काठमाडौं । गुगल क्रोमको सुरक्षामा रहेको कमजोरी पत्ता लगाउँदै तीन करोड रुपैयाँभन्दा बढी पुरस्कार जितेका ह्याकर सेउङ्ह्युन लीले उक्त रकम परोपकारी कार्यका लागि दान गरेका छन् । अमेरिकाको कार्नेगी मेलोन विश्वविद्यालयमा पीएचडी अध्ययन गरिरहेका लीले यो रकम साइबर सुरक्षा शिक्षालाई प्रवर्द्धन गर्न सहयोग पुर्याउने उद्देश्यले दान गरेका हुन् ।
गुगल क्रोमको वेबएसेम्बली टाइप प्रणालीमा सुरक्षा कमजोरी पत्ता लगाउँदै उनले उक्त पुरस्कार जितेका थिए । उनले यो बग नियमित अनुसन्धानको क्रममा 'फजिङ' प्रविधिको प्रयोग गरी पत्ता लगाएका थिए ।
फजिङ एक स्वचालित सफ्टवेयर परीक्षण प्रविधि हो । यसमा कम्प्युटर प्रोग्राममा अनियमित वा अमान्य डेटा इनपुट गरेर त्यसको व्यवहार र आउटपुटको अवलोकन गरिन्छ ।
आफ्नो अनुसन्धानको क्रममा लीले एउटा क्रोममा कमजोरी पत्ता लगाए । यस बापत जसले उनलाई गुगलले दुई लाख ३० हजार डलर (करिब तीन करोड १७ लाख रुपैयाँ) बग बाउन्टी रिवार्ड (सुरक्षा कमजोरी पत्ता लगाए बापत दिइने पुरस्कार) पाए । तर, उनले उक्त पुरस्कारको एक सुक्को नराखी साइबर सुरक्षा शिक्षालाई समर्थन गर्दै दान गरेका छन् ।
“म सक्रिय रूपमा बग बाउन्टीको खोजीमा थिइनँ,” लीले उक्त विश्वविद्यालयको वेबसाइटलाई भनेका छन्, “यो मेरो नियमित अनुसन्धानको एक हिस्सा मात्र थियो, जहाँ मैले क्रोमको सोर्स कोडमा गहिरिएर हेर्नुपर्ने थियो र त्यसको आधारमा कोड लेख्नुपर्ने थियो । त्यही क्रममा मैले यो कमजोरी फेला पारें ।”
सफ्टवेयर विकास गर्ने धेरै कम्पनीले सुरक्षा समस्या पहिचान गर्न र समाधान गर्न बग बाउन्टी कार्यक्रम चलाउँछन् । यस अन्तर्गत उनीहरूले सुरक्षा अनुसन्धानकर्तालाई कमजोरी पत्ता लगाउन र जिम्मेवारीपूर्वक रिपोर्ट गर्न प्रोत्साहन गर्छन् ।
Seunghyun Lee was conducting routine coding research when he discovered a significant software vulnerability.
His bug bounty finding resulted in a $462,000 gift to support cybersecurity education. Lee has generously donated the prize to @picoctf.
— Carnegie Mellon University (@CarnegieMellon) January 7, 2025
लीले आफ्नो अनुसन्धानको क्रममा गुगल क्रोमको वेबएसेम्बली टाइप प्रणालीमा त्रुटिपूर्ण इम्प्लिमेन्टेसन फेला पारे । वेबएसेम्बली कोडमा भएका सूक्ष्म डिजाइन समस्याले गर्दा धेरै बग देखा परेका थिए । यसले साइटलाई कमजोर बनाएको थियो ।
लीले अगाडि भनेका छन्, “यसलाई रेन्डरर एक्सप्लोइट भनिन्छ । यसको माध्यमबाट आक्रमणकारीले कम विशेषाधिकार प्राप्त रेन्डरर प्रक्रियामा नेटिभ कोड इम्प्लिमेन्ट गर्न सक्छन् । रेन्डरर एक्सप्लोइट प्रायः आक्रमणकारीले लक्षित डिभाइसमा पूर्ण नियन्त्रण पाउने पहिलो कदम हो ।”
बग पत्ता लगाएपछि लीले गुगल बग हन्टर्स कार्यक्रममार्फत गुगललाई रिपोर्ट गरे । गुगलका प्रतिनिधिहरूले यस कमजोरीलाई गम्भीरतापूर्वक लिए र समाधान गर्न आवश्यक रहेको बताए ।
तर, लीले बग बाउन्टिको रकम आफैँ नलिई कार्नेगी मेलोनको साइबर सुरक्षा प्रतिस्पर्धा र सिकाइ प्लेटफर्म ‘पिकोसीटीएफ’लाई दान गर्ने निर्णय गरे । पिकोसीटीएफले माध्यमिक, उच्च माध्यमिक र कलेजका विद्यार्थीलाई ‘क्याप्चर द फ्ल्याग’ (सीटीएफ) प्रतियोगितामार्फत प्राविधिक सुरक्षा सीप सिकाउँदै आएको छ ।
“मैले पिकोसीटीएफलाई दान गर्न चाहेको थिएँ । किनभने मैले विद्यार्थीको रूपमा सीटीएफ खेलेर नै आफ्नो साइबर सुरक्षा करियर सुरु गरेको हुँ,” लीले भने, “र, मलाई विश्वास छ यही कुरा मेरा लागि अझ धेरै सिक्न प्रेरणाको स्रोत बनेको छ ।”
लीले दान गर्ने घोषणा गरेपछि गुगलले त्यति नै रकम थपिदिएको छ । यसले गर्दा उक्त प्लेटफर्मलाई कुल चार लाख ६२ हजार डलर (करिब छ करोड ३३२ लाख रुपैयाँ) सहयोग प्राप्त भएको छ ।
यो पिकोसीटीएफको १२ वर्षको इतिहासमा कसैले गरेको सबैभन्दा ठूलो दान हो । पिकोसीटीएफ कार्यक्रम निर्देशक मेगन केर्न्सले भनिन्, “सेउङ्ह्युनको उदार दानले साइबर सुरक्षा शिक्षाको महत्वलाई उजागर गरेको छ । यसले पिकोसीटीएफको क्षमतालाई बढाउन मद्दत गर्नेछ । यसले हामीलाई नयाँ प्रविधिहरू विकास गर्न र भावी साइबर सुरक्षा पेशेवरहरूलाई उच्च गुणस्तरको पहुँचयोग्य प्रशिक्षण प्रदान गर्न सक्षम बनाउँछ ।”
लीको उद्देश्य आफ्नो अनुसन्धानमार्फत यी चुनौतीको सामना गर्दै इन्टरनेटलाई प्रयोगकर्ताका लागि सुरक्षित बनाउनु हो । उनको दानले अन्य बग बाउन्टी हन्टरलाई पिकोसीटीएफमा योगदान गर्न प्रेरित गर्नेछ भन्ने लिको विश्वास छ । केर्न्सले भनिन्, “जब कम्पनीले यी बाउन्टी बराबर रकम दिन्छन्, दान गर्नु नैतिक ह्याकरहरूका लागि विशेष रूपमा लाभदायक विकल्प हुन सक्छ ।”
लीले भने, “धेरैजसो सुरक्षा अनुसन्धानकर्ताको अन्तिम लक्ष्य भनेको यस्तो प्रणाली सिर्जना गर्नु हो जसले स्वचालित रूपमा यी बगहरू पत्ता लगाउँछ र प्याच गर्छ । हामीसँग अहिले त्यसो गर्ने क्षमता छैन । म एउटा यस्तो प्रणाली विकास गरेर यी समस्याको समाधान गर्न चाहन्छु जसले शोषण गर्न मिल्ने बग पत्ता लगाउन सकोस् र हामीले समयमै समाधान गर्न सकौं ।”
अहिले विश्वव्यापी रूपमा लीको चर्चा भइरहेको छ । नेपाली साइबर सुरक्षा क्षेत्रमा पनि उनको प्रशंसा भइरहेको छ । साइबर सुरक्षा क्षेत्रमा रुचि राख्नेहरूको समूह पेनटेस्टर नेपालमा यसबारे चर्चा भइरहेको छ ।
करियरको प्रारम्भिक चरणमा साथ दिएका संस्था वा प्लेटफर्मप्रति आभार प्रकट गर्दै सहयोग गर्ने लीको निर्णयलाई साइबर सुरक्षा क्षेत्रले सकारात्मक रूपमा लिएको छ । साइबर सुरक्षा जस्तो संवेदनशील क्षेत्रमा यो उदाहरणीय प्रयासको उच्च मूल्याङ्कन हुन थालेको छ ।