমরা প্রথমবার কাজ করার সিদ্ধান্ত নিয়েছিলাম, সেহেতু স্বাভাবিকভাবেই গুগলের সবচেয়ে জনপ্রিয় প্রোডাক্টের মধ্যে একটি কম্পিউট ইঞ্জিন আমাদের সমস্যায় ফেলেছিল। তাই আমরা এর ফিচারগুলি কীভাবে কাজ করে তা ঘেঁটে দেখছিলাম। আর এই সময়ই, এসএসএইচ-ইন-ব্রাউজার ফিচারটি আমাদের নজরে আসে।” এই ভারতীয় হ্যাকার বিষয়টিকে আরও ব্যাখ্যা করে বলেন যে – এসএসএইচ-ইন-ব্রাউজার হল GCP বা গুগল ক্লাউড প্রজেক্টের একটি ফিচার, যা ইউজারদের তাদের ওয়েব ব্রাউজারের মাধ্যমে একটি ভার্চুয়াল মেশিনের ন্যায় SSH প্রোটোকল ব্যবহার করে কম্পিউটার ইনস্ট্যান্স অ্যাক্সেস করতে দেয়।”

শ্রীরাম কেএল এবং শিবানেশ অশোক যে বাগটি খুঁজে পেয়েছেন, তা ইউজার সিকিউরিটির দিক থেকে হুমকিস্বরূপ। কেননা, এই বাগ শুধুমাত্র একটি ক্লিকের মাধ্যমে অন্য যেকোনো ইউজারের ভার্চুয়াল মেশিনের নিয়ন্ত্রণ হস্তগত করতে সক্ষম, যা সাইবার সিকিউরিটির নিরিখে অত্যন্ত গুরুতর একটি সমস্যা। ফলে এরূপ একটি বাগ সনাক্ত করার জন্য গুগল তাদের যোগ্য পুরস্কারই দিয়েছে। যদিও, গুগল ক্লাউড প্ল্যাটফর্মে অনুসন্ধান শুরু করার প্রাথমিক মুহূর্তেই এত সহজে একটি অত্যন্ত গুরুত্বপূর্ণ বাগ খুঁজে পাওয়ার বিস্ময় এখনো কাটিয়ে উঠতে পারেননি শ্রীরাম এবং অশোক।

যাইহোক, সার্চ জায়ান্ট গুগলের গবেষকেরা ক্লাউড প্ল্যাটফর্মে এই ত্রুটির কথা জানার পরেই জিইটি (GET) এন্ডপয়েন্ট এবং ডোমেন ভ্যারিফিকেশন পদ্ধতি উন্নত করতে তথা সমস্যার সমাধানের জন্য ক্রস-সাইট রিকোয়েস্ট ফ্রজেরি (CSRF) প্রটেকশন নামক একটি সিকিউরিটি ফিচার যুক্ত করে দিয়েছিলেন।

প্রসঙ্গত, এর আগেও অশোক এবং শ্রীরাম ‘থিয়া’ (Theia) নামের অন্য একটি গুগল ক্লাউড প্ল্যাটফর্মে বাগ খুঁজে পেয়েছিলেন। হ্যাকার দ্বয় জানান যে, থিয়া প্ল্যাটফর্ম ব্যবহার করতে গিয়ে তারা দেখেন যে এটা লেটেস্ট সংস্করণ নয়। ফলে তারা পুরোনো সংস্করণে দুর্বলতার অনুসন্ধানের কাজে লেগে যান এবং একাধিক বাগ খুঁজে পান। যদিও সেগুলির মধ্যে বেশিরভাগই সিস্টেমে কোনো ক্ষতিকারণ প্রভাব বিস্তারে সক্ষম ছিল না। যাইহোক, পরবর্তী সময়ে এই বাগগুলির মধ্যে কয়েকটিকে ইনস্টলেশন থেকে সরিয়ে দেওয়া হয়েছিল বলে জানানো হয়েছে।