CVE কি | Common Vulnerabilities and Exposures bangla | Bug Mohol

CVE-এর গল্প: ডিজিটাল পৃথিবীর 'গোপন ভাষা', যা আপনাকে প্রতিদিন হ্যাকারদের হাত থেকে বাঁচাচ্ছে

Bug Mohol tutorial Desk | তারিখ: ৮ই নভেম্বর , ২০২৫

CVE-এর আগের বিশৃঙ্খল বিশ্ব: একই দুর্বলতা, কিন্তু একাধিক নাম, যা হ্যাকারদের সুবিধা করে দিত এবং সমাধান প্রক্রিয়াকে ধীর করে দিত।

সেই বিশৃঙ্খল সময়ের গল্প

ভাবুন তো, আজ থেকে প্রায় ২৫-৩০ বছর আগের ইন্টারনেট। তখনো সফটওয়্যার ছিল, কম্পিউটার ছিল, আর ছিল হ্যাকার। কিন্তু একটা জিনিস ছিল না—শৃঙ্খলা।

ধরুন, ঢাকার এক নিরাপত্তা গবেষক (Security Researcher) মাইক্রোসফ্ট উইন্ডোজ-এ একটা ভয়াবহ ত্রুটি খুঁজে পেলেন। তিনি সেটার নাম দিলেন "টাইগার কিলার বাগ"। একই সময়ে, জাপানের এক হ্যাকারও ঐ একই ত্রুটি খুঁজে পেলো, কিন্তু সে ওটাকে ব্যবহার করে নাম দিলো "প্রজেক্ট জিরো"। ওদিকে, মাইক্রোসফ্ট হয়তো ভেতরে ভেতরে এই সমস্যাটা নিয়ে কাজ করছে, আর তাদের ফাইলে এটার নাম লেখা "ইস্যু #৭৮৯"।

ফলাফল? একটা হ-য-ব-র-ল অবস্থা!

খবরের কাগজে কেউ লিখছে "টাইগার কিলার" অ্যাটাক হচ্ছে, অ্যান্টিভাইরাস কোম্পানি অ্যালার্ট দিচ্ছে "প্রজেক্ট জিরো"-এর, আর মাইক্রোসফ্ট যখন আপডেট ছাড়লো, তখন বললো "ইস্যু #৭৮৯" সমাধান করা হয়েছে।

সাধারণ মানুষ, এমনকি বড় বড় কোম্পানির আইটি ম্যানেজাররাও বুঝতে পারছিলেন না যে, এই তিনটি জিনিস আসলে একই সমস্যা! কে কাকে বাঁচাবে? কে কোনটা আপডেট করবে? এই চরম বিশৃঙ্খলার সুযোগে হ্যাকাররা কয়েক মাস ধরে ঐ এক ত্রুটি ব্যবহার করেই সবার সিস্টেম ধ্বংস করে দিচ্ছিল।

এই গল্পটা কোনো বানানো গল্প নয়। এটা ছিল ১৯৯০-এর দশকের ডিজিটাল বিশ্বের বাস্তব চিত্র। এই বিশৃঙ্খলা থামানোর জন্যই একদল বুদ্ধিমান মানুষ একজোট হলেন। তাদের একটা যুগান্তকারী আইডিয়া ছিল: "আরে! এত নামের দরকার নেই। চলুন, পৃথিবীর প্রত্যেকটা দুর্বলতার জন্য শুধু একটা নাম, একটা সিরিয়াল নম্বর দিই।"

সেই আইডিয়াটারই প্রাতিষ্ঠানিক রূপ হলো CVE, বা Common Vulnerabilities and Exposures।

ডিজিটাল পৃথিবীর 'লাইব্রেরিয়ান'

CVE জিনিসটা কী, তা বোঝার আগে ভাবুন এটি একটি বিশাল লাইব্রেরি। এই লাইব্রেরিতে পৃথিবীর সব সফটওয়্যারের দুর্বলতা নিয়ে লেখা বই আছে। কিন্তু কোনো বইয়ের ওপর নাম লেখা নেই। সব এলোমেলো।

এই লাইব্রেরিকে গোছানোর জন্য একজন 'মাস্টার লাইব্রেরিয়ান'-এর দরকার পড়লো। এই লাইব্রেরিয়ানের নামই হলো MITRE (মাইট্রি) নামক সংস্থা, যারা এই CVE সিস্টেমটা চালায়।

তারা একটা সহজ নিয়ম চালু করলো:

"যখনই পৃথিবীতে নতুন কোনো দুর্বলতার 'বই' আসবে, আমরা সেটার গায়ে একটা ইউনিক সিরিয়াল নম্বর বা 'আইডি কার্ড' ঝুলিয়ে দেবো। এরপর থেকে সবাই ঐ বইটাকে তার আজগুবি নামে না ডেকে, ঐ সিরিয়াল নম্বরেই চিনবে।"

এই আইডি কার্ডটাই হলো CVE আইডি।

যেমন: CVE-2017-0144

এই নম্বরটা দেখেই সারা পৃথিবীর সব সিকিউরিটি এক্সপার্ট এক সেকেন্ডে চিনে ফেলেন যে, "ওহ! এটা তো সেই কুখ্যাত 'EternalBlue' দুর্বলতা, যেটা দিয়ে 'WannaCry' র‍্যানসমওয়্যার অ্যাটাক হয়েছিল!"

• CVE: এটা হলো প্রিফিক্স, মানে "আমি একটা দুর্বলতার আইডি কার্ড"।
• 2017: এটা হলো সেই সাল, যখন এই কার্ডটা ইস্যু হয়েছিল।
• 0144: এটা হলো ঐ বছরের জন্য তার সিরিয়াল নম্বর।

Related Posts

একটি দুর্বলতার নাটকীয় জীবন: যেভাবে একটি বাগ 'CVE' হয়ে ওঠে

চলুন, একটা দুর্বলতার জন্ম থেকে মৃত্যু পর্যন্ত পুরো গল্পটা দেখি। এর ভেতরেই লুকিয়ে আছে এর আসল বিশ্লেষণ।

দৃশ্য ১: আবিষ্কার (The 'Eureka!' Moment)

ধরুন, "বাগমহল" (Bugmohol) টিমের একজন গবেষক, নাম 'আরিফ', রাত জেগে একটা জনপ্রিয় ফটো এডিটিং সফটওয়্যার নাড়াচাড়া করছেন। হঠাত তিনি এমন একটা জায়গায় ক্লিক করলেন, যেখানে ক্লিক করলে সফটওয়্যারটা অদ্ভুত আচরণ করা শুরু করলো এবং আরিফ সেই কম্পিউটারের সব ফাইল অ্যাক্সেস পেয়ে গেলেন!

আরিফের বুক ধড়ফড় করে উঠলো। তিনি বুঝে গেলেন, তিনি একটা 'জিরো-ডে' (Zero-Day) দুর্বলতা খুঁজে পেয়েছেন। অর্থাৎ, এই ত্রুটির কথা সফটওয়্যার কোম্পানি নিজেও জানে না।

এখন আরিফের সামনে দুটি রাস্তা:

1. খারাপ রাস্তা: এটা ডার্ক ওয়েবে হ্যাকারদের কাছে ১০,০০০ ডলারে বিক্রি করে দেওয়া।
2. ভালো রাস্তা (Ethical Hacking): সফটওয়্যার কোম্পানিকে জানানো, যাতে তারা এটা ঠিক করতে পারে।

আরিফ ভালো রাস্তাটাই নিলেন।

দৃশ্য ২: গোপন রিপোর্ট (The Responsible Disclosure)

আরিফ সরাসরি সফটওয়্যার কোম্পানিকে একটা ইমেইল করলেন। কিন্তু একই সাথে তিনি MITRE-এর অধীনে থাকা একটি CNA (CVE Numbering Authority)-কেও জানালেন।

CNA হলো MITRE-এর 'সহকারী লাইব্রেরিয়ান'। বড় বড় কোম্পানি যেমন Google, Microsoft, Red Hat—এরা সবাই এক-একটি CNA।

আরিফ যখন তাদের এই দুর্বলতার প্রমাণ দেখালেন, CNA বললো, "দারুণ কাজ! আমরা এটা গ্রহণ করলাম। এই দুর্বলতার জন্য আমরা একটা আইডি 'বুকিং' বা 'রিজার্ভ' করে রাখছি। কিন্তু এটা এখনই পাবলিশ করা হবে না।"

তারা আরিফের দুর্বলতাটিকে একটি নম্বর দিলো: CVE-2025-5001 (ধরুন সালটা ২০২৫)।

দৃশ্য ৩: পর্দার আড়ালের যুদ্ধ (The Race Against Time)

এখন ঘড়ি চলতে শুরু করেছে। সফটওয়্যার কোম্পানি (ধরুন, নাম 'Photoshopia') জানে যে, তাদের একটা ভয়াবহ দুর্বলতা (CVE-2025-5001) আছে। আরিফ যেহেতু ভালো মানুষ, তিনি এটা নিয়ে চুপ করে আছেন। কিন্তু অন্য কোনো হ্যাকারও কি এটা খুঁজে পেতে পারে?

Photoshopia-এর ডেভেলপাররা দিনরাত এক করে এই গর্তটা বন্ধ করার জন্য কোড লেখা শুরু করলেন। তারা একটা 'প্যাচ' (Patch) বা সমাধান তৈরি করছেন।

দৃশ্য ৪: সেই বিশেষ দিন (The Coordinated Release)

৯০ দিন পর। Photoshopia-এর সমাধান বা 'প্যাচ' রেডি।

তখন তারা আরিফ এবং CNA-এর সাথে মিলে একটা দিন ঠিক করলো। ধরুন, ৭ই নভেম্বর।

ঐদিন ঠিক সকাল ১০টায় যা ঘটলো:

1. Photoshopia: তাদের সব ব্যবহারকারীর জন্য একটি "Software Update" ছাড়লো। আপডেটের নোটে লেখা: "এই আপডেটে CVE-2025-5001 সহ বেশ কিছু নিরাপত্তা ত্রুটি সমাধান করা হয়েছে।"
2. CNA/MITRE: তাদের CVE লাইব্রেরিতে CVE-2025-5001 আইডিটাকে 'রিজার্ভড' থেকে 'পাবলিক' করে দিলো এবং এর সাথে আরিফের (Bugmohol-এর) নাম 'আবিষ্কারক' হিসেবে যোগ করে দিলো।

সারা পৃথিবী এক মুহূর্তে জেনে গেলো যে, এই সফটওয়্যারে একটা গর্ত ছিল এবং সেটার সমাধানও চলে এসেছে।

কেন এই গল্পটা আপনার জন্য গুরুত্বপূর্ণ?

এই পুরো নাটকের ভেতরের আসল জিনিসটা হলো 'সমন্বয়' (Coordination)। CVE না থাকলে এই সমন্বয়টাই হতো না।

১. এটা হ্যাকারদের বিরুদ্ধে যুদ্ধকে একতাবদ্ধ করেছে:

CVE হলো সেই 'অভিন্ন ভাষা', যা সিকিউরিটি গবেষক, সফটওয়্যার কোম্পানি এবং সাধারণ ব্যবহারকারী—সবাইকে এক কাতারে নিয়ে আসে। যখন আপনার অ্যান্টিভাইরাস, আপনার উইন্ডোজ আপডেট, আর আপনার আইটি ম্যানেজার—সবাই একই CVE-XXXX-XXXX নম্বর নিয়ে কথা বলে, তখন কোনো বিভ্রান্তি থাকে না। সবাই ঠিক জানে শত্রুটা কে এবং তার সমাধান কী।

২. এটা শুধু 'নাম' নয়, এটা 'গুরুত্ব'ও বোঝায়:

অনেকে CVE-কে CVSS-এর সাথে গুলিয়ে ফেলেন।

• CVE: এটা হলো দুর্বলতার 'নাম' বা 'শনাক্তকারী নম্বর' (যেমন: রোগীর নাম 'রহিম')।
• CVSS (Common Vulnerability Scoring System): এটা হলো দুর্বলতার 'ভয়াবহতা' বা 'তীব্রতা'-এর স্কোর (০ থেকে ১০)। (যেমন: ডাক্তারের রিপোর্ট—'রহিমের অবস্থা ১০/১০ গুরুতর, এখনই আইসিইউতে নাও!')।

CVE একা আসে না, এটি প্রায়ই একটি CVSS স্কোর সাথে নিয়ে আসে। ফলে আইটি ম্যানেজাররা বুঝতে পারেন, কোন গর্তটা আগে বন্ধ করতে হবে।

৩. আপনার 'আপডেট' বাটনের পেছনের গল্প:

পরের বার যখন আপনার ফোন বা কম্পিউটারে "Software Update Available" নোটিফিকেশন আসবে, তখন বিরক্ত হবেন না। মনে রাখবেন, এই আপডেটের পেছনে হয়তো CVE-2025-5001-এর মতো কোনো গল্প আছে। কোনো এক 'আরিফ'-এর আবিষ্কার, কোনো ডেভেলপারের রাতের ঘুম হারাম করা কোডিং, আর CVE সিস্টেমের নিখুঁত সমন্বয়ের ফলেই এই আপডেটটা আপনার কাছে এসেছে, যা আপনাকে কোনো বড় বিপদ থেকে বাঁচিয়ে দিলো।

CVE কোনো সফটওয়্যার নয়, কোনো টেকনোলজি নয়। এটি একটি 'চুক্তি' (Agreement)। এটি হলো সারা পৃথিবীর টেক-জায়ান্টদের এবং ভালো হ্যাকারদের মধ্যে হওয়া একটি ভদ্রলোকের চুক্তি—যে, "আমরা আর এলোমেলোভাবে কাজ করবো না। আমরা একটি সাধারণ ভাষা ব্যবহার করবো, যাতে সবাই মিলে এই ডিজিটাল বিশ্বটাকে একটু বেশি সুরক্ষিত করতে পারি।"

তাই, CVE-এর গল্পটা আসলে কোনো কোডিং-এর গল্প নয়। এটা হলো বিশৃঙ্খলার বিরুদ্ধে মানুষের শৃঙ্খলার জয়ের গল্প। এটা হলো হ্যাকারদের অন্ধকারে কাজ করার বিরুদ্ধে স্বচ্ছতা এবং সমন্বয়ের গল্প।

FAQ

 

   

CVE কি? এটি কেন এত গুরুত্বপূর্ণ?

   

     

CVE হলো প্রতিটি সফটওয়্যার দুর্বলতার জন্য একটি ইউনিক সিরিয়াল নম্বর (যেমন: CVE-2017-0144)। এটি একটি 'সাধারণ ভাষা' হিসেবে কাজ করে, যাতে গবেষক, কোম্পানি এবং অ্যান্টিভাইরাস সবাই একটি নির্দিষ্ট ত্রুটিকে একই নামে চিনতে পারে।

   

 

 

   

CVE এবং CVSS এর মধ্যে মূল পার্থক্য কী?

   

     

খুব সহজ: CVE হলো দুর্বলতার 'নাম' বা 'শনাক্তকারী আইডি' (যেমন: রোগীর নাম)। আর CVSS হলো সেই দুর্বলতাটি কতটা ভয়াবহ, তার 'গুরুত্ব বা তীব্রতার স্কোর' (০ থেকে ১০) (যেমন: রোগীর অবস্থা কতটা গুরুতর)।

   

 

 

   

CVE সিস্টেম কেন তৈরি করা হয়েছিল?

   

     

আগে একই দুর্বলতাকে বিভিন্ন জন বিভিন্ন নামে ডাকত (যেমন: "টাইগার কিলার বাগ", "ইস্যু #৭৮৯"), যা চরম বিশৃঙ্খলা তৈরি করত। CVE এই সমস্যার সমাধান করে একটি দুর্বলতার জন্য একটিই মাত্র আইডি বরাদ্দ দেয়, যা সমাধান প্রক্রিয়াকে দ্রুত করে।

   

 

 

   

কারা এই CVE আইডি নম্বরগুলো প্রদান করে?

   

     

এই সিস্টেমটি MITRE (মাইট্রি) নামক একটি অলাভজনক সংস্থা কেন্দ্রীয়ভাবে পরিচালনা করে। তাদের পাশাপাশি গুগল, মাইক্রোসফ্ট-এর মতো বড় কোম্পানিগুলোও CNA (CVE Numbering Authority) হিসেবে সরাসরি আইডি বরাদ্দ করতে পারে।

   

 

 

   

'জিরো-ডে' (Zero-Day) দুর্বলতা বলতে কী বোঝায়?

   

     

এটি এমন একটি দুর্বলতা যা সফটওয়্যার কোম্পানি নিজে এখনো জানে না, বা জানলেও তা সমাধান করার জন্য 'শূন্য দিন' (Zero Day) সময় পেয়েছে। হ্যাকাররা এটি খুঁজে পেলে একটি প্যাচ (Patch) বা সমাধান আসার আগেই ব্যাপক ক্ষতি করতে পারে।

   

 

 

   

সাধারণ ব্যবহারকারীর জন্য CVE কেন গুরুত্বপূর্ণ?

   

     

আপনার ফোনে বা পিসিতে আসা "Software Update" নোটিফিকেশনের বেশিরভাগই বিভিন্ন CVE আইডি দ্বারা চিহ্নিত নিরাপত্তা ত্রুটিগুলো সমাধান করে। CVE সম্পর্কে জানা আপনাকে বুঝতে সাহায্য করে যে কেন আপডেটগুলো উপেক্ষা করা বিপদজনক।

   

 

 

   

একটি দুর্বলতা কীভাবে একটি CVE আইডি পায়?

   

     

একজন গবেষক (Ethical Hacker) ত্রুটিটি খুঁজে পেয়ে তা গোপনে কোম্পানিকে জানান। তখন একটি CVE আইডি 'রিজার্ভ' করা হয়। কোম্পানি সেই সমাধান বা 'প্যাচ' তৈরি করার পর, আপডেটের সাথে ঐ CVE আইডিও জনসমক্ষে প্রকাশ করা হয়।

   

 

 

   

'Responsible Disclosure' বা 'সমন্বিত প্রকাশ' কী?

   

     

এটি হলো একজন নৈতিক হ্যাকারের কাজ। তিনি দুর্বলতাটি খুঁজে পেয়ে হ্যাকারদের কাছে বিক্রি না করে, সরাসরি কোম্পানিকে জানান এবং তাদের এটি সমাধান করার জন্য নির্দিষ্ট সময় (যেমন ৯০ দিন) দেন। এরপর সবাই মিলে একটি নির্দিষ্ট দিনে এটি প্রকাশ করেন।

   

 

🔔 আমাদের সাথে থাকুন — Bug Mohol এ বাংলায় সাইবার দুনিয়ার গভীরতম বিশ্লেষণ পাবেন।

🔗 Bug Mohol Telegram চ্যানেলে যোগ দিন