२०७९, ३१ श्रावण मंगलबार   |  
Tuesday 16th August 2022

सार्वजनिक हुँदै बगभी बगबाउण्टी, अब नेपालमै हुनेछ ह्याकरको प्रतिस्पर्धा

BugV Nepal's first Bug bounty platform

काठमाडौं । गत फागुन महिनामा अनलाइनमार्फत खाना पुर्याउने ई-कमर्श प्लेटफर्म फुडमाण्डुको वेबसाइट ह्याक हुँदा ५० हजारभन्दा बढी सेवाग्राहीहरुको व्यक्तिगत विवरण बाहिरियो । साइबर हमलाकाे याे एक प्रतिनिधि घटनामात्रै हाे । 

निकट भविष्यमा अन्य स्टार्टअप कम्पनीहरुले पनि यो समस्या नभोग्लान् भन्न सकिन्न । किनकि साइबर सुरक्षाजस्ताे अत्यन्तै संवेदनशील प्रणाली अपनाउन स्टार्टअपहरु न त गम्भिर छन्, न त यस्तो सेवा लिनसक्ने आर्थिक स्थितिमा नै । 

हरेक सेवा डिजिटल प्रणालीमा गइरहेकाे अवस्थामा साइबर सुरक्षामा विशेष ध्यान दिनुपर्ने मत सुरक्षा सराेकारहरूकाे छ ।  डिजिटल सेवा प्रदान गर्ने कम्पनीहरु नेपालमा थोरै भएपनि प्रतिस्पर्धा भने अस्वस्थकर भएकाे बुझाइ साइबर सुरक्षा प्रदान गर्दै आइरहेको कम्पनी सिनिकल टेकका संस्थापक तथा सीईओ नरेश लाम्गादेकाे छ ।

‘प्रतिस्पर्धाकै कारण कम्पनीहरुले आफ्ना सेवालाई बजार मूल्यभन्दा धेरै सस्तोमा सेवा बिक्री गर्न थाले । टिक्न खोज्दा बजार नै डामाडोल हुने अवस्था आयो । बजार बिग्रियो । व्यवसायमै खतरा आयो,’ उनले भने । 

सूचना प्रविधि क्षेत्रमा काम गर्दै आइरहेका सरोकारवालाहरुले यो समस्यालाई समाधान गर्न विचार विमर्श नगरेका होइनन् । तर व्यवसाय केन्द्रित सोचले यो समस्याको सम्भावित उपाय निस्कन सकेकाे छैन ।

यसैकारण सेवाभित्रको अत्यावश्यक पाटो साइबर सुरक्षाबाट साना कम्पनीहरु सधै बाहिरीएर बस्नुपर्ने बाध्यता आएकाे छ । साबर सुरक्षा पैसा तिर्न सक्ने निश्चित व्यवसायिक गृहहरुको सेवामा मात्रै समर्पित हुन थालेकाे छ ।

यही समस्यालाई सम्बोधन गर्न र इथिकल ह्याकिङको क्षेत्रमा आफ्नो सीप बढाउन चाहने इथिकल ह्याकरहरुको समूहलाई सही प्लेटफर्म दिन सिनिकल टेकले नेपालमै पहिलो बगबाउन्टी प्लेटफर्म बगभी विकास गरेको छ । 

२७ वर्षीय नरेश लाम्गादेले २०१७ मा कम्प्युटिङ विषयमा स्नातक तह सकिसकेपछि २०१७ मा सिनिकल टेक्नोलोजी कम्पनी सुरु गरेका हुन् । बगभी यसै कम्पनीको एउटा प्रोडक्ट प्लेटफर्म हो ।

बगभी सुरक्षा अनुसन्धाता  र व्यवसायिक कम्पनीहरुलाई जोड्ने एउटा प्लेटफर्म भएको कम्पनीका संस्थापक तथा सीईओ लाम्गादे बताउँछन् । 

व्यवसायिक गृह तथा कम्पनीहरुले बगभीको प्लेटफर्ममा आफ्नो सिस्टमलाई ल्याएर राख्न सक्छन् । आफ्नो साइटमा भेटिएका बगको प्रकृतिअनुसार कृटिकल, भल्नरेबल के कति पैसा दिने आफैले निर्णय गरेर डिस्क्रिप्सन राख्न सक्छन् ।

बगभीमा साइट राख्दा कम्पनीले साइबर सुरक्षाको लागि लाखाैं रुपैयाँ तिर्नु नपर्ने उनी बताउँछन् । सुरक्षा शाेधकर्ताहरुले बग भेटेको खण्डमा बगको प्रकृतिअनुसार निश्चित पैसा दिए पुग्छ ।

कम्पनीका लागि बगको पुरस्कार भनेर कुनै सीमा नतोकिएको नरेश बताउँछन् । कम्पनीले आफ्नो क्षमताअनुसार बगको पुरस्कार राख्न सक्छन् ।  कम्पनीहरुले आफ्नो साइटमा नेक्स्ट जेन पेन टेस्टिङ पाउने उनले बताए ।

नरेश भन्छन्, ‘यसलाई हामी नेक्स्ट जेनेरेसन पेन टेस्टिङ भन्छौं । किनभने सिनिकल टेकको डेडिकेटेड सर्भिस अन्तर्गत हामीले कुनै सिस्टमलाई जाँच्याैं  भने त्यसमा हाम्रो टिमभित्र रहेका दुई चारजनाको मात्र दिमाग लगानी परेको हुन्छ ।’

उनी थप्छन्, ‘तर हाम्रो बगभी प्लेटफर्ममा तपाईको सिस्टम आयो भने नेपालबाट मात्र होइन एसियाभरका  हरेक तहका सीप भएका हजारौं सेक्युरिटी रिसर्चरहरुले तपाईको साइटलाई हेर्न सक्छन् । यति धेरैले यति समय लगाएर हेरेपछि तपाईको साइटको बग फेला नपर्ने चान्स नै हुन्न ।,’  

सिनिकल टेकले बगभी प्लेटफर्ममा युजर (सुरक्षा शाेधकर्ता) र कम्पनी दुवैलाई ड्यासबोर्ड उपलब्ध गराउँछ । प्लेटफर्ममा उत्कृष्ट २० ह्याकर देखाउन मिल्ने लेटरबोर्ड पनि छ । यो विश्वचर्चित बग बाउन्टी प्लेटफर्म बकक्राउड, ह्याकर वानहरु जस्तै हो ।

तर ती साइटहरु डेडिकेटेड बग बाउन्टी प्लेटफर्म हुन् भने बगभी सिनिकल टेकको एउटा प्रोडक्ट प्लेटफर्म हो । बगभीभित्र कम्पनीले सेवा लिदाँ म्यानेज्ड र अनम्यानेज्ड गरी दुई किसिमका सेवा छनौट गर्न सक्छन् । 

‘म्यानेज्ड सर्भिसमा कम्पनीको साइटमा रिसर्चरहरुले जति पनि बग फेला पार्छन्, त्यसलाई हामी पनि हेरिदिन्छौं । यो बग हो कि होइन, वास्तविक हो कि होइन भनेर जाँच्छाैं । त्यसको निश्चित मूल्य छ । अर्को अनम्यानेज्ड सर्भिसमा रिसर्चरबाट बग रिपोर्ट कम्पनीमै जान्छ । उसले आफैले त्यसको प्रमाणीकरण गर्नुपर्छ ।’ उनले भने । 

साइबर सुरक्षाको महँगो शुल्क तिर्न नसक्ने कम्पनीहरुका लागि बगभी एकदमै उपयुक्त प्लेटफर्म हुन सक्छ । कम्पनीहरुले आफैले तोकेको पुरस्कार दायरामा एसिया क्षेत्रका हरेक तह र योग्यता भएका सुरक्षा अन्वेषकबाट आफ्नो साइटको परीक्षण गराउन सक्छन् ।

पैसा तिर्न सक्ने कम्पनीलाई सिनिकल टेकको डेडिकेटेड टिमले सेवा दिन्छ भने पैसा कम हुने वा साइबर सुरक्षा खरिद गर्न नसक्ने कम्पनी बगभीमा जान सक्छन् । 

तर बगभीमा एउटा सार्वजनिक प्लेटफर्म हुनेछ । एक किसिमले प्रोडक्टको मार्केटिङ पनि हुन्छ । तर यहाँ आइसकेपछि साइटहरु आफै सार्वजनिक हुन्छन् । यसकारण साइट टेस्ट गर्ने गलत आशय बोकेका कथित रक्षकहरु कहिलेकाँही भक्षक भइदिन पनि सक्छन् । 

‘रिसर्चरले टेस्ट गर्दैगर्दा साेही समयमा पनि सिष्टममा आक्रमण हुन सक्छ । यसलाई रोक्न शर्त राख्नेबाहेक अन्य विकल्प नै छैन । तर यसमा पब्लिक हुने हुँदा साइटलाई जोगाउन कम्पनीले उपाय गर्न सक्छन्,’ उनले भने ।

No description available.
सिनिकल टेकका संस्थापक तथा सीईओ नरेश लाम्गादे

नरेश थप्छन्, ‘साइटको दुईवटा फेसेट हुन्छ । एउटा प्रोडक्सन र अर्को टेस्टिङ इन्भाइरोनमेन्ट । प्रोडक्सन भनेको चलिरहेको रियल टाइम सिस्टम हो । र, साइटमा कुनै परिवर्तन गर्नुपर्‍यो भने कम्पनी आफैंले चलाउन मिल्ने अर्को टेस्टिङ इन्भाइरोनमेन्ट हुन्छ । यसकारण तपाईले राख्दा रियल टाइम वा प्रोडक्सन होइन, टेस्टिङ इन्भाइरोनमेन्ट राख्नुहोस् र सिस्टमको डुब्लिकेट राख्नुहोस् ।’

आगामी दिनमा निजी सेवा पनि दिने कम्पनीकाे याेजना रहेकाे उनले सुनाए । भन्छन्, ‘यसमा प्राइभेट पनि आउँछ । बगभी प्राइभेट आइसकेपछि कम्पनी आफैले रिसर्चरहरुको केवाईसी भेरीफाई गरेर सीमित रिसर्चरलाई छानेर नै असाइन गर्नसक्छ । यस्तोमा केही बदमासी भयो भने पनि थाहा पाउन सकिन्छ ।’ 

धेरै असुरक्षित क्लाइन्टले बगभीमा वेबसाइट नराख्न नरेश सुझाव दिन्छन् । त्यस्ता साइटहरु कम्पनीको डेडिकेटेड सेवामा जानुपर्छ । त्यसलाई संवेदनशील मानी कम्पनीकाे सीमित टिमले मात्र हेर्छ । 

नेपालमा इथिकल ह्याकिङ अभ्यास गर्दै आइरहेका युवाहरुको लामो समयदेखिको गुनासो नै नेपालमा बग बाउन्टी प्लेटफर्म छैनन् भन्ने थियो । तर अब यो गुनासो पनि सम्बोधन हुने अवस्था आएको अनुमान गर्न सकिन्छ ।

बगभीको लक्ष्य भनेको नेपालमात्र होइन, एसिया नै हो । बगक्राउड, ह्याकर वानजस्ता प्लेटफर्महरुले धेरै पैसा दिन सक्ने कम्पनीहरुलाई मात्र छानेर राखेका हुन्छन् ।

यसकारण यी प्लेटफर्महरुको उपस्थिति एसियामा छैन । तर सिनिकलकाे याे प्राेडक्ट ठूला, मध्यम, साना तथा स्टार्टअप सबैलाई समावेश गर्न केन्द्रित छ । 

बगभीमा सबै कम्पनीहरुले दर्ता गर्न पाउँछन् । तर त्यो अनुमोदन भइसकेको हुँदैन ।  त्यस्ता कम्पनीलाई सिनिकल आफैले सम्पर्क गरेर सम्झाैतामार्फत निश्चित मूल्य लिई बगभीमा राख्ने नरेश बताउँछन् । 

‘हामीले फ्रि मोड प्याकेज पनि ल्याएका छौं । त्यसमा हामी केही दिनसम्म साइटलाई निःशुल्क ट्रायलमा राखिदिन्छौं । त्यो दिनमा सेवाग्राहीहरुले सेवालाई विश्लेषण गर्न सक्छन् । त्यसपछि महिनावारी हिसाबले निश्चित मूल्य तिर्दै जानुपर्छ,’ उनले भने । 

युजर्स (सेक्युरिटी रिसर्चर) आएर यसमा फेसबुमा जसरी खुल्ला रुपमा सजिलै रजिस्टर गर्नसक्ने उनले बताए । तर बगबाउन्टी प्लेटफर्महरुमा प्रयोगकर्ता अनिवार्यरुपमा प्रथम हुनैपर्छ अन्यथा दोस्रोको काम हुन्न । 

बगभी  चाँडै नै सार्वजनिक हुने जानकारी उनले दिए । ‘हाम्रो सिस्टम तयारी अवस्थामा छ । तर हामी अरुलाई सुरक्षा सेवा दिने हुँदा पहिले हाम्रो सुरक्षा प्रणालीलाई बलियो बनाउन आवश्यक छ यसैकारण अहिले हाम्रो अधिकांश समय यही काममा खर्च भइरहेको छ,’ उनले भने ।

सेक्युरिटी इन्टीग्रेसन सकिएपछि नेपालका उत्कृष्ट १०-१५ ह्याकरलाई राखेर आफ्नै सिस्टम खुल्ला छोडिदिने र त्यो बेला कसैले बग फेला पार्‍यो भने त्यसलाई साेही समयमै पैसा दिएर मात्र याे प्लेटफर्म सार्वजनिक गरिने उनले बताए ।

साथै उनले ह्याकर वानको जस्तो लाइभ ह्याकिङको अवधारणा पनि चाँडै ल्याउने याेजना सुनाए । रातारात प्रोडक्ट सार्वजनिक गर्न हत्तारिएका कम्पनी, जसलाई सुरक्षा पनि चाहिएको छ भने त्यस्ता कम्पनीहरुका लागि पनि लाइभ ह्याकिङ आयोजना गर्ने उनले बताए ।

‘हामी पनि नेपालमा यो संस्कृति विकास गर्न र ह्याकर समुदायलाई बलियो बनाउन लागिरहेका छौं । व्यवसायमा मात्र केन्द्रित नभई हामी साइबर सुरक्षामा क्रियाशील व्यक्तिहरूकाे क्षमता बढाउने र याे क्षेत्रमा सचेतना ल्याउन काम गरिरहेका छौं,’ नरेशले भने ।

Logo
© 2019, All Rights Reserved with TechPana Media Pvt. Ltd.

टेकपाना मिडिया प्रा‍‍. लि.

अनामनगर, काठमाडौ
Email:  [email protected]
Web: techpana.com
फोनः  +977-01-5244861
सूचना विभाग दर्ता नं.  १५४१/७६-७७

सम्पादकः गोपाल साउद

विज्ञापनका लागि:
[email protected]
मोबाइलः ९८५१०४४४५८

Contact us | Our Team