फोन आपका, जासूस सरकार का:आपकी मर्जी के बगैर फोन का कैमरा चलाने से लेकर मैसेज पढ़ने तक, जानिए पेगासस की हर बात और इससे बचने की ट्रिक

पेगासस जासूसी कांड के खुलासे के बाद देश के गृह मंत्री अमित शाह भले ही कहें कि इसकी क्रोनोलॉजी को समझें। यह लोकतंत्र को बदनाम करने की साजिश है, लेकिन उनके इस तर्क में दम नहीं दिखता। दरअसल, इस कांड का खुलासा अकेले भारत में नहीं हुआ। मामले की जांच 10 देशों के 17 मीडिया हाउस से जुड़े 80 पत्रकारों ने की। इस दौरान पेरिस के NGO फोरबिडन स्टोरीज और एमनेस्टी इंटरनेशनल ने 50 हजार से ज्यादा फोन नंबरों का पता लगाया जिन पर पेगासस से हमला किया गया।

इन्वेस्टिगेशन में मिले नतीजों को उन्होंने पत्रकारों से साझा किया। कई महीनों तक यह पता किया कि ये फोन नंबर हैं किसके? इस कवायद में वे एक हजार से ज्यादा सरकारी अफसर, पत्रकार, कारोबारियों और मानवाधिकार कार्यकर्ताओं की पहचान कर सके। फोन हैकिंग के इस खुलासे के बाद पूरी दुनिया में हंगामा मच गया।

एक तरफ सियासत गरम है, तो दूसरी तरफ लोग जानना चाहते हैं कि आखिर यह स्पायवेयर है क्या? आप खुद कैसे ऐसी जासूसी से अपने स्मार्टफोन और दूसरे डिवाइस को सुरक्षित रख सकते हैं?
तो आइए इस पेगासस और स्पायवेयर से जुड़े सभी जरूरी सवालों के जवाब जानते हैं ...

Q. स्पायवेयर क्या होते हैं और कौन इनका इस्तेमाल करता है?

स्पायवेयर किसी की जासूसी कराने के लिए तैयार सॉफ्टवेयर या मालवेयर होता है। इनका इस्तेमाल कंप्यूटर, फोन या किसी दूसरे डिवाइस से जानकारी जमा करने के लिए किया जाता है। आमतौर पर स्पायवेयर सरल सॉफ्टवेयर होते हैं जो गैजेट्स के सॉफ्टवेयर की आम सुरक्षा कमजोरियों का फायदा उठाते हैं, लेकिन कुछ स्पायवेयर बेहद परिष्कृत होते हैं, जो कंप्यूटर कोडिंग की कमजोरियों का इस्तेमाल करते हैं। कंप्यूटर कोडिंग की इन कमजोरियों को अनपैच्ड सॉफ्टवेयर (unpatched software) कहते हैं। ऐसे स्पायवेयर एडवांस्ड सिक्योरिटी फीचर्स वाले लेटेस्ट मोबाइल फोन को भी शिकार बना लेते हैं।

Q. क्या स्पायवेयर का इस्तेमाल केवल सरकारी एजेंसियां ही करती हैं?

दुनिया में सबसे परिष्कृत स्वाइवेयर आमतौर पर सुरक्षा या खुफिया एजेंसियां ही इस्तेमाल करती हैं। ये इतने मंहगे होते हैं कि आमतौर पर सरकारें ही इन्हें खरीद पाती हैं। जो सरकारें इसे अफोर्ड कर सकती हैं, उनके लिए दुनिया में ऐसे स्पायवेयर उपलब्ध कराने वाला मजबूत बाजार मौजूद है। लंबे समय से शक जताया जा रहा है कि आतंकी समूहों और आपराधिक गिरोहों की भी स्पायवेयर तक पहुंच है।

इजराइली कंपनी कैंडिरू के स्पायवेयर का इस्तेमाल ब्लैक लाइव्स मैटर का समर्थन करने वाले लोगों के कंप्यूटर और फोन हैक करने में किया गया था। माइक्रोसॉफ्ट और यूनिवर्सिटी ऑफ टोरंटो की सिटीजन लैब ने इसी महीने इसका खुलासा किया था। ताजा विवाद में इजराइल के जिस पेगासस सॉफ्टवेयर का नाम आ रहा है, उसे बनाने वाली कंपनी NSO का साफ तौर पर कहना है कि वह इसे केवल सरकारों को बेचती है।

Q. पेगासस जैसे स्पायवेयर हमारे फोन और डिवाइस से क्या-क्या चुरा सकते हैं?

एक परिष्कृत सॉफ्टवेयर आपके डिवाइस में मौजूद तकरीबन हर जानकारी को चुरा सकता है। यह रियल टाइम फोन कॉल को सुन सकता है। यह ईमेल, सोशल मीडिया पोस्ट, कॉल लॉग, वॉट्सएप या टेलीग्राम जैसे एंड टु एंड एन्क्रिप्टेड मैसेज को पढ़ सकता है। यह यूजर की लोकेशन के साथ यह भी बता सकता है कि वह चल रहा या रुका हुआ है। चल रहा है तो किस दिशा में और कितनी गति से चल रहा है।

यह फोन या सिम से कॉन्टैक्ट, यूजर नेम, पासवर्ड, नोट्स और डॉक्यूमेंटस के अलावा फोटो, वीडियो और साउंड रिकॉर्डिंग भी निकाल सकता है। कुछ स्पायवेयर तो आपने स्मार्ट फोन या स्मार्ट डिवाइस के कैमरे और माइक्रोफोन भी चालू कर सकते हैं। इस दौरान बिना लाइट चले या किसी दूसरी तरह से पता चले रिकॉर्डिंग होने लगती है। मोटे तौर पर कहें तो स्पायवेयर वह सब कुछ कर सकता है जो एक यूजर अपने डिवाइस से कर सकता है। कुछ स्पायवेयर बिना पता लगे दूसरे डिवाइस को फाइल भी भेज सकते हैं।

Q. जीरो क्लिक अटैक क्या हैं?

पैगासस स्पायवेयर अब आपके स्मार्टफोन या स्मार्ट डिवाइस में सेंधमारी के लिए फिशिंग मैसेज के हथकंडे से आगे निकल आया है। पैगासस का आधुनिक अटैक कोई लिंक या मैसेज नहीं भेजता, जिस पर क्लिक करते ही मेलवेयर आपके डिवाइस में फैल जाता था। नए तरीके में उसे डिवाइस यूजर के किसी एक्शन की जरूरत ही नहीं। यानी यूजर्र को न मिस क़ॉल आती है, न मैसेज और न किसी तरह कोई लिंक।

स्पायवेयर से हमले की इसी तकनीक को जीरो क्लिक अटैक कहते हैं। ऐसे में पैगासस के किसी हमले का समय पर पता लगाना या रोकना तकरीबन असंभव हो चुका है। नवंबर 2019 में गूगल के प्रोजेक्ट जीरो सिक्योरिटी रिसर्चर इयान बीयर ने दिखाया कि अटैकर ने कैसे उनसे किसी लिंक आदि क्लिक कराए बिना ही रेडियो प्रॉक्सिमिटी के जरिए उनके आईफोन को पूरी तरह अपने कंट्रोल में ले लिया।

Q. एंड टु एंड एन्क्रिप्शन स्पायवेयर को क्यों नहीं रोक पाते?

एंड टु एंड एन्क्रिप्शन दो गैजेट्स जैसे फोन, टैब या कंप्यूटर सिस्टम के बीच डेटा के ट्रांसमिशन की रक्षा करता है। यह “man-in-the-middle” यानी डेटा ट्रांसमिशन के दौरान बीच में किसी तरह के हमलों को रोकने के काम आता है। इसमें हैकर भेजने वाले या प्राप्त करने के बीच में मैसेज को इंटरसेप्ट करता है, मगर विशेष एन्क्रिप्शन को डिकोड करने का तरीका न पता होने पर ऐसा हो नहीं पाता। 2013 में अमेरिका की नेशनल सिक्योरिटी एजेंसी के व्हिसिलब्लोअर एडवर्ड स्नोडन के खुलासे के बाद से ज्यादातर कमर्शियल सर्विस ने एंड टु एंड एन्क्रिप्शन को अपना लिया।

एंड टु एंड एन्क्रिप्शन तकनीक “endpoint attacks” के लिए कामयाब नहीं थी। ऐसे हमले मैसेज भेजने वाले या प्राप्त करने वालों के मोबाइल सेट या गैजेट्स पर होते हैं। एक बार सिस्टम पर मोबाइल पहुंचने के बाद सॉफ्टेवेयर उसे डिकोड करके दोबारा पढ़ने लायक बना देता है। मौजूदा स्पायवेयर इसी मौके पर संदेश को पढ़ लेता है।

Q. कैसे पता लग सकता है कि हमारे फोन या किसी डिवाइस में स्पायवेयर सेंधमारी कर चुका है?

नए दौर के स्पायवेयर आपके सिस्टम यानी फोन, टैब या लैपटॉप पर कब्जा करने के लिए बनाए गए हैं, वह भी आपको किसी तरह के बदलाव का अहसास हुए बिना। मतलब यह कि हैक किए हुए फोन या डिवाइस को बारीकी से देखे बिना उसे निशाना बनाए जाने के सबूत नहीं मिलते।

मानवाधिकार के लिए काम करने वाले अंतरराष्ट्रीय NGO एमनेस्टी इंटरनेशनल की सिक्योरिटी लैब पेगासस की घुसपैठ पहचानने के लिए फोन डाटा स्कैन करने का एक टेस्ट तैयार किया और उसने लोगों से अपने फोन नंबरों की जांच कराने के लिए कहा। फोन डेटा की जांच के लिए 67 लोग तैयार हुए।

इनमें से 23 फोन में हैक करने के और 14 फोन में हैंकिंग की नाकाम कोशिश के सबूत मिले। बचे हुए 30 फोन की जांच के नतीजे नहीं निकले। इनमें से ज्यादातर मामलों में फोन खो गए थे या बदल दिए गए थे। एंड्राइड फोन्स के डेटा पर 15 टेस्ट किए गए थे, इनमें से किसी में भी कामयाब संक्रमण यानी घुसपैठ के सबूत नहीं मिले। तीन एंड्रॉयड फोन में पेगासस से जुड़े एसएमएस मैसेज के सबूत मिले।

Q. क्या मुझे पता चल सकता है कि मेरा डिवाइस हैक हो गया था?

शायद नहीं, मैलवेयर को चुपके से काम करने और अपने ट्रैक को कवर करने के लिए डिजाइन किया गया है। इसलिए सबसे अच्छा तरीका खुद का बचाव करना ही है।

Q. क्या मेरा डिवाइस असुरक्षित है?

तकरीबन हर किसी का स्मार्टफोन असुरक्षित होता है, हालांकि ज्यादातर आम लोगों के स्मार्टफोन को निशाना बनाने की संभावना कम है। आपराधिक संदिग्धों और आतंकियों के अलावा पत्रकार, मानवाधिकार कार्यकर्ता, राजनेता, राजनयिक, सरकारी अधिकारी, व्यापारिक नेता और VIP के रिश्तेदार और सहयोगी शामिल हैं।

विशेष रूप में डिजाइन किए एडवांस सुरक्षा उपायों वाले एंड्रायड ऑपरेटिंग सिस्टम का इस्तेमाल करके फोन स्पायवेयर के हमलों को नाकाम कर सकते हैं। लेकिन फिलहाल इसे पक्के तौर पर जानने का कोई तरीका नहीं है।

Q. खुद को ऐसे किसी स्पायवेयर से सुरक्षित रखने के लिए मैं क्या कर सकता हूं?

अपने डिवाइस खासतौर पर फोन को हैकिंग से बचाने साइबर सिक्योरिटी के कुछ बेसिक नियम हैं-

Q. क्या ऐसे हमलों की रक्षा के लिए कोई कायदा-कानून है?

दुनिया के ज्यादातर देशों में स्पायवेयर का निशाना बनाए जाने के खिलाफ कोई कारगर कानून नहीं है। पेगासस बनाने वाली इजरायली कंपनी NSO का कहना है कि इजराइल के सबसे महत्वपूर्ण सहयोगी अमेरिका में फोन नंबरों पर इस स्पायवेयर का इस्तेमाल नहीं किया जाता है।

भारत में IT एक्ट 2000 का सेक्शन 69 और टेलीग्राफ एक्ट 1985 का सेक्शन 5 सरकार को सर्विलांस का अधिकार तो देती है, लेकिन इसके लिए देश की संप्रभुता, अखंडता, सुरक्षा और रक्षा जैसे आधार होना जरूरी है। हमारे देश में निजी सर्विलांस की कोई अनुमति नहीं। इसी तरह IT एक्ट के सेक्शन 43 और सेक्शन 66 के तहत हैंकिंग पर पूरी तरह प्रतिबंधित है। IT एक्ट के सेक्शन 66B के तहत कंप्यूटर या अन्य किसी इलेक्ट्रॉनिक गैजेट से चोरी की गई सूचनाओं को गलत तरीके से हासिल करने पर तीन साल तक की जेल की सजा हो सकती है।

Q. मेरी निजता या गोपनीयता की रक्षा करने में और कौन मदद कर सकता है?

एप्पल (Apple) और गूगल (Google) जैसे गैजेट और सॉफ्टवेयर बनाने वाली बड़ी कंपनी ही स्पायवेयर को नाकाम करने में सबसे ज्यादा सक्षम हैं। ये कंपनी सालों से अपने स्मार्टफोन ऑपरेटिंग सिस्टम पर सुरक्षा में सुधार कर रही हैं, लेकिन पेगासस और इस जैसी मैलवेयर कंपनी को पूरी तरह नाकाम नहीं किया जा सका है। बड़ी-बड़ी क्लाउड कंपनियां भी अपने सर्वर को ऐसे हमलों से बचाने में जुटी हैं। माइक्रोसॉफ्ट और अमेजन वेब सर्विसेज का कहना है कि उन्होंने मेलवेयर को ब्लॉक करने के लिए कई कदम उठाए हैं।

Q. यह NSO और पेगासस क्या है?

NSO ग्रुप इजराइल की एक निजी कंपनी है, जो दुनिया के टॉप स्पायवेयर बनाने में माहिर है। इनका सबसे चर्चित प्रोडक्ट पेगासस है। इसे आईफोन और एंड्रॉयड डिवाइस में सेंधमारी के लिए डिजाइन किया गया है। सिर्फ 11 साल पहले 2010 में स्थापित इस कंपनी का कहना है कि 40 देशों में उसके 60 सरकारी ग्राहक हैं। इजराइल के अलावा कंपनी बुल्गारिया और साइप्रस में भी दफ्तर हैं। कंपनी में करीब 750 कर्मचारी हैं और मूडीज के मुताबिक पिछले साल कंपनी ने 1800 करोड़ रुपए है। खास बात यह कि कंपनी के मेजॉरिटी ओनरशिप लंदन की प्राइवेट इक्विटी फर्म नोवाल्पिना कैपिटल के पास है।

Q. NSO के ग्राहक कौन-कौन हैं?

कंपनी ने खुद को समझौतों का हवाला देकर इस बारे में कुछ बताया नहीं, लेकिन सिटिजन लैब के पास 45 जगहों पर पेगासस का घुसपैठ से जुड़े डॉक्यूमेंट हैं। इनमें अल्जीरिया, बहरीन, बांगलादेश, ब्राजील, कनाडा, केन्या, कुवैत, किर्गिस्तान, लात्विया, लेबनॉन, लीबिया, मैक्सिको, मोरक्को, द नीदरलैंड, ओमान, पाकिस्तान, फिलिस्तीन, पोलैंड, कतर, रवांडा, सऊदी अरब, सिंगापुर, दक्षिण अफ्रीका, स्विट्जरलैंड, UK और अमेरिका जैसे देश शामिल हैं।