WireGuard এবং VeraCrypt ডেভেলপার অ্যাকাউন্ট প্রত্যাহার: কী ঘটেছিল এবং কেন এটি গুরুত্বপূর্ণ

PCHardwarePro » উইন্ডোজ » WireGuard এবং VeraCrypt ডেভেলপার অ্যাকাউন্ট প্রত্যাহার: কী ঘটেছিল এবং কেন এটি গুরুত্বপূর্ণ

মুক্ত সফটওয়্যার কমিউনিটির জন্য অত্যন্ত উত্তেজনাকর কয়েকটি দিনে, বেশ কয়েকটি গুরুত্বপূর্ণ নিরাপত্তা প্রকল্প হঠাৎ করেই কঠিন পরিস্থিতির সম্মুখীন হয়: মাইক্রোসফট ওয়্যারগার্ড, ভেরাক্রিপ্ট এবং উইন্ডস্ক্রাইবের ডেভেলপার অ্যাকাউন্টগুলো ব্লক করেছে। প্রাথমিকভাবে কোনো সুস্পষ্ট ব্যাখ্যা না থাকায়, গুরুত্বপূর্ণ উইন্ডোজ আপডেটগুলোর প্রকাশ অনিশ্চিত হয়ে পড়ে। ফোরাম ও সোশ্যাল মিডিয়ায় বিচ্ছিন্ন কিছু অভিযোগ দিয়ে যা শুরু হয়েছিল, তা এমন পর্যায়ে পৌঁছায় যে মাইক্রোসফটের উচ্চপদস্থ কর্মকর্তাদের প্রকাশ্যে প্রতিক্রিয়া জানাতে বাধ্য হতে হয়।

এই ঘটনাটি এমন একটি সমস্যাকে পুঙ্খানুপুঙ্খভাবে খতিয়ে দেখার সুযোগ করে দিয়েছে, যা অনেকেই সন্দেহ করতেন, কিন্তু যা এখানে বেদনাদায়কভাবে প্রকট হয়ে উঠেছে: উইন্ডোজের মতো মালিকানাধীন প্ল্যাটফর্মের উপর অপরিহার্য ওপেন সোর্স প্রকল্পগুলির ব্যাপক নির্ভরতা ড্রাইভার, বুটলোডার এবং আপডেট বিতরণ করতে সক্ষম হওয়ার জন্য। এনক্রিপশন টুল বা ভিপিএন বন্ধ করে দেওয়ার কোনো ষড়যন্ত্র ছিল না, বরং আমলাতন্ত্র, দুর্বল যোগাযোগ এবং স্বয়ংক্রিয় প্রক্রিয়ার এক চরম সংমিশ্রণ লক্ষ লক্ষ ব্যবহারকারীকে প্রায় অসহায় অবস্থায় ফেলে দিয়েছিল।

WireGuard, VeraCrypt, এবং Windscribe ডেভেলপার অ্যাকাউন্টগুলোর কী হলো?

মামলাটি প্রকাশ্যে আসে যখন ভেরাক্রিপ্ট জানিয়েছে যে, মাইক্রোসফট সিস্টেমে থাকা তাদের ডেভেলপার অ্যাকাউন্টটি কোনো পূর্ব বিজ্ঞপ্তি ছাড়াই বন্ধ করে দেওয়া হয়েছে।প্রকল্পটির প্রধান ডেভেলপার মুনির ইদ্রাসি সোর্সফোর্জ ফোরামে ব্যাখ্যা করেছেন যে, উইন্ডোজের ড্রাইভার এবং বুট ম্যানেজারে স্বাক্ষর করার জন্য তিনি বছরের পর বছর ধরে যে অ্যাকাউন্টটি ব্যবহার করে আসছিলেন, সেটি কোনো পূর্ব ইমেল বা বোধগম্য কারণ ছাড়াই রাতারাতি নিষ্ক্রিয় করে দেওয়া হয়েছে।

ইদ্রাসির ভাষ্যমতে, তিনি যখন মাইক্রোসফট সাপোর্টের সাথে যোগাযোগ করার চেষ্টা করেন, তখন তিনি শুধু এইটুকুই পেয়েছিলেন যে... স্বয়ংক্রিয় প্রতিক্রিয়া, গতানুগতিক ফর্ম এবং একটি আমলাতান্ত্রিক অচলাবস্থাঅপর প্রান্তে কোনো ব্যক্তি নেই, এমন কোনো সরাসরি মাধ্যমও নেই যার মাধ্যমে ব্যাখ্যা করা যায় যে ভেরাক্রিপ্ট হলো ডিস্ক এনক্রিপশনের একটি অত্যন্ত গুরুত্বপূর্ণ সফটওয়্যার, যা উচ্চ-ঝুঁকিপূর্ণ পেশাগত, সরকারি এবং ব্যক্তিগত পরিবেশে ব্যবহৃত হয়।

এর কিছুক্ষণ পরেই, এবং প্রায় একটি ডমিনো এফেক্টের মতোই, WireGuard-এর নির্মাতা ও রক্ষণাবেক্ষণকারী জেসন ডোনেনফেল্ড—যিনি zx2c4 নামেও পরিচিত—নিশ্চিত করেছেন যে তিনি তার উইন্ডোজ হার্ডওয়্যার প্রোগ্রাম অ্যাকাউন্টে ঠিক একই সমস্যার সম্মুখীন হচ্ছিলেন।উইন্ডোজের জন্য ওয়্যারগার্ড ক্লায়েন্টের একটি নতুন সংস্করণ আপলোড করার চেষ্টা করার পর, তিনি একটি "অ্যাক্সেস সীমাবদ্ধ" বার্তার সম্মুখীন হন, যা তাকে ড্রাইভারটিতে স্বাক্ষর করতে এবং ফলস্বরূপ, মাইক্রোসফট অপারেটিং সিস্টেমের ব্যবহারকারীদের কাছে কোনো আপডেট বিতরণ করতে বাধা দেয়।

যখন হ্যাকার নিউজের মতো ফোরামে ভেরাক্রিপ্টের পরিস্থিতি প্রকাশ্যে আসে, তখন ডোনেনফেল্ড হস্তক্ষেপ করে ব্যাখ্যা করেন যে কোনো পূর্ব বিজ্ঞপ্তি ছাড়াই তার অ্যাকাউন্টটিও ব্লক করে দেওয়া হয়েছিল।একটি আপডেট প্রকাশের ঠিক পরেই। তার ক্ষেত্রে, মাইক্রোসফট তাকে একটি সাধারণ "পুনরুদ্ধার" প্রক্রিয়ায় ফেলে দেয়, যা কাগজে-কলমে ৬০ দিন পর্যন্ত স্থায়ী হতে পারত; এই সময়কালে তিনি উইন্ডোজের কোনো নতুন সংস্করণ প্রকাশ করতে পারতেন না।

এবং যদি এটি যথেষ্ট না ছিল, আরেকটি বহুল ব্যবহৃত ভিপিএন, উইন্ডস্ক্রাইবও একই ধরনের ব্লকের অভিযোগ করেছে। এবং এক মাসেরও বেশি সময় ধরে এর সমাধান করার ব্যর্থ চেষ্টার পর, বহুল ব্যবহৃত তিনটি নিরাপত্তা প্রকল্প হঠাৎ করেই নিজেদেরকে সেই প্ল্যাটফর্মে পুরোপুরি অসহায় অবস্থায় দেখতে পেল, যেখানে তাদের ব্যবহারকারী সংখ্যা সবচেয়ে বেশি: উইন্ডোজ।

সবচেয়ে সংকটপূর্ণ মুহূর্ত: নিরাপত্তা আপডেট আটকে যাওয়া

বিষয়টির গুরুত্ব কেবল প্রশাসনিক বা লাইসেন্স সংক্রান্ত কোনো বিষয় ছিল না, বরং এটি সরাসরি ব্যবহারকারীর নিরাপত্তাকে প্রভাবিত করেছিল। ওয়্যারগার্ডের ক্ষেত্রে, ডোনেনফেল্ড ব্যাখ্যা করেন যে উইন্ডোজ ক্লায়েন্টের জন্য আমার কাছে একটি আধুনিক কোড প্রস্তুত ছিল।পারফরম্যান্সের উন্নতি, বাগ সংশোধন এবং অভ্যন্তরীণ পরিমার্জন সত্ত্বেও, ডেভেলপার অ্যাকাউন্টের উপর নিষেধাজ্ঞার কারণে তিনি ড্রাইভারটিতে স্বাক্ষর করতে এবং আপডেটটি প্রকাশ করতে পারেননি।

উইন্ডোজ ইকোসিস্টেমে, ডিজিটাল ড্রাইভার স্বাক্ষর একটি অপরিহার্য প্রয়োজনীয়তা এর ফলে এমন ড্রাইভার বিতরণ করা যায় যা সিস্টেম সহজেই গ্রহণ করে। যদি ডেভেলপার অ্যাকাউন্ট সীমাবদ্ধ বা বন্ধ করে দেওয়া হয়, তবে এই প্রক্রিয়াটি সম্পূর্ণরূপে থেমে যায়: কোনো সাইনিং হয় না, কোনো নতুন ড্রাইভার আসে না, কোনো নিরাপত্তা প্যাচ আসে না এবং সাধারণ ব্যবহারকারীদের জন্য পারফরম্যান্সের কোনো উন্নতিও হয় না।

এই পরিস্থিতি একটি সুস্পষ্ট ঝুঁকি উপস্থাপন করেছিল: যদি সেই সময়কালে WireGuard for Windows-এ সক্রিয়ভাবে ব্যবহারযোগ্য কোনো দুর্বলতা দেখা দিত, রক্ষণাবেক্ষণ কর্মীর হাত-পা বাঁধা থাকত। দ্রুত ব্যবস্থা নিতে এবং একটি স্বাক্ষরিত প্যাচ বিতরণ করতে। ডোনেনফেল্ড এমনকি সতর্ক করে দিয়েছিলেন যে, কোনো গুরুতর ব্যর্থতার ক্ষেত্রে, মাইক্রোসফটের এই স্থগিতাদেশ একটি জরুরি সমাধান বাস্তবায়নে বাধা দিতে পারে, যার ফলে এই ভিপিএন-এর উপর নির্ভরশীল কোম্পানি এবং ব্যবহারকারীদের জন্য অত্যন্ত গুরুতর পরিণতি হতে পারে।

ভেরাক্রিপ্টের ক্ষেত্রে সম্ভাব্য পরিণতি ছিল আরও মারাত্মক। ইদ্রাসি সতর্ক করেছিলেন যে, যদি মাইক্রোসফট পুরোনো সার্টিফিকেটগুলো বাতিল করে দেয় এবং তিনি নতুন স্বাক্ষরিত বাইনারি তৈরি করতে না পারেন, উইন্ডোজে সম্পূর্ণ ডিস্ক এনক্রিপশন থাকা অনেক ব্যবহারকারী বুট ব্যর্থতার সম্মুখীন হতে পারেন। একটি নির্দিষ্ট তারিখ থেকে। অর্থাৎ, এমন ডিভাইসগুলো যেগুলো ঠিকমতো বুট হওয়া বন্ধ করে দিত, কারণ সিস্টেম সেগুলোর বুটলোডারকে আর বৈধ হিসেবে শনাক্ত করত না।

এই ধরনের সমস্যা VeraCrypt-এর Linux বা macOS সংস্করণকে প্রভাবিত করে না, কিন্তু অনেক প্রতিষ্ঠানেই উইন্ডোজ প্রধান প্ল্যাটফর্ম হিসেবে রয়ে গেছে।সুতরাং, এর সম্ভাব্য প্রভাব ছিল ব্যাপক। সম্প্রদায়ের মধ্যে সাধারণ ধারণা ছিল যে, একটি আমলাতান্ত্রিক বাধা হাজার হাজার বা লক্ষ লক্ষ ব্যবহারকারীর জন্য একটি বাস্তব নিরাপত্তা সমস্যায় পরিণত হতে চলেছে।

মাইক্রোসফটের আনুষ্ঠানিক ব্যাখ্যা: বাধ্যতামূলক যাচাইকরণ এবং যোগাযোগের বিশৃঙ্খলা

টেকক্রাঞ্চ, উইন্ডোজ সেন্ট্রাল এবং সাইবারনিউজের মতো বিশেষায়িত গণমাধ্যমগুলিতে তৈরি হওয়া গুঞ্জন এবং প্রযুক্তিগত ফোরামগুলিতে উত্তপ্ত বিতর্কের পরিপ্রেক্ষিতে, মাইক্রোসফট হস্তক্ষেপ করতে এবং ঘটনার বিষয়ে তাদের ভাষ্য দিতে বাধ্য হয়েছিল।উইন্ডোজ অ্যান্ড ডিভাইসেস-এর এক্সিকিউটিভ ভাইস প্রেসিডেন্ট পবন দাভুলুরি ব্যাখ্যা করেছেন যে, যা ঘটেছে তা নিরাপত্তা ও এনক্রিপশন প্রকল্পগুলোর বিরুদ্ধে ইচ্ছাকৃত ভেটোর কারণে নয়, বরং উইন্ডোজ হার্ডওয়্যার প্রোগ্রামের একটি অভ্যন্তরীণ পরিবর্তনের ফলে ঘটেছে।

দাভুলুরির মতে, ২০২৫ সালের ১৬ই অক্টোবর থেকে মাইক্রোসফটের নিয়ম অনুযায়ী, যে সকল প্রোগ্রাম পার্টনার ২০২৪ সালের এপ্রিলে শুরু হওয়া নতুন যাচাইকরণ প্রক্রিয়াটি সম্পন্ন করেননি, তাদের জন্য একটি নতুন যাচাইকরণ প্রক্রিয়া আবশ্যক করা হয়েছে। তারা ৩০ দিনের মধ্যে আনুষ্ঠানিক নথিপত্রের মাধ্যমে তাদের পরিচয় নিশ্চিত করবে।যারা সময়মতো এই শর্তটি পূরণ করতে ব্যর্থ হবেন, তাদের প্রবেশাধিকার সীমিত করে দেওয়া হবে, যা কার্যত ড্রাইভারদের স্বাক্ষর গ্রহণ এবং হালনাগাদ তথ্য প্রকাশে বাধা সৃষ্টি করে।

কোম্পানিটি বজায় রাখে যে ইমেল সতর্কতা, বিজ্ঞপ্তি এবং অনুস্মারক পাঠানো হয়েছে পরিবর্তনটি সম্পর্কে সতর্ক করার জন্য। তবে, ক্ষতিগ্রস্ত অনেক ডেভেলপার দাবি করেছেন যে, তাঁরা যথেষ্ট স্পষ্ট তথ্য পাননি, অথবা তাঁরা বুঝতে পারেননি যে এর চূড়ান্ত পরিণতি হবে তাঁদের অ্যাকাউন্ট বন্ধ করে দেওয়া এবং কোড সাইন করা চালিয়ে যেতে না পারা।

দাভুলুরি নিজেই স্বীকার করেছেন যে এই ঘটনাটি পর্যালোচনার জন্য একটি অভ্যন্তরীণ সতর্কবার্তা হিসেবে কাজ করেছে। আপনি এই ধরনের গুরুত্বপূর্ণ পরিবর্তনগুলো অংশীদারদের কাছে কীভাবে জানান?মানব মধ্যস্থতাকারীদের মাধ্যমে একটি সুপরিচালিত প্রক্রিয়ার পরিবর্তে, ডেভেলপাররা স্বয়ংক্রিয় বার্তা, প্রমিত ফর্ম এবং একটি অস্বচ্ছ বাধার সম্মুখীন হয়েছিলেন, যা অতিক্রম করা কঠিন ছিল, যদি না বিষয়টি সংবাদমাধ্যমে আসত।

মাইক্রোসফটের ভেতরেও বিতর্কটি প্রশমিত করার চেষ্টাকারী কিছু কণ্ঠস্বর ছিল। কোম্পানির ভাইস প্রেসিডেন্ট স্কট হ্যানসেলম্যান প্রকাশ্যে মন্তব্য করেন যে প্রতিটি প্রযুক্তিগত দুর্ঘটনা কোনো ষড়যন্ত্র বা গোপন চক্রান্তের কারণে ঘটে না।এবং কখনও কখনও সময়মতো বকেয়া কাগজপত্র সম্পূর্ণ করতে ব্যর্থ হওয়ার মতো অতি সাধারণ কোনো বিষয় থেকেও সমস্যার সূত্রপাত হয়। তাঁর বার্তার উদ্দেশ্য ছিল পরিস্থিতিটিকে একটি প্রেক্ষাপটে স্থাপন করা, কিন্তু তা সহায়তা ব্যবস্থাটির কার্যকারিতা নিয়ে সমালোচনাকে আটকাতে পারেনি।

উচ্চ-পর্যায়ের হস্তক্ষেপ এবং অ্যাকাউন্ট পুনরায় সক্রিয়করণ

গণমাধ্যমের চাপ এবং প্রযুক্তি সম্প্রদায়ের ক্ষোভের একটি প্রভাব ছিল। স্কট হ্যানসেলম্যান এক্স-এ (পূর্বের টুইটার) নিশ্চিত করেছেন যে ক্ষতিগ্রস্ত ডেভেলপারদের সাথে সরাসরি কথা বলা হয়েছিল —জেসন ডোনেনফেল্ড সহ— এবং মাইক্রোসফট টিম লক হয়ে যাওয়া উইন্ডোজ হার্ডওয়্যার প্রোগ্রাম অ্যাকাউন্টগুলো পুনরুদ্ধার করার জন্য কাজ করছিল।

কয়েক ঘণ্টার মধ্যেই ওয়্যারগার্ড এবং ভেরাক্রিপ্ট ডেভেলপার অ্যাকাউন্টগুলো পুনরায় সক্রিয় করা হয়, যার ফলে ডোনেনফেল্ডকে অনুমতি দেওয়া হয়। অবশেষে ড্রাইভারটি সাইন করুন এবং Windows-এর জন্য WireGuard-এর নতুন সংস্করণটি প্রকাশ করুন। যা বেশ কিছুদিন ধরে প্রস্তুত করা হচ্ছিল। প্রকল্পের অফিসিয়াল মেইলিং লিস্টে বিস্তারিত চেঞ্জলগ প্রকাশ করা হয়েছিল, যার মধ্যে পারফরম্যান্সের উন্নতি, বাগ ফিক্স এবং আধুনিক কোডের পরিমার্জন অন্তর্ভুক্ত ছিল।

ভেরাক্রিপ্ট উইন্ডোজের জন্য ড্রাইভার এবং বুটলোডার স্বাক্ষর করার প্রক্রিয়াও পুনরায় শুরু করতে সক্ষম হয়েছে, যা ডিস্ক এনক্রিপশন ব্যবহারকারীদের জন্য ঝুঁকি উল্লেখযোগ্যভাবে হ্রাস করেছে। এর ফলে এমন সিস্টেম তৈরি হবে যা পূর্ববর্তী সার্টিফিকেটগুলো বাতিল হয়ে গেলে আর চালু করা যাবে না।উইন্ডস্ক্রাইবের ক্ষেত্রেও আনলক করার প্রক্রিয়াটি সমান্তরালভাবে সমাধান করা হচ্ছিল, যদিও তা গণমাধ্যমের তেমন মনোযোগ আকর্ষণ করেনি।

সুতরাং, পর্বটি তুলনামূলকভাবে সুখকরভাবে শেষ হয়েছিল: প্রকল্পগুলো স্বাক্ষরিত সফটওয়্যার বিতরণের ক্ষমতা ফিরে পেয়েছিল এবং উইন্ডোজ ব্যবহারকারীদের কাছে অপেক্ষাধীন আপডেটগুলো আবার আসতে শুরু করেছিল। তবে, এই আতঙ্ক একটি কাঠামোগত দুর্বলতাকে অত্যন্ত স্পষ্ট করে তুলেছিল।কোড সাইনিং-এর মতো একটি গুরুত্বপূর্ণ বিষয়ের জন্য একটি বদ্ধ প্ল্যাটফর্মের উপর নির্ভরতা।

অনেক ডেভেলপার এবং নিরাপত্তা পেশাজীবীর জন্য এই বার্তাটি উদ্বেগজনক: সম্মানিত টুল এবং স্বনামধন্য রক্ষণাবেক্ষণকারী থাকা সত্ত্বেও, একটিমাত্র দুর্বলভাবে পরিচালিত প্রশাসনিক সমস্যাই আপডেট চেইনকে সম্পূর্ণরূপে অচল করে দেওয়ার জন্য যথেষ্ট।যার সরাসরি প্রভাব ব্যবহারকারীর নিরাপত্তা ও বিশ্বাসের ওপর পড়ে।

ব্যবহারকারী, কোম্পানি এবং ওপেন সোর্স প্রকল্পগুলির জন্য বাস্তব প্রভাব

গণমাধ্যমের শোরগোলের বাইরে, সবচেয়ে উদ্বেগজনক বিষয় হলো এর বাস্তব প্রভাবগুলো। প্রথমত, WireGuard for Windows ব্যবহারকারীরা সাময়িকভাবে পুরোনো সংস্করণে আটকে ছিলেন।ডোনেনফেল্ডের অ্যাকাউন্ট সীমাবদ্ধ থাকাকালীন নিরাপত্তা প্যাচ বা পারফরম্যান্সের উন্নতি পাওয়ার কোনো সুযোগ ছিল না। যদিও সেই সময়ে কোনো গুরুতর দুর্বলতা সক্রিয়ভাবে কাজে লাগানো হয়নি, দ্রুত প্রতিক্রিয়া জানাতে না পারার সামান্য সম্ভাবনাটুকুই অস্বস্তিকর ছিল।

ভেরাক্রিপ্টের ক্ষেত্রে, যারা সংবেদনশীল তথ্য নিয়ে কাজ করতেন তাদের জন্য ঝুঁকিটি বিশেষভাবে গুরুতর ছিল: যেসব সংস্থা সংবেদনশীল ডেটা সুরক্ষিত রাখতে সম্পূর্ণ ডিস্ক এনক্রিপশনের উপর নির্ভর করেএই ধারণাটি যে কোনো প্ল্যাটফর্মের নীতিমালায় একতরফা পরিবর্তনের ফলে এনক্রিপ্টেড সরঞ্জাম অকেজো হয়ে যেতে পারে, তা সকলের জন্যই উদ্বেগজনক, বিশেষ করে কর্পোরেট এবং সরকারি পরিমণ্ডলে।

নিম্নলিখিতগুলিও খুব উন্মুক্ত। একক প্রধান রক্ষণাবেক্ষণকারী সহ ওপেন সোর্স প্রকল্পএটি একটি বেশ সাধারণ পরিস্থিতি। যদি মাইক্রোসফট, অ্যাপল বা অন্য কোনো প্রধান প্ল্যাটফর্মের সাথে আপনার সম্পূর্ণ সম্পর্ক একটিমাত্র ব্যক্তিগত অ্যাকাউন্টের মাধ্যমে পরিচালিত হয়, তবে যেকোনো ব্লক, যাচাইকরণে ত্রুটি বা কার্যপ্রণালীর সামান্য ভুলের কারণে সেই প্ল্যাটফর্মে আপনার প্রকল্পটি পুরোপুরি বন্ধ হয়ে যেতে পারে।

যেসব স্টার্টআপ এবং SaaS ইকোসিস্টেম এই টুলগুলোর ওপর নির্ভর করে, তাদের জন্য এই ঘটনাটি একটি সতর্কবার্তা হিসেবে কাজ করেছে। অনেক কোম্পানি WireGuard-কে তাদের পছন্দের VPN হিসেবে গ্রহণ করেছে এবং এটিকে Mullvad, Proton বা Tailscale-এর মতো প্রোডাক্টে ইন্টিগ্রেট করেছে, অথবা সরাসরি তাদের ইনফ্রাস্ট্রাকচারে স্থাপন করেছে। যখন আপনার নিরাপত্তা ব্যবস্থা এমন একটি প্রকল্পের উপর নির্ভর করে, যা আবার একটি বৃহৎ প্ল্যাটফর্মের ডেভেলপার অ্যাকাউন্টের উপর নির্ভরশীল।একটিমাত্র ত্রুটির ঝুঁকি অত্যন্ত সুস্পষ্ট।

সংক্ষেপে, এই অ্যাকাউন্টগুলো ব্লক করা কেবল কেন্দ্রীভূত বিতরণের ভঙ্গুরতাকেই তুলে ধরে না, বরং এটি বর্তমান ডিজিটাল অবকাঠামোর স্থিতিশীলতার ওপর আস্থা ক্ষুণ্ণ করে।যদি একটি দুর্বলভাবে জানানো প্রক্রিয়ার কারণে গুরুত্বপূর্ণ নিরাপত্তা সরঞ্জামগুলো স্থগিত করা যায়, তবে সমগ্র ইকোসিস্টেমের স্থিতিস্থাপকতা প্রশ্নবিদ্ধ হয়।

মালিকানাধীন প্ল্যাটফর্মের উপর ওপেন সোর্সের নির্ভরতা

এই ঘটনাটি বিতরণের নিয়ন্ত্রক হিসেবে বৃহৎ মালিকানাধীন প্ল্যাটফর্মগুলোর ভূমিকা নিয়েও একটি বৃহত্তর বিতর্কের জন্ম দিয়েছে। ওয়্যারগার্ড বা ভেরাক্রিপ্টের মতো লক্ষ লক্ষ ব্যবহারকারীসহ ওপেন সোর্স প্রকল্পগুলো, মাইক্রোসফটের পরিকাঠামো ব্যবহার না করে তারা উইন্ডোজে সফটওয়্যার স্বাক্ষর বা বিতরণ করতে পারে না।পার্টনার সেন্টার, উইন্ডোজ হার্ডওয়্যার প্রোগ্রাম, সার্টিফিকেট, নিরাপত্তা নীতিমালা, ইত্যাদি।

বাস্তবে, এটি মাইক্রোসফটকে এক ধরনের অস্বচ্ছ প্রত্যয়নকারী কর্তৃপক্ষদ্রুত, স্বচ্ছ এবং মানবিক আপিল প্রক্রিয়ার সুযোগ না দিয়েই, একটি স্বয়ংক্রিয় সিদ্ধান্তের মাধ্যমে কোনো প্রকল্পের বিতরণ অধিকার বাতিল করার ক্ষমতা এর রয়েছে। এই পরিস্থিতি অ্যাপলের সাথে ঘটে যাওয়া পূর্ববর্তী ঘটনাগুলোর কথা মনে করিয়ে দেয়, যেখানে কোনো স্পষ্ট ব্যাখ্যা ছাড়াই অ্যাপ স্টোরের ডেভেলপার অ্যাকাউন্টগুলো স্থগিত করা হয়েছিল এবং গণমাধ্যমের চাপের পরেই কেবল সেগুলো পুনরায় সক্রিয় করা হয়।

মুক্ত সফটওয়্যারের জন্য এই ক্ষমতার ভারসাম্যহীনতা উদ্বেগজনক। ছোট সম্প্রদায় বা এমনকি একজন ব্যক্তি দ্বারা পরিচালিত প্রকল্পগুলোকেও সেইসব বড় কোম্পানির মতো একই নিয়ম ও ব্যবস্থা মেনে চলতে হয়, যাদের আইনি দল এবং প্ল্যাটফর্ম সম্পর্ক ব্যবস্থাপনার জন্য বিশেষ বিভাগ রয়েছে। সেই সহায়ক কাঠামো ছাড়া একজন একক ডেভেলপার কার্যত অরক্ষিত। স্বয়ংক্রিয়ভাবে অ্যাকাউন্ট বন্ধ হয়ে যাওয়ার ক্ষেত্রে।

হ্যাকার নিউজের মতো ফোরামের আলোচনায় এই বিষয়ের ওপর জোর দেওয়া হয়েছে যে কেন্দ্রীভূত বিতরণ ওপেন সোর্সের দুর্বলতম স্থানে পরিণত হয়েছে।আপনার কোড যতই শক্তিশালী, নিরীক্ষিত এবং সংক্ষিপ্ত হোক না কেন, তার কোনো মূল্য নেই, যদি বাস্তবে বিতরণ শৃঙ্খলটি একজন গেটকিপার হিসেবে কাজ করা একক সরবরাহকারীর উপর নির্ভরশীল হয়, যার অভ্যন্তরীণ প্রক্রিয়াগুলো সবসময় স্বচ্ছ নয়।

এই মামলাটি এটাও স্পষ্ট করে দেয় যে গণমাধ্যমের চাপ অবশ্যই প্রভাব ফেলে।বিষয়টি গণমাধ্যমের নজরে আসার সাথে সাথেই ওয়্যারগার্ড এবং ভেরাক্রিপ্ট দ্রুত নির্বাহী হস্তক্ষেপ পেয়েছিল, কিন্তু সব ওপেন-সোর্স প্রকল্প সেই পর্যায়ের পরিচিতি পায় না। অনেক প্রকল্পই সপ্তাহ বা মাস ধরে আটকে থাকতে পারে, কারণ কোনো বড় কর্পোরেশনের কেউই তাদের বিষয়টি পর্যালোচনা করাকে অগ্রাধিকার দেয় না।

প্রতিষ্ঠাতা, কারিগরি দল এবং নিরাপত্তা কর্মকর্তাদের জন্য শিক্ষা

স্টার্টআপ প্রতিষ্ঠাতা, সিটিও এবং নিরাপত্তা কর্মকর্তাদের জন্য এই পর্বটি বেশ কিছু সুনির্দিষ্ট শিক্ষা দেয়। প্রথমটি সুস্পষ্ট কিন্তু প্রায়শই উপেক্ষিত: তৃতীয় পক্ষ দ্বারা নিয়ন্ত্রিত একটিমাত্র বিতরণ চ্যানেলের উপর নির্ভর করা সমীচীন নয়।যদিও উইন্ডোজে ড্রাইভার সাইন করার জন্য মাইক্রোসফটের মাধ্যমেই কাজ করতে হয়, তবুও অন্যান্য ক্ষেত্রেও কাজ করার সুযোগ সবসময়ই থাকে।

একটি প্রস্তাবিত অনুশীলন হল কোম্পানি বা প্রকল্পের নিজস্ব পরিকাঠামোর মধ্যে থেকে চুক্তিবদ্ধ সরাসরি ইনস্টলারদের বজায় রাখুন।এবং শুধুমাত্র অফিসিয়াল স্টোর বা প্ল্যাটফর্ম অ্যাকাউন্টের সাথে পুরোপুরি সংযুক্ত স্বয়ংক্রিয় আপডেট ব্যবস্থার উপর নির্ভর না করা। এইভাবে, যদি কোনো ক্র্যাশ ঘটে, অন্তত অস্থায়ী সংস্করণ বা জরুরি প্যাচ বিতরণের জন্য বিকল্প মাধ্যম থাকবে।

এটিও গুরুত্বপূর্ণ যে গুরুত্বপূর্ণ প্রকল্পগুলি এগুলোকে শুধুমাত্র রক্ষণাবেক্ষণকারীর ব্যক্তিগত অ্যাকাউন্ট দ্বারা সমর্থন করা উচিত নয়।ডেভেলপার অ্যাকাউন্টের ধারক হিসেবে কাজ করে এমন আইনি সত্তা (ফাউন্ডেশন, সমিতি বা কোম্পানি) নিবন্ধন করা হলে তা আরও স্থিতিশীলতা প্রদান করে এবং কোনো একক ব্যক্তির উপর নির্ভর না করে যাচাইকরণ বা নবায়নের ব্যবস্থাপনাকে সহজতর করে।

আরেকটি বিষয় হলো ডেভেলপার অ্যাকাউন্টগুলোকে এর অংশ হিসেবে বিবেচনা করা। সংস্থার গুরুত্বপূর্ণ অবকাঠামোসার্ভার, টিএলএস সার্টিফিকেট বা ডোমেইন যেভাবে পর্যবেক্ষণ করা হয়, ঠিক সেভাবেই গুরুত্বপূর্ণ প্ল্যাটফর্মগুলোতে থাকা অ্যাকাউন্টগুলোর অবস্থা নথিভুক্ত করা এবং পর্যায়ক্রমে পর্যালোচনা করা বাঞ্ছনীয়। সেই সাথে, ভেরিফিকেশন নোটিশ, নীতি পরিবর্তন বা সম্ভাব্য সাসপেনশন সময়মতো শনাক্ত করার জন্য অ্যালার্ট কনফিগার করাও জরুরি।

অবশেষে, অনেক বিশেষজ্ঞ মডেলগুলোকে একীভূত করার প্রস্তাব করেন। মুক্ত সফটওয়্যার ফাউন্ডেশনগুলির মাধ্যমে সম্প্রদায়ের স্বাক্ষরলিনাক্স ফাউন্ডেশন বা এই জাতীয় সংস্থাগুলো একাধিক প্রকল্পের জন্য ছাতা সংগঠন হিসেবে কাজ করতে পারে এবং মাইক্রোসফট, অ্যাপল বা গুগলের মতো বড় বড় প্রতিষ্ঠানের সাথে সম্পৃক্ত হওয়ার বৃহত্তর সক্ষমতা তাদের থাকতে পারে। এর ফলে কোনো একজন ডেভেলপারের সিস্টেমের প্রতিবন্ধকতা ও দুর্বলতম বিন্দু হয়ে ওঠার ঝুঁকি কমে যাবে।

WireGuard, VeraCrypt এবং অন্যান্য প্রোজেক্টের ডেভেলপার অ্যাকাউন্টগুলো সাময়িকভাবে সরিয়ে নেওয়াকে ঘিরে এই পুরো ঘটনাটি এক মিশ্র অনুভূতির জন্ম দিয়েছে: একদিকে, সবকিছু স্বাভাবিক অবস্থায় ফিরে আসায় এবং আটকে থাকা আপডেটগুলো অবশেষে ব্যবহারকারীদের কাছে পৌঁছানোয় স্বস্তি; অন্যদিকে, অস্বস্তি, কারণ এটা একেবারে স্পষ্ট হয়ে গেছে যে যদি বিতরণ স্তরটি অস্বচ্ছ আমলাতান্ত্রিক প্রক্রিয়ার ওপর নির্ভরশীল হয়, তবে সরঞ্জামগুলোর প্রযুক্তিগত দৃঢ়তা যথেষ্ট নয়।যারা এই ধরনের প্রকল্পের উপর ভিত্তি করে পণ্য, অবকাঠামো বা পরিষেবা তৈরি করছেন, তাদের উচিত এই ঝুঁকিগুলোর অস্তিত্ব স্বীকার করে নেওয়া এবং এখনই নিজেদের জরুরি পরিকল্পনা প্রস্তুত করে রাখা।