सावधान, तुम्ही तुमच्या खिशातच एक गुप्तहेर घेऊन फिरत आहात

अनेकांसाठी त्यांचा स्मार्टफोन म्हणजे जग दाखवणारा एक झरोका असतो. पण हाच फोन कोणाला तरी तुमच्या खासगी आयुष्यातही डोकावू देत असेल तर?

तुमच्या खिशामध्येच एक गुप्तहेर लपलेला असू शकतो, असा विचार कधी तुम्ही केलाय का?

कल्पना करा, की तुमच्या फोनवरच्या सगळ्या गोष्टींचा - अगदी एनक्रिप्टेड मेसेजेचा अॅक्सेस मिळेल असं एखादं सॉफ्टवेअर दुरूनच (रिमोटली) हॅकर्सना तुमच्या फोनवर इन्स्टॉल करता आलं तर? त्या सॉफ्टवेअरने त्यांना तुमच्या फोनचा माईक आणि कॅमेराही कन्ट्रोल करता आला तर?

हे वाटतंय तितकं अशक्य नाही आणि या सॉफ्टवेअरचा वापर हा जगभरातल्या पत्रकार, कार्यकर्ते आणि वकिलांवर पाळत ठेवण्यासाठी करण्यात येत असल्याचे ठोस पुरावे आम्ही तपासलेले आहेत.

पण कोण करतंय हे आणि का? आणि आपल्या खिशातल्या या संभाव्य स्पायवेअरचं करायचं काय?

हे सॉफ्टवेअर इतकं शक्तिशाली आहे की त्याचं वर्गीकरण शस्त्रांमध्ये केलं आहे.

माईक मरे हे सॅन फ्रान्सिस्कोच्या लुकआऊट मध्ये सायबर सिक्युरिटी स्पेशालिस्ट आहेत. ही कंपनी सरकार, उद्योग आणि ग्राहकांना त्यांचे फोन आणि डेटा सुरक्षित ठेवायला मदत करते.

हेरगिरी (Espionage)साठीचं आतापर्यंतच सर्वांत आधुनिक सॉफ्टवेअर कसं काम करतं, हे ते समजावून सांगतात. हे सॉफ्टवेअर इतकं प्रभावी आहे की त्याचं वर्गीकरण शस्त्रांमध्ये करण्यात आलं आहे आणि काही सक्त नियमांनुसारच त्याची विक्री करता येते.

"हे सॉफ्टवेअर वापरणारा तुम्हाला तुमच्या जीपीएसवरून ट्रॅक करू शकतो," माईक सांगतात.

"ते कोणत्याही क्षणी मायक्रोफोन आणि कॅमेरा ऑन करू शकतात आणि तुमच्या आजुबाजूला घडणाऱ्या सगळ्या गोष्टी रेकॉर्ड करू शकतात. तुमच्याकडे असणाऱ्या सगळ्या सोशल मीडिया अॅप्सचा अॅक्सेस त्यांना मिळतो, तुमचे सगळे फोटो, तुमचे कॉन्टॅक्ट्स, तुमच्या कॅलेंडरमधली माहिती, तुमचा इमेल आणि तुमच्याकडील प्रत्येक डॉक्युमेंट हे सॉफ्टवेअर चोरतं."

"हे सॉफ्टवेअर तुमच्या फोनचं रूपांतर अक्षरशः एखाद्या उपकरणात करतं, ज्याच्या साहाय्याने ते तुमचं सगळं बोलणं ऐकू शकतात, तुमच्यावर पाळत ठेवू शकतात आणि फोनमधलं सगळं चोरू शकतात."

स्पायवेअर गेले अनेक वर्षं अस्तित्वात आहे, पण या सॉफ्टवेअरने एक वेगळीच पातळी आता गाठली आहे.

डेटा पाठवला जात असताना हे सॉफ्टवेअर इंटरसेप्ट (मधल्या मधे पकडणं) करत नाही, कारण तोपर्यंत हा डेटा इनक्रिप्टेड (एखाद्या कोडमध्ये रूपांतरित) झालेला असतो.

सॉफ्टवेअर तुमचा डेटा तुमच्या फोनवर असतानाच चोरतं. त्यासाठी तुमच्या फोनवरचं प्रत्येक फंक्शन ते आपल्या ताब्यात घेतं आणि हे तंत्रज्ञान इतकं प्रगत आहे की ते लक्षात येणं जवळपास अशक्य आहे.

मेक्सिकन ड्रग माफियाचं अटक नाट्य

मेक्सिकन ड्रग माफिया उद्योगाचा सम्राट असलेल्या एल चापोचं अब्जावधी डॉलर्सचं साम्राज्य होतं.

तुरुंगातून पलायन केल्यानंतर तो सहा महिने फरार होता. दूरवर पसरलेल्या त्याच्या माणसांची त्याला मदत मिळत होती आणि संरक्षणही मिळत होतं. संपर्क साधण्यासाठी तो फक्त इनक्रिप्टेड फोन्सचा वापर करत असे. हे फोन हॅक करणं कठीण मानलं जातं.

पण असा दावा केला जातोय की मेक्सिकन अधिकाऱ्यांनी नवीन आधुनिक हेरगिरी सॉफ्टवेअर विकत घेतलेलं होतं आणि त्यांनी या ड्रग सम्राटाच्या संपर्कात असणाऱ्या त्याच्या जवळच्या लोकांचे फोन हॅक केले. त्यातून अधिकाऱ्यांना एल चापो कुठे लपला आहे, ते समजलं.

दहशतवाद आणि सुसंघटित गुन्हेगारीच्या विरोधामध्ये लढण्यासाठी अशा प्रकारचं सॉफ्टवेअर किती महत्त्वाचं अस्त्रं ठरू शकतं, हे एल चापोच्या अटकेवरून दिसतं. सिक्युरिटी कंपन्यांनी एनक्रिप्टेड फोन्स आणि ऍप्स हॅक करता आली तर त्या मार्फतच कितीतरी आयुष्यं वाचवता येतील आणि हिंसक जहालमतवाद्यांना रोखता येईल.

पण हे सॉफ्टवेअर विकत घेणाऱ्यांनी त्यांना वाटेल त्या व्यक्तीविरोधात हे अस्त्रं वापरू नये, म्हणून काय करायचं?

म्हणजे सरकारला नाराज करणाऱ्या व्यक्तीलाही फोन हॅक होण्याचा धोका असू शकतो का?

लक्ष्य करण्यात आलेला ब्रिटिश ब्लॉगर

रॉरी डोनाघी या ब्लॉगरने मिडल ईस्टमध्ये आंदोलन करणाऱ्यांचा गट आणि वेबसाईट स्थापन केली.

युनायटेड अरब अमिरातीमधील मानवी हक्क उल्लंघनांविषयीचं वार्तांकन तो करत होता. स्थलांतरित कामगारांना देण्यात येणाऱ्या वागणुकीपासून ते कायद्याच्या कचाट्यात सापडणाऱ्या पर्यटकांपर्यंतच्या सगळ्या गोष्टींचं वार्तांकन तो करत असे.

त्याची वाचक मर्यादित होती आणि रोजच्या वर्तमानपत्रांमध्ये छापून येणाऱ्या हेडलाईन्ससारखेच त्याच्या बातम्यांचे मथळे असत.

पण त्याने मिडल ईस्ट आय (Middle East Eye) या न्यूज वेबसाईटसाठी काम करायला सुरुवात केल्यानंतर काही तरी विचित्र होऊ लागलं.

अनोळखी लोकांकडून काही लिंक्स असणारे विचित्र इमेल्स त्याला येऊ लागले.

रॉरीने असाच एक संशयास्पद इमेल टोरॅंटो विद्यापीठातील सिटिझन लॅब नावाच्या रिसर्च ग्रुपला फॉरवर्ड केला. हा गट पत्रकार आणि मानवी हक्क कार्यकत्यांच्या विरोधात होणाऱ्या डिजिटल हेरगिरीच्या गैरवापराचा तपास करतो.

रॉरीने आपल्या फोनवर मालवेअर डाऊनलोड करावं म्हणून ही लिंक पाठवण्यात आल्याच्या रॉरीच्या संशयावर या गटाने शिक्कामोर्तब केलं. या लिंक वर त्याने क्लिक केल्यास ती पाठवणाऱ्या व्यक्तीला हेदेखील समजू शकलं असतं की रॉरीच्या फोनवर कोणत्या प्रकारचं अॅण्टीव्हायरस सॉफ्टवेअर आहे आणि त्या सॉफ्टवेअरला हे मालवेअर कळू नये म्हणून काय करायला हवं. म्हणजे हेरगिरीचं हे सॉफ्टवेअर अतिशय प्रगत होतं.

रॉरीवर पाळत ठेवण्याचा प्रयत्न युएएई सरकारसाठी काम करणाऱ्या अबुधाबीमधील एका सायबर हेरगिरी कंपनीने केल्याचं उघड झालं. सरकारला जे गट किंवा ज्या व्यक्ती जहालमतवादी असल्याचा संशय होता, ज्यांच्यापासून राष्ट्रीय सुरक्षेला धोका असल्याचं वाटत होतं, त्यांच्यावर ही कंपनी पाळत ठेवत होती.

या लहान पातळीवर काम करणाऱ्या ब्रिटिश ब्लॉगरला त्यांनी "जिरो" असं एक सांकेतिक नावंही दिलं होतं आणि त्याच्या प्रत्येक हालचालीवर आणि त्याच्या कुटुंबातल्या सदस्यांवरही लक्ष ठेवण्यात येत होतं.

लक्ष्य करण्यात आलेला नागरी हक्क कार्यकर्ता

अहमद मन्सूर या विख्यात आणि पुरस्कार प्राप्त नागरी हक्क कार्यकर्त्यावर युएई सरकारने अनेक वर्षं पाळत ठेवली होती.

2016मध्ये त्यांना एक संशयास्पद मेसेज आला. त्यांनीही तो सिटिझन लॅबला पाठवला.

एका ब्लँक (कोणतीही माहिती नसलेल्या ) आयफोनवरून या रिसर्च टीमने या लिंकवर क्लिक केलं आणि त्यांना जे दिसलं त्याने ते चकित झाले. एक स्मार्टफोन रिमोटली इन्फेक्ट (हॅक) होताना आणि त्या फोनवरचा सगळा डेटा पाठवला जात असल्याचं त्यांनी पाहिलं.

सध्या बाजारात असणाऱ्या फोन्सपैकी आयफोन हा सगळ्यात सुरक्षित असल्याचं मानलं जातं. पण हे हेरगिरीसाठीचं आतापर्यंतच सगळ्यात प्रगत सॉफ्टवेअर होतं आणि या सॉफ्टवेअरने अॅपलच्या सिस्टीममध्येही घुसण्याचा मार्ग शोधला होता.

यानंतर अॅपलला जगभरातल्या त्यांच्या फोन्ससाठी सिस्टीम अपडेट आणावा लागला होता.

मन्सूरच्या फोनमधून नेमकी कोणती माहिती गोळा करण्यात आली हे अजून स्पष्ट झालेलं नाही. पण नंतर त्याला अटक करून 10 वर्षांचा तुरुंगवास झाला. सध्या तो एकांतवासात बंदिस्त आहे.

लंडनमधील युनायटेड अरब अमिरातीच्या दूतावासाने बीबीसीला सांगितलं की त्यांच्या सुरक्षा यंत्रणा आंतरराष्ट्रीय मानकं आणि नियमांचं पालन करतात पण इतर देशांप्रमाणेच ते देखील गुप्तचर संस्थांच्या माहितीविषयी बोलू शकत नाहीत.

पाळत ठेवण्यात आलेला पत्रकार

ऑक्टोबर 2018मध्ये पत्रकार जमाल खाशोग्जी इस्तंबूलमधील सौदी दूतावासात गेले आणि पुन्हा बाहेर आलेच नाहीत. सौदी राजवटीच्या एजंट्सनी त्यांची हत्या केली.

त्यांचे मित्र ओमर अब्दुलझीझ यांना खाशोग्जींचा फोन हॅक झालेला असल्याचं लक्षात आलं. सौदी सरकारने हे केल्याचं त्यांचं म्हणणं आहे.

आपल्या मार्गदर्शकाच्या हत्येमध्ये या हॅकिंगचा मोठा हात असल्याचं ओमर मानतात. हे दोघं नियमित संपर्कात होते आणि राजकारणावर चर्चा करायचे. काही प्रकल्पांवर त्यांनी एकत्र कामही केलं होतं.

सौदी सरकारला त्यांच्या या चर्चांविषयी आणि त्यांनी एकमेकांना पाठवलेली कागदपत्रं, फाईल्स याविषयी दीर्घकाळापासून माहिती होती.

वापरले जाणारे मोबाईल फोन्स हॅक करणारं मालवेअर (Malicious Software) अस्तित्वात असलं तरी सौदी अरेबियाचा यामागे हात असल्याचं सांगणारे पुरावे नसल्याचं सौदी सरकारने प्रत्युत्तरात म्हटलं.

व्हॉट्सअॅप हॅकर

मे 2019मध्ये व्हॉट्सअॅप मेसेजच्या सुरक्षा प्रणालीत मोठी घुसखोरी (High profile security breach) झाली. आपल्यापैकी अनेकजण याचा वापर मित्रांशी-कुटुंबाशी बोलण्यासाठी दररोज करतात.

आणि तुम्हाला जर असं वाटत असेल की व्हॉट्सऍप हॅक करून कोणी फक्त तुमचे व्हॉट्सअॅप कॉल्स ऐकू शकतं, तर पुन्हा विचार करा.

हे अॅप म्हणजे फोनच्या सॉफ्टवेअरमध्ये शिरण्यासाठीचं फक्त एक माध्यम होतं. एकदा हा शिरकाव केला की या हॅकरला फोनवर कोणतंही स्पायवेअर डाऊनलोड करमं शक्य होतं.

आणि हा फोन वापरणाऱ्या व्यक्तीला कोणत्याही लिंकवर क्लिक करायचीही गरज नव्हती. एक कॉल करून हा फोन अॅक्सेस केला जाई आणि मग कॉल कट करण्यात येत असे. याला झिरो क्लिक टेक्नॉलॉजी म्हणतात.

व्हॉट्सअॅपने त्यांच्या 1.5 बिलियन युजर्ससाठी लगेचच यासाठीचे फिक्स रिलीज केले. पण हा हॅक कोणी घडवून आणला हे मात्र कोणालाच माहिती नाही. यावेळी व्हॉट्सअॅपला लक्ष्य करण्यात आलं. पण पुढच्यावेळी कोणत्या अॅपला टार्गेट करण्यात येईल? आणि ते कोण करेल?

हॅकर्सशी लढा

अशा प्रकारचं स्पायवेअर (हेरगिरी करणारं सॉफ्टवेअर) डेव्हलप करणाऱ्यांकडे विशेष एक्स्पोर्ट लायसन्स असणं गरजेचं असतं. हे लायसन्स संरक्षण विषयक कंत्राटदारांकडे असणंही गरजेचं असतं. अट्टल गुन्हेगारांना रोखणं हा यामागचा उद्देश असतो.

पण सिटिझन लॅबने अशा कागदपत्रांचा आख्खा संग्रहच तयार केला आहे ज्यामध्ये त्यांना वाटत असलेल्या या तंत्रज्ञानाच्या सरकारी गैरवापराची नोंद आहे.

या गैरवापरासाठी सॉफ्टवेअर डेव्हलपर्सनाही दोषी मानण्यात यावं का?

बंदुकीसारखी शस्त्रं विकल्यानंतर ती बनवणाऱ्याचा सहभाग संपतो. पण सॉफ्टवेअर डेव्हलपर मात्र या प्रक्रियेत सहभागी असतो. तो विक्रीनंतरही सेवा देतो. म्हणून मग या सॉफ्टवेअरचा जेव्हा गैरवापर होतो तेव्हा त्यांनाही दोषी धरण्यात यावं का?

हेरगिरीच्या या बाजारपेठेतली प्रमुख कंपनी आहे - एनएसओ (NSO) ग्रुप नावाची इस्त्रायली कंपनी. ही कंपनी गेलं दशकभर अस्तित्त्वात आहे आणि दरवर्षी कोट्यवधी डॉलर्सची उलाढाल करते.

अब्दुलझीज यांचे वकील आपल्या अशीलाचा फोन हॅक केल्याबद्दल या कंपनीला कोर्टात खेचणार आहेत. ही महत्त्वाची घटना आहे आणि सॉफ्टवेअर विकलं गेल्यानंतर एखाद्या सॉफ्टवेअर कंपनीची भूमिका काय असायला हवी हे ठरवण्यास याची मदत होईल.

एनएसओ (NSO)ने मुलाखत देण्याचं नाकारलं पण एका पत्रकाने आपलं म्हणणं मांडलं. ते म्हणतात त्याचं तंत्रज्ञान परवानाधारी सरकारी एजन्सीजना गुन्हेगारी रोखण्यासाठी आणि तपास करण्यासाठी आवश्यक साधनं पुरवते आणि त्यांच्या टेक्नॉलॉजीमुळे अनेक आयुष्यं वाचलेली आहेत.

दरम्यान, अब्दुल अझीझ यांच्या वकीलांना गूढ व्हॉट्सऍप कॉल्स यायला लागले आहेत.

स्पायवेअर किती काळ गुप्त राहू शकतं?

कायदेशीर हेरगिरीसाठीच्या उद्योगाचं (Lawful interception industry) उद्दिष्टं आहे असं सॉफ्टवेअर डेव्हलप करणं जे अजिबात डिटेक्ट करता येणार नाही.

त्यांना जर ते करता आलं, तर त्याचा गैरवापर झाल्याचं कोणालाही सांगता येणार नाही. कारण गैरवापर होत असल्याचं कोणाच्याही लक्षातच येणार नाही.

म्हणजे या सॉफ्टवेअरचा वापर कायदेशीररीत्या होतोय की नाही हे डेव्हरलपरच्या हातात असेल आणि आपलं भविष्यही.

हे सगळं एखाद्या जेम्स बॉण्डपटासारखं वाटू शकतं. पण नवीन जगातल्या या गोष्टी आहेत.

हे धोके खरे आहेत आणि या गोष्टी अशा आहेत की ज्या आपण लक्षात ठेवायला हव्यात.

हे वाचलंत का?

(बीबीसी मराठीचे सर्व अपडेट्स मिळवण्यासाठी तुम्ही आम्हाला फेसबुक, इन्स्टाग्राम, यूट्यूब, ट्विटर वर फॉलो करू शकता.'बीबीसी विश्व' रोज संध्याकाळी 7 वाजता JioTV अॅप आणि यूट्यूबवर नक्की पाहा.)