IoT Security: ইন্টারনেট অফ থিংস বা আইওটি ডিভাইসের সাইবার নিরাপত্তা ঝুঁকি!

IoT নিরাপত্তা সাধারণ আইটি নিরাপত্তা থেকে কয়েকটি কারণে মৌলিকভাবে ভিন্ন। প্রথমত, সম্পদ সীমাবদ্ধতা—অধিকাংশ IoT ডিভাইসে সীমিত প্রসেসিং পাওয়ার, কম মেমোরি এবং নিম্ন-ক্ষমতার ব্যাটারি থাকে। ফলে ভারী এনক্রিপশন বা জটিল নিরাপত্তা প্রোটোকল চালানো কঠিন। দ্বিতীয়ত, দীর্ঘ জীবনচক্র—একটি স্মার্ট থার্মোস্ট্যাট বা ইন্ডাস্ট্রিয়াল সেন্সর ১০ থেকে ২০ বছর কাজ করতে পারে, কিন্তু সফটওয়্যার নিরাপত্তা সাধারণত এত দীর্ঘ সময় বজায় থাকে না।

তৃতীয় চ্যালেঞ্জ হলো বৈচিত্র্য—হাজার হাজার নির্মাতা, প্রোটোকল, প্ল্যাটফর্ম এবং অ্যাপ্লিকেশন ডোমেইন বিদ্যমান। একটি সর্বজনীন নিরাপত্তা সমাধান বাস্তবায়ন প্রায় অসম্ভব। চতুর্থত, ফিজিক্যাল অ্যাক্সেস—IoT ডিভাইস প্রায়ই সর্বজনীন বা সহজলভ্য স্থানে ইনস্টল করা থাকে, ফলে আক্রমণকারী সহজেই হার্ডওয়্যার-স্তরের আক্রমণ চালাতে পারেন।

পঞ্চম এবং সম্ভবত সবচেয়ে গুরুতর চ্যালেঞ্জ হলো বাজার চাপ—নির্মাতারা দ্রুত পণ্য বাজারে আনতে গিয়ে নিরাপত্তা পরীক্ষা সংক্ষিপ্ত করে ফেলেন। অনেক ডিভাইসে ডিফল্ট পাসওয়ার্ড, হার্ডকোডেড ক্রেডেনশিয়াল, খোলা ডিবাগ পোর্ট এবং প্যাচ-অপ্রাপ্ত ফার্মওয়্যার পাওয়া যায়।

OWASP IoT Top 10 হলো IoT নিরাপত্তায় সবচেয়ে বহুল-উদ্ধৃত রেফারেন্স। এর প্রথম স্থানে রয়েছে Weak, Guessable, or Hardcoded Passwords—অনেক ডিভাইসে "admin/admin" বা "root/12345"-এর মতো ডিফল্ট ক্রেডেনশিয়াল থাকে, যা Shodan-এর মাধ্যমে সহজেই খুঁজে পাওয়া যায়।

দ্বিতীয় Insecure Network Services—অপ্রয়োজনীয় খোলা পোর্ট, দুর্বল প্রোটোকল (Telnet, FTP) এবং Authentication ছাড়াই অ্যাক্সেসযোগ্য সেবা। তৃতীয় Insecure Ecosystem Interfaces—API, মোবাইল অ্যাপ এবং ক্লাউড ইন্টারফেসে দুর্বল অথেনটিকেশন বা ইনপুট ভ্যালিডেশন। চতুর্থ Lack of Secure Update Mechanism—যেখানে ফার্মওয়্যার আপডেট স্বাক্ষরিত নয়, এনক্রিপ্ট নয়, বা রোলব্যাক প্রতিরোধ নেই।

অন্যান্য গুরুত্বপূর্ণ দুর্বলতার মধ্যে আছে Use of Insecure or Outdated Components, Insufficient Privacy Protection, Insecure Data Transfer and Storage, Lack of Device Management, Insecure Default Settings এবং Lack of Physical Hardening। প্রতিটি দুর্বলতা পৃথকভাবে আক্রমণযোগ্য, কিন্তু একসঙ্গে এগুলো IoT ডিভাইসকে অত্যন্ত নাজুক করে তোলে।

IoT-এর বিরুদ্ধে চালানো আক্রমণগুলো বিভিন্ন স্তরে কাজ করে। নেটওয়ার্ক-স্তরে, আক্রমণকারীরা Shodan বা Censys-এর মতো সার্চ ইঞ্জিনে IoT ডিভাইস খোঁজেন এবং Brute Force বা Default Credential আক্রমণ চালান। Mirai এবং তার বহু ভেরিয়েন্ট ঠিক এভাবেই কয়েক বছরে কোটি ডিভাইস সংক্রমিত করেছে।

ম্যান-ইন-দ্য-মিডল আক্রমণ IoT-তে বিশেষভাবে কার্যকর কারণ অনেক ডিভাইস TLS ছাড়াই অথবা দুর্বল সার্টিফিকেট ভ্যালিডেশন দিয়ে যোগাযোগ করে। আক্রমণকারী Wi-Fi-তে অবস্থান নিয়ে ট্রাফিক ক্যাপচার ও পরিবর্তন করতে পারে। বটনেট গঠনে—Mirai, Mozi, Hajime—সংক্রমিত ডিভাইসগুলো একটি Command and Control সার্ভারের অধীনে আনা হয়।

ফার্মওয়্যার-স্তরের আক্রমণে গবেষকরা Binwalk দিয়ে ফার্মওয়্যার এক্সট্র্যাক্ট করে, Ghidra বা IDA Pro দিয়ে রিভার্স ইঞ্জিনিয়ার করে দুর্বলতা খুঁজে বের করেন। হার্ডওয়্যার আক্রমণে UART, JTAG, SPI বা I2C পোর্টে সরাসরি কানেক্ট করে ডিভাইসের ভেতরে প্রবেশ করা হয়। Side-channel আক্রমণ যেমন Power Analysis বা Timing Attack ক্রিপ্টোগ্রাফিক কী বের করতে ব্যবহার করা হয়।

প্রোটোকল-নির্দিষ্ট দুর্বলতাও গুরুত্বপূর্ণ। Zigbee, Z-Wave, LoRaWAN, BLE-এর প্রতিটি প্রোটোকলে নিজস্ব আক্রমণ ভেক্টর রয়েছে। MQTT এবং CoAP-এর মতো IoT-নির্দিষ্ট প্রোটোকলেও ভুল কনফিগারেশন বড় ধরনের তথ্য ফাঁসের কারণ হতে পারে।

ইন্ডাস্ট্রিয়াল IoT বা IIoT বিশেষভাবে সমালোচনামূলক, কারণ এর সঙ্গে জড়িত SCADA, PLC এবং Industrial Control System গুলো বিদ্যুৎ গ্রিড, পানি সরবরাহ, তেল-গ্যাস এবং উৎপাদন শিল্প পরিচালনা করে। ২০১০ সালের Stuxnet, ২০১৫-১৬ সালের Ukraine power grid attack এবং ২০২১ সালের Colonial Pipeline ঘটনাগুলো প্রমাণ করেছে যে IIoT-এর বিরুদ্ধে আক্রমণের ভৌত পরিণতি কতটা গভীর হতে পারে।

IT এবং OT-এর কনভারজেন্স নতুন চ্যালেঞ্জ তৈরি করেছে। ঐতিহ্যবাহী OT সিস্টেমগুলো বিচ্ছিন্ন থাকত (air-gapped), কিন্তু এখন অপারেশনাল ডেটা ক্লাউডে পাঠানোর প্রয়োজনে সেগুলো ইন্টারনেটের সঙ্গে যুক্ত হচ্ছে। Purdue Model অনুসারে নেটওয়ার্ক সেগমেন্টেশন, DMZ এবং unidirectional gateway-এর মাধ্যমে এই ঝুঁকি কমানো যায়।

কার্যকর IoT নিরাপত্তার জন্য একটি বহুস্তরবিশিষ্ট দৃষ্টিভঙ্গি প্রয়োজন। Security by Design—অর্থাৎ পণ্য ডেভেলপমেন্টের শুরু থেকেই নিরাপত্তা বিবেচনা—মৌলিক নীতি। NIST IoT Cybersecurity Framework এবং ENISA-এর IoT Baseline Security Recommendations বিস্তারিত গাইডলাইন প্রদান করে।

ডিভাইস-স্তরে নিরাপত্তা অন্তর্ভুক্ত করতে হবে—Secure Boot, Hardware Root of Trust, Trusted Platform Module বা Secure Element, এবং ফিজিক্যাল হার্ডেনিং। Strong Identity—প্রতিটি ডিভাইসের জন্য অনন্য ক্রিপ্টোগ্রাফিক পরিচয় (X.509 সার্টিফিকেট), যা মিউচুয়াল TLS-এর মাধ্যমে যাচাই হয়।

নেটওয়ার্ক-স্তরে Network Segmentation অপরিহার্য—IoT ডিভাইসগুলো আলাদা VLAN-এ রাখা উচিত, মূল ব্যবসায়িক নেটওয়ার্ক থেকে বিচ্ছিন্ন। Zero Trust Architecture বাস্তবায়ন—প্রতিটি ডিভাইস ও ব্যবহারকারীকে প্রতিবার যাচাই করা। নিরাপদ যোগাযোগের জন্য TLS 1.3, DTLS, বা প্রোটোকল-নির্দিষ্ট নিরাপদ সংস্করণ ব্যবহার।

ব্যবস্থাপনা-স্তরে Asset Inventory—প্রতিষ্ঠানে কোন কোন IoT ডিভাইস আছে তা জানা। Patch Management—নিয়মিত ফার্মওয়্যার আপডেট এবং দুর্বলতা প্যাচ। Monitoring—অস্বাভাবিক আচরণ সনাক্ত করতে SIEM এবং বিশেষায়িত IoT মনিটরিং সলিউশন (Claroty, Nozomi Networks, Armis)।

সম্পদ-সীমাবদ্ধ IoT ডিভাইসের জন্য Lightweight Cryptography একটি গুরুত্বপূর্ণ গবেষণা ক্ষেত্র। NIST-এর Lightweight Cryptography Standardization প্রক্রিয়া ASCON-কে নির্বাচন করেছে এই ধরনের ডিভাইসের জন্য। Elliptic Curve Cryptography-এর Curve25519 এবং Ed25519 ছোট কী-সাইজে শক্তিশালী নিরাপত্তা প্রদান করে।

ডিভাইস অথেনটিকেশনের জন্য PKI ভিত্তিক সলিউশন কার্যকর, যেখানে প্রতিটি ডিভাইসের নিজস্ব সার্টিফিকেট থাকে। Physical Unclonable Function বা PUF প্রযুক্তি ব্যবহার করে চিপের নিজস্ব ফিজিক্যাল বৈশিষ্ট্য থেকে অনন্য কী তৈরি করা যায়, যা ক্লোন করা যায় না।

বিভিন্ন দেশ ও অঞ্চল IoT নিরাপত্তার জন্য নিয়ন্ত্রক কাঠামো তৈরি করছে। যুক্তরাষ্ট্রের IoT Cybersecurity Improvement Act ফেডারেল IoT ক্রয়ের জন্য নিরাপত্তা মান নির্ধারণ করে। ক্যালিফোর্নিয়ার SB-327 ডিফল্ট পাসওয়ার্ড নিষিদ্ধ করেছে। ইউরোপীয় ইউনিয়নের Cyber Resilience Act এবং RED Directive কনজিউমার IoT ডিভাইসের জন্য বাধ্যতামূলক নিরাপত্তা শর্ত আরোপ করেছে।

UK-এর PSTI Act এবং ETSI EN 303 645 কনজিউমার IoT-এর জন্য তেরোটি ভিত্তিগত নিরাপত্তা প্রয়োজনীয়তা নির্ধারণ করেছে—ডিফল্ট পাসওয়ার্ড নিষিদ্ধ, vulnerability disclosure policy বাধ্যতামূলক, এবং নির্দিষ্ট সময় পর্যন্ত নিরাপত্তা আপডেট নিশ্চিত করা। বাংলাদেশের প্রেক্ষাপটেও স্মার্ট সিটি, ডিজিটাল হেলথ এবং স্মার্ট গ্রিড প্রকল্পের সঙ্গে IoT নিরাপত্তা ক্রমেই গুরুত্বপূর্ণ হয়ে উঠছে।

সাধারণ ব্যবহারকারীদের জন্য কিছু সহজ কিন্তু কার্যকর পরামর্শ রয়েছে। কেনার আগে ব্র্যান্ডের নিরাপত্তা ট্র্যাক রেকর্ড পরীক্ষা করুন। প্রথম ব্যবহারে ডিফল্ট পাসওয়ার্ড পরিবর্তন করুন। নিয়মিত ফার্মওয়্যার আপডেট ইনস্টল করুন। অপ্রয়োজনীয় ফিচার এবং রিমোট অ্যাক্সেস বন্ধ রাখুন।

হোম রাউটারে IoT-এর জন্য আলাদা গেস্ট নেটওয়ার্ক তৈরি করুন। UPnP বন্ধ রাখুন। গোপনীয়তা সেটিংস পর্যালোচনা করুন এবং অপ্রয়োজনীয় ডেটা সংগ্রহ অক্ষম করুন। পুরোনো ডিভাইস যেগুলো আর আপডেট পায় না, সেগুলো অবসরে পাঠান।

IoT নিরাপত্তায় ভবিষ্যত কয়েকটি দিকে এগোচ্ছে। AI/ML-ভিত্তিক অস্বাভাবিকতা সনাক্তকরণ বিপুল ডিভাইসের আচরণ পর্যবেক্ষণ করে আক্রমণ দ্রুত চিহ্নিত করতে পারছে। Confidential Computing এবং Trusted Execution Environment-এর মাধ্যমে সংবেদনশীল প্রক্রিয়া আক্রমণ-প্রতিরোধী স্থানে চালানো হচ্ছে।

Post-Quantum Cryptography প্রস্তুত করা হচ্ছে IoT ডিভাইসের দীর্ঘ জীবনচক্রের কথা মাথায় রেখে। Software Bill of Materials বা SBOM আবশ্যক হয়ে উঠছে, যাতে কোন কম্পোনেন্টে দুর্বলতা পাওয়া গেলে দ্রুত প্রভাবিত ডিভাইস শনাক্ত করা যায়।