নিরাপত্তা

সোর্সের সুরক্ষা শুরু হয় আপনার স্মার্টফোনের কন্টাক্ট তালিকা থেকে 

By |
Print More

English

Smartphone lock screen security

ছবি: শাটারস্টক

সোর্সের সুরক্ষা প্রত্যেক বিটের সাংবাদিকদের জন্য একটি বড় মাথাব্যথা। সিকিউরড্রপের মতো প্লাটফর্ম ও সিগনালের মতো অ্যাপের কল্যাণে আপনি এখন কোনো গুরুত্বপূর্ণ স্টোরি ব্রেক করার জন্য হুইসেলব্লোয়ারদের সঙ্গে নিরাপদে এবং গোপনে আলাপ সেরে নিতে পারেন। এমন কথোপকথনের গোপনীয়তা নিশ্চিত করার পাশাপাশি, মেটাডেটা, অর্থ্যাৎ ডেটা সম্পর্কিত ডেটাও এখন বড় ভাবনার বিষয়। কারণ, এর মাধ্যমে সনাক্ত করা যায়, আপনি  কার সঙ্গে কথা বলছেন। চলুন, আমরা আধুনিক অ্যাড্রেস বুকের ঝুঁকি এবং তা কমানোর উপায় নিয়ে আলোচনা করি।

এনক্রিপ্টেড অ্যাড্রেস বুকের উত্থান

মোবাইল ফোন প্রচলনের আগে, একজন সোর্সের সঙ্গে যোগাযোগের তথ্য বলতে ছিল – তার নাম, ফোন নম্বর, এবং অন্যান্য খুঁটিনাটি। এর সবটাই ছিল অফলাইনে; অর্থ্যাৎ আপনার নোটবুকে কালিতে লেখা হরফে অথবা রোলোডেক্সে-ই (কার্ড সাজিয়ে রাখার ইনডেক্স) এদের অস্তিত্ব মিলত। এই সম্ভাব্য সংবেদনশীল তথ্য কেউ ব্যবহার করতে পারবে কি পারবে না, তা নির্ভর করত সেই “কাগজ ও সম্পত্তি” সশরীরে হাতে পাওয়া বা না-পাওয়ার ওপর।

কাগজের নোটবুকের পরে, যারা শুরুর দিককার সেলফোন, বা কোনো কোনো ক্ষেত্রে, পারসোনাল ডেটা অ্যাসিসটেন্ট (পিডিএ) ব্যবহার করতেন, তারা তাদের ডিভাইসের নির্দিষ্ট জায়গায় কন্টাক্টগুলো রাখতেন। এনালগ পূর্বসূরীদের মতোই, সেগুলোকে ভুল হাতে পড়া থেকে রক্ষার উপায় ছিল সেই ভুল-হাতগুলোকে ডিভাইস থেকে শারীরিকভাবে দূরে রাখা। সুরক্ষা বলতে, বেশ কিছু সেলফোন ও পিডিএ-তে আনলক কোডের ব্যবস্থা ছিল, কিন্তু সেগুলো সচরাচর নিরাপত্তার জন্য ব্যবহার করা হতো না। ভুল করে পকেটে চাপ লেগে কল চলে যাওয়া ঠেকাতে বা মধ্য কুড়ি-শতকের রোমান্টিক কমেডিগুলোর প্লট হিসেবেই এদের ব্যবহার বরং বেশি দেখা যেতো।  এই সুরক্ষা-ব্যবস্থা ডিভাইসগুলোর কন্টেন্টও এনক্রিপ্ট করত না, যে কারণে এখনো সেই সময়ের ফরেনসিক টুল দিয়ে ডিভাইসগুলো থেকে তথ্য বের করে নেওয়া যায়। প্রাথমিক যুগের সেলফোন সাধারণত সিম কার্ডে কন্টাক্ট সংরক্ষণ করত, কারণ ঐ ফোনগুলোতে ডেটা সংরক্ষণের তেমন জায়গা থাকত না। সিম কার্ডগুলোতেও ফরেনসিক টুল ঠেকানোর মত কোনো সুরক্ষা ব্যবস্থা ছিল না,  অথবা থাকলেও, তা যৎসামান্য।

যখন থেকে সেলফোনের ডিভাইসে স্টোরেজ বাড়ল এবং ব্যবহারকারীর কন্টাক্ট লিস্ট সিম কার্ডে ধারণ করার তুলনায় যথেষ্ট বড় হয়ে গেল, তখন থেকেই অভ্যন্তরীণ মেমোরিতে তথ্য সংরক্ষণ শুরু করে সেলফোনগুলো। সেলফোন ও পিডিএ মিলে স্মার্টফোন হয়ে যাওয়ার পর থেকে সেগুলোর কন্টেন্টের সুরক্ষায়ও বেশ অগ্রগতি হয়। এটি শেষ পর্যন্ত গোটা ডিস্ককে এনক্রিপ্ট করার সুবিধা অর্ন্তভুক্ত করেছে, যা উন্নত ফরেনসিক টুলের হাত থেকেও স্মার্টফোনের অভ্যন্তরীণ মেমোরিকে আরও পরিপূর্ণ সুরক্ষা দিচ্ছে। অবশ্য এই সুরক্ষা তখনই মেলে, যখন সেই কোডটি যথেষ্ট লম্বা, স্বতন্ত্র ও বিক্ষিপ্ত হয়, আর ফোনটি থাকে বন্ধ অবস্থায়।  এটি বর্তমান সময়ের জন্য একটি সম্ভাবনার সূচনা করেছে, যেখানে ভুল হাতে পড়লেও স্মার্টফোনের অ্যাড্রেস বুককে সুরক্ষিত রাখা যায়।  আপনার ডিভাইসের ফুল-ডিস্ক এনক্রিপশন সক্রিয় করার উপায় শিখতে স্মার্টফোন সুরক্ষার ওপর ফ্রিডম অব দ্য প্রেস ফাউন্ডেশনের গাইড দেখুন। 

ক্লাউডের যুগে অ্যাড্রেস বুক

গুগলের অ্যান্ড্রয়েড ও অ্যাপলের আইওএস, দুটোই আপনার স্মার্টফোনের কন্টেন্টকে অনধিকার অনুপ্রবেশ থেকে বেশ ভালো সুরক্ষা দেয়। কিন্তু দুর্ভাগ্যজনক ব্যাপার হলো, আপনার স্মার্টফোনে যা ঘটে, তা সচরাচর আর আপনার স্মার্টফোনের গণ্ডিতে আবদ্ধ থাকে না।

অ্যাপলের আইক্লাউড এমনভাবে ডিজাইন করা হয়েছে যেন সফটওয়্যার পণ্যগুলোতে, বিশেষ করে, আপনার সংরক্ষণ করা অনেক ধরনের ডেটা সিঙ্ক করা যায়। এতে করে, তাদের অন্য কোনো হার্ডওয়্যার পণ্যে (ডিভাইস) সাইন-ইন করেও আপনি সেই ডেটা ব্যবহার করতে পারেন। এর অর্থ হচ্ছে, অ্যাপলও আপনার কন্টাক্ট তালিকা সহ সেই ডেটাগুলোর একটি কপি পায়, যা সেবার শর্তাবলীতে লেখা থাকে।

Screenshot of the iCloud Terms of Service in macOS's System Preferences

অ্যাপলের আইক্লাউড সেবা  আপনার স্মার্টফোনের কন্টাক্ট তালিকা সিঙ্ক করতে পারে, যা সেই তথ্যগুলো প্রকাশ হয়ে পড়ার ঝুঁকি তৈরি করে। ছবি: স্ক্রিনশট

তারওপর, আপনি যদি ভার্চুয়াল অ্যাসিসটেন্ট সিরি সক্রিয় করেন, তাহলে সেটি সিরি-সংযুক্ত অন্যান্য অ্যাপে পাওয়া কন্টাক্ট ডেটার ভিত্তিতে স্বয়ংক্রিয়ভাবে সাজেস্টেড কন্টাক্টের একটি তালিকা তৈরি করতে পারে। কপাল ভালো, এটি বন্ধ করা যায়

একইভাবে, আপনি যখন আপনার গুগল একাউন্ট দিয়ে অ্যান্ড্রয়েড ফোনে প্রবেশ (সাইন-ইন) করেন তখন সেই ফোনের কন্টাক্টগুলো গুগলের সার্ভারে কপি হয়ে যায়, যেন আপনার গুগল একাউন্ট দিয়ে প্রবেশ করা প্রতিটি ডিভাইসেই তথ্যগুলো পাওয়া যায়। ঠিক যেভাবে আপনার আইফোনের কন্টাক্টস অ্যাপে একটি কন্টাক্ট যুক্ত করলে তা আপনার ম্যাকের (পিসি) কন্টাক্ট অ্যাপে সিঙ্ক হয়, সেভাবে আপনার গুগল অ্যাকাউন্ট দিয়ে অ্যান্ড্রয়েড ফোনে একটি কন্টাক্ট যুক্ত করলে সেটিও আপনার গুগল কন্টাক্টে যুক্ত হয়। যে কোনো ডিভাইস থেকে  কন্টাক্ট ডট গুগল ডট কম এ সাইন-ইন করে আপনি নিজেই সেটি দেখতে পাবেন।

Screenshot of Google Contacts

জিমেইল, গুগল ক্যালেন্ডার, ও অন্যান্য সেবা ব্যবহার করে আপনি যার সঙ্গে যোগাযোগ করেন, তার ভিত্তিতে গুগল স্বয়ংক্রিয়ভাবে কন্টাক্ট তৈরি ও কপি করে। ছবি: স্ক্রিনশট

এছাড়াও জিমেইল, গুগল ক্যালেন্ডার ও অন্যান্য সেবা ব্যবহার করে আপনি যার যার সঙ্গে যোগাযোগ করছেন, তার ভিত্তিতে গুগল স্বয়ংক্রিয়ভাবে কন্টাক্ট তৈরি ও কপি করে নেয়। এমনকি আপনার পুত-পবিত্র রোলোডেক্স পুরোপুরি অফলাইনে থাকলেও গুগল সার্ভিসের মধ্যকার সেই কন্টাক্টগুলোর সঙ্গে আপনার যোগাযোগের ভিত্তিতে গুগল তার নিজস্ব “ছায়া রোলোডেক্স” তৈরি করতে পারে। সৌভাগ্যক্রমে, এটিও বন্ধ করা যায়

Screenshot of Google Contacts "other" section with tooltip explaining how the list was generated

ছবি: স্ক্রিনশট

আপনার কন্টাক্টগুলো সিঙ্ক করে নেওয়ার জন্য গুগল অথবা অ্যাপলের ক্লাউড সেবা ব্যবহারের অর্থ হচ্ছে, গুগল বা অ্যাপলে আপনার কন্টাক্ট তালিকার যে কপি রয়েছে, সেগুলো বিভিন্ন ধরনের আইনী আদেশের মাধ্যমে সংগ্রহ করা সম্ভব; এর জন্য আপনার ফোন থেকে তথ্য নেওয়ার দরকার নেই।  আপনি যদি আপনার কন্টাক্ট তালিকার গোপনীয়তা বজায় রাখা, বা তথ্যগুলোকে সরকারের হাতে পড়া থেকে নিরাপদে রাখতে চান, তাহলে ক্লাউডে কন্টাক্টগুলো সিঙ্ক করা এড়িয়ে চলাই ভালো।

বিধিসম্মত প্রবেশ ছাড়াও, হ্যাকাররা যেভাবে গুগল বা অ্যাপল একাউন্টে বিধিবর্হিভূত অনুপ্রবেশ করে, তাও বিবেচনা করার মতো আরেকটি ঝুঁকি। আপনার গুগল বা অ্যাপল আইক্লাউড একাউন্টে যার প্রবেশাধিকার আছে, সে ঐ একাউন্টগুলোতে সিঙ্ক করা যে কোনো কন্টাক্টও পেতে পারে। ভাগ্যক্রমে অনলাইন একাউন্টের জন্য পাসওয়ার্ড ম্যানেজার দিয়ে তৈরি করা ও সেখানে সংরক্ষিত লম্বা, এলোমেলো ও স্বতন্ত্র পাসওয়ার্ডের ব্যবহার এবং দ্বি-ধাপবিশিষ্ট যাচাইকরণ (টুএফএ) সচল করার মত ব্যবস্থা বিধিবর্হিভূত অনুপ্রবেশ থেকে নিরাপদ রাখতে বেশ কাজে দেয়।

হাল আমলে সোর্সের গোপনীয়তার সুরক্ষা

অ্যাপলের আইক্লাউড ও গুগল, দুটোই আপনাকে বেছে নেওয়ার সুযোগ দেবে আপনি তাদের সেবাগুলোর সঙ্গে কোন ধরনের ডেটা (যেমন; কন্টাক্ট, ছবি) শেয়ার করতে চান। সংবেদনশীল সোর্স যুক্ত করার আগেই ক্লাউডে কন্টাক্ট সিঙ্ক হওয়া ঠেকাতে আমরা আপনার অ্যাপল আইক্লাউডগুগল সেটিংস সমন্বয় করার পরামর্শ দিচ্ছি।

যদি অ্যাপল বা গুগলের সার্ভার থেকে বিদ্যমান কন্টাক্ট মুছে ফেলতে চান, তাহলে আপনি হয়তো শুরুতেই তাদের গোপনীয়তার নীতিমালা দেখে নিতে চাইবেন যে “মুছে ফেলার” পর তারা সেই ডেটা কত সময় পর্যন্ত রেখে দেয়। এই সময় কয়েক দিন থেকে কয়েক মাস বা, আর্থিক লেনদেনের তথ্যের ক্ষেত্রে কয়েক বছরও হতে পারে।

  • আইক্লাউডে সংরক্ষিত কন্টাক্টের ক্ষেত্রে, আইক্লাউডের সিঙ্কিং সচল থাকা অবস্থাতেই অ্যাপলের কন্টাক্টস অ্যাপ থেকে কন্টাক্টগুলো মুছে ফেলতে হবে। কন্টাক্ট মুছে যাওয়ার পর সেই রেকর্ড অ্যাপলের সার্ভারগুলোর সঙ্গে সিঙ্ক হবে এবং অবশেষে সেখান থেকেও মুছে যাবে। এটি একবার হয়ে গেলে স্মার্টফোনে নতুন এন্ট্রি আইক্লাউডে সিঙ্ক হওয়া ঠেকাতে আপনি সিঙ্ক বন্ধ করে রাখতে পারেন।
  • গুগল সার্ভারের সংরক্ষিত কন্টাক্টগুলো সরাসরি এইচটিটিপিএস://কন্টাক্ট ডট গুগল ডট কম/ থেকে মুছে ফেলা যায়। তারপর (ধীরে ধীরে) সেগুলো গুগল কন্টাক্টসের সঙ্গে সিঙ্ক করা অন্য অ্যাপ (যেমন গুগল কন্টাক্টস) থেকেও মুছে যাবে, অবশ্য যদি আপনি অ্যান্ড্রয়েড ফোনে গুগলের মাধ্যমে সাইন-ইন করে থাকেন এবং আপনার গুগল কন্টাক্টের সিঙ্ক সচল থাকে। যদি গুগলে সিঙ্ক না করেই একটি অ্যান্ড্রয়েড ডিভাইসে কোনো মুছে ফেলা কন্টাক্ট ফের যুক্ত করতে চান, তাহলে সেই অ্যান্ড্রয়েড ডিভাইসে কন্টাক্টটি যুক্ত করার আগে প্রথমেই গুগল কন্টাক্টের সিঙ্ক বন্ধ করে নিতে হবে।

যদি এমন হয় যে আপনি কারো সঙ্গে ডিভাইস শেয়ার করছেন, আপনার ডিভাইসটি ছিনিয়ে নেয়া হতে পারে বলে ভয় পাচ্ছেন, অথবা নেহাতই অ্যাপল বা গুগলের অ্যাপ এড়িয়ে চলতে চাইছেন – সেক্ষেত্রে আপনার সংবেদনশীল কন্টাক্ট তথ্য কোনো সাধারণ অ্যাড্রেস বুক অ্যাপের পরিবর্তে পাসওয়ার্ড ম্যানেজারে সংরক্ষণ করাই কাজের হবে। ওয়ানপাসওয়ার্ডের মতো পাসওয়ার্ড ম্যানেজারগুলো “পরিচিতি” হিসেবে কন্টাক্ট সংরক্ষণের সুবিধা দেয় এবং তাতে নাম, ফোন নম্বর, ঠিকানা সহ আরও অনেক ক্ষেত্র থাকে।

অশেষ সতর্কতা

সামান্য চেষ্টাতেই আপনার প্রতিদিনের ব্যবহৃত আধুনিক ডিভাইসে কন্টাক্ট তথ্য নিরাপদে সংরক্ষণ করা যায়। তবে কন্টাক্ট তথ্য ব্যবহারের মাধ্যমটি কার্যকরভাবে নিরাপদ নাও হতে পারে। এমনকি এনক্রিপ্ট করা ইমেইলও প্রেরক বা প্রাপকের ইমেইল অ্যাড্রেস লুকোতে পারে না। ফোন কলেরও মেটাডেটা থাকে, তাতে আবার টেলিফোন অপারেটর এবং কখনো কখনো আইন প্রয়োগকারী সংস্থাগুলো প্রবেশ করতে পারে। সিগনালের মতো অ্যাপ ন্যূনতম মেটাডেটা দিয়ে যোগাযোগের সুবিধা দেয়, এবং সিকিউরড্রপের মতো হুইসেলব্লোয়ার প্লাটফর্ম টেলিফোন নাম্বার, ইমেইল, এমনকি আইপি অ্যাড্রেস গোপন রেখে সাংবাদিক ও সোর্সের মধ্যে প্রাথমিক যোগযোগের সৃুযোগ করে দেয়। আপনার সংবাদমাধ্যম যদি নিরাপদ কন্টাক্ট স্টোরেজ ও যোগাযোগের কৌশল নিয়ে আলোচনায় আগ্রহী হয়ে থাকে, তবে ফ্রিডম অব দ্য প্রেস ফাউন্ডেশনের সঙ্গে যোগাযোগ করুন।  

এই স্টোরি প্রথম প্রকাশ করেছে ফ্রিডম অব দ্য প্রেস ফাউন্ডেশনক্রিয়েটিভ কমনস লাইসেন্সের আওতায় এখানে পুনঃমুদ্রিত হল। 

আরও পড়ুন

মেটাডেটা থেকে নিজেকে সুরক্ষিত রাখার উপায়

ডিজিটাল নিরাপত্তা: সাংবাদিকদের যা যা জানা দরকার

ডিজিটাল নিরাপত্তার যে ৪টি টিপস প্রত্যেক সাংবাদিকের জানা উচিত

David Huerta profile pictureডেভিড হুয়ের্তা ফ্রিডম অব দ্য প্রেস ফাউন্ডেশনের ডিজিটাল নিরাপত্তা প্রশিক্ষক। এই প্রতিষ্ঠানে তিনি সাংবাদিকদের একটি স্বাধীন সংবাদমাধ্যমের ক্ষমতায়নে গোপনীয়তা বৃদ্ধিকারী প্রযুক্তি নিয়ে প্রশিক্ষণ দেন। বিশ্বব্যাপী তিনি প্রশিক্ষণ পর্ব সম্পাদন করেছেন এবং বিগত সময়ে তিনি ন্যাশনাল এসোসিয়েশন অব হিসপানিক জার্নালিস্টস (এনএএইচজে) কনফারেন্সে ডিজিটাল নিরাপত্তা ট্র্যাক আয়োজন করেছেন।

Leave a Reply

Your email address will not be published. Required fields are marked *