नेपालले नयाँ भौगोलिक नक्सा जारी गरेको थियो । यस नक्साको पक्षमा उभिएको भन्दै नायिका मनीषा कोइरालाविरुद्ध भारतीय मिडियामा गालीगलौज सुरु भयो । त्यसको प्रतिउत्तरमा भारतीय न्युजच्यानल एबीपीन्युजको साइटमा नेपाली ह्याकर समूह सतनले आक्रमण ग¥यो । साइटलाई नियन्त्रणमा लियो । सतन समूहले युनिभर्सिटी अफ लद्दाखका विद्यार्थीको सबै विवरणसमेत सार्वजनिक गरिदियो । त्यसको प्रतिउत्तरमा भारतीय ह्याकर समूह इन्डियन साइबर ट्रुप्सले नेपाली साइटहरूमा हमला थाल्यो । पछि दुवै समूहबीच एकआपसमा नलड्ने सहमतिपछि साइबर हमला रोकिएको थियो ।
– अजय शर्मा
‘नरपिचास’ नाममा १८ वर्षीय नेपाली ह्याकर सामाजिक सञ्जालमा सक्रिय देखिन्छन् । तिनै ‘नरपिचास’ले इन्टरनेट सेवा प्रदायक संस्था भायनेटको कम्प्युटर प्रणाली ‘ह्याक’ गरी ग्राहकको तथ्याङ्क सामाजिक सञ्जालमा सार्वजनिक गरिदिए । अर्का नेपाली ह्याकर छन्, ‘मिस्टर मुग्गर’ । यी १९ वर्षीय युवकले घरघरमा खानाको सेवा दिने ‘फुडमाण्डु’को सिस्टम ह्याक गरेको थियो । यिनले ‘फुडमाण्डु’को डाटाबेसमा प्रवेश गरी ५० हजार ग्राहकको सम्पर्क नम्बर तथा अन्य विवरण सार्वजनिक गरेका थिए ।
ह्याकरको ह्याट
खासमा साइबर सुरक्षा अनुसन्धानकर्ता हो, ह्याकर । अनुमति लिएर वा नलिएर कुनै पनि वेबसाइट, एप वा सफ्टवेयरमा प्रवेश गर्न खोज्छन् ह्याकर । कुन कारण र उद्देश्यले अनधिकृत रूपमा ह्याकरहरू अरूको वेबसाइट, एप वा सफ्टवेयरमा प्रवेश गर्न खोज्छन् त ? त्यसका आधारमा ह्याकरलाई बुझ्न र जान्न सकिन्छ ।
सामान्यतया ह्याकर दुई किसिमका हुन्छन्, ‘ह्वाइट ह्याट ह्याकर’ र ‘ब्ल्याक ह्याट ह्याकर’ । ‘ह्वाइट ह्याट ह्याकर’ले वेबसाइट, एप वा सफ्टवेयरका कमजोरी पत्ता लगाउने उद्देश्यले कम्प्युटर प्रणालीमा प्रवेश गर्न खोज्छन् । यस्ता ह्याकरले ‘बग’ भेट्टाएमा सम्बन्धित पक्षलाई जानकारी दिन्छन् । कमजोरी औँल्याइदिए वापत उपहार, पुरस्कार पाए पनि ठिक नपाए पनि ठिक भन्ने मान्यता यस्ता ह्याकरको हुन्छ तर यसको ठिक विपरीत ‘ब्ल्याक ह्याट ह्याकर’ले कुनै व्यक्ति वा संस्थाको कम्प्युटर प्रणाली वा एप्लिकेसनमा गैरकानुनी रूपमा प्रवेश गरी दुःख दिनु, सिस्टम नचल्ने बनाइदिनु, तथ्याङ्क चोर्नु वा बिगारिदिनुजस्ता गतिविधि गर्छन् । यिनीहरूले दुःख दिएर फिरौती असुल्नेसमेत गर्छन् । ‘ह्वाइट ह्याट ह्याकर’ अर्थात् ‘इथिकल ह्याकर’ नरेश लाम्गादे भन्नुहुन्छ, “सही काम ग¥यो भने ह्याकरलाई पनि फाइदा, साइबर सुरक्षाका कमजोरी प्राप्त गर्नेलाई पनि फाइदा हुन्छ ।”
ह्याकिङलाई अझै पनि गलत अर्थमा नेपाली समाजमा बुझ्ने गरिएको अनुभव लाम्गादेको छ । लाम्गादे भन्नुहुन्छ, “खासमा हामी ‘इथिकल ह्याकर’ले ‘पेन टेस्टिङ’ मार्फत साइट जाँच गरेर कमजोरीहरू फेला पार्छौं । प्रणालीमा रहेका कमजोरी पत्ता लगाएर सम्बन्धित पक्षलाई सचेत गराउनु हाम्रो उद्देश्य हो ।”यद्यपि, नेपालका ह्याकरले इमेल र सामाजिक सञ्जाल पनि छाडेका छैनन् । व्यक्तिको इमेल र फेसबुकको पासवर्ड अनधिकृत रूपमा प्राप्त गरी दुरुपयोग गर्ने घटना बढेका छन् ।
साइबर ब्युरोका प्रवक्ता वरिष्ठ प्रहरी उपरीक्षक नबिन्द अर्यालका अनुसार अहिले ‘डाटा ब्रीच’ र ह्याकिङका भन्दा फेसबुक ह्याक गर्ने घटना बढिरहेका छन् । पछिल्लो दुई वर्षको अवधिमा साइबर अपराधसम्बन्धी १४९ वटा मुद्दा अदालतसम्म पुगेका छन् । अधिकांश यस्ता मुद्दा सामाजिक सञ्जाल दुरुपयोगसम्बन्धी छन् । जसमध्ये २० देखि २५ प्रतिशत मात्र ह्याकिङ र ‘डाटा ब्रीच’ सम्बन्धी रहेको प्रहरीको तथ्याङ्कले देखाउँछ ।
ह्याकिङका घटनामा विशेषगरी युवाको संलग्नता छ । उनीहरूमा म प्रविधिमा पोख्त छु, प्रविधिमा साक्षर छु, म ह्याक गर्न सक्छु भन्ने दम्भी मनोवृत्तिले पनि यस्तो काममा उक्साएको पाइन्छ । अर्को पक्ष भनेको आर्थिक लोभले पनि युवा पुस्तालाई ह्याकिङतिर लोभ्याएको अनुभव वरिष्ठ प्रहरी उपरीक्षक अर्यालको छ ।
बढ्दैछ ह्याकिङ
साइबर ब्युरोको तथ्याङ्कअनुसार वेबसाइट र सामाजिक सञ्जाल ह्याकिङ पछिल्लो समय बढ्दो क्रममा छ । आर्थिक वर्ष २०७६/७७ मा एक हजार २०१, आर्थिक वर्ष २०७७/७८ मा एक हजार ६३५ र चालू आर्थिक वर्षको दुई महिनामा नै ३६५ वटा घटनाका उजुरी प्रहरीसमक्ष पुगेको छ । प्रहरीसम्म नपुगेका वा यस्ता अपराधमा उपचारका लागि प्रहरीसम्म जानुपर्छ भन्ने जानकारीसमेत नभएको स्थिति पनि छ । प्रहरीका अनुसार, सामाजिक सञ्जाल दुरुपयोग घटनामा गालीगलौज बढी छन् । नग्न तस्बिरमा व्यक्तिको मुहार जोडी सामाजिक सञ्जाल र इन्टरनेटमा राख्ने, अश्लील फोटो तथा भिडियो अनलाइनमा प्रकाशित गर्ने, रेन्समवेयर अट्याक (सम्पूर्ण सूचना आफ्नो नियन्त्रणमा लिने) गरी फिरौती माग गर्ने, अन्य व्यक्तिको नाम, तस्बिर प्रयोग गरेर सामाजिक सञ्जालमा प्रोफाइल र पेज खोलेर बेइज्जत गर्ने तथा दुःख दिने, अनधिकृत पहुँच गरी सरकारी तथा अन्य संस्थाहरूको वेबसाइट ह्याकिङ गर्ने, ब्रूट फोर्स अट्याकलगायतका विभिन्न तरिकाले आक्रमण गर्ने, वित्तीय अपराधअन्तर्गत फेसबुक ह्याक गरी आफन्त तथा साथीहरूसँग रकम मागी इसेवा मार्फत ठगी गर्ने घटना बढी छन् ।
सकारात्मक पक्ष
ह्याकर सबै खराब हुँदैनन् । नैतिकवान् ह्याकर (इथिकल ह्याकर) पनि छन्, जसले डिजिटल स्पेस अर्थात् वेबसाइट, एप र सफ्टवेयरमा रहेका सुरक्षा कमजोरीलाई (बग) पत्ता लगाएर सुरक्षामा सहयोग पनि गर्छन् । आजको विश्वमा डाटा सुरक्षा निकै चुनौती बनिरहेको स्थितिमा यस्ता ह्याकरले व्यक्ति वा संस्थाको कम्प्युटर प्रणाली, वेबसाइट, एप र सफ्टवेयरमाथि पर्नसक्ने सुरक्षा चुनौतीलाई प्रतिरक्षा गरिरहेका हुन्छन् । त्यो वापत ह्याकरले पुरस्कार स्वरूप रकम ‘बग बाउन्टी’ प्राप्त गर्ने गर्छन् । यसरी नेपालमै बसेर लाखौँ कमाउने ह्याकरहरू पनि छन् । तीमध्ये एक हुनुहुन्छ, नरेश लाम्गादे । विश्वको प्रतिष्ठित बग बाउन्टी प्लेटफर्म बग क्राउडको ह्याकर सूचीमा रहेका लाम्गादेले विभिन्न संस्थामा साइबर सुरक्षा अनुसन्धानकर्ताको रूपमा काम गर्नुभएको छ । उहाँले साइबर सुरक्षा सेवा दिने उद्देश्यले सिनिकल टेक कम्पनी नै स्थापना गर्नुभएको छ ।
साइबर अडिट
सरकारी वेबसाइट र डाटाहरूलाई साइबर सुरक्षा जोखिमबाट बचाउनु राज्यको पहिलो दायित्व हो । राज्यका तथ्याङ्कहरू देशविदेशका ह्याकरको टार्गेटमा पर्ने गरेका छन् । सञ्चार तथा सूचना प्रविधि मन्त्रालयअन्तर्गतको सूचना प्रविधि विभागले त्यसतर्फ काम थालेको छ । विभागका अनुसार, अघिल्लो आर्थिक वर्षमा ५१ वटा सरकारी निकायका ८५ प्रणालीहरूमा साइबर सुरक्षा अडिट गरिएको थियो । विभागले सफ्टवेयरको सहायताले सरकारी वेबसाइट, सफ्टवेर र एपमा रहेका सुरक्षा कमजोरी पत्ता लगाएर सम्बन्धित पक्षलाई जानकारी दिने गरेको छ । यस्तो सेवा सरकारी कार्यालय र संस्थाको मागअनुसार दिइने गरिन्छ । यस्तो सुरक्षा सेवा लिनेको सङ्ख्या बढ्दै गएको विभागका कम्प्युटर टेक्निसियन सौरभ लम्सालले जानकारी दिनुभयो ।
साइबर सुरक्षाका हिसाबले नेपाल अझै परिपक्व भइसकेको छैन । नरेश लाम्गादेका अनुसार विकसित मुलुकका सरकारले वेबसाइटमा बग पत्तालगाउने बग हन्टरलाई सम्मान गर्ने प्रणाली नै विकास गरेका छन् । नेपाल सरकारले पनि सरकारी वेबसाइटमा बग पत्ता लगाउनेलाई सम्मानित गर्ने नीति ल्याएर सरकारी वेबसाइट ह्याक हुनबाट बचाउन सकिन्छ । सरकारी सूचना चुहावट रोक्न र ह्याक हुनबाट बचाउन पनि वग हन्टरलाई प्रोत्साहित गर्ने नीति लिनुपर्ने धारणा इथिकल ह्याकर लाम्गादेको छ ।
नेपाल सरकारको नागरिक एपको साइबर सुरक्षा हेर्ने जिम्मेवारीमा रहेका लाम्गादे सरकारले साइबर सुरक्षाका लागि जनचेतनामूलक कार्यक्रम सञ्चालन गर्नुपर्नेमा जोड दिनुहुन्छ । उहाँ भन्नुहुन्छ, “नेपालमा हामी प्रोग्रामिङको कुरा मात्र गर्छौं तर साइबर सुरक्षाको कुरा खासै गर्दैनौँ ।”
कानुनमा के छ ?
कानुनका दृष्टिमा व्यक्ति वा संस्थाको इमेल, फेसबुकलगायत सामाजिक सञ्जालका एकाउन्ट, कम्प्युटर प्रणाली, वेबसाइट, एप, सफ्टवेयरलगायत प्रणालीमा अनधिकृत रूपमा प्रवेश गर्नु अपराध मानिन्छ । विद्युतीय कारोबार ऐन २०६३ परिच्छेद ९ को दफा ४७ अनुसार, सामाजिक सञ्जालबाट कसैको चरित्र हत्या गर्ने, अनलाइनमार्फत गरिने जालसाजी, फोटो इडिट गरी दुरुपयोग गर्ने, कसैको मानप्रतिष्ठामा आँच पु¥याउनेलगायतका कार्य गरेमा एक लाख रुपियाँ जरिवाना वा पाँच वर्ष कैद वा दुवै सजायको व्यवस्था छ । यस्तै, ह्याकिङ र डाटा ब्रीच गरेको अवस्थामा दुई लाख रुपियाँ जरिवाना वा तीन वर्ष कैद वा दुवै सजाय हुनसक्छ ।
बग वाउन्टीको कमाइ
वेबसाइट, एप र सफ्टवेयरमा रहेका सुरक्षा कमजोरीलाई पत्ता लगाउने कार्य नै बग हो । यद्यपि, यो काम त्यति सजिलोचाहिँ छैन । जसले पहिला बग पत्ता लगाउँछ, उसैले त्यसवापत पुरस्कार प्राप्त गर्छ । यस्ता पुरस्कारले इथिकल ह्याकिङमा युवा पुस्तालाई आकर्षित गर्न सकिने धारणा लाम्गादेको छ ।
फुटबल खेल्दा खुट्टामा समस्या भएर आराम गर्ने क्रममा नरेश लाम्गादे साइबर संसारमा छिर्नुभएको हो । स्नातक तह पढ्दै गर्दा इसेवाको सुरक्षा कमजोरी पत्ता लगाएर त्यसबारे रिपोर्ट गरेपछि लाम्गादेले इसेवामै काम गर्ने अवसर पाउनुभयो । एउटा भारतीय कम्पनीको ‘सेक्युरिटी भल्नरेबिलिटी’को रिपोर्ट पठाएर लाम्गादेले पहिलो पटक ५० हजार रुपियाँ ‘बाउन्टी’ रकम पाउनुभयो । उहाँलाई एनसेलले करिब छ वर्ष अघि बाउन्टी पुरस्कारको रूपमा ल्यापटप दिएको थियो । सन् २०१७ मा सिनिकल टेक कम्पनी सुरु गरेका लाम्गादेले गुगलसँग काम गरिसक्नुभएको छ । यस सेवालाई सर्वसुलभ र पहुँचयोग्य बनाउन उहाँले बग बाउन्टी प्लेटफर्म ‘बगभी’ सार्वजनिक गर्नुभएको छ । विश्वमै ‘बग सिकारी’ का रूपमा १८ देखि ३० वर्षका युवा आकर्षित छन् । डिजिटल स्पेसमा रहेका उत्पादनमा त्रुटि र छिद्रलाई खराब ह्याकरले पत्ता लगाएमा ठूलो रकम माग्ने र समस्या सिर्जना गरिदिने गर्छन् । त्यही कमजोरी नैतिकवान् ह्याकरले पत्ता लगाएमा सम्बन्धित कम्पनीलाई जानकारी दिन्छन् । त्यस कार्यवापत पुरस्कार स्वरूप लाखौँ कमाउँछन् । यस्ता काममा नेपालका युवासमेत आकर्षित छन् ।
बग खोज्दै नेपाली युवा
विश्वप्रसिद्ध कम्पनीहरूका बग पत्ता लगाएर नेपाली युवाले समेत कमाइरहेका छन् । इथिकल ह्याकर सौगात पोखरेलले फेसबुक, इन्स्टाग्रामबाट ‘बग रिवार्ड’ लिनुभएको छ । बग बाउन्टिङ सुरु गरेको पहिलो वर्षमै उहाँले १९ लाख नेपाली रूपियाँ कमाउनुभएको थियो । उहाँ भन्नुहुन्छ, “पुरस्कार नै मेरो आम्दानीको राम्रो स्रोत हो । मैले कानुनी रूपमै फेसबुक र इन्स्टाग्राममा रहेका कमजोरी पत्ता लगाएर राम्रै पैसा पाएको छु ।”
अमृत साइन्स क्यापसमा बीएस्सी फिजिक्स पढेका पोखरेलले ह्याकिङमा लाग्ने कुनै सोच नै बनाउनुभएको थिएन । सूचना प्रविधिमा रुचि भए पनि बग खोज्छु नै भनेर आफू नलागेको पोखरेल बताउनुहुन्छ । उहाँ भन्नुहुन्छ, “म बग खोज्छु भनेरै लाग्दिनँ तर चलाउँदै जाँदा यस्तो अवसर जुट्टै गएको छ ।” यो काम एकदमै झन्झटिलो भएकाले यसलाई पेसाका रूपमा भन्दा पनि फुर्सदको कामका रूपमा लिँदा रमाइलो हुने अनुभव उहाँको छ ।
यस्तै, व्यवस्थापनका विद्यार्थी २४ वर्षीय आकाशजङ्ग बस्नेतले गुगल, फेसबुक, हावर्ड विश्वविद्यालय, क्याम्ब्रिज विश्वविद्यालय, हुवावे, लेनोभो, इन्टेल, म्याकफी एन्टीभाइरस, इसेट एन्टीभाइरसलगायतको सुरक्षा कमजोरी पत्ता लगाएर बग बाउन्टी पुरस्कार लिनुभएको छ । यद्यपि, त्यसको रकमबारे खुलाउन उहाँ चाहनुहुन्न । उहाँले गुगलको एक्युजिसन साइटमा रहेको वेज डटकम डोमेनभित्रको कमजोरी पत्ता लगाउनुभएको थियो ।
उहाँ अहिले कानुन, न्याय तथा संसदीय मामिला मन्त्रालयको आइटी विभागमा कम्प्युटर अपरेटर पदमा कार्यरत हुनुहुन्छ । डेढ वर्षदेखि इथिकल ह्याकिङमा लागेका बस्नेतले हालसम्म गुगल, फेसबुक, एप्पल, माइक्रोसफ्ट लगायतबाट बग वाउन्टी तथा कदर स्वरूप ‘हल अफ फ्रेम’ पाउनुभएको छ । यस्तै बस्नेतले हालसालै फेसबुकमा रहेको सुरक्षा कमजोरी पत्ता लगाएर ७५० डलर बाउन्टी र ‘डिले बोनस’ स्वरूप ३८ डलर लिनुभएको छ ।
बग वाउन्टी भनेको अनिश्चत कुरा हो, कसैले एक वर्ष लगाएर एउटा बग पनि भेट्टाउँदैनन् तर कसैले भने एक महिनामा ५० लाख रुपियाँ पनि कमाउँछन् । उहाँ भन्नुहुन्छ, “यो काम पार्टटाइम गर्दा राम्रो हो, नेपालमा फुल टाइम बग हन्ट (खोज्ने) गर्ने छैनन् नै भन्दा हुन्छ ।”
‘बग पत्ता लगाउँदैमा नगद नै पुरस्कार पाइन्छ भन्ने छैन । बगको पुरस्कार तीन किसिमका हुन्छन्, गैरनाफामुखी संस्था भए सर्टिफिकेट वा कदरपत्र स्वरूप ‘हल अफ फ्रेम’ दिन्छन् । व्यावसायिक संस्थाले नगद नै दिन्छन । कतिपय व्यावसायिक संस्थाले पनि ‘हल अफ फ्रेम’ मात्र पनि दिन्छन् । कतिपय व्यावसायिक कम्पनीले बग पत्ता लगाउन प्रतियोगिता नै पनि गर्ने गरेका छन् ।
के हो बग बाउन्टी प्रोग्राम ?
टेक कम्पनीले आफूले उत्पादन गरेका वेबसाइट, मोबाइल एप्स, कम्प्युटर सफ्टवेयरलगायतका डिजिटल उत्पादनमा रहेका ‘बग’ अर्थात् सुरक्षा कमजोरी पत्ता लगाउन ‘बग बाउन्टी’ प्रतियोगिता राख्ने गर्छन् । यसका लागि कुनै व्यक्ति वा समूहले ती कम्पनीले उत्पादन गरेका डिजिटल उत्पादनमा कमजोरी खोज्न निमन्त्रणा दिन्छन् । यस्तो काममा साइबर सुरक्षामा लागेका दिग्गज ‘इथिकल ह्याकर’देखि भर्खर यस क्षेत्रमा रुचि राख्ने जोसुकैले सहभागिता जनाउन सक्छन् । यसरी डिजिटल उत्पादनमा रहेका छिद्र वा कमजोरी भेटियो भने त्यस कम्पनीलाई खबर गर्नुपर्छ । यदि यस्तो कमजोरी भेट्टाउने तपाईं पहिलो व्यक्ति हुनुभयो भने त्यस कम्पनीले घोषणा गरेको रकम दिन्छ, जसलाई ‘बग वाउन्टी रिवार्ड’ भन्ने गरिन्छ । ‘बग वाउन्टी प्रोग्राम’ सामान्यतया ठूला कम्पनीहरूले नियमित रूपमा आफ्ना डिजिटल उत्पादनमा रहेका कमजोरी हटाउन र ठूलो क्षतिबाट बच्न निरन्तर सञ्चालन गर्ने गर्छन् । यस्ता प्रतियोगिता गुगल, फेसबुक, माइक्रो सफ्ट लगायतका टेक कम्पनीहरूले बर्सेनि नियमित रूपमा सञ्चालन गरिरहेका हुन्छन् ।
साभारः गोरखापत्र दैनिक, शनिबार