আর্থিক লেনদেনের বার্তা আদান-প্রদানকারী আন্তর্জাতিক মাধ্যম সুইফটের কারিগরদের অসাবধানতা বা ভুলের কারণেই বাংলাদেশের কেন্দ্রীয় ব্যাংকের সার্ভার অনেক বেশি অরক্ষিত ছিল। এর ফলে হ্যাকাররা সহজেই সার্ভারে ঢুকে রিজার্ভের অর্থ চুরির ঘটনা ঘটাতে পেরেছে বলে মনে করছেন পুলিশের তদন্তকারীরা। বিশ্বজুড়ে আলোড়ন সৃষ্টি করা এই সাইবার চুরির ঘটনা তদন্ত করছে বাংলাদেশ পুলিশের অপরাধ তদন্ত বিভাগ। সিআইডির অতিরিক্ত উপমহাপরিদর্শক শাহ আলমকে উদ্ধৃত করে রয়টার্সের এক প্রতিবেদনে বলা হয়েছে, সেই টেকনিশিয়ানরা বাংলাদেশে প্রথমবারের মতো ‘রিয়েল টাইম গ্রস বেশি বেড়ে গেছে।’ নাম প্রকাশ না করে কেন্দ্রীয় ব্যাংকের একজন কর্মকর্তার বরাত দিয়ে রয়টার্সের প্রতিবেদনে বলা হয়, বাংলাদেশ ব্যাংকে সুইফট মেসেজিং প্ল্যাটফরমের সঙ্গে ‘রিয়েল টাইম গ্রস সেটলমেন্ট সিস্টেম’ যুক্ত করার সময় নিরাপত্তা নিশ্চিত করার জন্য যে প্রক্রিয়াগুলো অনুসরণ করার কথা সুইফট ঠিক করে দিয়েছে, তাদের টেকনিশিয়ানরাই তা করেননি। আর এ কারণে কেন্দ্রীয় ব্যাংকের সুইফট মেসেজিং প্ল্যাটফরমে প্রবেশ করার সুযোগ অনেক বেড়ে যায়। এমনকি সহজ একটি পাসওয়ার্ড দিয়ে রিমোট অ্যাকসেসের (অন্য একটি কম্পিউটার থেকে) মাধ্যমেও ওই প্ল্যাটফরমে ঢোকার সুযোগ থেকে যায়। পুলিশ বলছে, বাংলাদেশ ব্যাংকের ওই প্ল্যাটফরমের সাইবার নিরাপত্তার জন্য কোনো ফায়ারওয়াল ছিল না। ব্যবহার করা হচ্ছিল সাধারণ সুইচ। কেন্দ্রীয় ব্যাংকের ওই কর্মকর্তা বলেন, ‘দুর্বলতাগুলো খুঁজে দেখা সুইফটের দায়িত্ব ছিল, কেননা তারাই ওই সিস্টেম বসিয়ে দিয়ে গেছে। কিন্তু দেখা যাচ্ছে, তারা তা করেনি।’ রয়টার্সের প্রতিবেদনে বলা হয়, সোসাইটি ফর ওয়ার্ল্ডওয়াইড ইন্টারব্যাংক ফিন্যানশিয়াল টেলিকমিউনিকেশনের বা সুইফটের প্রধান মুখপাত্র নাতাশা ডিটেরান বাংলাদেশের কর্তৃপক্ষের এ অভিযোগের বিষয়ে কোনো মন্তব্য করতে রাজি হননি। বাংলাদেশে সুইফট তাদের বা বাইরে থেকে কোনো টেকনিশিয়ান পাঠিয়েছিল কি না, সে বিষয়েও কিছু বলতে তিনি অস্বীকৃতি জানিয়েছেন। সুইফটের টেকনিশিয়ানদের কাজের বিষয়ে বাংলাদেশের পুলিশ বা কেন্দ্রীয় ব্যাংকের বক্তব্যের সত্যতা স্বাধীনভাবে তদন্ত করা রয়টার্সের পক্ষে সম্ভব হয়নি। প্রতিবেদনে বলা হয়েছে, ‘তাদের অভিযোগ সঠিক হয়ে থাকলে সুইফটের ওপর আস্থায় ফাটল ধরবে, কেননা এই প্ল্যাটফরমই এখন আন্তর্জাতিক আর্থিক লেনদেনের মেরুদণ্ড।’ যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংক অব নিউ ইয়র্ক ও সুইফট কর্তৃপক্ষের সঙ্গে বৈঠক করতে রবিবার রাতে গভর্নর ড. ফজলে কবিরের নেতৃত্বে বাংলাদেশ ব্যাংকের চার সদস্যের একটি প্রতিনিধিদল সুইজারল্যান্ডের উদ্দেশে রওনা হয়েছে। আজ মঙ্গলবার সুইজারল্যান্ডের বাসেলে ওই বৈঠকে রিজার্ভ চুরির ঘটনা এবং খোয়া যাওয়া আট কোটি ১০ লাখ ডলার আদায়ের বিষয়টি গুরুত্ব পাবে বলে কেন্দ্রীয় ব্যাংকের কর্মকর্তারা জানিয়েছেন। রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেমের মাধ্যমে স্থানীয় ব্যাংকগুলো ও কেন্দ্রীয় ব্যাংক বড় অঙ্কের লেনদেনের বিষয়গুলো নিজেদের মধ্যে মেটাতে পারে। গত বছর অক্টোবরে বাংলাদেশ ব্যাংকে ওই সিস্টেম বসানো হয়। পরে তা যুক্ত করা হয় সুইফট মেসেজিং সিস্টেমের সঙ্গে। এরপর ফেব্রুয়ারিতে হ্যাকাররা ফেডারেল রিজার্ভ ব্যাংক অব নিউ ইয়র্কে রক্ষিত বাংলাদেশের এক বিলিয়ন ডলার বিভিন্ন অ্যাকাউন্টে সরিয়ে নিতে ভুয়া বার্তা পাঠায় সুইফট মেসেজিং সিস্টেমের মাধ্যমে। ঢাকায় বাংলাদেশ ব্যাংকের সার্ভার ব্যবহার করেই বার্তা পাঠানোর কাজটি করা হয়েছিল বলে এখন পর্যন্ত তদন্তকারীদের ধারণা। ফেডারেল রিজার্ভের পাঠানো ৩৫টি অর্থ স্থানান্তরের আদেশের মধ্যে অধিকাংশ আটকে গেলেও চারটি আদেশে আটটি কোটি ১০ লাখ ডলার ফিলিপাইনে এবং একটি আদেশে দুই কোটি ডলার শ্রীলঙ্কার একটি ব্যাংককে পাঠিয়ে দেওয়া হয়। বানান ভুলের কারণে সন্দেহ হওয়ায় শ্রীলঙ্কায় যাওয়া টাকা আর অ্যাকাউন্টে জমা হয়নি। কিন্তু ফিলিপাইনে যাওয়া অর্থের পুরোটাই স্থানীয় মুদ্রায় বদলে ফেলা হয়, এর একটি বড় অংশ চলে যায় জুয়ার টেবিলে। বাকি টাকার কোনো খোঁজ এখনো মেলেনি। রিজার্ভ চুরির তদন্ত কত দূর এগিয়েছে সে বিষয়ে রয়টার্সকে কোনো তথ্য দিতে রাজি হননি বাংলাদেশ ব্যাংকের মুখপাত্র। তবে তিনি বলেছেন, রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেম এখন ভালোভাবেই কাজ করছে। বিপুলসংখ্যক দেশ ওই ধরনের সিস্টেম ব্যবহার করায় তার ভেতরে কোনো ঝুঁকি আছে বলেও মনে করছে না বাংলাদেশের কেন্দ্রীয় ব্যাংক। পুলিশ বলছে, সুইফটের টেকনিশিয়ানরা যে নেটওয়ার্কের মাধ্যমে রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেমের সঙ্গে সুইফটকে যুক্ত করে গেছেন, ওই একই নেটওয়ার্ক ব্যবহার করে কেন্দ্রীয় ব্যাংকের প্রায় পাঁচ হাজার কম্পিউটার, যেগুলো আবার উন্মুক্ত ইন্টারনেটের সঙ্গে যুক্ত। তদন্তকারীরা মনে করছেন, রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেমের জন্য আলাদা লোকাল এরিয়া নেটওয়ার্ক তৈরি করে নেওয়া উচিত ছিল, যাতে কেন্দ্রীয় ব্যাংকের অন্য কম্পিউটার থেকে এই নেটওয়ার্কে প্রবেশ করা না যায়। আর রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেম বা সুইফট সিস্টেমের জন্য আলদা করে কোনো ফায়ারওয়ালও টেকনিশিয়ানরা তৈরি করেননি, যাতে নেটওয়ার্কে সন্দেহজনক অনুপ্রবেশ ঠেকিয়ে দেওয়া সম্ভব হয়। আর ওই সিস্টেম বসানোর সময় সুইফট টেকনিশিয়ানরা একটি ওয়্যারলেস কানেকশনের ব্যবস্থা করেন, যাতে বন্ধ সুইফট রুমের বাইরে ব্যাংকের অন্য কম্পিউটার থেকেও ওই সিস্টেমে প্রবেশ করা যায়। কিন্তু চলে যাওয়ার সময় ওই রিমোট অ্যাকসেস আর বিচ্ছিন্ন করে যাননি তাঁরা। ফলে সাধারণ পাসওয়ার্ড ব্যবহার করেই ওই সিস্টেমে প্রবেশ করার সুযোগ থেকে যায়। পেনড্রাইভের মাধ্যমে গুরুত্বপূর্ণ কম্পিউটারে যাতে ম্যালওয়্যার বসানো না যায়, সে জন্য সাধারণত এ ধরনের সার্ভারের ইউএসবি পোর্ট অকার্যকর করে রাখা হয়। কিন্তু কেন্দ্রীয় ব্যাংকের ওই সুইফট সিস্টেমের ক্ষেত্রে তা করা হয়নি বলেও পুলিশের বরাত দিয়ে জানিয়েছে রয়টার্স। এর আগে বিএই সিস্টেমস নামের একটি ব্রিটিশ সাইবার নিরাপত্তা প্রতিষ্ঠান দাবি করে, রিজার্ভ চুরির ক্ষেত্রে সুইফটের ক্লায়েন্ট সফটওয়্যার ‘অ্যালায়েন্স অ্যাকসেস’ থেকে ভুয়া মেসেজ পাঠানোর পর তার ট্র্যাক মুছে ফেলতে যে ম্যালওয়্যার চোরেরা ব্যবহার করেছিলে, তা খুঁজে পেয়েছে তারা। বিএইর গবেষকরা বলছেন, evtdiag.exe বীব নামের ওই ম্যালওয়্যারে এমন কিছু বৈশিষ্ট্য যোগ করা হয়েছে, যার মাধ্যমে নির্দিষ্ট দেশের সুইফট অ্যালায়েন্স অ্যাকসেস সফটওয়্যারে যোগাযোগ করা যায়। আবার বাংলাদেশ ব্যাংকের সুইফট সার্ভার থেকে অর্থ স্থানান্তরের ভুয়া আদেশ পাঠানোর পর সেই তথ্য মুছে ফেলা যায়। এই ম্যালওয়্যার ব্যবহার করে সার্ভারে রাখা অ্যাকাউন্ট ও লেনদেনের তথ্যে পরিবর্তন আনা, এমনকি সুইফট থেকে আসা বার্তা বদলে দিয়ে ভুয়া বার্তা প্রিন্ট করারও সুযোগ রাখা হয়েছে বলে বিএইর তথ্য।
