OSINT MasterClass: ইন্টারনেটের OPEN SOURCE গোয়েন্দাগিরির গাইড | Part 1 | Bug Mohol

OSINT Open Source Intelligence tutorial thumbnail with censored face and red bar

OSINT ব্যবহার করে কিভাবে পাবলিক ডাটা থেকে তথ্য সংগ্রহ করা যায় – Complete Beginner Guide (Bangla)

ভূমিকা

ইন্টারনেট হলো বিশাল এক মহাসমুদ্রের মতো। আমরা সাধারণ ব্যবহারকারীরা এই মহাসমুদ্রের ওপরের মাত্র ৪-৫ শতাংশ দেখতে পাই—যেখানে ফেসবুক, ইউটিউব বা নিউজ পোর্টালগুলো ভেসে থাকে। কিন্তু একজন সাইবার সিকিউরিটি এক্সপার্ট বা এথিক্যাল হ্যাকারের কাজ হলো এই ওপরের স্তরের তথ্যের ভেতরে ডুব দিয়ে গভীরের গোপন তথ্যগুলো খুঁজে বের করা। এই প্রক্রিয়াটিকেই প্রযুক্তিগত ভাষায় বলা হয় OSINT বা Open Source Intelligence।

অনেকে মনে করেন হ্যাকিং মানেই হলো কালো স্ক্রিনে অনবরত কোড লেখা। কিন্তু বাস্তবতা হলো, বিশ্বের বড় বড় সাইবার অ্যাটাক বা ডিজিটাল ইনভেস্টিগেশনের সাফল্যের পেছনে ৮০ শতাংশ অবদান থাকে এই OSINT-এর। এটি কোনো জাদুর কাঠি নয়, বরং এটি হলো তথ্যের টুকরোগুলোকে (Data Points) জোড়া লাগিয়ে একটি পূর্ণাঙ্গ ছবি তৈরি করার বৈজ্ঞানিক পদ্ধতি। আজ আমরা সেই পদ্ধতির একদম বেসিক থেকে প্রো লেভেল পর্যন্ত আলোচনা করব।

পর্ব ১: ডিজিটাল ফুটপ্রিন্ট এবং মাইন্ডসেট (The Foundation)

OSINT শেখার আগে আপনাকে বুঝতে হবে “ডিজিটাল ফুটপ্রিন্ট” আসলে কীভাবে কাজ করে। যখনই আপনি ইন্টারনেটে কোনো ওয়েবসাইটে ভিজিট করেন, কোনো ছবিতে লাইক দেন, বা কোথাও একটি অ্যাকাউন্ট খোলেন—আপনি অজান্তেই সেখানে আপনার একটি পায়ের ছাপ বা ফুটপ্রিন্ট রেখে আসছেন।

একজন সাধারণ মানুষ চিন্তা করেন, “আমি তো ফেসবুকে আমার ফোন নম্বর হাইড করে রেখেছি, কেউ পাবে না।” কিন্তু একজন OSINT ইনভেস্টিগেটর চিন্তা করেন, “সে ফেসবুকে নম্বর হাইড করেছে ঠিকই, কিন্তু ৫ বছর আগে সে হয়তো কোনো এক ফোরামে বা বিক্রয় ডট কমে একটি বিজ্ঞাপন দিয়েছিল, যেখানে তার এই নম্বরটি এখনো রয়ে গেছে।”

অর্থাৎ, OSINT-এর মূল মন্ত্র হলো: “ইন্টারনেটে আপলোড হওয়া কোনো কিছুই আসলে পুরোপুরি মুছে যায় না।” একজন ইনভেস্টিগেটর হিসেবে আপনার কাজ হলো সেই মুছে যাওয়া বা লুকিয়ে রাখা তথ্যের সূত্র ধরে আসল তথ্যে পৌঁছানো। এই মাইন্ডসেট তৈরি করাই হলো প্রথম ধাপ।

পর্ব ২: সার্চ ইঞ্জিনের গভীরে (Google Dorking & Search Mastery)

আমরা সবাই গুগল ব্যবহার করি, কিন্তু আমরা গুগলের আসল ক্ষমতার ১ শতাংশও ব্যবহার করি না। গুগলের কাছে পৃথিবীর প্রায় সব ওয়েবসাইটের ইনডেক্স করা ডেটা আছে। এখন প্রশ্ন হলো, আপনি সেই ডেটা কীভাবে বের করবেন? এখানেই আসে Google Dorking-এর কৌশল।

সাধারণ সার্চে আমরা কী করি? ধরুন আপনি বাংলাদেশের কোনো সরকারি পিডিএফ ফাইল খুঁজছেন। আপনি গুগলে লিখলেন: Bangladeshi government pdf files। গুগল আপনাকে কোটি কোটি রেজাল্ট দেখাবে যা আপনার কাজের না। কিন্তু একজন প্রো OSINT এক্সপার্ট গুগলের সাথে নির্দিষ্ট ভাষায় কথা বলেন। তিনি লিখবেন:

site:gov.bd filetype:pdf “confidential”

এই একটি লাইন গুগলকে তিনটি নির্দেশ দিচ্ছে:

site:gov.bd – আমাকে শুধু বাংলাদেশের সরকারি ওয়েবসাইট দেখাও।
filetype:pdf – আমি শুধু পিডিএফ ফাইল চাই, অন্য কোনো ওয়েবপেজ না।
“confidential” – ওই পিডিএফের ভেতরে অবশ্যই ‘confidential’ শব্দটি থাকতে হবে।

এই টেকনিক ব্যবহার করে হ্যাকাররা ভুলবশত আপলোড হওয়া পাসওয়ার্ড ফাইল, লগ ফাইল বা সেন্সিটিভ ডকুমেন্ট নিমিষেই বের করে ফেলে। তাই OSINT-এর বেসিক ধাপই হলো সার্চ ইঞ্জিনের এই কুয়েরি ল্যাঙ্গুয়েজ বা ‘Dorking’ আয়ত্ত করা।

পর্ব ৩: ডিজিটাল আইডেন্টিটি হান্টিং (Username & Email Analysis)

মানুষ অভ্যাসের দাস। আমরা সাধারণত আমাদের সব সোশ্যাল মিডিয়া বা অনলাইন অ্যাকাউন্টে একই ইউজারনেম ব্যবহার করতে পছন্দ করি। ধরুন, আপনি ইনস্টাগ্রামে dark_rider_99 নামের একজনকে পেলেন, কিন্তু তার সম্পর্কে আর কিছুই জানেন না।

OSINT মেথডলজি অনুযায়ী, এখানে আমরা “Pivot” টেকনিক ব্যবহার করব। ওই একই ইউজারনেম dark_rider_99 দিয়ে আমরা গিটহাব, টুইটার, পিন্টারেস্ট বা স্পটিফাই-তে সার্চ করব। দেখা যাবে, ইনস্টাগ্রামে সে কিছু শেয়ার না করলেও, তার স্পটিফাই প্লে-লিস্টে তার আসল নাম লেখা আছে, অথবা টুইটারে সে তার জন্মদিনের কথা উল্লেখ করেছে।

একইভাবে ইমেইল অ্যাড্রেস হলো ডিজিটাল জগতের পাসপোর্ট। একটি ইমেইল অ্যাড্রেস শুধু যোগাযোগের মাধ্যম নয়; এটি একটি চাবি। haveibeenpwned বা Epios-এর মতো টুলস ব্যবহার করে দেখা যায় ওই ইমেইল দিয়ে কোনো গুগল ম্যাপে রিভিউ দেওয়া হয়েছে কি না। অনেক সময় অপরাধীরা ফেইক ইমেইল ব্যবহার করলেও, গুগল ম্যাপে তাদের আসল বাসার লোকেশনে রিভিউ দিয়ে ধরা পড়ে যায়। এভাবেই একটি ছোট ক্লু থেকে সম্পূর্ণ প্রোফাইল তৈরি করা হয়।

পর্ব ৪: সোশ্যাল মিডিয়া ইন্টেলিজেন্স (SOCMINT)

সোশ্যাল মিডিয়া হলো তথ্যের স্বর্ণখনি। তবে এখানে তথ্য খোঁজার পদ্ধতি একটু ভিন্ন। ফেসবুকে এখন আর আগের মতো সার্চ করে সব পাওয়া যায় না। এখানে কাজ করে “রিলেশনশিপ অ্যানালাইসিস”।

ধরুন, টার্গেটের প্রোফাইল লক করা। তখন একজন ইনভেস্টিগেটর তার প্রোফাইলে সরাসরি অ্যাটাক না করে তার পারিপার্শ্বিক মানুষদের বিশ্লেষণ করেন। তার কাভার ফটোতে কারা লাইক দিয়েছে? তার ভাই বা বোনের প্রোফাইল কি খোলা? অনেক সময় টার্গেট নিজে কোনো তথ্য শেয়ার না করলেও, তার বন্ধুর আপলোড করা গ্রুপ সেলফিতে টার্গেটের লোকেশন বা বর্তমান অবস্থা জানা যায়।

লিঙ্কডইন (LinkedIn) এ ক্ষেত্রে আরও এক ধাপ এগিয়ে। কর্পোরেট ইনভেস্টিগেশনের ক্ষেত্রে লিঙ্কডইন ব্যবহার করে পুরো কোম্পানির অর্গানোগ্রাম, কে কার বস, এবং তারা কী টেকনোলজি ব্যবহার করছে—তা ম্যাপ করা সম্ভব। হ্যাকাররা প্রায়ই লিঙ্কডইন থেকে কোম্পানির ইঞ্জিনিয়ারদের টেকনোলজিক্যাল স্কিল দেখে বুঝে নেয় ওই কোম্পানিতে কী ধরনের সার্ভার বা সফটওয়্যার চলছে।

পর্ব ৫: জিওলোকেশন এবং ইমেজের ভাষা (IMINT)

OSINT-এর সবচেয়ে রোমাঞ্চকর এবং কঠিন ধাপ হলো IMINT (Imagery Intelligence) বা ছবি দেখে তথ্য বের করা। এটি অনেকটা শার্লক হোমসের মতো কাজ। ধরুন, আপনার কাছে একটি ছবি আছে যেখানে একটি রাস্তা দেখা যাচ্ছে। আপনি জানেন না এটি কোথায়। এখানে রিভার্স ইমেজ সার্চ (যেমন Google Lens বা Yandex) হলো প্রাথমিক টুল। কিন্তু যদি ছবিটি একদম নতুন হয়? তখন একজন এক্সপার্ট ছবির ভেতরের ডিটেইলস বিশ্লেষণ করেন:

সূর্যের ছায়া কোন দিকে পড়েছে? (এটি দিয়ে সময় এবং দিক বোঝা যায়)।
রাস্তার সাইনবোর্ডের ভাষা কী? গাড়ির স্টিয়ারিং কোন পাশে?
ইলেকট্রিক পোল বা সকেটের ডিজাইন কেমন? (প্রতিটি দেশের প্লাগ পয়েন্ট ভিন্ন হয়)।
গাছপালা বা পাহাড়ের ধরন কেমন?

এমনকি ছবির মেটাডেটা বা EXIF Data (যা খালি চোখে দেখা যায় না) বিশ্লেষণ করে ছবিটি কোন মডেলের ক্যামেরায় তোলা, ফোকাস কত ছিল, এবং জিপিএস অন থাকলে একদম পিন-পয়েন্ট লোকেশন বের করা সম্ভব। এই স্কিলটি অর্জন করতে প্রচুর প্র্যাকটিস এবং ধৈর্যের প্রয়োজন হয়।

পর্ব ৬: টেকনিক্যাল রিকনেসান্স (Technical Deep Dive)

একজন সাধারণ ইনভেস্টিগেটর যেখানে থেমে যান, একজন টেক-স্যাভি বা “Bug Mohol” মেম্বারের কাজ সেখান থেকে শুরু হয়। এটি হলো ওয়েবসাইটের পেছনের টেকনিক্যাল অবকাঠামো বিশ্লেষণ করা।

এখানে আমরা “ওয়েব্যাক মেশিন” (Wayback Machine) বা আর্কাইভ ব্যবহার করে সময়ের বিপরীতে ভ্রমণ করি। কোনো কোম্পানি বা ব্যক্তি আজ হয়তো তাদের ওয়েবসাইট থেকে বিতর্কিত কোনো তথ্য মুছে ফেলেছে। কিন্তু ইন্টারনেটের আর্কাইভ সিস্টেমে ১০ বছর আগের সেই পেজটি হয়তো হুবহু সংরক্ষিত আছে।

এছাড়া DNS ডাম্পিং এবং IP অ্যানালাইসিস করে বোঝা যায় একটি ওয়েবসাইটের আসল সার্ভার কোথায় অবস্থিত। অনেক সময় ক্লাউডফ্লেয়ার বা প্রক্সির পেছনে আসল আইপি লুকানো থাকে, কিন্তু সাব-ডোমেইন বা পুরনো রেকর্ড বিশ্লেষণ করে সেই আসল আইপি বের করা সম্ভব। এটি পেনিট্রেশন টেস্টিং বা বাগ বাউন্টির জন্য অপরিহার্য একটি ধাপ।

পর্ব ৭: সতর্কতা এবং নিজের সুরক্ষা (OPSEC)

সবশেষে, এবং সবচেয়ে গুরুত্বপূর্ণ বিষয়টি হলো OPSEC (Operations Security)। আপনি যখন ইন্টারনেটে কাউকে খুঁজছেন, তখন সেই ব্যক্তিও কিন্তু পাল্টা আপনাকে ট্র্যাক করতে পারে। আপনি যদি আপনার ব্যক্তিগত ফেসবুক আইডি দিয়ে কোনো অপরাধীর প্রোফাইল চেক করেন, তবে “People You May Know” ফিচারের মাধ্যমে আপনি তার সাজেশনে চলে যেতে পারেন। এটি অত্যন্ত ঝুঁকিপূর্ণ।

এজন্য প্রফেশনাল OSINT-এর প্রথম শর্ত হলো নিজেকে অদৃশ্য রাখা। এর জন্য প্রয়োজন:

Sock Puppets: এমন ভুয়া কিন্তু বিশ্বাসযোগ্য প্রোফাইল তৈরি করা যা দিয়ে আপনি ইনভেস্টিগেশন চালাবেন।
VPN এবং Virtual Machine: নিজের আসল আইপি এবং লোকেশন গোপন রাখা।
Browser Isolation: ইনভেস্টিগেশনের জন্য আলাদা ব্রাউজার ব্যবহার করা, যেখানে আপনার কোনো ব্যক্তিগত অ্যাকাউন্ট লগ-ইন করা থাকবে না।

সরাসরি অ্যাকশন ল্যাবে!

আজকের পর্বে আমরা OSINT-এর থিওরি এবং গোপন মাইন্ডসেট সম্পর্কে জানলাম। কিন্তু সাইবার সিকিউরিটিতে আসল রোমাঞ্চ তো লুকিয়ে আছে প্র্যাকটিক্যালে! তাই Bug Mohol-এর আগামী পর্বে আমরা খাতা-কলম রেখে সরাসরি অ্যাকশনে নামব।

সেখানে আমরা দেখব কীভাবে লিনাক্স টার্মিনাল বা বিভিন্ন টুলস ব্যবহার করে ইন্টারনেটের গভীর থেকে তথ্য খুঁজে বের করা যায়। গুগল ডর্কিং থেকে শুরু করে সোশ্যাল মিডিয়া ট্র্যাকিং—সবকিছুই আমরা হাতে-কলমে শিখব। তাই আপনার পিসি রেডি রাখুন এবং মানসিকভাবে প্রস্তুত হয়ে যান, কারণ আসল খেলা তো মাত্র শুরু হলো!

🔔 আমাদের সাথে থাকুন — Bug Mohol এ বাংলায় সাইবার দুনিয়ার গভীরতম বিশ্লেষণ পাবেন।

Source link

2 months ago (March 6, 2026)

8 views