के हो इथिकल ह्याकिङ ? अन्य ह्याकिङभन्दा कसरी फरक छ ?

भदौ १३, २०७८ १४:२५

काठमाडौं । जति जति प्रविधि र डिजिटल क्षेत्रको दायर बढ्दैछ त्यति नै यस क्षेत्रमा हुने आक्रमण पनि बढ्दैछ । पहिले लोकल एरिया नेटवर्क (एलएएन) मा सीमित यो क्षेत्र अहिले मोबाइल डिभाइस, वायरलेस नेटवर्क र इन्टरनेट अफ थिङ्समा विस्तार भएको छ ।

प्रविधिसँग सम्बन्धित विभिन्न समस्या समाधानको लागि संस्थाहरूले अनेक उपाय पनि अपनाइरहेका हुन्छन् । यद्यपि बढ्दो प्रविधिको दायराले आक्रमणको दायरालाई पनि बढाएको छ ।

‘एसएमएसीआईटी’ अर्थात सोसल, मोबाइल, एनलाइटिक्स, क्लाउड एण्ड इन्टरनेट अफ थिङ्सको आगमनसँगै कुनै पनि प्रणालीको डिजाइन, कार्यन्वयन तथा सञ्चालनमा सानो केही समस्या पनि भएको खण्डमा उक्त प्रणालीलाई सहजै आक्रमण गर्न सकिन्छ ।

यसर्थ साइबर आक्रमण भनेको सधैं बढिरहने एउटा खतरा हो, जसले आर्थिक घाटा, सामाजिक प्रतिष्ठामा आँच आउने काम लगायत गोपनीयता उल्लघंन र डेटा चोरी गर्न सक्छ ।

फलस्वरुप इथिकल ह्याकिङ हाल धेरैजसो संस्थाहरूको पहिलो प्राथमिकतामा परेको छ । इथिकल ह्याकिङले संस्थाको सुरक्षा प्रणालीलाई प्रभावकारी र सुरक्षित बनाउन मद्दत गर्दछ ।

इथिकल ह्याकिङ भनेको पनि एक प्रकारको साइबर आक्रमण नै हो, जसले प्रणालीमा भएको समस्याहरू पत्ता लगाएर त्यसलाई सुधार्ने काम गर्दछ ।

यसलाई नक्कली साइबर आक्रमण पनि भन्न सकिन्छ । यस्तो इथिकल ह्याकिङ संस्थाभन्दा बाहिरको मान्छे अथवा संस्थाले नै नियुक्ति गरेको मान्छेले गर्न सक्छ ।

इथिकल ह्याकिङ, जसलाई पेनेट्रेशन टेस्ट अथवा पेन टेस्टिङको नामले पनि चिनिन्छ, साइबर सुरक्षा विशेषज्ञहरुद्वारा ब्ल्याक ह्याट ह्याकिङ जस्तै गरी गरिन्छ । तर सम्पुर्ण कानून र नियमहरुको पालना गरेर गर्ने गरिन्छ ।

इथिकल ह्याकिङ अन्तर्गत सूचनाहरू संकलन गर्ने, समस्याहरूको पहिचान र त्यसबाट हुन सक्ने हानीको विषयमा सम्पूर्ण विवरणसहित रिपोर्ट तयार पार्ने जस्ता कामहरू पर्दछन् ।

त्यसपछि पत्ता लागेको कमजोरीको विषयमा संस्था अथवा सरोकारवालालाई ह्याकरले जानकारी गराउँछ र सो कमजोरी कसरी समाधान गर्न सकिन्छ भनेर सुझाव पनि दिने गर्छ ।

पेन टेस्टिङको प्रकार

सूचना प्रविधिको सुरक्षा प्रत्याभूत गर्नका लागि आजभोलि धेरै संस्थाहरूले नियमित रुपमा भल्नरेबिलिटी एसेस्मेन्ट पनि गर्न थालेका छन् ।

कार्यक्षेत्रको आधारमा पेन टेस्टिङले आईटी प्रविधिको सुरक्षा मापदण्डको गहन अध्ययन गर्दछ । प्रायजसो पेन टेस्टिङ र भल्नरेबिलिटी एसेस्मेन्ट सयुंक्त रुपमा गर्न गरिन्छ ।

पेन टेस्ट आन्तरिक र बाह्य गरी दुई प्रकारका हुन्छन् । बाह्य पेन टेस्टिङमा ह्याकरले आन्तरिक प्रणालीभन्दा पर रहेर सो प्रणालीलाई आक्रमण गर्दछन् । यसरी गरिएको आक्रमणमा ह्याकरले पत्ता लागेको कमजोरीको गलत प्रयोग पनि गर्न सक्छ ।

अर्को भनेको आन्तरिक पेन टेस्टिङ हुन्छ, जसअन्तर्गत संस्थामा नै बसेर ह्याकरले संस्थाको प्रणालीको कमजोरीहरू पत्ता लगाएर त्यसको गलत फाइदा उठाउन सक्छ । बाह्यभन्दा आन्तरिक पेन टेस्टिङ बढी खतरनाक हुने विज्ञहरू बताउँछन् ।

किनभने ह्याकर संस्था भित्रैबाट काम गर्ने हुदाँ उ सँग धेरै सूचनाहरू हुने गर्छन् । यसले ह्याकरलाई ह्याकिङको लागि धेरै मद्दत गर्छ । इथिकल ह्याकरसँग पनि यस्तै सीप र ज्ञान हुन्छ । तर इथिकल ह्याकरले भने कुनै हानी पुर्‍याउनको लागि नभई सुरक्षाको लागि ह्याकिङ गर्ने गर्छन् ।

ह्याकरका प्रकार

ह्याकरहरू विशेष गरी तीन प्रकारका हुन्छन्: ब्ल्याक ह्याट ह्याकर, ग्रे ह्याट ह्याकर र ह्वाइट ह्याट ह्याकर ।

ब्ल्याक ह्याट ह्याकर : ब्ल्याक ह्याट ह्याकरहरूलाई विशेष गरेर साइबर अपराधीको रुपमा चिनिन्छ । यस्ता ह्याकरहरू एक जना व्यक्ति वा समूह मिलेर कुनै संस्थाको प्रणालीको भल्नरेबिलिटी पत्ता लगाएर पैसाको लागि त्यसको दुरुपयोग गर्ने गर्छन् ।

ग्रे ह्याट ह्याकर: ग्रे ह्याट ह्याकरहरूले पनि कुनै संस्थाको प्रणाली ह्याक गर्छन् तर पैसाकै लागि भने नगरेको हुन सक्छ । ब्ल्याक ह्याट ह्याकर भन्दा ग्रे ह्याट ह्याकर कम जोखिमपुर्ण हुन्छन् ।

यद्यपि केहीले संस्थाहरूको प्रणाली ह्याक गरेर फेरी ठिक गरिदिन्छ्न् भने केहीले उत्तिकै छोडिन पनि सक्छ । केहीले भने संस्थाहरूलाई जानकारी दिनको लागि मात्र भए पनि उनीहरूको प्रणालीमा रहेको कमजोरी पत्ता लगाइदिनको लागि ह्याकिङ गर्छन् । यिनीहरूको प्राय नराम्रो सोच भने हुँदैन ।

ह्वाइट ह्याट ह्याकर: ह्वाइट ह्याट ह्याकरलाई इथिकल ह्याकर पनि भनिन्छ । यस्ता ह्याकरहरूले सम्बन्धित सरोकारवालाको अनुमति पाएपछि मात्र पेन टेस्ट गर्ने गर्छन् । ह्वाइट ह्याट ह्याकर संस्थाको आईटी सुरक्षाका लागि काम गर्ने ह्याकर हुन् ।

पेन टेस्टका प्रकारहरू

ह्याकर जस्तै पेन टेस्ट पनि तीन प्रकारका हुन्छन्; ब्ल्याक बक्स, ह्वाइट बक्स र ग्रे बक्स ।

ब्ल्याक बक्स: ब्ल्याक बक्सलाई जिरो नलेज टेस्टिङ पनि भनिन्छ । यस्तो टेस्टिङमा ह्याकरले आफ्नो टार्गेट नै थाहा नभई ह्याकिङको प्रक्रिया पुरा गरेर ह्याकिङ गर्छन् । प्रकृयागत रुपमा जाँदा जस्तो पनि प्रकारको समस्या भेटिन सक्छ । यस्तो पेन टेस्टिङलाई ब्लाइन्ड टेस्टिङ अथवा डबल ब्लाइन्ड टेस्टिङ पनि भनिन्छ ।

ह्वाइट बक्स: ह्वाइट बक्स अर्थात कम्प्लिट नलेज टेस्टिङ अन्तर्गत ह्याकरले हाम्रो लक्ष्य थाहा पाएर नै ह्याकिङको प्रक्रिया अगाडि बढाएका हुन्छन् । यसले निकै नै प्रभावकारी रुपमा भल्नरेबिलिटी पत्ता लगाउन सहयोग गर्दछ । यसले टेस्टिङको पूर्ण कभरेज गर्दछ ।

ग्रे बक्स: ग्रे बक्स अर्थात पार्सियल नलेज टेस्टिङ अन्तर्गत ह्याकरले ब्ल्याक र ह्वाइट बक्स दुवैको उपाय अपनाएर काम गर्दछ । यस्तोमा ह्याकरलाई आफ्नो लक्ष्यको विषयमा थोरै मात्र जानकारी हुने गर्दछ ।

(पीईसीबीको रिपोर्टका आधारमा)