রাশিয়ার APT28 ক্রেডেনশিয়াল চুরি করতে ঝুঁকিপূর্ণ রাউটার হাইজ্যাক করছে, এবং NCSC ব্যবসাগুলিকে ব্যবস্থা নেওয়ার জন্য সতর্ক করেছে। এখানে আলোচনা করা হলো কেন গেস্ট WiFi হলো এমন একটি এক্সপোজার যা বেশিরভাগ প্রতিষ্ঠান উপেক্ষা করে এবং কীভাবে এটিকে সুরক্ষিত করা যায়।
যুক্তরাজ্যের National Cyber Security Centre (NCSC) একটি অ্যাডভাইজরি প্রকাশ করেছে যেখানে প্রকাশ করা হয়েছে যে কীভাবে রাশিয়ান রাষ্ট্রীয় এজেন্ট APT28 ঝুঁকিপূর্ণ রাউটারগুলিকে কাজে লাগিয়ে DNS হাইজ্যাক করছে এবং আক্রমণকারী-নিয়ন্ত্রিত সার্ভারের মাধ্যমে ইন্টারনেট ট্রাফিক রি-রুট করছে, যা ওয়েব ও ইমেল পরিষেবার পাসওয়ার্ড, OAuth টোকেন এবং অন্যান্য লগইন ক্রেডেনশিয়াল সংগ্রহ করছে। এই অভিযানটিকে সুযোগসন্ধানী বলে মনে করা হচ্ছে: উন্মুক্ত ডিভাইস জুড়ে একটি বড় জাল ফেলা, তারপর গোয়েন্দা তথ্যের দিক থেকে মূল্যবান ভিকটিমদের ফিল্টার করে বের করা।
এটি পড়া অত্যন্ত প্রয়োজনীয়, তবে এতে এমন একটি ফাঁক রয়েছে যা অনেক ব্যবসা উপেক্ষা করবে।
গেস্ট WiFi: উপেক্ষা করা ঝুঁকি
DHCP দুর্বলতা সম্পর্কে NCSC-এর সাম্প্রতিক সতর্কতা অনেক ব্যবসার জন্য একটি গুরুত্বপূর্ণ অন্ধ দিককে চিহ্নিত করে: গেস্ট WiFi।
অনেক প্রতিষ্ঠান বুঝতে পারে না যে তাদের লিগ্যাসি ক্যাপ্টিক পোর্টাল এবং উন্মুক্ত, আনএনক্রিপ্টেড সংযোগগুলি ম্যান-ইন-দ্য-মিডল (MitM) আক্রমণের খেলার মাঠ। একটি আপোসকৃত রাউটার বা অননুমোদিত অ্যাক্সেস পয়েন্টের জন্য ট্রাফিক ইন্টারসেপ্ট করা, লগইন পৃষ্ঠা স্পুফ করা এবং আপনার অতিথিদের সংবেদনশীল ক্রেডেনশিয়াল সংগ্রহ করা অত্যন্ত সহজ।
Purple গেমটি বদলে দেয়
আমরা ঝুঁকিপূর্ণ "উন্মুক্ত পোর্টাল" মডেলটিকে আইডেন্টিটি-ভিত্তিক, জিরো-ট্রাস্ট ওয়্যারলেস সিকিউরিটি দ্বারা প্রতিস্থাপন করি। Passpoint , OpenRoaming এবং WPA3-Enterprise -এর মতো আধুনিক মানকে চ্যাম্পিয়ন করার মাধ্যমে, Purple নিশ্চিত করে:
- ডাইনামিক প্রমাণীকরণ: প্রতিটি একক সংযোগ যাচাই করা হয়।
- সম্পূর্ণ এনক্রিপশন: প্রথম প্যাকেট থেকেই ডেটা লক ডাউন করা হয়।
যদি কোনো আক্রমণকারী Purple-সুরক্ষিত নেটওয়ার্কে DNS হাইজ্যাক করার চেষ্টা করে, তবে তারা যা ইন্টারসেপ্ট করবে তা কেবল অপ্রয়োজনীয় সাইফারটেক্সট - প্লেইনটেক্সট পাসওয়ার্ড নয়।
একটি রাউটার এক্সপ্লয়েটকে একটি বিপর্যয়কর ডেটা ব্রিচে পরিণত হতে দেবেন না। Purple-এর সাথে আপনার নেটওয়ার্ক নিরাপত্তা আপগ্রেড করুন।
আমাদের CTO-এর কাছ থেকে
"সাম্প্রতিক NCSC সতর্কতাগুলি এই শিল্পের জন্য একটি বিশাল সতর্কবার্তা। আপনি মৌলিকভাবে ত্রুটিযুক্ত আর্কিটেকচার থেকে প্যাচ দিয়ে বেরিয়ে আসতে পারবেন না। যতক্ষণ গেস্ট WiFi আনএনক্রিপ্টেড উন্মুক্ত সংযোগ এবং লিগ্যাসি ক্যাপ্টিক পোর্টালের উপর নির্ভর করবে, ততক্ষণ এটি ক্রেডেনশিয়াল সংগ্রহের প্রধান লক্ষ্য হিসেবে থাকবে। Purple-এ, আমরা শুরুতেই বুঝতে পেরেছিলাম যে একমাত্র বাস্তব সমাধান হলো জিরো-ট্রাস্ট ওয়্যারলেসের দিকে একটি প্যারাডাইম পরিবর্তন - নিশ্চিত করা যে প্রতিটি একক সংযোগ একদম প্রথম প্যাকেট থেকেই প্রমাণীকৃত এবং এনক্রিপ্ট করা হয়।"
- Iain Jewitt, Purple-এর CTO
আপনার গেস্ট WiFi সুরক্ষিত করার বিষয়ে আমাদের সাথে কথা বলুন
সম্পূর্ণ NCSC অ্যাডভাইজরি পড়ুন: APT28 exploit routers to enable DNS hijacking operations
