close

यी ह्याकर, जसले गुगलको बग पत्ता लगाएर पाएको ३ करोड रुपैयाँ परोपकारीमा दान गरे

टेकपाना टेकपाना

माघ ८, २०८१ १७:९

यी ह्याकर, जसले गुगलको बग पत्ता लगाएर पाएको ३ करोड रुपैयाँ परोपकारीमा दान गरे

काठमाडौं । गुगल क्रोमको सुरक्षामा रहेको कमजोरी पत्ता लगाउँदै तीन करोड रुपैयाँभन्दा बढी पुरस्कार जितेका ह्याकर सेउङ्ह्युन लीले उक्त रकम परोपकारी कार्यका लागि दान गरेका छन् । अमेरिकाको कार्नेगी मेलोन विश्वविद्यालयमा पीएचडी अध्ययन गरिरहेका लीले यो रकम साइबर सुरक्षा शिक्षालाई प्रवर्द्धन गर्न सहयोग पुर्‍याउने उद्देश्यले दान गरेका हुन् ।

गुगल क्रोमको वेबएसेम्बली टाइप प्रणालीमा सुरक्षा कमजोरी पत्ता लगाउँदै उनले उक्त पुरस्कार जितेका थिए । उनले यो बग नियमित अनुसन्धानको क्रममा 'फजिङ' प्रविधिको प्रयोग गरी पत्ता लगाएका थिए । 

फजिङ एक स्वचालित सफ्टवेयर परीक्षण प्रविधि हो । यसमा कम्प्युटर प्रोग्राममा अनियमित वा अमान्य डेटा इनपुट गरेर त्यसको व्यवहार र आउटपुटको अवलोकन गरिन्छ ।

आफ्नो अनुसन्धानको क्रममा लीले एउटा क्रोममा कमजोरी पत्ता लगाए । यस बापत जसले उनलाई गुगलले दुई लाख ३० हजार डलर (करिब तीन करोड १७ लाख रुपैयाँ) बग बाउन्टी रिवार्ड (सुरक्षा कमजोरी पत्ता लगाए बापत दिइने पुरस्कार) पाए । तर, उनले उक्त पुरस्कारको एक सुक्को नराखी साइबर सुरक्षा शिक्षालाई समर्थन गर्दै दान गरेका छन् । 

“म सक्रिय रूपमा बग बाउन्टीको खोजीमा थिइनँ,” लीले उक्त विश्वविद्यालयको वेबसाइटलाई भनेका छन्, “यो मेरो नियमित अनुसन्धानको एक हिस्सा मात्र थियो, जहाँ मैले क्रोमको सोर्स कोडमा गहिरिएर हेर्नुपर्ने थियो र त्यसको आधारमा कोड लेख्नुपर्ने थियो । त्यही क्रममा मैले यो कमजोरी फेला पारें ।”

सफ्टवेयर विकास गर्ने धेरै कम्पनीले सुरक्षा समस्या पहिचान गर्न र समाधान गर्न बग बाउन्टी कार्यक्रम चलाउँछन् । यस अन्तर्गत उनीहरूले सुरक्षा अनुसन्धानकर्तालाई कमजोरी पत्ता लगाउन र जिम्मेवारीपूर्वक रिपोर्ट गर्न प्रोत्साहन गर्छन् ।​

लीले आफ्नो अनुसन्धानको क्रममा गुगल क्रोमको वेबएसेम्बली टाइप प्रणालीमा त्रुटिपूर्ण इम्प्लिमेन्टेसन फेला पारे । वेबएसेम्बली कोडमा भएका सूक्ष्म डिजाइन समस्याले गर्दा धेरै बग देखा परेका थिए । यसले साइटलाई कमजोर बनाएको थियो । 

लीले अगाडि भनेका छन्, “यसलाई रेन्डरर एक्सप्लोइट भनिन्छ । यसको माध्यमबाट आक्रमणकारीले कम विशेषाधिकार प्राप्त रेन्डरर प्रक्रियामा नेटिभ कोड इम्प्लिमेन्ट गर्न सक्छन् । रेन्डरर एक्सप्लोइट प्रायः आक्रमणकारीले लक्षित डिभाइसमा पूर्ण नियन्त्रण पाउने पहिलो कदम हो ।”

बग पत्ता लगाएपछि लीले गुगल बग हन्टर्स कार्यक्रममार्फत गुगललाई रिपोर्ट गरे । गुगलका प्रतिनिधिहरूले यस कमजोरीलाई गम्भीरतापूर्वक लिए र समाधान गर्न आवश्यक रहेको बताए ।

तर, लीले बग बाउन्टिको रकम आफैँ नलिई कार्नेगी मेलोनको साइबर सुरक्षा प्रतिस्पर्धा र सिकाइ प्लेटफर्म ‘पिकोसीटीएफ’लाई दान गर्ने निर्णय गरे । पिकोसीटीएफले माध्यमिक, उच्च माध्यमिक र कलेजका विद्यार्थीलाई ‘क्याप्चर द फ्ल्याग’ (सीटीएफ) प्रतियोगितामार्फत प्राविधिक सुरक्षा सीप सिकाउँदै आएको छ । 

“मैले पिकोसीटीएफलाई दान गर्न चाहेको थिएँ । किनभने मैले विद्यार्थीको रूपमा सीटीएफ खेलेर नै आफ्नो साइबर सुरक्षा करियर सुरु गरेको हुँ,” लीले भने, “र, मलाई विश्वास छ यही कुरा मेरा लागि अझ धेरै सिक्न प्रेरणाको स्रोत बनेको छ ।”

लीले दान गर्ने घोषणा गरेपछि गुगलले त्यति नै रकम थपिदिएको छ । यसले गर्दा उक्त प्लेटफर्मलाई कुल चार लाख ६२ हजार डलर (करिब छ करोड ३३२ लाख रुपैयाँ) सहयोग प्राप्त भएको छ ।

यो पिकोसीटीएफको १२ वर्षको इतिहासमा कसैले गरेको सबैभन्दा ठूलो दान हो । पिकोसीटीएफ कार्यक्रम निर्देशक मेगन केर्न्सले भनिन्, “सेउङ्ह्युनको उदार दानले साइबर सुरक्षा शिक्षाको महत्वलाई उजागर गरेको छ । यसले पिकोसीटीएफको क्षमतालाई बढाउन मद्दत गर्नेछ । यसले हामीलाई नयाँ प्रविधिहरू विकास गर्न र भावी साइबर सुरक्षा पेशेवरहरूलाई उच्च गुणस्तरको पहुँचयोग्य प्रशिक्षण प्रदान गर्न सक्षम बनाउँछ ।”

लीको उद्देश्य आफ्नो अनुसन्धानमार्फत यी चुनौतीको सामना गर्दै इन्टरनेटलाई प्रयोगकर्ताका लागि सुरक्षित बनाउनु हो । उनको दानले अन्य बग बाउन्टी हन्टरलाई पिकोसीटीएफमा योगदान गर्न प्रेरित गर्नेछ भन्ने लिको विश्वास छ । केर्न्सले भनिन्, “जब कम्पनीले यी बाउन्टी बराबर रकम दिन्छन्, दान गर्नु नैतिक ह्याकरहरूका लागि विशेष रूपमा लाभदायक विकल्प हुन सक्छ ।”

लीले भने, “धेरैजसो सुरक्षा अनुसन्धानकर्ताको अन्तिम लक्ष्य भनेको यस्तो प्रणाली सिर्जना गर्नु हो जसले स्वचालित रूपमा यी बगहरू पत्ता लगाउँछ र प्याच गर्छ । हामीसँग अहिले त्यसो गर्ने क्षमता छैन । म एउटा यस्तो प्रणाली विकास गरेर यी समस्याको समाधान गर्न चाहन्छु जसले शोषण गर्न मिल्ने बग पत्ता लगाउन सकोस् र हामीले समयमै समाधान गर्न सकौं ।”

अहिले विश्वव्यापी रूपमा लीको चर्चा भइरहेको छ । नेपाली साइबर सुरक्षा क्षेत्रमा पनि उनको प्रशंसा भइरहेको छ । साइबर सुरक्षा क्षेत्रमा रुचि राख्नेहरूको समूह पेनटेस्टर नेपालमा यसबारे चर्चा भइरहेको छ ।

करियरको प्रारम्भिक चरणमा साथ दिएका संस्था वा प्लेटफर्मप्रति आभार प्रकट गर्दै सहयोग गर्ने लीको निर्णयलाई साइबर सुरक्षा क्षेत्रले सकारात्मक रूपमा लिएको छ । साइबर सुरक्षा जस्तो संवेदनशील क्षेत्रमा यो उदाहरणीय प्रयासको उच्च मूल्याङ्कन हुन थालेको छ ।

पछिल्लो अध्यावधिक: माघ ८, २०८१ १७:३५