Physical Pentesting: ডেটা সেন্টার এবং কর্পোরেট অফিসের ভৌত নিরাপত্তা ব্যবস্থা যাচাই!

Physical Pentesting হলো একটি অনুমোদিত নিরাপত্তা মূল্যায়ন যেখানে পরীক্ষাকারী বাস্তব আক্রমণকারীর কৌশল, কৌশলগত পদক্ষেপ ও পদ্ধতি (TTPs) ব্যবহার করে একটি ভৌত স্থানে অননুমোদিত প্রবেশের চেষ্টা করেন। লক্ষ্য কেবল ভেতরে ঢুকে যাওয়া নয়—গন্তব্য হতে পারে নির্দিষ্ট সংবেদনশীল এলাকায় পৌঁছানো (সার্ভার রুম, CEO-এর অফিস, R&D ল্যাব), নির্দিষ্ট সম্পদ চুরি (ল্যাপটপ, হার্ডড্রাইভ, প্রিন্ট করা নথি), অথবা নেটওয়ার্কে Persistence স্থাপন (Drop Box বা Implant সংযোগ)।

এই পরীক্ষার মাধ্যমে সংস্থা জানতে পারে তাদের Access Control, CCTV মনিটরিং, Visitor Management, কর্মী সচেতনতা, এবং Incident Response প্রক্রিয়া বাস্তব আক্রমণে কতটা কার্যকর। অনেক সংস্থা ব্যয়বহুল ভৌত নিরাপত্তা ব্যবস্থা স্থাপন করেও জানে না সেগুলো প্রকৃত পরিস্থিতিতে কীভাবে কাজ করবে। Physical Pentesting সেই অজানা দুর্বলতাগুলো প্রকাশ করে। এটি Red Team Engagement-এর একটি গুরুত্বপূর্ণ অংশ এবং প্রায়শই Cyber Red Teaming-এর সাথে সমন্বিতভাবে পরিচালিত হয়।

প্রতিটি Physical Pentest শুরু হয় Rules of Engagement বা ROE নির্ধারণের মাধ্যমে। এতে স্পষ্টভাবে লেখা থাকে কোন ভবন এবং কোন এলাকায় প্রবেশ অনুমোদিত, কোন পদ্ধতি ব্যবহার করা যাবে (Lock Picking, Tailgating, Social Engineering), কোন সম্পদ স্পর্শ করা যাবে না (জীবিত উৎপাদন সিস্টেম), পরীক্ষার সময়সীমা, এবং Emergency Contact। সবচেয়ে গুরুত্বপূর্ণ হলো "Get Out of Jail" letter—একটি স্বাক্ষরিত নথি যা পরীক্ষাকারী সবসময় বহন করেন। এটিতে পরীক্ষার বৈধতা, ক্লায়েন্টের অনুমোদন এবং তাৎক্ষণিক যাচাইয়ের জন্য নির্বাহী যোগাযোগ নম্বর থাকে—যেন পুলিশ বা নিরাপত্তা রক্ষীদের হাতে ধরা পড়লে আইনি জটিলতা এড়ানো যায়।

Reconnaissance বা OSINT সংগ্রহ পর্যায়ে আক্রমণকারী লক্ষ্য সংস্থা সম্পর্কে যথাসম্ভব তথ্য সংগ্রহ করেন। Google Maps এবং Street View থেকে ভবনের লেআউট, প্রবেশপথ, এবং পার্কিং এলাকার তথ্য পাওয়া যায়। LinkedIn থেকে কর্মীদের নাম, পদবী, ID কার্ডের ছবি (অনেক সময় কর্মীরা প্রোফাইল ছবিতে ID কার্ড পরা থাকেন) সংগ্রহ করা যায়। কোম্পানির ইউনিফর্ম, ভিজিটর ব্যাজ ডিজাইন, এবং দরজার নিরাপত্তা ব্যবস্থার ধরন সম্পর্কে তথ্য পাওয়া যায় সোশ্যাল মিডিয়া পোস্ট থেকে। কোম্পানির পরিচ্ছন্নতা সেবা প্রদানকারী, খাদ্য সরবরাহকারী, এবং নিয়মিত বিক্রেতাদের নাম জানা থাকলে ছদ্মবেশ ধারণে সুবিধা হয়।

ভৌত পুনঃনিরীক্ষণ বা On-site Recon পর্যায়ে পরীক্ষাকারী লক্ষ্য ভবনের চারপাশে কয়েকদিন পর্যবেক্ষণ করেন। কর্মীদের আসা-যাওয়ার ধরন, শিফট পরিবর্তনের সময়, ধূমপান বিরতি, লাঞ্চ আওয়ার, এবং নিরাপত্তা টহলের সময়সূচি লিপিবদ্ধ করা হয়। কর্মীদের ব্যাজ কোন রঙের, কোথায় পরা হয়, কীভাবে দরজা খোলা হয়—এসব বিস্তারিত পর্যবেক্ষণ করা হয়। ডেলিভারি ভ্যান কোন দরজা ব্যবহার করে, গার্ডরা প্রতিটি গাড়ি চেক করে কিনা—এসবও গুরুত্বপূর্ণ।

Tailgating হলো সবচেয়ে সাধারণ এবং কার্যকর পদ্ধতি। একজন বৈধ কর্মী Access Card দিয়ে দরজা খুললে আক্রমণকারী তার পেছনে পেছনে ভেতরে প্রবেশ করেন। হাতে কফির কাপ, ভারী বক্স, বা ফোনে ব্যস্ত থাকার ভঙ্গি—এসব প্রকৃত কর্মীদের সাহায্য করার মানসিকতাকে কাজে লাগায়। অনেকেই ভদ্রতার খাতিরে দরজা ধরে রাখেন এবং ব্যাজ যাচাই করেন না। Piggybacking হলো এর সচেতন সংস্করণ যেখানে আক্রমণকারী সরাসরি অনুরোধ করেন—"ভাই, আমার ব্যাজটা ভুলে গেছি, একটু ধরবেন?"।

Pretexting বা ছদ্মবেশ ধারণ আরেকটি শক্তিশালী কৌশল। আক্রমণকারী HVAC টেকনিশিয়ান, ইন্টারনেট সেবা প্রদানকারীর ইঞ্জিনিয়ার, প্রিন্টার সার্ভিস কর্মী, কুরিয়ার ডেলিভারি ব্যক্তি, বা নতুন কর্মচারীর ছদ্মবেশে আসেন। উপযুক্ত ইউনিফর্ম, কোম্পানির লোগো-যুক্ত আইডি কার্ড (ছাপানো), এবং বিশ্বাসযোগ্য কাহিনী—এই তিনটির সমন্বয়ে অধিকাংশ রিসেপশনিস্ট প্রতিরোধ করতে ব্যর্থ হন। Famous social engineer Jek Hyde বা Apollo Robbins-এর মতো অভিজ্ঞরা প্রমাণ করেছেন কীভাবে শুধু আত্মবিশ্বাস ও সঠিক পোশাক দিয়ে যেকোনো জায়গায় প্রবেশ করা যায়।

Lock Picking এবং Bypass কৌশলে বিভিন্ন টুলস ব্যবহৃত হয়। সাধারণ Pin Tumbler লকের জন্য Tension Wrench এবং Pick Set ব্যবহার করে কয়েক সেকেন্ডে খোলা সম্ভব। Bump Key পদ্ধতিতে বিশেষভাবে কাটা চাবি দিয়ে আঘাত করে লক খোলা হয়। দরজার নিচের ফাঁক দিয়ে Under-the-Door Tool (UDT) ঢুকিয়ে ভেতরের হ্যান্ডেল ঘোরানো যায়। Push Bar যুক্ত Emergency Exit-এ "Loiding" পদ্ধতিতে প্লাস্টিক স্ট্রিপ ঢুকিয়ে খোলা যায়। Magnetic Lock-এর Crash Bar বাইপাস করতে পাতলা ধাতু ব্যবহার করা হয়।

RFID/NFC ব্যাজ ক্লোনিং আজকাল অত্যন্ত গুরুত্বপূর্ণ কৌশল। Proxmark3 বা Flipper Zero ডিভাইস দিয়ে কয়েক ফুট দূর থেকে HID Prox, MIFARE Classic, এমনকি কিছু DESFire কার্ডও ক্লোন করা সম্ভব। আক্রমণকারী Long-range RFID Reader ব্যবহার করে পার্কিং লট বা লিফটে দাঁড়িয়ে কর্মীদের ব্যাজ স্ক্যান করে নিতে পারেন। ক্লোন করা ব্যাজ দিয়ে পরবর্তীতে নির্বিঘ্নে প্রবেশ সম্ভব।

ডেটা সেন্টার সাধারণত বহু-স্তরীয় ভৌত নিরাপত্তা ব্যবস্থা দ্বারা সুরক্ষিত থাকে। বাইরের পেরিমিটারে উচ্চ বেড়া, গাড়ি বাধা (Bollard), এবং ২৪/৭ গার্ড থাকে। প্রবেশদ্বারে Man-trap বা Air-lock ব্যবস্থা থাকে যেখানে একসাথে শুধু একজন প্রবেশ করতে পারেন এবং Biometric (আঙুলের ছাপ, আইরিস স্ক্যান) যাচাই বাধ্যতামূলক। তবুও দুর্বলতা থাকে। অনেক ডেটা সেন্টারে Loading Dock বা পণ্য সরবরাহের এলাকায় নিরাপত্তা তুলনামূলক শিথিল। পরিচ্ছন্নতা কর্মী এবং HVAC কর্মীরা কম যাচাইয়ের মধ্য দিয়ে প্রবেশ করেন।

Tier III এবং Tier IV ডেটা সেন্টারে পরীক্ষাকারীরা সাধারণত "Insider Threat" সিমুলেশন চালান—অর্থাৎ অনুমোদিত কর্মী হিসেবে কতদূর পৌঁছানো যায়। একটি Cage-এ অনুমোদিত প্রবেশের পর পাশের Cage-এ যাওয়া সম্ভব কিনা, Cage-এর দেয়ালের উপর দিয়ে উঠা যায় কিনা, ছাদের False Ceiling দিয়ে অন্য রুমে যাওয়া যায় কিনা—এসব পরীক্ষা করা হয়। সার্ভার Rack-এ Lock থাকলেও সেগুলো প্রায়ই নিম্ন মানের এবং সহজে খোলা যায়। অনেক রুমে Floor Tile তুলে নিচ দিয়ে অন্য Cage-এ প্রবেশ করা সম্ভব।

CCTV সিস্টেম যাচাইও গুরুত্বপূর্ণ। ক্যামেরাগুলো প্রকৃতপক্ষে রেকর্ড করছে কিনা, Blind Spot কোথায়, মনিটরিং রুমে কেউ সক্রিয়ভাবে দেখছে কিনা—এসব মূল্যায়ন করা হয়। অনেক সময় ক্যামেরার ফিড স্থানীয়ভাবে সংরক্ষিত হয় এবং পরীক্ষাকারী DVR/NVR খুঁজে বের করে ফুটেজ মুছে ফেলার চেষ্টা করেন—এটি প্রকৃত আক্রমণকারীর সাধারণ পদক্ষেপ।

ভেতরে প্রবেশের পরে পরীক্ষাকারীর কাজ শেষ নয়—পূর্ব-নির্ধারিত উদ্দেশ্য অর্জন করতে হবে। সাধারণ লক্ষ্যের মধ্যে রয়েছে নেটওয়ার্কে Drop Box সংযোগ। একটি ছোট Raspberry Pi ভিত্তিক ডিভাইস (LAN Turtle, Packet Squirrel) Ethernet পোর্টে সংযোগ করে দূর থেকে নেটওয়ার্কে প্রবেশাধিকার পাওয়া যায়। এটি 4G/LTE মডেমের মাধ্যমে আক্রমণকারীর C2 সার্ভারে Reverse Connection স্থাপন করে—আক্রমণকারী আর সাইটে না থেকেও সম্পূর্ণ নেটওয়ার্ক অ্যাক্সেস বজায় রাখতে পারেন।

USB Drop Attack এবং Rubber Ducky স্থাপনও কার্যকর কৌশল। কর্মীদের ডেস্কে অরক্ষিত কম্পিউটারে USB Rubber Ducky সংযোগ করে কয়েক সেকেন্ডে কীস্ট্রোক ইনজেক্ট করে ম্যালওয়্যার ইনস্টল করা যায়। OMG Cable—যা দেখতে সাধারণ চার্জিং ক্যাবলের মতো কিন্তু ভেতরে WiFi-যুক্ত Implant—অরক্ষিত ডেস্কে রেখে আসা হয়। কর্মী এটি ব্যবহার করলে আক্রমণকারী দূর থেকে সম্পূর্ণ নিয়ন্ত্রণ পান।

প্রিন্টার থেকে নথি সংগ্রহ, ময়লার ঝুড়ি থেকে অশ্রেডেড কাগজপত্র (Dumpster Diving), কনফারেন্স রুমের হোয়াইটবোর্ডে লেখা পাসওয়ার্ড, কর্মীদের ডেস্কে স্টিকি নোটে লেখা Credential—এসব সবই মূল্যবান অর্জন। আধুনিক অফিসে প্রায়ই WiFi পাসওয়ার্ড কনফারেন্স রুমের দেয়ালে লেখা থাকে বা প্রিন্টারের পাশে রাখা থাকে।

বিখ্যাত পেনটেস্টার Jayson E. Street একবার কাঠের তক্তা ও টুলবক্স নিয়ে একটি ব্যাংকে ঢুকে দাবি করেন যে তিনি দেয়ালে সমস্যা সারাতে এসেছেন—কোনো যাচাই ছাড়াই তাকে ভল্ট রুমের পাশে কাজ করার অনুমতি দেওয়া হয়। আরেকটি বিখ্যাত ঘটনায় Deviant Ollam একজন বড় কর্পোরেশনে পিজা ডেলিভারি ছেলে সেজে CEO-এর অফিস পর্যন্ত পৌঁছেছিলেন। ২০১৬ সালে Florida-র একটি ব্যাংকে পরীক্ষাকারী মাত্র "Verizon Technician"-এর ভেস্ট এবং একটি Toolbox নিয়ে সম্পূর্ণ সার্ভার রুমে প্রবেশ করেছিলেন।

ব্যর্থতার উদাহরণও শিক্ষামূলক। ২০১৯ সালে Iowa-র Dallas County Courthouse-এ Coalfire নামক পেনটেস্টিং ফার্মের দুই পরীক্ষাকারী রাত্রিকালীন পরীক্ষার সময় গ্রেফতার হন—যদিও তাদের কাছে রাজ্য আদালত প্রশাসনের লিখিত অনুমোদন ছিল, স্থানীয় কাউন্টি কর্তৃপক্ষকে অবহিত করা হয়নি। তারা কয়েকদিন কারাগারে কাটিয়েছিলেন এবং বড় আইনি ব্যয় বহন করতে হয়েছিল। এই ঘটনা থেকে শিক্ষা—সমস্ত প্রাসঙ্গিক কর্তৃপক্ষের অনুমোদন এবং সঠিকভাবে যাচাইযোগ্য Authorization নথি অপরিহার্য।

ভৌত নিরাপত্তা শক্তিশালী করতে Defense-in-Depth নীতি অনুসরণ করুন। বহু-স্তরীয় প্রতিরক্ষা—পেরিমিটার, ভবন প্রবেশ, ফ্লোর-স্তর, সংবেদনশীল কক্ষ—প্রতিটি স্তরে স্বাধীন নিয়ন্ত্রণ স্থাপন করুন। Mantrap বা Anti-tailgating ব্যবস্থা সংবেদনশীল এলাকায় বাধ্যতামূলক করুন। প্রতিটি কর্মীর জন্য পৃথক প্রবেশ লগিং নিশ্চিত করুন—একসাথে দুজনের প্রবেশ Alert তৈরি করবে।

কর্মী সচেতনতা প্রশিক্ষণে Tailgating-বিরোধী আচরণ অন্তর্ভুক্ত করুন। প্রতিটি কর্মীকে শেখান কীভাবে নম্রভাবে অপরিচিত ব্যক্তিকে চ্যালেঞ্জ করতে হয়। "Challenge Culture" গড়ে তুলুন যেখানে ব্যাজ ছাড়া কাউকে দেখলে জিজ্ঞাসা করা স্বাভাবিক বলে বিবেচিত হয়। Visitor Management সিস্টেমে সব দর্শনার্থীর ফটো ID যাচাই, প্রি-রেজিস্ট্রেশন, এবং Escort বাধ্যতামূলক করুন।

Access Control প্রযুক্তিতে আধুনিকীকরণ গুরুত্বপূর্ণ। পুরনো HID Prox বা MIFARE Classic ব্যাজ পরিত্যাগ করে DESFire EV2/EV3, iCLASS Seos, বা Mobile Credential ব্যবহার করুন—এগুলো আধুনিক ক্লোনিং প্রচেষ্টা প্রতিরোধে কার্যকর। সংবেদনশীল এলাকায় Multi-factor Authentication—ব্যাজ + PIN বা ব্যাজ + Biometric—বাধ্যতামূলক করুন। Surveillance সিস্টেমে AI-ভিত্তিক Anomaly Detection স্থাপন করুন যা অস্বাভাবিক আচরণ (লম্বা সময় দাঁড়িয়ে থাকা, ক্যামেরা এড়ানো) স্বয়ংক্রিয়ভাবে শনাক্ত করবে।

নিয়মিত Physical Penetration Testing পরিচালনা করুন—প্রতি ১২-১৮ মাসে অন্তত একবার। প্রতিবেদনের সুপারিশগুলো শুধু পড়ে রাখলে চলবে না—ব্যবস্থাপনাকে সক্রিয়ভাবে বাস্তবায়ন করতে হবে। Cyber Pentesting এবং Physical Pentesting আলাদা না রেখে সমন্বিত Red Team Engagement পরিচালনা করুন যা প্রকৃত আক্রমণকারীর সম্পূর্ণ ক্ষমতা অনুকরণ করবে।