स्मार्ट टिभीको क्यामेरा ह्याक गर्न सकिने बग पत्ता लगाउने नेपाली ह्याकर

माघ २४, २०७७ १८:४०

काठमाडौं । इन्टनेटसँग जोडिएको स्मार्ट टिभीको सन् २०१९ मा पहिलोपटक एउटा भल्नरेबिलिटी (कमजोरी) पत्ता लाग्यो । ह्याकरले राउटरभित्र छिरेर इन्टरनेटमा जोडिएको सामसङ टिभीको कन्ट्रोल आफ्नो हातमा लिएर टिभीमा भएको क्यामेराबाट मानिसहरुको गतिविधिमा नियाल्न सक्ने तथा डेटा चोरी गर्न सक्ने विषयसँग सम्बन्धित थियो उक्त भल्नरेबिलिटी ।

स्मार्ट टेलिभिजनको डोमेनमा पहिलोपटक पत्ता लागेको उक्त भल्नरेबिलिटीलाई पछि विश्वका अन्य ह्याकरहरुले पनि पछ्याएर । त्यससँगै अन्य बगहरु पनि पत्ता लाग्दै गए । साइबर सुरक्षाको क्षेत्रमा टेलिभिजनमा हुने त्यस किसिमको बग पत्ता लगाउने नेपालका पंकज ठाकुर पहिलो व्यक्ति थिए । ठाकुरको उक्त खुलासापछि विश्व साइबर सुरक्षा जगतले समेत त्यसलाई पछ्याउन थाल्यो ।

ह्याकरहरुले वेब एप्लिकेसन तथा साइटहरु पेनिट्रेसन टेस्टिङ गरिरहँदा जानकारी संकलनका लागि प्रयोग गर्ने अटोमेटेड रिकग्निसन्स फ्रेमवर्क आरइन्जिन केही महिनाअघि मात्र सार्वजनिक भयो । नेपाली साइबर सुरक्षा अनुसन्धानकर्ता योगेश ओझाले निर्माण गरेको त्यो टूल विश्व साइबर जगतको ट्रेण्डिङमै रह्यो ।

यति मात्र होइन, विश्वका महत्वपूर्ण बगबाउन्टी प्लेटफर्म मध्येको एक बगक्राउडमा नेपाली ह्याकरहरुको संख्या त शीर्ष दश मुलुकको सूचीभित्र रहेको प्रतिवेदन यस अघि नै आइसकेको छ । यी एकाध उदाहरणबाट पनि बुझ्न सकिन्छ कि सूचना प्रविधि र साइबर सुरक्षाको क्षेत्रमा नेपाली युवाहरुको योगदान तेस्रो विश्वका मुलुकको रुपमा अपहेलित र पिछडिएको छैन ।

त्यसो त साइबर सुरक्षालाई लिएर नागरिक सचेतना र प्रयोगको स्तर चित्तबुझ्दो छैन । तर साइबर सुरक्षाप्रति युवाहरुको झुकाव, आकर्षण र त्यसै अनुरुप वृद्धि भइरहेको विज्ञताको स्तर भने उल्लेखनीय छ । जसको श्रेय स्वयम् उनीहरुकै रुची, जिज्ञासा, लगाव र मेहनतलाई जान्छ ।

यही रुची, जिज्ञासा, लगाव र मेहनतका कारण परम्परागत शैक्षिक सिकाईको चुनौतीलाई चिर्दै साइबर सुरक्षाको जगतमा आफ्नो छुट्टै पहिचान बनाएका छन् २२ वर्षे साइबर अनुसन्धानकर्ता तथा एथिकल ह्याकर पंकज ठाकुरले ।

हैदराबादबाट साइबर सेक्युरिटी विषयमा स्नातक अन्तिम वर्षको परीक्षा सकेर नेपाल फर्किएका पंकज ठाकुर दिनहुँ कुनै न कुनै किसिमका भल्नरेबिलिटी तथा लुप होल (छिद्र) पत्ता लगाएर विश्वका विभिन्न कम्पनीहरुको साइबर सुरक्षा गरिरहेका हुन्छन् ।

विश्वका ठूला कम्पनीहरु एप्पल, गुगल, माइक्रोसफ्टदेखि बीबीसी जस्तो ठूलो मिडिया, विश्वकै महङ्गो कार निर्माता कम्पनी बीएमडब्लूको समेत भल्नरेबिलिटी पत्ता लगाएर उनले कम्पनी तथा सेवाग्राहीहरुको डेटा ब्रिच (तथ्याङ्क तथा जानकारी चोरी) हुनबाट जोगाएका छन् ।

‘बीएमडब्लूको हल अफ फ्रेम मैले पाएँ । उसको सर्भर मेरो एक्सेसमा थियो । कारमाथि टेस्टहरु गरेको थिएँ । त्यसैबेला बीएमडब्लूको रिमोट कोड एक्जिक्युसन पत्ता लागेको थियो । उक्त कोड प्रयोग गरी रिमोटबाट कार कन्ट्रोल गर्न मिल्थ्यो । विशेषगरी बीएमडब्लूको ब्लुटुथ भल्नरेबल थियो । त्यसलाई सेक्योर (सुरक्षित) गरेको थिएँ ।’

उनका बुवा प्रभु बैंकमा जागिरे थिए । जसले गर्दा उनी सानै छँदादेखि नै घरमा कम्प्युटर थियो । पंकजले ८ कक्षादेखि कम्प्युटरमा जीटीए गेम खेल्न थाले ।

गेमलाई अटोमेसन मोडमा लग्दै, गेम ह्याकिङ गर्दै गेमबाटै उनले ह्याकिङ सिके । विद्यालयमा त ह्याकिङ सिक्ने कुरै थिएन । परम्परागत शिक्षण र कोर्षभन्दा बाहिर जाने प्रवृत्ति सबै शैक्षिक विधाको क्षेत्रमा हाबी छ ।

‘आफूलाई माथि उकास्ने भनेको आफ्नै लगाव र अभ्यासले हो,’ पंकज भन्छन् ‘शिक्षकहरु त कोर्षभन्दा बाहिर जाँदैनन् । न त राम्रो गाइडेन्स नै दिन्छन् । उनीहरुलाई नै धेरै कुरा थाहा हुँदैन । आईटी पढ्ने विद्यार्थी धेरै छन् ।

तर शिक्षकको माइण्डसेटले गर्दा प्रगति गर्न सकिरहेका छैनन् । टिचरहरु डाइरेक्ट कोडिङ सिक, यो गर, त्यो नगर भनिदिन्छन् । विद्यार्थीको दिमाग नै अन्यत्र मोडिदिन्छन् ।’

यसरी आफैंले सिक्दै, गर्दै एथिकल ह्याकिङको क्षेत्रमा सेवाको मेवा फलाउन थालेको पनि पंकजलाई चार वर्ष भइसकेको छ । यसबीच उनले विश्व चर्चित कम्पनी एप्पलबाट १९ पटक बाउन्टी रिवार्ड पाइसके ।

चर्चित सफ्टवेयर निर्माता कम्पनी माइक्रोसफ्टबाट दुईपटक र गुगलबाट तीनपटक उनले त्यस्तो रिवार्ड हात पारिसके । ‘सुरुमा नोकियाको साइटतिर प्रयास गरेको थिएँ । त्यही बेला पहिलोपटक युरोपेली बैंक डिजेडको भल्नरेबिलिटी पत्ता लगाएर ९०० यूरो पाएको थिएँ ।

अहिलेसम्म सबैभन्दा धेरै भनेको नेदरल्याण्डको एउटा कम्पनीबाट रवार्ड स्वरुप २० हजार डलर पाएको छु,’ पंकज सुनाउँछन् ।

यसबाहेक आफू संलग्न रहेको बगबाउन्टी प्लेटफर्म सिन्याकबाट त उनले दैनिक जसो कुनै न कुनै बग फेला पारेर बाउन्टी रिवार्ड पाइरहेकै हुन्छन् । कम्पनीहरुले उनको कामलाई पहिचान गरी एक्नलेजमेन्टको रुपमा दिने हल अफ फेम त उनीसँग धेरै छन् ।

सिन्याक बाहेक उनी योगोसा, बगक्राउड, ह्याकरवान जस्ता थुप्रै बाउन्टी प्लेटफर्ममा फ्रिल्यान्सरको रुपमा आबद्ध छन् । यी बाहेक दुबई सीआईडी, वेलायत, अष्ट्रेलिया तथा अन्य युरोपेली सरकारको डोमेन सेक्युरिटीका लागि पनि पंकजले काम गरिसकेका छन् ।

‘यसरी विभिन्न मुलुकका सरकारसँग जोडिएर काम गर्न थालेको दुई वर्ष जति भयो,’ उनी भन्छन् । यिनै बाउन्टी रिवार्ड प्राप्त गरी पाएको प्रेरणा र इन्टरनेटको दुनियाँलाई गहिरो गरी संगाल्न सक्ने क्षमता र लगावका कारण आफू यस क्षेत्रमा अडिरहेको उनी बताउँछन् ।

पंकजको काम र उनले पाउने बाउन्टी रिवार्डले जोकसैलाई पनि यस क्षेत्रतिर आकर्षित गरिरहेको हुन्छ । तर के सबैले पेनटेस्टिङ गर्ने बित्तिकै बग पत्ता लगाउन सक्छन् त भन्ने प्रश्नमा पंकजको जवाफ छ, ‘मुख्य ह्याकिङका लागि बेसिक ज्ञान आवश्यक पर्दछ । स्क्रिप्टहरु लेख्न जान्नु पर्छ । धेरै कुरा चाहिन्न । तर तपाईंको अनुभवले विशेष अर्थ राख्छ ।’

पंकज अगाडि थप्छन्, ‘तपाईंको हातमा मोबाइल छ । त्यसमा इरर आइरहेको हुन्छ । तपाईं पहिचान गर्न पनि सक्नुहुन्छ । यो इररलाई खोज्दा बग निस्किन्छ भन्ने अनुभव तपाईंमा हुनुपर्छ ।’

यो अनुभव र विज्ञताका लागि लगानी आवश्यक हुन्छ । जुन लगानी अधिकांशले कोरा मेहनत र लगाव मात्रै हो भन्ने बुझ्छन् । तर ह्याकिङको क्षेत्रमा सही ठाउँमा सही लगानी आवश्यक पर्ने उनको विचार छ ।

‘मान्छेहरु रिवार्ड पेमेन्ट पाइसकेपछि खर्च गर्छन् । तर म सर्टिफिकेसनहरुमा खर्च गर्छु । मसँग करिब ४० वटा सीईएच अर्थात् सर्टिफाइड एथिकल ह्याकिङका सर्टिफिकेसन छन्,’ उनी गर्व गर्छन् ।

पंकजसँग ओएससीपी (अफेन्सिभ सेक्युरिटी सर्टिफाइड प्रोफेसनल), सीईएच (सर्टिफाइड एथिकल ह्याकर) तथा सीआईएसएसपी (सर्टिफाइड इफर्मेसनल सिस्टम सेक्युरिटी प्रोफेसनल) लगायत करिब ४० वटा सर्टिफाइड ह्याकिङका सर्टिफिकेटहरु छन् ।

साइबर सेक्युरिटी कम्पनी साइनिकल टेक तथा नेपालको एकमात्र बग बाउन्टी प्लेटफर्म बगभीका संस्थापक नरेश लाम्गादेका अनुसार नेपालमा हाल तीनजना मात्र ओएससीपी सर्टिफाइड ह्याकर छन् । जसमाध्ये पंकज एक हुन् ।

अन्तर्राष्ट्रिय स्तरका यी ह्याकर सर्टिफिकेसनको आफ्नै महत्व छ । यी सर्टिफिकेट प्राप्त ह्याकरहरुले आफ्नो नामको अगाडि यी टाइटल राख्न सक्छन् ।

पंकज भन्छन्, ‘यी परीक्षा उत्तीर्ण गरेपछि तपाईंले सोझै सेक्युरिटी एनालिस्ट, सीआईएसओ (चिफ इन्फर्मेसन सेक्युरिटी अफिसर) को पोस्ट र टाइटल पाउन सक्नुहुन्छ । तर नेपालमा त्यस्तो अभ्यास छैन । तर बाहिरतिर सबै कम्पनीमा यो पोस्ट हुन्छ ।’

तर यी परीक्षा तपाईंले दिने विद्यालय वा कलेजको परीक्षा जस्तो सरल र सहज भने हुँदैनन् । पंकजले गत गृष्म ऋतुमा दिएको ओएससीपीको परीक्षा निरन्तर ५६ घण्टा लामो थियो ।

जसका लागि सर्भरमा आफैं अट्याक गरेर प्रश्नपत्र निकाल्नुपर्छ । अन्य परीक्षामा जस्तो लिखित उत्तर होइन, विभिन्न टास्क पुरा गर्नु पर्दछ ।

‘बगहरु पनि पत्ता लगाउनु पर्छ। सब्मिसन टाइम पनि अतिरीक्त दुई तीन घण्टा हुन्छ । रिपोर्ट बनाएर पठाउनु पर्छ । प्वाइन्टहरु पाइन्छ । त्यस अनुसार पास फेल भनेर थाहा हुन्छ,’ पंकज आफ्नो अनभव सुनाउँछन् ।

यी परीक्षाको नियम पनि आफ्नै किसिमको हुन्छ । सीईएच सर्टिफिकेसनका लागि तीन तीन वर्षमा परीक्षा दिएर नवीकरण गराइरहनु पर्दछ । तर ओएससीपी भने एकपटक दिएपछि अर्कोपटक दिनु पर्दैन ।

साइबर सुरक्षाको क्षेत्रमा भविष्य बनाउन चाहनेले सर्टिफिकेसनमा अनिवार्य रुपमा लगानी गर्नुपर्ने उनको सुझाव छ । तर ५६ घण्टासम्म लागिपरिरहने उत्साह सबैमा हुँदैन ।

त्यो समर सिजनको समय थियो । साथीहरु भारतबाट नेपाल फर्किँदै थिएँ । तर पंकजको कलेजमा त्यसैबेला परीक्षा चलिरहेको थियो । परीक्षा सकिएपछि एक महिनाको छुट्टी भयो ।

तर उनले परीक्षाका लागि रजिस्टर गरिसकेका थिए । जसले गर्दा उतैबाट परीक्षा दिनुपर्ने भयो । उनी होस्टेलमा एक्लै थिए । दुई तीनवटा क्यामेरा सेटअप गरेर परीक्षा दिए । परीक्षा निकै गाह्रो थियो । एकदमै फोकस हुनुपर्ने ।

त्यसबीच बिरामी पनि परे । लगातार नसुतेरै परीक्षा दिनुपर्ने थियो । विश्वका पाँच प्रतिशत परीक्षा मात्र एकदमै जटिल छन् । जसमा ओएससीपी र सीआईएसएपी पनि पर्दछन् ।

यी परीक्षा उत्तीर्ण गरेपछि सर्टिफाइड सेक्युरिटी प्रोफेसनल भइन्छ । ५६ घण्टाको परीक्षाको तयारीका लागि उनले ६ महिनाको समय पाएका थिए । जसमा दैनिक ५, ६ घण्टा दिनुपरेको पंकज सुनाउँछन् । ‘उनीहरुको कोर्ष हुन्छ । त्यो गर्थें र ह्याक द बक्स भन्ने प्लेटफर्म छ, त्यसमा अभ्यास गर्थें,’ पंकज भन्छन् ।

‘सेक्युरिटीको क्षेत्रमा हुनुहुन्छ भने सर्टिफिकेसनमा लगानी गर्नै पर्छ,’ पंकज दोहोर्‍याउँदै अगाडि भन्छन्, ‘सीईएचको यो परीक्षाको फर्म भर्न ६० हजार नेपाली रुपैयाँ लाग्छ ।

त्यस्तै ओएससीपीको दुई हजार डलर तिर्नुपर्छ । सीआईएसएसपीको करिब सात हजार डलर लाग्छ । पैसा जति सर्टीफिकेसनमै लगानी गरिरहेको छु । सबै पैसा यस्तैमा गइरहेको छ ।’

वेब एप्लिकेसनतिर केन्द्रीत ह्याकरहरुलाई उनी नयाँ तथा भर्जिन डोमेनहरुमा पनि पेनटेस्टिङ गर्न सुझाव दिन्छन् । उनी आफू पनि वेब एप्लिकेसनमा मात्र सीमित नएभर आईओएस, एन्ड्रोइड, आईओटी डिभाइस, इन्फ्रारेड रे लगायतका अपरेटिङ सिस्टमतिर पनि पेन टेस्टिङ गरिरहेका छन् ।

‘नेपालमा प्रायजसोले वेब एप्लिकेसन मात्र ह्याक गर्छन् । यसमा धेरै मान्छेहरु हुन्छन् । वेब एप्लिकेसन ह्याकिङको भिडिओहरु जताततै युट्युवमा हुन्छन् । त्यहीँ सिक्छन् र त्यतै ट्राइ गर्छन् । तर आईओटी तिर खासै कोही जाँदैनन् । यसमा आफैं रिसर्च गरेर पेपर तयार गर्नुपर्ने हुन्छ,’ पंकज भन्छन् ।

आईओटी ह्याकिङतर्फ उनले सामसङ स्मार्ट टिभी र बिएमडब्लूको कमजोर ब्लुटुथ भल्नरेबिलिटी पत्ता लगाका थिए । हैदरावादबाट भर्खरै नेपाल फर्किएका पंकजको नेपालका ह्याकर समुदायसँग खासै हिमचिम छैन ।

तर आवश्यक परेको बेला सबै जुटेर एक भएर सपोर्ट दिने ह्याकिङ कम्युनिटी एकदमै राम्रो र सहयोगी भएको उनको अनुभव छ । उनी पनि यस क्षेत्रमा आइरहेका नयाँ ह्याकरहरुलाई सिकाउने तथा प्रोत्साहन दिने गरेको बताउँछन् ।

अहिले उनी आफ्नै सहपाठी मुस्कान र लक्ष्मी ठाकूरलाई पनि ह्याकिङका लागि गाइड गरिरहेका छन् । आफूलाई डाइरेक्ट म्यासेज गरेर सहयोग लिन सकिने उनी बताउँछन् ।

आजभोलि युट्युब र इन्टरनेटमा सबै कुरा हुने र इन्टरनेट सबैको पहुँचमा भएको हुँदा असल ह्याकर बन्न अप्ठ्यारो नहुने पंकज बताउँछन् ।

‘डेडिकेटेड भयो भने जहाँबाट जे पनि सिकिन्छ । कोडिङ भाषा धेरै हुन्छन् । तर कन्सेप्ट एउटै हो । एकदुई ओटा सिके पुग्छ । गो ल्याङग्वेजहरु आजभोलि ट्रेण्डिङमा छन्,’ उनी सुझाव दिँदै भन्छन् ।

साथै ह्याकिङमा आउन चाहेका लागि अटोमेसनको ज्ञान हुन आवश्यक रहेको उनको विश्वास छ । ‘आजभोलि सबै कुरा अटोमेसन नै हुन्छ । म्यानुअल्ली केही लुपहोल खोज्नु पर्‍यो भने महिनौं लाग्छ,’ पंकज भन्छन्, ‘उदाहरणका लागि मैले रिभर्स इन्जिनियरिङ गरेँ ।

एपलाई डिकोड गरेँ, यत्तिकै त गर्न मिल्दैन । त्यसलाई डिकोड गर्नु पर्‍यो । मैले म्यानुअल्ली गर्नु पर्‍यो भने महिनौं लाग्छ । यस्तोमा अटोमेसन आवश्यक हुन्छ ।

यस्तोमा आफैं कोड लेख्यो अनि अटोमेसन तिर लगाइदियो । यो फिल्डमा अटोमेसन गर्न सकेन भने काम छैन । २४ घण्टा रोबोटजस्तो खटिन सकिन्न । ल्यापटप अटोमेसनमा छोडिदियो, काम हुँदै गर्छ ।’

उनी आफ्नो प्रारम्भिक दिनको अनुभव सुनाउँछन्, ‘सुरु सुरुमा त म दैनिक आठ दश घण्टासम्म यसमै हुन्थेँ । सुत्ने समय पनि त्यस्तै हुन्थ्यो । डिपमा गइसकेपछी म त्यतै हराउँछु । लागिसकेपछि नसकेसम्म छोडिदैन थ्यो ।’