इन्जिनियरिङका ७,४०० नेपाली विद्यार्थीको डेटा कसरी पुग्यो ह्याकरको हातमा ?

काठमाडौं । यही २२ माघ २०८१ मा इन्जिनियरिङ अध्ययन संस्थान (आईओई) ह्याक भई ७४०० बढी विद्यार्थीको जानकारी डार्क वेबमा लिक भएको समाचार बाहिरियो । ह्याकरले महिनौँअघि ब्रिज फोरममार्फत आईओईका विद्यार्थीको नाम, ठेगाना, जन्ममिति र फोन नम्बर जस्तो संवेदनशील डेटा डार्क वेबमा बिक्रीका लागि राखी दिएको थियो । 

यस घटनाले पुल्चोक क्याम्पस, थापाथली क्याम्पस, पश्चिमाञ्चल क्याम्पस, पूर्वाञ्चल र आईओई अन्तर्गतका सम्बन्धन प्राप्त निजी क्याम्पसका विद्यार्थीहरूलाई ठुलो असर पारेको छ । यससँगै साइबर सुरक्षा अभ्यासमा संस्थानको वेबसाइटमा गम्भीर कमजोरी रहेको विषय समेत उजागर भएको छ । साथै संस्थानमा हजारौँ विद्यार्थीको डेटा जोखिममा पारेको छ ।

मुख्य सुरक्षा कमजोरीहरू

१) पूर्वाधारको कमजोर सुरक्षा 

आईओईको वेब इन्फ्रास्टक्चरमा इन्क्रिप्टेड सञ्चार च्यानलको अभाव नै सबैभन्दा ठुलो प्राविधिक कमजोरी हो । यस संस्थानका कयौँ वेबसाइट र एप्लिकेसनले एचटीटीपीएस (HTTPS) प्रयोग गरेका छैनन् । जसले गर्दा डेटा ट्रान्समिसन ‘म्यान-इन-द-मिडल’ (MITM) आक्रमणको जोखिममा रहन्छ । 

यो एउटा आधारभूत त्रुटि हो, किनकि डेटालाई सुरक्षित राख्नका लागि एसएसएल/टीएलएस (SSL/TLS) इन्क्रिप्सन आवश्यक हुन्छ । यो भएन भने ह्याकरहरूले असुरक्षित एचटीटीपी (HTTP) च्यानलहरूमा पठाइएको डेटालाई सजिलै हात पार्न र परिवर्तन गर्न सक्छन् ।

यस बाहेक आईओई भित्रका धेरै वेब एप्लिकेसन पुरानो सफ्टवेयर कम्पोनेन्टबाट निर्मित छन् । त्यसमा थुप्रै सीभीई अर्थात् सामान्य सुरक्षा कमजोरी (Common Vulnerabilities and Exposures) रहेका छन् । उदाहरणका लागि केही कन्टेन्ट व्यवस्थापन प्रणाली (CMS) र ब्याकइन्ड फ्रेमवर्कले असुरक्षित भर्सनमा काम गरिरहेका छन् । यसले गर्दा ह्याकरहरूले यी कमजोरी प्रयोग गरी सहजै अनधिकृत पहुँच लिन सक्छन् । यसबाट आईओईले समयमै सुरक्षा अपडेट र नयाँ प्रविधि प्रयोग गर्न नसकेको देखाउँछ । 

२) अपर्याप्त पहुँच नियन्त्रण

यो ह्याकिङ आईओईका आईटी पूर्वाधार भित्र रहेको इनएडिक्वेट एक्सेस कन्ट्रोल (कमजोर पहुँच नियन्त्रण संयन्त्र) को सूचक पनि हो । धेरै प्रणालीमा कमजोर पासवर्डहरू प्रयोग गरिएका छन्, जुन सजिलै अनुमान लगाउन सकिने किसिमका छन् । 

एड्मिन अकाउन्टका लागि त झन् डिफल्ट पासवर्डहरू प्रयोग भएका छन् । त्यसैगरी, मल्टी-फ्याक्टर अथेन्टिकेसन (MFA) को प्रयोग नहुँदा महत्त्वपूर्ण एड्मिन सिस्टमहरूमा ह्याकरहरूले सजिलै आक्रमण गर्न सक्छन् । कर्मचारीहरूलाई काम अनुसार एक्सेस कन्ट्रोल दिनुपर्ने (जस्तै RBAC वा ABAC) धेरै कर्मचारीहरूले आवश्यकताभन्दा बढी एक्सेस कन्ट्रोल पाइरहेका छन् । यसले गर्दा कसले के गरिरहेको छ भन्ने कुरा पत्ता लगाउन गाह्रो हुन्छ ।

३) सुरक्षा परीक्षण र जोखिम व्यवस्थापन सीमित हुनु

आईओईमा सुरक्षा जाँच गर्ने तरिका कमजोर वा भनौँ त्यति राम्रो छैन । सुरक्षा जाँचका लागि ओडब्लूएएसपी जेडएपी (OWASP ZAP) जस्ता सामान्य टुल मात्र प्रयोग गरिन्छ, जुन अहिलेको अवस्थामा पर्याप्त छैन । स्वचालित स्क्यानरहरू एसक्यूएल इन्जेक्सन (SQL injection) र क्रस-साइट स्क्रिप्टिङ (XSS) जस्ता सामान्य कमजोरीहरू पत्ता लगाउन उपयोगी भए पनि तिनीहरू प्रायः थप जटिल, लजिक-बेस्ड भल्नरेबिलिटी तथा बिजनेस लिजिक फ्ल पहिचान गर्न सक्दैनन् ।

आईओईको सिस्टमको सुरक्षा बलियो बनाउनका लागि सुरक्षा विशेषज्ञले नियमित रूपमा जाँच गर्नुपर्छ र जोखिमहरू पत्ता लगाउनु पर्छ । अहिलेको अवस्थामा सुरक्षा जाँच गर्ने प्रक्रिया कमजोर भएकाले आईओई सुरक्षित छैन भन्दा फरक पर्दैन ।

आईओईको वेब एप्लिकेसनमा सुरक्षा सम्बन्धी समस्याहरू पत्ता लगाएर त्यसलाई समाधान गर्ने कुनै नियमित प्रक्रिया पनि छैन । यसले गर्दा आईओई सधैँ ह्याकरहरूको जोखिममा रहन्छ । समस्या नआउन्जेल कसैले पनि कमजोरीहरू पत्ता लगाउने प्रयास नै गर्दैनन् ।

४) तत्काल घटना पत्ता लगाउने र प्रतिक्रिया दिने क्षमता कमजोर हुनु

ठुला प्राविधिक कमजोरीमध्ये स्वचालित रूपमा खतरा पत्ता लगाउने प्रणाली (इन्स्ट्रक्सन डिटेक्सन सिस्टम-IDS) र सुरक्षा जानकारी तथा घटना व्यवस्थापन (SIEM) को अभाव पनि अभाव छ । डार्क वेब प्लेटफर्ममा डेटा सार्वजनिक रूपमा बिक्री नहुँदासम्म आईओईले ह्याकिङ पत्ता लगाउनै सकेन । रियल टाइम इभेन्ट लगिङ अर्थात् समयमै घटनाको जानकारी राख्ने र निगरानी गर्ने व्यवस्था नहुँदा अनधिकृत पहुँच पत्ता लगाउन गाह्रो भयो । यसले गर्दा आक्रमण हुँदा पनि संस्थानलाई थाहै भएन ।

ह्याकिङ पत्ता लागेपछि पनि घटनामा प्रतिक्रिया दिने योजना (IRP) को अभावले प्रभावित व्यक्ति (विद्यार्थी)लाई सूचित गर्न ढिलाइ भएको छ । स्वचालित सूचना प्रणाली र व्यवस्थित सञ्चार प्रक्रिया नहुँदा आईओईले विद्यार्थीहरूलाई समयमै जानकारी दिन सकेको छैन । जसले गर्दा सुरक्षामा भएको कमजोरीको असर झन् बढेको छ र यसको साइबर सुरक्षा प्रयासमाथिको विश्वास घटाएको छ ।

सुधारका उपायहरू

१) पूर्वाधारको सुरक्षा सुधार

तत्काल जोखिम कम गर्नका लागि आईओईले सबै वेब एप्लिकेसनमा एचटीटीपीएस (HTTPS) लागु गर्ने कामलाई प्राथमिकता दिनुपर्छ । यसका लागि सबै सार्वजनिक सेवाका लागि एसएसएल/टीएलएस (SSL/TLS) सर्टिफिकेट जारी गर्नु पर्ने हुन्छ । साथै आईओले नियमित रूपमा प्याच व्यवस्थापन प्रक्रिया लागु गर्नुपर्छ । यसले सबै सफ्टवेयर कम्पोनेन्टहरू नयाँ सुरक्षा प्याचहरूको साथमा अपडेट भएको सुनिश्चित गर्छ । त्यस्तै यसले सफ्टवेयरमा भएका कमजोरी हटाई सुरक्षा प्रणाली थप बलियो बनाउँछ ।

२) इनह्यान्स्ड एक्सेस कन्ट्रोल र अथेन्टिकेसन​

अनधिकृत पहुँचको जोखिम कम गर्न आईओईले एड्मिन तथा महत्त्वपूर्ण प्रयोगकर्ताको पहुँचका लागि मल्टी फ्याक्टर अथेन्टिकेसन (Multiple Factor Authentication) लागु गर्नुपर्छ । गुगल अथेन्टिकेटर (Google Authenticator) वा ओक्टा (Okta) जस्ता टुलले आन्तरिक र बाह्य प्रयोगकर्ता दुवैको लागि मल्टी फ्याक्टर अथेन्टिकेसन लागु गर्न सक्छन् । 

त्यसैगरी प्रयोगकर्ताको अधिकारहरूको विस्तृत अडिट गरिनुपर्छ । यसले प्रणालीमा लिमिटेड एक्सेस (सीमित पहुँच दिने कार्य) लागु गरिएको छ भन्ने कुरा सुनिश्चित गर्छ । भूमिकामा आधारित पहुँच नियन्त्रण (RBAC) वा विशेषतामा आधारित पहुँच नियन्त्रण (ABAC) कार्यान्वयन गर्नाले एक्सेसमाथि राम्रो नियन्त्रण गर्न र आक्रमणको जोखिमलाई कम गर्न सकिन्छ ।

३) व्यापक सुरक्षा परीक्षण

आईओईले सुरक्षा जाँचलाई अझ बलियो बनाउनुपर्छ । स्वचालित टुलले कमजोरी पत्ता लगाउने काम गरे पनि आधिकारिक सुरक्षा विशेषज्ञले नियमित रूपमा म्यानुअल्ली जाँच गर्नुपर्छ । बग बाउन्टी कार्यक्रम (Bug Bounty Program) सुरु गर्दा बाहिरका सुरक्षा अनुसन्धानकर्तालाई कमजोरी भेट्टाएमा रिपोर्ट गर्न प्रोत्साहन मिल्छ । 

यसले गर्दा ह्याकरहरूले दुरुपयोग गर्नुअघि नै समस्या पत्ता लगाउन सकिन्छ । साथै सफ्टवेयर बनाउने प्रक्रियामा नै सुरक्षा जाँच (SAST र DAST जस्ता) गर्दा सुरुमै कमजोरीहरू पत्ता लगाउन सकिन्छ । यसले सफ्टवेयरलाई अझ सुरक्षित बनाउँछ ।

४) निरन्तर अनुगमन र घटनामा प्रतिक्रिया दिने

आईओईले स्प्लङ्क (Splunk) वा ईएलके स्ट्याक (ELK Stack) जस्ता एसआईईएम (SIEM) सिस्टम प्रयोग गर्नुपर्छ । यसले तत्कालै सुरक्षा घटनाको निगरानी गर्न र सबै जानकारी एकै ठाउँमा सङ्कलन गर्न मद्दत गर्छ । अनधिकृत पहुँचको प्रयास जस्ता असामान्य गतिविधिहरू पत्ता लगाउन र तुरुन्तै सतर्क गराउन पनि यसबाट मद्दत मिल्छ । यस बाहेक आईओईले घटनाको प्रतिक्रिया दिने योजना (Incident Response Plan) बनाउनुपर्छ र नियमित परीक्षण गर्नुपर्छ । 

यस योजनामा सुरक्षासँग सम्बन्धित घटना कसरी पत्ता लगाउने, नियन्त्रण गर्ने र समाधान गर्ने भन्ने स्पष्ट तरिकाहरू हुनुपर्छ । एसआईईएम (SIEM) सँग स्वचालित घटना प्रतिक्रिया प्लेबुकहरू (automated incident response playbooks) जोड्दा रेस्पोन्सको समयलाई छिटो बनाउन सकिन्छ ।

५) विद्यार्थीको ज्ञानको उपयोग

आईओईका विद्यार्थीहरू साइबर सुरक्षा पूर्वाधार सुधार गर्न सक्ने महत्वपूर्ण स्रोत हुन् । सुरक्षा अनुसन्धान प्रयोगशाला स्थापना भयो भने विद्यार्थीहरू वास्तविक कमजोरी मूल्याङ्कन गर्न, पेनिट्रेसन टेस्टिङ गर्न र आईआरपीको सवालमा भाग लिन सक्छन् । यसले संस्थान र यसको साइबर सुरक्षा समुदाय बीच सहकार्यको रूपमा काम गर्छ । जसले महत्त्वपूर्ण सुरक्षा कमीहरू पहिचान गर्न र समाधान गर्न मद्दत पुर्‍याउँछ । यता विद्यार्थीहरू पनि व्यवहारिक सीप सिक्न पाउँछन् ।

त्यस्तै इन्जिनियरिङका विद्यार्थीको क्यापस्टोन परियोजनामा साइबर सुरक्षालाई समावेश गर्नाले संस्थानको आवश्यकता अनुसार सुरक्षा समाधान डिजाइन र कार्यान्वयन गर्न व्यावहारिक बाटो खुल्छ । साइबर सुरक्षासँग सम्बन्धित काममा केन्द्रित इन्टर्नशिप कार्यक्रमले विद्यार्थीहरूलाई व्यावहारिक अनुभव दिनुका साथै आईओईको साइबर सुरक्षालाई बढाउँछ ।

निष्कर्ष

फेब्रुअरी २०२५ मा आईओईको डेटा डार्क वेबमा लिक भएको घटनाले संस्थानको साइबर सुरक्षा ढाँचामा गम्भीर त्रुटिहरू भएको छर्लङ्ग पारेको छ । भविष्यमा यस्ता घटना हुन नदिन आईओईले पूर्वाधार सुरक्षित बनाउने, व्यापक सुरक्षा परीक्षण गर्ने र घटना पत्ता लगाउने तथा प्रतिक्रिया दिने क्षमतालाई सुधार गर्नु पर्छ । ‍आफ्नै विद्यार्थीलाई प्राविधिक विशेषज्ञता दिने हो भने यसले सुरक्षित वातावरणको विकासलाई थप गति दिन सक्छ । यदि आईओईले यी कमीहरूलाई सम्बोधन गर्न निर्णायक कदम चालेन भने यसले भविष्यमा डेटा ह्याकिङ र शैक्षिक तथा साइबर सुरक्षा समुदायमा आफ्नो विश्वसनीयता गुमाउन सक्छ । 

यस घटनामा साइबर सुरक्षाको विद्यार्थीका हिसाबले मेरो राय

पुल्चोक क्याम्पसको साइबर सुरक्षाको विद्यार्थी भएकाले आईओईको डेटा चोरी भएको खबर सुन्दा एउटा डरलाग्दो फिल्म हेरे जस्तै लागेको छ । जहाँ फिल्मको अन्त्य कस्तो हुन्छ थाहा भएर पनि हेरिरहन मन लाग्छ । हजारौँ विद्यार्थीहरूको व्यक्तिगत जानकारी डार्क वेबमा बेच्न राखिएको छ, अनि एचटीटीपीएस जस्ता साधारण कुरालाई समेत बेवास्ता गरिएको छ । यो त नयाँ गाडी बनाएर ब्रेक हाल्न बिर्सिए जस्तै भयो । साँच्चै भन्नुपर्दा, यो धेरै लाजमर्दो कुरा हो ।

हामी कक्षामा डेटा सुरक्षित राख्ने तरिका (encryption), कमजोरी पत्ता लगाउने तरिका (vulnerability scanning) र कसलाई के को पहुँच दिने भन्ने कुरा (access controls) का बारेमा धेरै समय खर्च गर्छौँ, पढ्छौँ । तर आईओईले त्यति महत्त्वपूर्ण क्लास भएको दिन बङ्क गरिदिए जस्तो छ । साइबर सुरक्षामा जेडएपी (ZAP) प्रोक्सी जस्ता स्वचालित टुलहरू उपयोगी छन् । तर तिनीहरू जादुको छडी होइनन् भन्ने बुझ्नुपर्छ । 

म्यानुअल पेनिट्रेसन टेस्टिङ (Manual penetration testing) र वास्तविक सुरक्षा प्रयासले केही साना कमजोरी पत्ता लगाउन मद्दत गर्न सक्छ । र घटनाको बारेमा तत्कालै जानकारी वा प्रतिक्रिया दिने आईओईको योजनाबारे त नसोधे पनि भयो । मलाई किन किन उनीहरूले यो समस्या आफैँ समाधान हुन्छ भन्ने आशा गरेका छन् भन्ने लागिरहेको छ । 

हामी जुन संस्थानबाट जे सैद्धान्तिक रूपमा सिक्छौँ, त्यही संस्थानले आफ्ना विद्यार्थीलाई पढाउने कुरा व्यवहारमा लागु गरेको छैन । अब तपाईँ आफै भन्नुस्, यस्तो संस्था जहाँबाट हामीले साइबर सुरक्षाको बारेमा सिकिरहेका छौँ, त्यही संस्थाबाट डेटा लिक हुन्छ भने यसलाई विद्यार्थीको नाताले कसरी हेर्न सकिएका ?

(लेखक न्यौपाने इन्जिनियरिङ अध्ययन संस्थानमा नेटवर्क तथा साइबर सेक्युरिटी विषयमा स्नातकोत्तर तहमा कम्प्युटर इन्जिनियरिङ अध्ययन गरिरहेका छन् । अङ्ग्रेजीमा यो लेख पढ्न यहाँ क्लिक गर्न सक्नुहुन्छ । लिङ्क्डइन)

 

पछिल्लो अध्यावधिक: माघ २५, २०८१ १८:६

टिप्पणीहरू