Google: গুগলের সিস্টেমে ত্রুটি খুঁজে দিয়ে ১৮ লক্ষ টাকা পেল দুই ভারতীয়

শীর্ষস্থানীয় প্রযুক্তি সংস্থাগুলি তাদের প্রোগ্রাম বা সিস্টেমে কোনো প্রকারের বাগ অথবা দুর্বলতা (vulnerability) সনাক্ত করার বিনিময়ে আবিষ্কর্তাদের বাগ বাউন্টি অফার করে থাকে। এক্ষেত্রে আমেরিকা ভিত্তিক টেক জায়ান্ট গুগল (Google) -ও এই একই নীতি অনুসরণ করে বাগ সনাক্তকরণের জন্য নেপথ্যে থাকা ব্যক্তিদের পুরস্কৃত করে। সম্প্রতি দু'জন ভারতীয় হ্যাকার গুগলের ক্লাউড প্রোগ্রাম প্রজেক্টে একটি নিরাপত্তাজনিত ত্রুটি খুঁজে পেয়েছিলেন। যার দরুন, সুন্দর পিচাই পরিচালিত টেক সংস্থাটি পুরস্কার স্বরূপ তাদের ২২,০০০ ডলার বা ভারতীয় মূল্যে প্রায় ১৮ লক্ষ টাকা প্রদান করেছে। এক্ষেত্রে, ৫,০০০ ডলার দেওয়া হয়েছে শুধুমাত্র একটি মেজর সার্ভার সাইড রিকোয়েস্ট ফ্রজেরি বাগ এবং সাব-সিকোয়েন্ট প্যাচ বাইপাস স্পট করার জন্য।

Google Cloud সিস্টেমে বাগ আবিষ্কার করে ১৮ লক্ষ টাকা পেল দুই ভারতীয় হ্যাকার

গুগলের ক্লাউড সিস্টেম প্রজেক্টে বাগ খুঁজে পাওয়ার নেপথ্যে আছেন শ্রীরাম কেএল (Sreeram KL) এবং শিবানেশ অশোক (Sivanesh Ashok) নামের দুই ভারতীয় হ্যাকার। এই বিষয়ে তারা জানিয়েছেন, গুগলের সফ্টওয়্যারে, বিশেষ করে গুগল ক্লাউড প্ল্যাটফর্মে বাগ খুঁজে বের করার চেষ্টা করছিলেন তারা। এই প্ল্যাটফর্মটি তাদের কাছে নতুন ছিল, কিন্তু তা সত্ত্বেও তারা 'এসএসএইচ-ইন-ব্রাউজার' (SSH-in-browser) নামক একটি ফিচারের মধ্যে ত্রুটি খুঁজে পেয়েছিলেন।

অশোক একটি ব্লগ পোস্টে জানান যে, “যেহেতু গুগল ক্লাউড নিয়ে আমরা প্রথমবার কাজ করার সিদ্ধান্ত নিয়েছিলাম, সেহেতু স্বাভাবিকভাবেই গুগলের সবচেয়ে জনপ্রিয় প্রোডাক্টের মধ্যে একটি কম্পিউট ইঞ্জিন আমাদের সমস্যায় ফেলেছিল। তাই আমরা এর ফিচারগুলি কীভাবে কাজ করে তা ঘেঁটে দেখছিলাম। আর এই সময়ই, এসএসএইচ-ইন-ব্রাউজার ফিচারটি আমাদের নজরে আসে।" এই ভারতীয় হ্যাকার বিষয়টিকে আরও ব্যাখ্যা করে বলেন যে - এসএসএইচ-ইন-ব্রাউজার হল GCP বা গুগল ক্লাউড প্রজেক্টের একটি ফিচার, যা ইউজারদের তাদের ওয়েব ব্রাউজারের মাধ্যমে একটি ভার্চুয়াল মেশিনের ন্যায় SSH প্রোটোকল ব্যবহার করে কম্পিউটার ইনস্ট্যান্স অ্যাক্সেস করতে দেয়।"

শ্রীরাম কেএল এবং শিবানেশ অশোক যে বাগটি খুঁজে পেয়েছেন, তা ইউজার সিকিউরিটির দিক থেকে হুমকিস্বরূপ। কেননা, এই বাগ শুধুমাত্র একটি ক্লিকের মাধ্যমে অন্য যেকোনো ইউজারের ভার্চুয়াল মেশিনের নিয়ন্ত্রণ হস্তগত করতে সক্ষম, যা সাইবার সিকিউরিটির নিরিখে অত্যন্ত গুরুতর একটি সমস্যা। ফলে এরূপ একটি বাগ সনাক্ত করার জন্য গুগল তাদের যোগ্য পুরস্কারই দিয়েছে। যদিও, গুগল ক্লাউড প্ল্যাটফর্মে অনুসন্ধান শুরু করার প্রাথমিক মুহূর্তেই এত সহজে একটি অত্যন্ত গুরুত্বপূর্ণ বাগ খুঁজে পাওয়ার বিস্ময় এখনো কাটিয়ে উঠতে পারেননি শ্রীরাম এবং অশোক।

যাইহোক, সার্চ জায়ান্ট গুগলের গবেষকেরা ক্লাউড প্ল্যাটফর্মে এই ত্রুটির কথা জানার পরেই জিইটি (GET) এন্ডপয়েন্ট এবং ডোমেন ভ্যারিফিকেশন পদ্ধতি উন্নত করতে তথা সমস্যার সমাধানের জন্য ক্রস-সাইট রিকোয়েস্ট ফ্রজেরি (CSRF) প্রটেকশন নামক একটি সিকিউরিটি ফিচার যুক্ত করে দিয়েছিলেন।

প্রসঙ্গত, এর আগেও অশোক এবং শ্রীরাম 'থিয়া' (Theia) নামের অন্য একটি গুগল ক্লাউড প্ল্যাটফর্মে বাগ খুঁজে পেয়েছিলেন। হ্যাকার দ্বয় জানান যে, থিয়া প্ল্যাটফর্ম ব্যবহার করতে গিয়ে তারা দেখেন যে এটা লেটেস্ট সংস্করণ নয়। ফলে তারা পুরোনো সংস্করণে দুর্বলতার অনুসন্ধানের কাজে লেগে যান এবং একাধিক বাগ খুঁজে পান। যদিও সেগুলির মধ্যে বেশিরভাগই সিস্টেমে কোনো ক্ষতিকারণ প্রভাব বিস্তারে সক্ষম ছিল না। যাইহোক, পরবর্তী সময়ে এই বাগগুলির মধ্যে কয়েকটিকে ইনস্টলেশন থেকে সরিয়ে দেওয়া হয়েছিল বলে জানানো হয়েছে।