फोन आपका, जासूस सरकार का:आपकी मर्जी के बगैर फोन का कैमरा चलाने से लेकर मैसेज पढ़ने तक, जानिए पेगासस की हर बात और इससे बचने की ट्रिक

3 महीने पहले

पेगासस जासूसी कांड के खुलासे के बाद देश के गृह मंत्री अमित शाह भले ही कहें कि इसकी क्रोनोलॉजी को समझें। यह लोकतंत्र को बदनाम करने की साजिश है, लेकिन उनके इस तर्क में दम नहीं दिखता। दरअसल, इस कांड का खुलासा अकेले भारत में नहीं हुआ। मामले की जांच 10 देशों के 17 मीडिया हाउस से जुड़े 80 पत्रकारों ने की। इस दौरान पेरिस के NGO फोरबिडन स्टोरीज और एमनेस्टी इंटरनेशनल ने 50 हजार से ज्यादा फोन नंबरों का पता लगाया जिन पर पेगासस से हमला किया गया।

इन्वेस्टिगेशन में मिले नतीजों को उन्होंने पत्रकारों से साझा किया। कई महीनों तक यह पता किया कि ये फोन नंबर हैं किसके? इस कवायद में वे एक हजार से ज्यादा सरकारी अफसर, पत्रकार, कारोबारियों और मानवाधिकार कार्यकर्ताओं की पहचान कर सके। फोन हैकिंग के इस खुलासे के बाद पूरी दुनिया में हंगामा मच गया।

एक तरफ सियासत गरम है, तो दूसरी तरफ लोग जानना चाहते हैं कि आखिर यह स्पायवेयर है क्या? आप खुद कैसे ऐसी जासूसी से अपने स्मार्टफोन और दूसरे डिवाइस को सुरक्षित रख सकते हैं?
तो आइए इस पेगासस और स्पायवेयर से जुड़े सभी जरूरी सवालों के जवाब जानते हैं ...

Q. स्पायवेयर क्या होते हैं और कौन इनका इस्तेमाल करता है?

स्पायवेयर किसी की जासूसी कराने के लिए तैयार सॉफ्टवेयर या मालवेयर होता है। इनका इस्तेमाल कंप्यूटर, फोन या किसी दूसरे डिवाइस से जानकारी जमा करने के लिए किया जाता है। आमतौर पर स्पायवेयर सरल सॉफ्टवेयर होते हैं जो गैजेट्स के सॉफ्टवेयर की आम सुरक्षा कमजोरियों का फायदा उठाते हैं, लेकिन कुछ स्पायवेयर बेहद परिष्कृत होते हैं, जो कंप्यूटर कोडिंग की कमजोरियों का इस्तेमाल करते हैं। कंप्यूटर कोडिंग की इन कमजोरियों को अनपैच्ड सॉफ्टवेयर (unpatched software) कहते हैं। ऐसे स्पायवेयर एडवांस्ड सिक्योरिटी फीचर्स वाले लेटेस्ट मोबाइल फोन को भी शिकार बना लेते हैं।

Q. क्या स्पायवेयर का इस्तेमाल केवल सरकारी एजेंसियां ही करती हैं?

दुनिया में सबसे परिष्कृत स्वाइवेयर आमतौर पर सुरक्षा या खुफिया एजेंसियां ही इस्तेमाल करती हैं। ये इतने मंहगे होते हैं कि आमतौर पर सरकारें ही इन्हें खरीद पाती हैं। जो सरकारें इसे अफोर्ड कर सकती हैं, उनके लिए दुनिया में ऐसे स्पायवेयर उपलब्ध कराने वाला मजबूत बाजार मौजूद है। लंबे समय से शक जताया जा रहा है कि आतंकी समूहों और आपराधिक गिरोहों की भी स्पायवेयर तक पहुंच है।

इजराइली कंपनी कैंडिरू के स्पायवेयर का इस्तेमाल ब्लैक लाइव्स मैटर का समर्थन करने वाले लोगों के कंप्यूटर और फोन हैक करने में किया गया था। माइक्रोसॉफ्ट और यूनिवर्सिटी ऑफ टोरंटो की सिटीजन लैब ने इसी महीने इसका खुलासा किया था। ताजा विवाद में इजराइल के जिस पेगासस सॉफ्टवेयर का नाम आ रहा है, उसे बनाने वाली कंपनी NSO का साफ तौर पर कहना है कि वह इसे केवल सरकारों को बेचती है।

Q. पेगासस जैसे स्पायवेयर हमारे फोन और डिवाइस से क्या-क्या चुरा सकते हैं?

एक परिष्कृत सॉफ्टवेयर आपके डिवाइस में मौजूद तकरीबन हर जानकारी को चुरा सकता है। यह रियल टाइम फोन कॉल को सुन सकता है। यह ईमेल, सोशल मीडिया पोस्ट, कॉल लॉग, वॉट्सएप या टेलीग्राम जैसे एंड टु एंड एन्क्रिप्टेड मैसेज को पढ़ सकता है। यह यूजर की लोकेशन के साथ यह भी बता सकता है कि वह चल रहा या रुका हुआ है। चल रहा है तो किस दिशा में और कितनी गति से चल रहा है।

यह फोन या सिम से कॉन्टैक्ट, यूजर नेम, पासवर्ड, नोट्स और डॉक्यूमेंटस के अलावा फोटो, वीडियो और साउंड रिकॉर्डिंग भी निकाल सकता है। कुछ स्पायवेयर तो आपने स्मार्ट फोन या स्मार्ट डिवाइस के कैमरे और माइक्रोफोन भी चालू कर सकते हैं। इस दौरान बिना लाइट चले या किसी दूसरी तरह से पता चले रिकॉर्डिंग होने लगती है। मोटे तौर पर कहें तो स्पायवेयर वह सब कुछ कर सकता है जो एक यूजर अपने डिवाइस से कर सकता है। कुछ स्पायवेयर बिना पता लगे दूसरे डिवाइस को फाइल भी भेज सकते हैं।

Q. जीरो क्लिक अटैक क्या हैं?

पैगासस स्पायवेयर अब आपके स्मार्टफोन या स्मार्ट डिवाइस में सेंधमारी के लिए फिशिंग मैसेज के हथकंडे से आगे निकल आया है। पैगासस का आधुनिक अटैक कोई लिंक या मैसेज नहीं भेजता, जिस पर क्लिक करते ही मेलवेयर आपके डिवाइस में फैल जाता था। नए तरीके में उसे डिवाइस यूजर के किसी एक्शन की जरूरत ही नहीं। यानी यूजर्र को न मिस क़ॉल आती है, न मैसेज और न किसी तरह कोई लिंक।

स्पायवेयर से हमले की इसी तकनीक को जीरो क्लिक अटैक कहते हैं। ऐसे में पैगासस के किसी हमले का समय पर पता लगाना या रोकना तकरीबन असंभव हो चुका है। नवंबर 2019 में गूगल के प्रोजेक्ट जीरो सिक्योरिटी रिसर्चर इयान बीयर ने दिखाया कि अटैकर ने कैसे उनसे किसी लिंक आदि क्लिक कराए बिना ही रेडियो प्रॉक्सिमिटी के जरिए उनके आईफोन को पूरी तरह अपने कंट्रोल में ले लिया।

Q. एंड टु एंड एन्क्रिप्शन स्पायवेयर को क्यों नहीं रोक पाते?

एंड टु एंड एन्क्रिप्शन दो गैजेट्स जैसे फोन, टैब या कंप्यूटर सिस्टम के बीच डेटा के ट्रांसमिशन की रक्षा करता है। यह “man-in-the-middle” यानी डेटा ट्रांसमिशन के दौरान बीच में किसी तरह के हमलों को रोकने के काम आता है। इसमें हैकर भेजने वाले या प्राप्त करने के बीच में मैसेज को इंटरसेप्ट करता है, मगर विशेष एन्क्रिप्शन को डिकोड करने का तरीका न पता होने पर ऐसा हो नहीं पाता। 2013 में अमेरिका की नेशनल सिक्योरिटी एजेंसी के व्हिसिलब्लोअर एडवर्ड स्नोडन के खुलासे के बाद से ज्यादातर कमर्शियल सर्विस ने एंड टु एंड एन्क्रिप्शन को अपना लिया।

एंड टु एंड एन्क्रिप्शन तकनीक “endpoint attacks” के लिए कामयाब नहीं थी। ऐसे हमले मैसेज भेजने वाले या प्राप्त करने वालों के मोबाइल सेट या गैजेट्स पर होते हैं। एक बार सिस्टम पर मोबाइल पहुंचने के बाद सॉफ्टेवेयर उसे डिकोड करके दोबारा पढ़ने लायक बना देता है। मौजूदा स्पायवेयर इसी मौके पर संदेश को पढ़ लेता है।

Q. कैसे पता लग सकता है कि हमारे फोन या किसी डिवाइस में स्पायवेयर सेंधमारी कर चुका है?

नए दौर के स्पायवेयर आपके सिस्टम यानी फोन, टैब या लैपटॉप पर कब्जा करने के लिए बनाए गए हैं, वह भी आपको किसी तरह के बदलाव का अहसास हुए बिना। मतलब यह कि हैक किए हुए फोन या डिवाइस को बारीकी से देखे बिना उसे निशाना बनाए जाने के सबूत नहीं मिलते।

मानवाधिकार के लिए काम करने वाले अंतरराष्ट्रीय NGO एमनेस्टी इंटरनेशनल की सिक्योरिटी लैब पेगासस की घुसपैठ पहचानने के लिए फोन डाटा स्कैन करने का एक टेस्ट तैयार किया और उसने लोगों से अपने फोन नंबरों की जांच कराने के लिए कहा। फोन डेटा की जांच के लिए 67 लोग तैयार हुए।

इनमें से 23 फोन में हैक करने के और 14 फोन में हैंकिंग की नाकाम कोशिश के सबूत मिले। बचे हुए 30 फोन की जांच के नतीजे नहीं निकले। इनमें से ज्यादातर मामलों में फोन खो गए थे या बदल दिए गए थे। एंड्राइड फोन्स के डेटा पर 15 टेस्ट किए गए थे, इनमें से किसी में भी कामयाब संक्रमण यानी घुसपैठ के सबूत नहीं मिले। तीन एंड्रॉयड फोन में पेगासस से जुड़े एसएमएस मैसेज के सबूत मिले।

Q. क्या मुझे पता चल सकता है कि मेरा डिवाइस हैक हो गया था?

शायद नहीं, मैलवेयर को चुपके से काम करने और अपने ट्रैक को कवर करने के लिए डिजाइन किया गया है। इसलिए सबसे अच्छा तरीका खुद का बचाव करना ही है।

Q. क्या मेरा डिवाइस असुरक्षित है?

तकरीबन हर किसी का स्मार्टफोन असुरक्षित होता है, हालांकि ज्यादातर आम लोगों के स्मार्टफोन को निशाना बनाने की संभावना कम है। आपराधिक संदिग्धों और आतंकियों के अलावा पत्रकार, मानवाधिकार कार्यकर्ता, राजनेता, राजनयिक, सरकारी अधिकारी, व्यापारिक नेता और VIP के रिश्तेदार और सहयोगी शामिल हैं।

विशेष रूप में डिजाइन किए एडवांस सुरक्षा उपायों वाले एंड्रायड ऑपरेटिंग सिस्टम का इस्तेमाल करके फोन स्पायवेयर के हमलों को नाकाम कर सकते हैं। लेकिन फिलहाल इसे पक्के तौर पर जानने का कोई तरीका नहीं है।

Q. खुद को ऐसे किसी स्पायवेयर से सुरक्षित रखने के लिए मैं क्या कर सकता हूं?

अपने डिवाइस खासतौर पर फोन को हैकिंग से बचाने साइबर सिक्योरिटी के कुछ बेसिक नियम हैं-

  • अपने डिवाइस और सॉफ्टवेयर को अप टु डेट रखे। इसके लिए अपनी सेटिंग में जाकर automatic updates को एक्टिवेट कर दें।
  • पांच साल से पुराने डिवाइस पर ऐसे स्पायवेयर हमलों का शिकार बनने का ज्यादा जोखिम है। खासतौर पर अगर वो पुराने ऑपरेटिंग सिस्टम पर चल रहे हैं।
  • अपने डिवाइस, साइट और हर ऐप के लिए ऐसा अनोखा पासवर्ड रखें जिनका अनुमान लगाना बेहद कठिन हो। अपने फोन नंबर, जन्मतिथि या पालतू जानवरों के नाम पर पासवर्ड न रखें, जिनका अंदाज लगाना आसान हो। पासवर्ड मैनेजर जैसे LastPass or 1Password इस काम को आसान सकते हैं।
  • जहां-जहां संभव हो टू फैक्टर ऑथेंटिकेशन (two-factor authentication) को चालू कर दें। ऐसी साइट्स आपसे पासवर्ड के साथ दूसरा कोड भी मांगेंगी। यह पासवर्ड या तो फोन पर भेजे जाते हैं या एक अलग ऑथेंटिकेटर एप के जरिये मिलेगा।
  • अनजान लोगों के भेजे लिंक या अटैचमेंट पर क्लिक न करें।
  • जब भी संभव हो डिसअपियरिंग मैसेज (disappearing messages) या ऐसी दूसरी सेटिंग को एक्टिवेट कर दें, ताकि एक निश्चित समय के बाद मैसेज या दूसरे कम्युनिकेशन अपना आप गायब हो जाएं।

Q. क्या ऐसे हमलों की रक्षा के लिए कोई कायदा-कानून है?

दुनिया के ज्यादातर देशों में स्पायवेयर का निशाना बनाए जाने के खिलाफ कोई कारगर कानून नहीं है। पेगासस बनाने वाली इजरायली कंपनी NSO का कहना है कि इजराइल के सबसे महत्वपूर्ण सहयोगी अमेरिका में फोन नंबरों पर इस स्पायवेयर का इस्तेमाल नहीं किया जाता है।

भारत में IT एक्ट 2000 का सेक्शन 69 और टेलीग्राफ एक्ट 1985 का सेक्शन 5 सरकार को सर्विलांस का अधिकार तो देती है, लेकिन इसके लिए देश की संप्रभुता, अखंडता, सुरक्षा और रक्षा जैसे आधार होना जरूरी है। हमारे देश में निजी सर्विलांस की कोई अनुमति नहीं। इसी तरह IT एक्ट के सेक्शन 43 और सेक्शन 66 के तहत हैंकिंग पर पूरी तरह प्रतिबंधित है। IT एक्ट के सेक्शन 66B के तहत कंप्यूटर या अन्य किसी इलेक्ट्रॉनिक गैजेट से चोरी की गई सूचनाओं को गलत तरीके से हासिल करने पर तीन साल तक की जेल की सजा हो सकती है।

Q. मेरी निजता या गोपनीयता की रक्षा करने में और कौन मदद कर सकता है?

एप्पल (Apple) और गूगल (Google) जैसे गैजेट और सॉफ्टवेयर बनाने वाली बड़ी कंपनी ही स्पायवेयर को नाकाम करने में सबसे ज्यादा सक्षम हैं। ये कंपनी सालों से अपने स्मार्टफोन ऑपरेटिंग सिस्टम पर सुरक्षा में सुधार कर रही हैं, लेकिन पेगासस और इस जैसी मैलवेयर कंपनी को पूरी तरह नाकाम नहीं किया जा सका है। बड़ी-बड़ी क्लाउड कंपनियां भी अपने सर्वर को ऐसे हमलों से बचाने में जुटी हैं। माइक्रोसॉफ्ट और अमेजन वेब सर्विसेज का कहना है कि उन्होंने मेलवेयर को ब्लॉक करने के लिए कई कदम उठाए हैं।

Q. यह NSO और पेगासस क्या है?

NSO ग्रुप इजराइल की एक निजी कंपनी है, जो दुनिया के टॉप स्पायवेयर बनाने में माहिर है। इनका सबसे चर्चित प्रोडक्ट पेगासस है। इसे आईफोन और एंड्रॉयड डिवाइस में सेंधमारी के लिए डिजाइन किया गया है। सिर्फ 11 साल पहले 2010 में स्थापित इस कंपनी का कहना है कि 40 देशों में उसके 60 सरकारी ग्राहक हैं। इजराइल के अलावा कंपनी बुल्गारिया और साइप्रस में भी दफ्तर हैं। कंपनी में करीब 750 कर्मचारी हैं और मूडीज के मुताबिक पिछले साल कंपनी ने 1800 करोड़ रुपए है। खास बात यह कि कंपनी के मेजॉरिटी ओनरशिप लंदन की प्राइवेट इक्विटी फर्म नोवाल्पिना कैपिटल के पास है।

Q. NSO के ग्राहक कौन-कौन हैं?

कंपनी ने खुद को समझौतों का हवाला देकर इस बारे में कुछ बताया नहीं, लेकिन सिटिजन लैब के पास 45 जगहों पर पेगासस का घुसपैठ से जुड़े डॉक्यूमेंट हैं। इनमें अल्जीरिया, बहरीन, बांगलादेश, ब्राजील, कनाडा, केन्या, कुवैत, किर्गिस्तान, लात्विया, लेबनॉन, लीबिया, मैक्सिको, मोरक्को, द नीदरलैंड, ओमान, पाकिस्तान, फिलिस्तीन, पोलैंड, कतर, रवांडा, सऊदी अरब, सिंगापुर, दक्षिण अफ्रीका, स्विट्जरलैंड, UK और अमेरिका जैसे देश शामिल हैं।

खबरें और भी हैं...