অন্য স্পাইওয়্যারের সঙ্গে পেগাসাসের পার্থক্য হলো, কোনো লিংকে ক্লিক বা কল রিসিভ না করলেও এটি স্মার্টফোনে প্রবেশ করতে পারে। এরপর তথ্য সংগ্রহ করে পাচার করতে পারে, ভিডিও ধারণ করতে পারে, এমনকি স্ক্রিনশটও নিতে পারে। প্রশ্ন হলো, ক্লিক ছাড়াই, কল রিসিভ করা ছাড়াই কীভাবে সেটি ফোনে প্রবেশ করে? ‘বিবিসি সায়েন্স ফোকাস’ সাময়িকীকে সেসব প্রশ্নের উত্তর দিয়েছেন কিংস কলেজ লন্ডনের সাইবার সিকিউরিটি রিসার্চ গ্রুপের প্রধান টিম স্টিভেন্স।
পেগাসাসকে এখন পর্যন্ত তৈরি সবচেয়ে শক্তিশালী স্পাইওয়্যার বলা হচ্ছে। সেটা কি ঠিক?
এটা বলা মুশকিল। হয়তো আরও শক্তিশালী কোনো স্পাইওয়্যার থাকতে পারে, যা আমাদের গোচরে আসেনি। তবে আমরা যে স্পাইওয়্যারগুলো সম্পর্কে জানি, পেগাসাসের তথ্য হাতিয়ে নেওয়ার ক্ষমতা সেসব থেকে আলাদা।
এটি কেন আলাদা?
অতীতে আপনাকে হয়তো কেউ ই-মেইল করে বা সামাজিক যোগাযোগমাধ্যমে বার্তা পাঠিয়ে লিংকে ক্লিক করতে বলত। এরপর আপনি ওই লিংকে ক্লিক করলে খুদে একটি ক্ষতিকর সফটওয়্যার আপনার ডিভাইসে প্রবেশ করে কাজ শুরু করত।
তবে পেগাসাস কোনো কিছুতে ক্লিক করা ছাড়াই আপনার সিস্টেমে প্রবেশ করতে পারে। এটাকে বলা হয় ‘জিরো-ক্লিক’ ম্যালওয়্যার। কেউ আপনার ডিভাইসে একটি বার্তা পাঠালেই হলো। সেটা খোলারও প্রয়োজন নেই। ওই ডিভাইসের অপারেটিং সিস্টেমের ত্রুটির সুযোগ কাজে লাগায় পেগাসাস।
এটাকে বলা হয় ‘জিরো-ডে ভালনারেবিলিটিস’। কারণ, সেটা ডিভাইস নির্মাতা প্রতিষ্ঠানগুলো বা গবেষকেরা খুঁজে পাননি। যখন সেটি সবার নজরে এল, তখন ত্রুটি সারানোর জন্য ‘জিরো’ সময় পাওয়া যায়। যে কাজের জন্য সেটি তৈরি করা হয়েছিল, ততক্ষণে তা করা হয়ে গেছে।
অ্যাপলের আইওএস বা গুগলের অ্যান্ড্রয়েডের মতো বড় অপারেটিং সিস্টেম বা অন্য সফটওয়্যারগুলোতে ত্রুটি থাকে। এটা জানা ঘটনা। কোনোটাই নিখুঁত নয়। গবেষকেরা এই ত্রুটিগুলো খুঁজে বের করে প্রতিষ্ঠানগুলোকে সারানোর জন্য বলেন। আবার প্রতিষ্ঠানগুলোও নিজ উদ্যোগে তা করে থাকে। পেগাসাসের মতো স্পাইওয়্যার এই ত্রুটিগুলো ব্যবহার করে ডিভাইসে ঢোকার সুযোগ পেয়ে থাকে।
এটা অনেকটা বাড়ির মূল দরজা-জানালা বন্ধ করে রান্নাঘরের জানালা রাতভর খোলা রাখার মতো। চোর পুরো বাড়িতে ঠিকঠাক খুঁজলে খোলা জানালার খোঁজ পেয়ে যাবেই, সে বাড়ি যত বড়ই হোক। সফটওয়্যারের ক্ষেত্রেও সেটাই হচ্ছে।
অর্থাৎ প্রবেশের অনেক পথ আছে পেগাসাসের। কোনো কোনো ক্ষেত্রে সেটা কেবল একটি বার্তা বা ফোন কলের মতোই সাধারণ?
আপনি যদি প্রযুক্তি সম্পর্কে ধারণা রাখেন, তবে কোনো অ্যাপ আপনার ই-মেইল বা ফোন নম্বরের তালিকায় প্রবেশের অনুমতি চাইলে আপনি সতর্ক হয়ে যাবেন। অনুমতি না দিলে সে দরজা আপনি খুললেন না। পেগাসাসের বেলায়, আপনি জানেনই না সেখানে একটি দরজা ছিল।
পেগাসাস আপনার ফোনের জেইলব্রেক (নির্মাতা প্রতিষ্ঠানের নিরাপত্তাসুবিধা নষ্ট করে দেওয়া) করে। এরপর ফোনে প্রবেশ করে লুকিয়ে থাকে এবং ফোনে কী কী করা হচ্ছে, তা জানার সব সুযোগ পেয়ে যায়। এটা বেশ নতুন ও চমৎকার কারিগরি অর্জন।
পেগাসাসের কাজ করার জন্য ফোন কল গ্রহণ করা জরুরি?
না, আপনি যখন কাউকে কল করেন, তখন ডিজিটাল ‘করমর্দন’ হয়। আমার ডিভাইসটিকে কোনোভাবে আপনার ডিভাইসের সঙ্গে যোগাযোগ করতে হয়। যখন সেই যোগাযোগ স্থাপন হয়, ফোন কল রিসিভ করা হোক বা না হোক, ডেটার আদান–প্রদানের একটা পথ তৈরি হয়। আর সেই পথের সুযোগ নিয়ে থাকে জিরো-ক্লিক ম্যালওয়্যারগুলো।
পেগাসাস কি বৈধ?
এটা একটি জটিল প্রশ্ন। আপনি কোন দেশে আছেন, তার ওপর নির্ভর করে এর শত শত উত্তর থাকতে পারে। এখন বেশির ভাগ দেশের আইন বলে, আপনি কম্পিউটার সিস্টেমে অননুমোদিত প্রবেশাধিকার পেতে পারেন না। অর্থাৎ সিস্টেম হ্যাক করার অধিকার আপনার নেই। তবে কোনো আইনে কিন্তু বিদেশে সে কাজ করতে নিষেধ করা হয়নি। আর দুটি দেশের মধ্যে পারস্পরিক সহযোগিতা থাকলে ব্যাপারটি আরও জটিল হয়ে যায়। গোয়েন্দা তৎপরতার মতো এই বিষয়গুলোও কোনো আন্তর্জাতিক আইনে পরিষ্কারভাবে অবৈধ করা হয়নি।
এর ব্যাপারে কী করা যেতে পারে?
প্রথমে আমাদের নিশ্চিত করতে হবে, কাকে লক্ষ্য করে পেগাসাস স্পাইওয়্যার প্রয়োগ করা হয়েছে। এরপর ফোনের ডেটা ঘেঁটে বুঝতে হবে, তাতে পেগাসাস আছে কি না। এটা যদিও শনাক্ত করা কঠিন, তবে কিছু ডিজিটাল পদচিহ্ন থেকেই যায়।
এরপর আসে রাজনৈতিক বা অর্থনৈতিক সিদ্ধান্তের প্রশ্ন। পেগাসাসের নির্মাতা ইসরায়েলি প্রতিষ্ঠান এনএসও গ্রুপের গ্রাহকেরা বেশির ভাগই কোনো দেশের সরকার। সরকার কি স্বীকার করবে, তারা কী করেছে? তারা কি বলবে যে এনএসও গ্রুপের সঙ্গে চুক্তিবদ্ধ হয়েছে? যদি স্বীকার করেও থাকে, তবে বলতে পারে, কাজটি আইন প্রয়োগ বা সন্ত্রাস দমনের জন্য করা হয়েছে। গণমাধ্যম ও নাগরিক সমাজের কাছ থেকে পর্যাপ্ত চাপ না এলে এমন সত্য সামনে আসবে বলে আমার মনে হয় না।