প্রবেশগম্যতা সেটিংস

ইলাস্ট্রেশান: জিআইজেএনের জন্য এঁকেছেন মার্সেল লু

বিষয়

ডিজিটাল হুমকি অনুসন্ধান: ডিজিটাল নজরদারি

আর্টিকেলটি পড়ুন এই ভাষায়:

সম্পাদকের নোট: এই পোস্টটি জিআইজেএনের রিপোর্টার্স গাইড টু ইনভেস্টিগেটিং ডিজিটাল থ্রেটস্ থেকে নেওয়া হয়েছে। ইতিমধ্যে ডিসইনফর্মেশন নিয়ে প্রথম ও ডিজিটাল ইনফ্রাস্ট্রাকচার নিয়ে দ্বিতীয় অধ্যায় প্রকাশিত হয়েছে। আগামী সেপ্টেম্বরে গ্লোবাল ইনভেস্টিগেটিভ জার্নালিজম কনফারেন্সে পুরো গাইডটি প্রকাশ করা হবে।

ডিজিটাল নজরদারি এখন সর্বত্র: সকালে ফোন চালু করার মুহূর্ত থেকে শুরু করে আপনি যে অ্যাপ ব্যবহার করছেন, আপনার ফোন যে সব অ্যান্টেনার সঙ্গে সংযোগ স্থাপন করছে এবং আপনি যে ফোনকলগুলো করছেন-  এমন প্রতিটি কর্মকাণ্ড ডেটা তৈরি করছে। কোম্পানিগুলো তাদের মুনাফার জন্য অথবা রাষ্ট্রীয় সংস্থাগুলো অপরাধ বা অবৈধ কর্মকাণ্ড তদন্তের জন্য এ সব ডেটার বেশিরভাগই রেকর্ড ও সংরক্ষণ করছে এবং কাজে লাগাচ্ছে। একজন সাংবাদিক হিসেবে আপনি যে ধরনের পরিস্থিতির সম্মুখীন হতে পারেন, এই অধ্যায়ে আমি ডিজিটাল নজরদারির সেসব সাধারণ দিকগুলোর ওপর আলোকপাত করছি এবং কীভাবে তা অনুসন্ধান ও প্রতিরোধ করা যায় সে সম্পর্কে সংক্ষেপে আলোচনা করেছি। 

ডিজিটাল নজরদারি কী এবং এর নেপথ্যে কারা রয়েছে?

ডিজিটাল নজরদারিকে গভীরভাবে বোঝার জন্য, এর দুটি ধরনের মধ্যে পার্থক্য জানা জরুরি: গণ নজরদারি ও লক্ষ্যনির্দিষ্ট নজরদারি। কোনো অপকর্মের সঙ্গে জড়িত থাকুক বা না থাকুক, নির্বিচারে জনসংখ্যার একটি বড় অংশের ওপর নজরদারির পদ্ধতি হলো গণ নজরদারি। যেমন, কোনো দেশের ফোন যোগাযোগের সব তথ্য ধারণ করা কিংবা কোনো শহরে ভিডিও ক্যামেরা বসিয়ে ফেসিয়াল রিকগনিশনের মাধ্যমে ব্যক্তিকে চিহ্নিত করা। 

লক্ষ্যনির্দিষ্ট নজরদারি হচ্ছে নির্দিষ্ট ব্যক্তির ওপর নজরদারি; এক্ষেত্রে প্রায়ই এমন সব কৌশল ব্যবহার করা হয় যা অনধিকার-প্রবেশমূলক, যেমন স্পাইওয়্যার বা কোনো ব্যক্তির বাড়িতে মাইক্রোফোন বসানো।

নাগরিক সমাজ যে ধরনের নজরদারির শিকার হয়, তার বেশিরভাগের সঙ্গে সরকারি সংস্থা (আইন প্রয়োগকারী সংস্থা বা গোয়েন্দা সংস্থা) যুক্ত থাকে। এসব সংস্থা প্রায়ই সার্ভেইল্যান্স ইন্ডাস্ট্রির সমর্থন পায়। এই শিল্প তেমন নিয়ন্ত্রিত হয় না অথবা এদের নীতি-নৈতিকতার সীমাও বেশ সংকীর্ণ হয়ে থাকে। রাষ্ট্রীয় নজরদারির একটি যমজ ভাই আছে: মুনাফার উদ্দেশ্যে পরিচালিত কর্পোরেট নজরদারি, যাকে অনেকই এখন নজরদারির পুঁজিবাদ বলে অভিহিত করেন। নজরদারির পুঁজিবাদের উদ্দেশ্য হচ্ছে মানুষের ব্যক্তিগত তথ্য সংগ্রহের মাধ্যমে মুনাফা করা। এর প্রাথমিক লক্ষ্য সাংবাদিক ও নাগরিক সমাজ নয়, তাই এটি আমাদের আলোচনার মূল বিষয়বস্তুও নয়। অবশ্য, ব্যবসা প্রতিষ্ঠানও যে সাংবাদিকদের ওপর ডিজিটাল নজরদারি করতে পারে, এটা নিশ্চিত; কর্পোরেট নজরদারি থ্রেট ইনটেলিজেন্সের (যার উদ্দেশ্য হলো নজরদারির তথ্য ব্যবহার করে সম্ভাব্য আক্রমণকারী বা থ্রেট অ্যাকটরদের আচরণ বিশ্লেষণ) জন্য ব্যবহার করা যেতে পারে।

রাষ্ট্রীয় নজরদারি প্রায়শই সুকৌশলে ও গোপনে করা হয়। গোয়েন্দা সংস্থাগুলো তাদের ক্ষমতা প্রদর্শন করতে পছন্দ করে না এবং তদারকি ও তদন্ত এড়াতে চায়। তবুও, বিভিন্ন অঞ্চলের সার্ভেইল্যান্স ইন্ডাস্ট্রি সম্পর্কে তথ্য সংগ্রহ করা সম্ভব।

  • তারা লুকাতে চায় কিন্তু তাদের অস্তিত্ব বজায় রাখতে হয়। নজরদারি প্রযুক্তি বিক্রির সময়, এ সংস্থাগুলোকেও কিছু ক্ষেত্রে সাধারণ কর্পোরেট সংস্থার মতো কাজ করতে হয়। এর মানে কোথাও না কোথাও সংস্থাগুলোর নিবন্ধিত, আইনি অস্তিত্ব বিদ্যমান, তারাও কর্মচারীদের নিয়োগ দেয়, লিংকডইন বা অন্য কোথাও চাকরির বিজ্ঞপ্তি পোস্ট করে এবং কখনো কখনো বিনিয়োগকারীদেরও আকৃষ্ট করতে হয়। এ ধরনের প্রতিষ্ঠানকে ট্র্যাক করতে সাংবাদিকতার প্রচলিত বিভিন্ন সরঞ্জাম প্রয়োগ করা যেতে পারে।
  • কার্যক্রম গোপন রাখতে চাইলেও তাদের বিপণন করতে হয়। প্রতি বছর গোটাবিশ্বে আইএসএস ওয়ার্ল্ড বা মিলিপোল-এর মতো অন্তত এক ডজন নজরদারি বিষয়ক সম্মেলন অনুষ্ঠিত হয়, যেখানে নজরদারি প্রযুক্তির বিক্রেতা ও আইন প্রয়োগকারী সংস্থার প্রতিনিধিরা জড়ো হন। এ ধরনের বেশিরভাগ ইভেন্টেই সাংবাদিকদের প্রবেশাধিকার সীমিত, তবে কখনো কখনো বিভিন্ন প্রতিষ্ঠান ও স্পনসরদের তালিকা এবং পণ্য সম্পর্কিত তথ্যগুলো সবার জন্য উন্মুক্ত রাখা হয়। এখান থেকে অনুসন্ধানের জন্য আকর্ষণীয় দৃষ্টিকোণ পাওয়া যায়। যেমন, ২০২৩ সালের জুনে, প্রাগে অনুষ্ঠিত আইএসএস ওয়ার্ল্ড ইউরোপের প্রধান পৃষ্ঠপোষক ছিল এনএসও গ্রুপ। কখনো কখনো নজরদারি পণ্যের ব্রোশিওর বা কিছু দেশের ক্ষেত্রে প্রতিরক্ষা সংশ্লিষ্ট শিল্প প্রতিষ্ঠানের ক্যাটালগও খুঁজে পাওয়া যেতে পারে। যেমন: ইজরায়েলের প্রতিরক্ষা মন্ত্রণালয়ের ডিফেন্স অ্যান্ড এইচএলএস ডিরেক্টরি। অনেক ক্ষেত্রে, “স্পাইওয়্যার” এর পরিবর্তে “রিমোট ডেটা এক্সট্র্যাকশন” এর মতো নাম ব্যবহার করে নজরদারির ধরনটিকে অস্পষ্ট রাখা হয়। 

রাষ্ট্রীয় নজরদারি বিভিন্ন ধরন

ডিজিটাল নজরদারির জগৎটি জটিল এবং প্রতিনিয়তই পরিবর্তিত হচ্ছে, যা শিল্পটি সম্পর্কে পরিপূর্ণ ও নিখুঁত ধারণা পাওয়ার বিষয়টিকে কঠিন করে তোলে। কিন্তু ডিজিটাল নজরদারির প্রধান ধরনগুলো বোঝা গুরুত্বপূর্ণ, যা রাষ্ট্রগুলো তাদের নাগরিক সমাজকে পর্যবেক্ষণের কাজে ব্যবহার করে।

ফোন নেটওয়ার্ক মনিটরিং

ফোন নেটওয়ার্ক মনিটরিং সম্ভবত ডিজিটাল নজরদারির সবচেয়ে প্রাচীন ও আইনি ধরনগুলোর একটি। পুলিশের তদন্ত কাজের জন্য প্রায় সব দেশেই ফোন কল এবং এসএমএস ট্যাপ করার ব্যবস্থা রয়েছে। গোয়েন্দা সংস্থাগুলোও ব্যাপক মাত্রায় এর ব্যবহার করে থাকে, যেখানে তদারকি সংক্রান্ত বিভিন্ন অব্যবস্থাপনা বিদ্যমান। 

মোবাইল ফোনের প্রযুক্তিগত উন্নয়ন এই সক্ষমতাকে আরো সম্প্রসারিত করেছে। যেমন, নকশাগত কারণেই যোগাযোগের জন্য মোবাইল ফোনগুলোকে নিকটবর্তী সেল টাওয়ারের সাথে সংযোগ স্থাপন করতে হয়। এটি বহিরাগতদের একটি নির্দিষ্ট সময়ে একটি সেলফোনের নির্দিষ্ট ভৌগোলিক অবস্থান জানার সুযোগ করে দেয়। এখানে গুরুত্বপূর্ণ হলো: ফোনটি সর্বশেষ যে টাওয়ারের সঙ্গে সংযুক্ত হয়েছে সেটি খোঁজ করা হচ্ছে (যা টাওয়ারটির কয়েকশ মিটার থেকে কয়েকশ কিলোমিটারের মধ্যে অবস্থান জানান দিতে পারে, এবং এটি টাওয়ারের ঘনত্বের ওপর নির্ভর করে), নাকি একাধিক টাওয়ারের মাধ্যমে অবস্থানকে যাচাই করে (এভাবে অবস্থানের কয়েক মিটারের মধ্যে ফোনটিকে সনাক্ত করা যায়) সক্রিয়ভাবে ভৌগলিক অবস্থান বের করা হচ্ছে। 

সেল ফোনের নকশাই এমন যেন সেটি সবচেয়ে কাছের সেল টাওয়ারের সঙ্গে সংযোগ স্থাপন করতে পারে। এর ফলে শক্তিশালী সিগন্যাল পাওয়া যায়। তাই, পোর্টেবল বা বহনযোগ্য টাওয়ার তৈরির মাধ্যমে কাছাকাছি থাকা ডিভাইসগুলোর সংযোগ হাইজ্যাক করা যায়। এই টুলগুলোকে আইএমএসআই (ইমসি) ক্যাচার বলা হয় (কখনো কখনো স্টিংরেসও বলা হয়, তবে বহুল পরিচিত হল, ইমসি ক্যাচার)। অনেক দেশের আইন প্রয়োগকারী সংস্থার কাছে এমন টুল রয়েছে। অবশ্য সাম্প্রতিক মোবাইল প্রোটোকলগুলো এ ধরনের আক্রমণকে কঠিন করে তুলেছে। যে কোনো ডিভাইসে অনুপ্রবেশের মাত্রাটি মূলত হার্ডওয়্যার ও কনফিগারেশনের ওপর নির্ভর করে। সাধারণ প্রযুক্তির সাহায্যে সেল ফোনটির অবস্থান বের করা যায়, তবে কিছু জটিল ও উন্নত প্রযুক্তি ব্যবহার করে সেলফোনে আড়িপাতার পাশাপাশি ফোনের মাধ্যমে প্রেরিত বার্তা, কল বা অন্যান্য ডেটাও পরিবর্তন করা সম্ভব। 

digital threats landscape Stingray device

প্রচলিত স্টিংরেস আইএমএসআই ক্যাচার। ছবি: ইউএস পেটেন্ট এবং ট্রেডমার্ক অফিস

আন্তর্জাতিক ফোন নেটওয়ার্ক নির্ভর করে সিগন্যালিং সিস্টেম নং.৭ (এসএস৭) নামক একটি পুরোনো প্রোটোকলের ওপর। এটির গুরুতর নিরাপত্তা সমস্যা রয়েছে বলে জানা যায়; অংশত, এর কারণ হলো টেলিফোন কোম্পানিগুলো তাদের নেটওয়ার্কের নিরাপত্তায় বিনিয়োগে তেমন আগ্রহী নয়। এ ধরনের নিরাপত্তা-দুর্বলতা নজরদারি সংস্থাগুলোকে (যেমন সারকেলস) এসএস৭ অপারেটর হিসাবে নিবন্ধনের অনুমতি দেয় (অথবা বিদ্যমান অপারেটরদের নেটওয়ার্ক ব্যবহারের জন্য অর্থ প্রদান করে) এবং বিশ্বজুড়ে বিভিন্ন সেল ফোন ট্র্যাক করতে তা ব্যবহার করা হয়। প্রিন্সেস লতিফা আল-মাকতুমকে ট্র্যাক করতে এ ধরনের নজরদারি টুল ব্যবহার করা হয়েছিল। ২০১৮ সালে তিনি তার বাবা, দুবাইয়ের শাসক শেখ মোহাম্মদের কাছ থেকে পালানোর চেষ্টা করেন।

এটি লক্ষ্য করা জরুরী যে, সাধারণ ডেটার তুলনায় মেটাডেটা (যেমন কলার নম্বর, রিসিভার নম্বর এবং কলের সময়) বেশি আকর্ষণীয় এবং সহজে বিশ্লেষণযোগ্য। অনেক সময় পুলিশ সদস্যরা কোনো ধরনের আইনি তদারকি ছাড়াই এই ডেটায় প্রবেশ করতে পারে, যা একসঙ্গে কর্মরত ব্যক্তিদের একটি নেটওয়ার্ককে সনাক্তের সুযোগ করে দিতে পারে।

ইন্টারনেট নেটওয়ার্ক মনিটরিং

২০১১ সালে মুয়াম্মার গাদ্দাফির শাসনের অবসান ঘটানো লিবিয়া গৃহযুদ্ধের সময় অধিকার-কর্মীদের ছোট একটি দল, একটি গোপন সরকারি নজরদারি কেন্দ্র খুঁজে পায়। এটি ফরাসি কোম্পানি অ্যামেসিস (পরে নাম পরিবর্তন করে নেক্সা টেকনোলজিস রাখা হয়) নামের আড়ালে নজরদারি সংক্রান্ত কার্যক্রম পরিচালনা করছিল। ইন্টারনেটের মাধ্যমে লিবিয়াতে আসা ও লিবিয়ার বাইরে যাওয়া সব তথ্য, ইমেইল, চ্যাট, ভয়েস-ওভার-আইপি (ভিওআইপি) কল এবং ব্রাউজিং ইতিহাস বের করে তা নিরীক্ষা এবং রেকর্ড করতো সংস্থাটি। বিভিন্ন সময় তাদের কাছ থেকে পাওয়া তথ্যের ভিত্তিতে কর্মীদের গ্রেপ্তার, জেরা এবং নির্যাতন করা হয়।

ইন্টারনেট-জোড়া নজরদারি এখন বিভিন্ন রাষ্ট্রের জন্য, নাগরিকদের কার্যক্রম পর্যবেক্ষণের নিয়মিত হাতিয়ার হয়ে উঠেছে। স্নোডেনের উদ্ঘাটনগুলো মার্কিন যুক্তরাষ্ট্রের ইন্টারনেট পর্যবেক্ষণ (মনিটরিং) সক্ষমতার বিষয়টি সবার প্রথমে সামনে আনে। এক্স-কি-স্কোর এর মতো গোপন প্রোগ্রামগুলো দেশটিকে বিশদ তথ্যভান্ডারে পুঙ্খানুপুঙ্খ অনুসন্ধানের সুযোগ করে দেয়৷ বর্তমানে ছোট বাজেটের দেশগুলোর জন্যেও এ ধরনের উন্নত প্রযুক্তি পাওয়া সহজ হয়ে উঠেছে। সরবরাহকারী দেশ হিসেবে এক্ষেত্রে বড় কৃতিত্বের দাবিদার উত্তর আমেরিকা, ইউরোপ ও ইজরায়েল। যেমন, ২০২১ সালে, অ্যামনেস্টি ইন্টারন্যাশনাল তুলে ধরে যে ইসরায়েলি কোম্পানি ভেরিন্ট দক্ষিণ সুদানে নেটওয়ার্ক মনিটরিং সরঞ্জাম বিক্রি করেছে। পরবর্তীতে দেশটির অ্যাক্টিভিস্টদের ওপর, এর কী কঠিন প্রভাব পড়েছিল তা তারা নথিভুক্ত করে। 

ফিশিং ও স্পাইওয়্যার আক্রমণ

এনক্রিপশনের ব্যবহার ক্রমাগত বৃদ্ধির কারণে অনেক দেশ এখন ফিশিং বা স্পাইওয়্যার আক্রমণের মতো ভিন্ন কৌশলের মাধ্যমে স্মার্টফোন, ল্যাপটপ ও ট্যাবলেটের মতো ডিভাইস বা ব্যবহারকারীর অ্যাকাউন্টে আক্রমণের দিকে ঝুঁকছে। ফিশিং হচ্ছে সোশ্যাল ইঞ্জিনিয়ারিং-এর একটি ধরন যেখানে আক্রমণকারীরা তাদের লক্ষ্যবস্তু ব্যক্তিকে ক্ষতিকর ফাইল (অধিকাংশ সময় স্পাইওয়্যার থাকে) খোলা কিংবা ক্ষতিকর ওয়েবসাইটে লগইন করা বা পাসওয়ার্ড ব্যবহার করে প্রবেশ করার জন্য প্রতারণামূলক বার্তা বা ইমেইল পাঠায়। স্পাইওয়্যার হলো ক্ষতিকর প্রোগ্রাম যা গোপনে ডিভাইসের কার্যকলাপ নিরীক্ষণ ও তথ্য সংগ্রহ করে।  

এ ধরনের আক্রমণের জন্য যে ধরনের টুল ও দক্ষতা প্রয়োজন, তা কিছু কিছু ক্ষেত্রে খোদ রাষ্ট্রগুলোই তৈরি করে। এজন্য তারা সময় ও টাকা খরচ করে স্পাইওয়্যার ডেভলপারদের ভাড়া করে। তবে অনেক দেশ আবার বাণিজ্যিক স্পাইওয়্যার শিল্পের ওপর নির্ভর করা সহজ বলে মনে করে। ঐতিহাসিকভাবে, ইউরোপে ফিনফিশার হ্যাকিং টিমের মতো কোম্পানির হাত ধরে এই শিল্পের পথচলা শুরু হয় এবং তারপর ইজরায়েলে এনএসও গ্রুপ এবং প্যারাগনের মতো কোম্পানির মাধ্যমে। 

এই শিল্প যে নজরদারির ক্ষেত্র তৈরি করেছে সেটি গত ১৫ বছর ধরে নথিভুক্ত করা হচ্ছে এবং শত শত সাংবাদিক ও অ্যাক্টিভিস্টদের এর লক্ষ্যবস্তুতে পরিণত করা হয়েছে। স্পাইওয়্যার শিল্প, এনএসও গ্রুপের পেগাসাসের মতো উন্নত টুলও নিয়ে এসেছে, যা ফোনের ডেভেলপারদের অজান্তে সফটওয়্যারের দুর্বলতা (জিরো-ডে এক্সপ্লয়েট নামে পরিচিত) কাজে লাগিয়ে স্মার্টফোনে প্রবেশ করতে সক্ষম হয়। পেগাসাসের শুরুর দিকে, এসএমএসের মাধ্যমে ব্যবহারকারীকে লিংক পাঠানো হতো এবং এর মাধ্যমে ডিভাইসগুলোকে সংক্রামিত করা হতো। লিংকে একবার ক্লিক করলে, ফোনটি নীরবে বহিরাগতদের প্রবেশের সুযোগ করে দিত। 

digital threats landscape Pegasus spyware links

২০১৬  সালের আগস্টে পেগাসাস স্পাইওয়্যার-এমবেড করা লিঙ্কগুলো সংযুক্ত আরব আমিরাতভিত্তিক মানবাধিকার রক্ষাকারী আহমেদ মনসুরকে লক্ষ্য করে প্রেরণ করা হয়। ছবি: স্ক্রিনশট, সিটিজেন ল্যাব

২০১৮-১৯ সালের দিকে, এনএসও গ্রুপ জিরো-ক্লিক এক্সপ্লয়েট প্রযুক্তি নিয়ে আসে। এতে ব্যবহারকারী কোনো কিছু না করলেও আক্রমণ করা যায়। অন্যভাবে বললে, ক্ষতিকারক কোনো লিংকে ক্লিক না করা সত্ত্বেও ব্যবহারকারীর ফোন নীরবে সংক্রমিত হতে পারে। এ ধরনের আক্রমণের ক্ষেত্রে অ্যাপ্লিকেশনের দুর্বলতাকে কাজে লাগানো হয়, (যেমন হোয়াটস ২০১৯) অথবা নেটওয়ার্ক ইনজেকশন ব্যবহার করা, যা সুনির্দিষ্ট ব্রাউজার ও অ্যাপগুলোকে ক্ষতিকর ওয়েবসাইটগুলোতে সংযুক্ত হওয়ার জন্য পুনঃনির্দেশ করে।

আক্রমণের এই পদ্ধতিগুলো প্রযুক্তিগতভাবে উন্নত এবং সাধারণত খবরের শিরোনাম হবার মতো, তবে সাংবাদিক ও অ্যাক্টিভিস্টদের লক্ষ্য করে তৈরি বেশিরভাগ স্পাইওয়্যার ও ফিশিং টুল অত জটিল নয়। আমার কর্মজীবনে আমি দেখেছি, বেশিরভাগ আক্রমণ খুব সাদামাটাভাবেই করা হয়েছে। যেমন, ফিশিংয়ের বৈচিত্র্যতা। এ ধরনের একটি ক্লাসিক আক্রমণের উদাহরণ হচ্ছে ব্যবহারকারীকে তার লগইন ও পাসওয়ার্ড প্রদান করানোর উদ্দেশ্যে অনলাইন প্ল্যাটফর্মের (যেমন গুগল বা ইয়াহু) ছদ্মবেশে প্রতারণামূলক ইমেইল পাঠানো। আরেকটি হলো চ্যাট অ্যাপ্লিকেশনগুলোতে ফাইল বা অ্যাপ্লিকেশন পাঠানোর মাধ্যমে শিকারকে ক্ষতিকর ফাইল ওপেন বা ইনস্টল করানোর চেষ্টা।

digital threat landscape phishing malware

ছবিতে, ফিশিং আক্রমণের মাধ্যমে একটি ক্ষতিকর অ্যাপ্লিকেশন ইনস্টল করার জন্য ব্যবহারকারীকে প্রলুদ্ধ করা হচ্ছে৷ ছবি: স্ক্রিনশট, অ্যামনেস্টি ইন্টারন্যাশনাল

নাগরিক সমাজকে লক্ষ্য করে পরিচালিত আক্রমণে বেশিরভাগ নজরদারি সংস্থা সোশ্যাল ইঞ্জিনিয়ারিংয়ের ওপর নির্ভর করে। সোশ্যাল ইঞ্জিনিয়ারিং এমন একটি কৌশল যেখানে সাইবার অপরাধীরা মানব মনস্তত্ত্বকে কাজে লাগিয়ে ব্যবহারকারীর সংবেদনশীল তথ্য হাতিয়ে নেয়। এ পদ্ধতিতে সরাসরি প্রযুক্তিগত আক্রমণের পরিবর্তে মনস্তাত্ত্বিক কারসাজি ও প্রতারণার মাধ্যমে ব্যক্তিকে তার পাসওয়ার্ড বা অন্যান্য মূল্যবান তথ্য দিতে রাজি করানো সম্ভব হয়। পরিচিত কোনো বিশ্বস্ত সংস্থার ছদ্মবেশী প্রোফাইল তৈরি কিংবা ভুয়া এনজিও প্রোফাইল তৈরির মাধ্যমেও প্রলুব্ধ করা হতে পারে। এর মধ্যে একটি কৌশলকে বলা হয় স্পুফিং, যেখানে পরিচিত ইমেইল অ্যাড্রেস ব্যবহার করে ক্ষতিকর লিংক প্রেরণ করা হয়। এধরনের আক্রমণ প্রযুক্তিগতভাবে তুলনামূলক কম জটিল, সস্তা এবং নাগরিক সমাজের ওপর প্রয়োগের ক্ষেত্রে অনেক বেশি কার্যকর।

ফরেনসিক টুল
digital threats landscape Cellebrite device

সেলেব্রাইট ইউএফইডি ডিভাইসটি আইন প্রয়োগকারী সংস্থাকর্তৃক সবেচেয়ে বেশি ব্যবহৃত ফরেনসিক টুলগুলোর অন্যতম। ছবি: উইকিপিডিয়া, ক্রিয়েটিভ কমন্স

যখন কোনো সাংবাদিক বা অ্যাক্টিভিস্টকে গ্রেপ্তার করা হয়, কর্তৃপক্ষ তখন ডিভাইসগুলো বাজেয়াপ্ত করে এবং সেখান থেকে তথ্য বের করার জন্য প্রায়ই ডিজিটাল ফরেনসিক টুল ব্যবহার করে। এই টুলগুলো অভ্যন্তরীণভাবেও তৈরি করা সম্ভব। এধরনের ডিজিটাল ফরেনসিক টুল সাধারণত সেলেব্রাইট বা ম্যাগনেট ফরেনসিক্সের মতো প্রতিষ্ঠান থেকে সংগ্রহ করা হয়। 

সেলেব্রাইটের মতো ফরেনসিক কোম্পানিগুলো বাংলাদেশ, বেলারুশ এবং মিয়ানমারের মতো কর্তৃত্ববাদী সরকারের কাছে তাদের পণ্য বিক্রির জন্য সমালোচিত হয়েছে।

টুলগুলোর কার্যকারিতা অনেকগুলো বিষয়ের ওপর নির্ভর করে: যেমন, ফোনের মেয়াদ ও সুরক্ষা এবং পুলিশকর্তৃক ব্যবহৃত টুলের দাম ও জটিল কারিগরী বৈশিষ্ট্য৷ উদাহরণস্বরূপ, ২০১৫-১৬ সালে একটি আইনি মামলা ঘিরে গুরুত্বপূর্ণ বিতর্ক তৈরি হয়। সেখানে মার্কিন সরকার, এফবিআই-এর নেতৃত্বে, অ্যাপলকে আইফোনের এনক্রিপশন দুর্বল করতে বাধ্য করার চেষ্টা করেছিল। এক ব্যক্তির বিরূদ্ধে অভিযোগ করা হয় যে, তিনি গণহারে সবাইকে গুলি করতে পারেন। এমন সন্দেহভাজন ব্যক্তির ফোন থেকে তথ্য উদ্ধার করতে সক্ষম না হওয়াতে এফবিআইয়ের পক্ষ থেকে এ ধরনের সুপারিশ করা হয়।  দীর্ঘ আইনি লড়াইয়ের পর, এফবিআই তাদের অনুরোধ প্রত্যাহার করে নেয়, কারণ তারা তৃতীয় একটি পক্ষের হদিস পায়, যারা ডিভাইসের নিরাপত্তা ত্রুটি ব্যবহার করে ডেটা বের করতে সক্ষম হয়েছিল। এ ধরনের ঘটনা আইন প্রয়োগকারীদের ক্ষমতার একটি আকর্ষণীয় দিক সামনে আনে। কিন্তু এটিও লক্ষ্য করা উচিত যে, অনেক ক্ষেত্রে আইনি বা শারীরিক হুমকি প্রদান করে কর্তৃপক্ষ ব্যবহারকারীকে তার ডিভাইসের অ্যাক্সেস দিতে বাধ্য করার চেষ্টা করতে পারে। উদাহরণস্বরূপ, ফ্রান্সে পুলিশকে মোবাইল পাসকোড প্রদান না করাটা একটি ফৌজদারি অপরাধ।

ওপেন সোর্স প্ল্যাটফর্ম

নজরদারির সাম্প্রতিক ধরনগুলো ওপেন সোর্স ইন্টেলিজেন্স এবং ওয়েব ইন্টেলিজেন্স প্ল্যাটফর্ম থেকে তথ্য সংগ্রহ করে। এই প্ল্যাটফর্মগুলো সাধারণত অনলাইনে উন্মুক্ত ওয়েবসাইট ও সামাজিক যোগাযোগ নেটওয়ার্ক থেকে তথ্য সংগ্রহ করে৷ সামাজিক যোগাযোগ মাধ্যমে একজন ব্যক্তির বিভিন্ন কার্যাবলীর ভিত্তিতে প্ল্যাটর্ফমগুলো কেন্দ্রীভূত ডেটাবেসে ওই ব্যক্তির সব ধরনের তথ্য সঞ্চয় করে। উন্মুক্ত ডেটা ব্যবহার করা হয় বলে, বিষয়টিকে হয়তো তুলনামূলকভাবে কম ক্ষতিকর বলে মনে হতে পারে। কিন্তু ব্যক্তিগত তথ্য – যেমন টেলিযোগাযোগ সেবাদাতা প্রতিষ্ঠানের কাছ থেকে ফোন কলের ডেটা বা স্মার্টফোন অ্যাপ্লিকেশনগুলোতে লুকানো ট্র্যাকারের মাধ্যমে জিওলোকেশন ডেটা – সংগ্রহ করে উন্মুক্ত তথ্যগুলোকে ক্রমশ সমৃদ্ধ করা হয়। এটি ব্যবহারকারীদের সঠিকভাবে একজন ব্যক্তি বা তার কর্মকাণ্ড ট্র্যাক করার সুযোগ করে দেয়।

২০২২ সালের ডিসেম্বরে মেটার সারভেইল্যান্স ইন্ডাস্ট্রি রিপোর্ট এবং ফরবিডেন স্টোরিজ কনসোর্টিয়ামের সাম্প্রতিক প্রতিবেদন থেকে বোঝা যায় যে, শিল্পটি ক্রমশ প্রসারিত হচ্ছে। উদাহরণস্বরূপ, কলম্বিয়ার সাম্প্রতিক অনুসন্ধানগুলো স্পষ্টভাবে তুলে ধরে যে, সাংবাদিক ও নাগরিক সমাজকে লক্ষ্য করে পরিচালিত নজরদারি টুলের কীরকম অপব্যবহার হতে পারে।

ডিজিটাল নিরাপত্তাবিষয়ক টিপস ও টুলস

এই নির্দেশিকা পড়ে, ডিজিটাল নজরদারির ভীতিকর জগৎ সম্পর্কে জানার পর আপনি নিরাপত্তাহীনতার অনুভূতিতে আক্রান্ত হতে পারেন এবং নিজেকে ডিজিটাল নিরাপত্তার লড়াইয়ে একজন পরাজিত যোদ্ধা বলে ভাবতে পারেন। তা কিন্তু নয়। 

যদিও একনিষ্ঠ ও শক্তিশালী প্রতিপক্ষের বিরুদ্ধে দীর্ঘ সময়ের জন্য সুরক্ষিত থাকাটা চ্যালেঞ্জের, তবে ডিজিটাল নিরাপত্তাকে উল্লেখযোগ্য মাত্রায় উন্নত করতে আপনি বিভিন্ন টুল ব্যবহার করতে পারেন এবং পদক্ষেপ নিতে পারেন। এজন্য আপনাকে সবসময় শতভাগ সুরক্ষিত থাকতে হবে না— শুধু এমন মানুষদের নজরদারি মোকাবিলার জন্য সুরক্ষিত থাকতে হবে, যারা আপনাকে মনিটর করতে চায়।

এ নিবন্ধে ডিজিটাল নিরাপত্তা বিষয়ক বিস্তারিত নির্দেশিকা সম্পর্কে আলোচনার সুযোগ সীমিত থাকলেও, একজন পেশাদার সাংবাদিক হিসাবে আপনার সচেতনতা বৃদ্ধিতে গুরুত্বপূর্ণ পদ্ধতি ও টুলগুলো আমি এখানে তুলে ধরছি। 

টুল

এন্ড-টু-এন্ড এনক্রিপ্ট করা চ্যাট অ্যাপ্লিকেশন ব্যবহার করুন। এন্ড-টু-এন্ড এনক্রিপশন মানে  হচ্ছে: যে সার্ভার ব্যবহার করে ইউজাররা পরস্পরের মধ্যে তথ্য আদান প্রদান করছেন, সুনির্দিষ্ট প্রাপক ছাড়া সার্ভার বা পরিষেবা প্রদানকারীদের কেউ তার বিষয়বস্তু দেখতে পারে না। তাছাড়া যতক্ষণ পর্যন্ত এনক্রিপশন সঠিকভাবে কাজ করবে, ততক্ষণ আপনাকে অ্যাপ্লিকেশনের নেপথ্যে কারা বা কোন প্রতিষ্ঠান রয়েছে যে সম্পর্কে মাথা ঘামাতে হবে না। কারণ তারা কখনো আপনার তথ্যে প্রবেশাধিকার পাবে না। সবচেয়ে জনপ্রিয় ও কার্যকর এন্ড-টু-এন্ড এনক্রিপ্ট চ্যাট অ্যাপ্লিকেশন হচ্ছে সিগন্যাল। কিন্তু এন্ড-টু-এন্ড এনক্রিপশনসহ আরও অনেক অ্যাপ্লিকেশন তৈরি করা হচ্ছে, যেমন ফাইল ট্রান্সফারের জন্য (ট্রেসোরিট) বা শেয়ারড ডকুমেন্টের জন্য (ক্রিপ্টপ্যাড)। সিগন্যালের মতো চ্যাট অ্যাপ্লিকেশনগুলোতে, আপনার ফোনে সংবেদনশীল কথোপকথনের রেকর্ড রাখা এড়াতে ডিসঅ্যাপিয়ারিং ম্যাসেজেস অপশনটি সচল রাখুন।

যতটা সম্ভব আপনার ফোন সুরক্ষিত রাখুন। এখনো বহু পথ বাকি, তবে স্মার্টফোনের নিরাপত্তা ব্যবস্থা ক্রমেই উন্নত হচ্ছে। ডিভাইস সুরক্ষিত রাখতে আপনি কিছু সহজ পদক্ষেপ অনুসরণ করতে পারেন। আপনি যদি অ্যান্ড্রয়েড ব্যবহার করেন, তবে নিশ্চিত করুন যে আপনি এমন একটি ফোন ব্যবহার করছেন যা নিয়মিতভাবে নির্মাতা প্রতিষ্ঠানের নিরাপত্তা আপগ্রেড পাচ্ছে এবং আপনি যে সিস্টেম ও অ্যাপগুলো ব্যবহার করেন তা নিয়মিত আপডেট হচ্ছে। (যদি আপনি প্রযুক্তিপ্রেমী হন, সেক্ষেত্রে গ্রাফিন অপারেটিং সিস্টেম ব্যবহারের কথা ভারতে পারেন।) আইফোন ব্যবহারকারীরা,  অবশ্যই নিজের ফোনটিকে সর্বশেষ সফটওয়্যারে আপগ্রেড করতে ভুলবেন না। আপনি যদি আধুনিক স্পাইওয়্যারের ঝুঁকিতে থাকেন, তবে অ্যাপলের লকডাউন মোড অন করতে ভুলবেন না।  সিটিজেন ল্যাব সম্প্রতি খুঁজে পেয়েছে যে, এই অপশনটি এনএসও গ্রুপ থেকে জিরো-ডে এক্সপ্লয়েট অ্যাটাক ব্লক করতে সাহায্য করতে পারে। উভয় ক্ষেত্রেই, আপনার ইনস্টল করা অ্যাপের সংখ্যা সীমিত করার চেষ্টা করুন এবং ব্যক্তিগত ও পেশাগত কাজের জন্য পৃথক ফোন ব্যবহারের চেষ্টা করুন।

টু-ফ্যাক্টর অথেন্টিকেশন ব্যবহার করুন। টু-ফ্যাক্টর অথেন্টিকেশন (টুএফএ) ব্যবহারের ক্ষেত্রে একটি অ্যাকাউন্টে লগ ইন করার জন্য আপনাকে আপনার পাসওয়ার্ডসহ অতিরিক্ত তথ্য দিতে হবে। এটি এসএমএসের মাধ্যমে প্রেরিত একটি কোড হতে পারে (এটি নিখুঁত নয়, তবে মন্দের ভালো)। এছাড়া আপনার ফোনে অ্যাপের মাধ্যমে জেনারেট করা কোড, যেমন ফ্রি ওটিপি (এটি নিখুঁত), বা এমনকি একটি ‘হার্ডওয়্যার কি’ এর মাধ্যমে স্বয়ংক্রিয়ভাবে তৈরি হওয়া একটি সংখ্যা বা ইউবি কি (এটি বেশ নিরাপদ)। ফিশিং আক্রমণের বিরুদ্ধে সবচেয়ে শক্তিশালী টুলগুলোর মধ্যে একটি হচ্ছে টু ফ্যাক্টর অথেন্টিকেশন, এবং আমি জোর দিয়ে এটিকে যেকোনো সংবেদনশীল অ্যাকাউন্টে ব্যবহারের সুপারিশ করছি। আপনি যদি এরইমধ্যেই ফিশিং আক্রমণের লক্ষ্যবস্তু হয়ে থাকেন, সেক্ষেত্রে আমি আপনাকে হার্ডওয়্যার কি ব্যবহারের জন্য খানিকটা সময় ও অর্থ বিনিয়োগের পরামর্শ দেবো। এটি সিকিউরিটি কি বা ইউটুএফ কি নামেও পরিচিত; এগুলো ছোট আকারের হার্ডওয়্যার যা একটি ইউএসবি পোর্টেও লাগানো যায়। এটি আপনার অ্যাকাউন্টগুলোকে বাইরের যে কোনো হস্তক্ষেপ থেকে শতভাগ সুরক্ষা দিতে পারে।  

পদ্ধতি

আপনি যে হুমকির সম্মুখীন হচ্ছেন তা মূল্যায়ন করুন। আপনাকে সব কিছুর বিরুদ্ধে সুরক্ষিত থাকতে হবে না; যে হুমকিগুলো আপনাকে আক্রান্ত করতে পারে, শুধুমাত্র এমন হুমকির বিরুদ্ধে সচেতন থাকুন। আপনি কী ধরনের কাজ করেন এবং এ সম্পর্কিত কী ধরনের ডিজিটাল নজরদারির মুখোমুখি হতে পারেন সে বিষয়ে চিন্তা করুন। এরইমধ্যে আপনি কি ধরনের পরিস্থিতির সম্মুখীন হয়েছেন সে সম্পর্কে চিন্তা করুন, একই ধরনের কাজ করে এমন ব্যক্তিদের সঙ্গে পরামর্শ করুন এবং পরিস্থিতির একটি তালিকা তৈরি করুন। এরপর প্রতিটি ধাপে, আপনি কীভাবে আপনার নিরাপত্তার বিষয়গুলোকে উন্নত করতে পারেন তা চিন্তা করুন। (ফ্রন্টলাইন ডিফেন্ডার্স ওয়ার্কবুক অন সিকিউরিটি আপনাকে এ প্রক্রিয়াটি বুঝতে সাহায্য করতে পারে।) আপনি যদি নিউজরুমে বা সাংবাদিকদের নেটওয়ার্কের অংশ হিসাবে কাজ করেন, তাহলে সবাইকে এই প্রক্রিয়ার মধ্য দিয়ে যেতে উৎসাহিত করুন। ডিজিটাল নিরাপত্তা একটি দলীয় প্রচেষ্টা।

আপনি যদি সব সময় সুরক্ষিত না থাকতে পারেন, তাহলে কম্পার্টমেন্টালাইজ করুন। কিছু কিছু ক্ষেত্রে, কাজের জন্য আপনি আপনার ডিভাইস বা অ্যাকাউন্টগুলোকে যথেষ্ট সুরক্ষিত রাখতে সমর্থ হবেন না। সেক্ষেত্রে কম্পার্টমেন্টালাইজ করার কথা ভাবুন। উদাহরণস্বরূপ, কর্মক্ষেত্র ও ব্যক্তিগত কাজের জন্য আলাদা আলাদা ফোন ব্যবহার, কিংবা বিভিন্ন প্রকল্পের জন্য ভিন্ন ভিন্ন ইমেইল অ্যাকাউন্ট ব্যবহার। আপনি যদি খুব সংবেদনশীল অনুসন্ধানী প্রতিবেদন নিয়ে কাজ করেন, তাহলে শুধুমাত্র এই কাজের জন্য আলাদা ডিভাইস ও অ্যাকাউন্ট খোলার বিষয়টি বিবেচনা করুন। এক্ষেত্রে আপনি একটি পৃথক অপারেটিং সিস্টেমও ব্যবহার করতে পারেন, যেমন টেলস-  এটি সেন্সরশিপ এবং নজরদারি থেকে সুরক্ষা দেয়ার জন্য ডিজাইন করা হয়েছে। আপনি যদি অত্যন্ত সংবেদনশীল ডেটা বা ফাইল নিয়ে কাজ করেন তবে একটি এয়ার-গ্যাপড কম্পিউটার ব্যবহার করতে পারেন। এটি এমন একটি ডিভাইস যা ওয়াইফাই বা ব্লুটুথের মাধ্যমে ডিজিটাল নেটওয়ার্কের সঙ্গে সংযোগ স্থাপন করতে পারে না, তাই এটিকে ক্র্যাক করা অবিশ্বাস্যভাবে কঠিন।

ডিজিটাল নিরাপত্তার বিষয়গুলো বুঝতে চেষ্টা করুন এবং কখন সাহায্য দরকার জানুন। একজন সাংবাদিক হিসাবে, আপনাকে ডিজিটাল নিরাপত্তা বিশেষজ্ঞ হতে হবে না, তবে আপনার মৌলিক জ্ঞান থাকা দরকার, যেমনটা এ অধ্যায়ে বলা হয়েছে। এছাড়া কখন বিশেষজ্ঞের পরামর্শ নেয়ার দরকার, সেটি জানা জরুরি। সম্ভব হলে, আপনার আস্থাভাজন প্রযুক্তি-দক্ষ লোকেদের নিয়ে একটি নেটওয়ার্ক তৈরি করুন। আপনি কোনও সমস্যা বা নতুন হুমকির মুখোমুখি হলে তখন তারা আপনাকে সাহায্য করতে পারবে। আপনি সাধারণত যে ধরনের কাজ করেন, তার চেয়ে হাই-প্রোফাইল কারো সম্পর্কে গবেষণা বা রিপোর্ট করার ক্ষেত্রে সর্বোচ্চ স্তর পর্যন্ত অনুমান করতে ভুলবেন না। মনে রাখবেন, প্রতিক্রিয়াশীল না হয়ে সর্বদা সক্রিয় হওয়া শ্রেয়।

ইলেকট্রনিক ফ্রন্টিয়ার ফাউন্ডেশনের পোর্টাল সারভেইল্যান্স সেলফ-ডিফেন্স কিংবা  ফন্টলাইন ডিফেন্ডার্সের সিকিউরিটি ইন আ বক্স হচ্ছে আপনার জন্য ডিজিটাল নিরাপত্তা তথ্যের একটি সমৃদ্ধ ভান্ডার। জিআইজেএনেরও এ সম্পর্কিত গুরুত্বপূর্ণ কিছু তথ্যভান্ডার রয়েছে৷ সাংবাদিক হিসেবে আপনার যদি ডিজিটাল নিরাপত্তা সহায়তার প্রয়োজন হয়, তাহলে আপনি অ্যাক্সেস নাওয়ের ডিজিটাল নিরাপত্তা হেল্পলাইনে যোগাযোগ করতে পারেন।  

কেস স্টাডি

দ্য স্নোডেন রেভেলেশনস বা স্নোডেনের উদঘাটন। স্নোডেনের উদঘাটনের বিষয়টি উল্লেখ না করে ডিজিটাল নজরদারি নিয়ে কথা বলাটা কঠিন, যা মূলত মার্কিন জাতীয় নিরাপত্তা সংস্থার (এনএসএ) ব্যাপক গুপ্তচরবৃত্তির বিষয়টি বিশ্বের সামনে তুলে ধরে নজরদারির দৃশ্যপটকে সম্পূর্ণরূপে বদলে দিয়েছে৷ উদঘাটনটি ব্যাপকভাবে বিস্তৃত এবং  সম্পূর্ণ প্রতিবেদনটি এক বছরেরও বেশি সময় ধরে চলেছে। এখানে আমি স্নোডেনের দ্য ল’ফেয়ার সামারি এবং ইন্টারসেপ্ট এর স্নোডেন আর্কাইভ পড়ার পরামর্শ দিচ্ছি। এ প্রসঙ্গে লরা পোইট্রাসের পুরষ্কারজয়ী সিটিজেনফোর ডকুমেন্টারিটিও গুরুত্বপূর্ণ।  

প্রোজেক্ট রেভেন। ২০১৯ সালের জানুয়ারিতে রয়টার্স উন্মোচন করে যে, আক্রমণাত্মক ডিজিটাল গুপ্তচরবৃত্তির সক্ষমতা বৃদ্ধির জন্য সংযুক্ত আরব আমিরাত প্রাক্তন এনএসএ কর্মীদের নিয়োগ দিয়েছে। এই টুলগুলো তখন রাষ্ট্রপ্রধান এবং মানবাধিকার কর্মীদের টার্গেট করার জন্য ব্যবহার করা হয়েছিল। 

দ্য পেগাসাস প্রোজেক্ট ২০২১ সালের জুলাইয়ে, অ্যামনেস্টি ইন্টারন্যাশনালের সিকিউরিটি ল্যাবের প্রযুক্তিগত সহায়তায় ফরবিডেন স্টোরিজের সমন্বয়ে গঠিত সাংবাদিকদের একটি কনসোর্টিয়াম এনএসও গ্রুপের পেগাসাস স্পাইওয়্যারের অপব্যবহারগুলো প্রকাশ করে। প্রতিবেদনটিতে সৌদি আরব, মরক্কো, হাঙ্গেরি, ভারত, মেক্সিকোসহ ১১টি দেশে এনএসও গ্রাহকদের নজরদারির জন্য নির্বাচিত ৫০,০০০ ফোন নম্বরের একটি তালিকা তুলে ধরা হয়।

গ্লোবাল হ্যাক-ফর-হায়ার ইন্ডাস্ট্রির অন্দরমহল। ২০২২ সালে, ভারতের ক্রমবর্ধমান ভাড়াটে হ্যাকার ইন্ডাস্ট্রির মূল অংশের সঙ্গে জড়িত কিছু ব্যক্তির সঙ্গে গোপনে দেখা করতে আসে যুক্তরাজ্যভিত্তিক ব্যুরো অব ইনভেস্টিগেটিভ জার্নালিজম এবং সানডে টাইমসের সাংবাদিকেরা। একটা সময় যে সব হ্যাকিং টুলগুলো শুধুমাত্র সরকারের কাছে ছিল তা কীভাবে ব্যক্তিগত ব্যবহারকারীদের হাতে যাচ্ছে প্রতিবেদনটি সে সম্পর্কিত নতুন দৃষ্টিকোণ সরবরাহ করে।

স্টোরি কিলার্স। চলতি বছরের শুরুর দিকে, ফরবিডেন স্টোরিজ কনসোর্টিয়াম থেকে প্রকাশিত হয়েছে স্টোরি কিলার। এই ধারাবাহিকে হায়ার-ইন্ডাস্ট্রির মাধ্যমে অপতথ্য ছড়ানোর ঘটনা নিয়ে অনুসন্ধান করা হয়। এটি যদিও সরাসরি ডিজিটাল নজরদারির বিষয় নয়, তবে ডিজইনফর্মেশন ইন্ডাস্ট্রি এবং ডিজিটাল সার্ভেইল্যান্স কৌশলের মধ্যে কিছু অন্তমিল বা সংযোগ রয়েছে। 

আরও পড়ুন

ডিজিটাল ঝুঁকি অনুসন্ধান: ডিসইনফর্মেশন

ডিজিটাল ঝুঁকি অনুসন্ধান: ডিজিটাল অবকাঠামো

পেগাসাস প্রজেক্ট থেকে শিক্ষা: শিকারি স্পাইওয়্যার নিয়ে রিপোর্ট করবেন যেভাবে


Etienne "Tek" Maynierএটিয়েন “টেক” মেইনার  অ্যামনেস্টি ইন্টারন্যাশনালের সিকিউরিটি ল্যাবের একজন নিরাপত্তা গবেষক। তিনি ২০১৬ সাল থেকে সুশীল সমাজের বিরুদ্ধে ডিজিটাল হামলার অনুসন্ধান করছেন এবং ফিশিং, স্পাইওয়্যার ও ডিসইনফর্মেশন কেন্দ্রিক প্রচারণা নিয়ে অনেক অনুসন্ধানী প্রতিবেদন প্রকাশ করেছেন। তাঁর ওয়েবসাইট বা মাস্টোডনে তাঁকে পাওয়া যাবে।