यी हुन कानुनी रूपमै करोडौँ कमाउने ह्याकरहरू

सन् २०१६ को गर्मी यामको एक दिन पूर्णकालीन पेसेवर ह्याकर प्रणव हिवारेकर फेसबुकको नयाँ फीचरमा रहेका कमजोरी पत्ता लगाउने अभियानमा लागे।

झन्डै आठ घण्टाअगाडि मात्र फेसबुकले प्रयोगकर्ताहरूलाई भिडिओको प्रयोग गरी पोस्टहरूमा टिप्पणी गर्न अनुमति दिने घोषणा गरेको थियो।

हिवारेकरले त्यसमा भएका कमजोरी पत्ता लगाउन उक्त प्रणालीको ह्याक गर्न थाले। त्यस्ता कुनै गल्तीले अपराधीहरूलाई कम्पनीको सञ्जालमा प्रवेश गरेर डेटा चोर्न सजिलो बनाइदिन सक्छ।

अनि उनले पत्ता लगाए: नयाँ प्रणालीमा भएका कमजोरीको प्रयोग गरेर फेसबुकको कुनै पनि भिडिओ मेट्न सकिन्छ।

"चाहने हो भने उक्त कोड प्रयोग गरेर मार्क जकर्बर्गले राखेको भिडिओ पनि मेटाइदिन सकिने मैले पत्ता लगाएँ," भारतको पुने सहरका नैतिकवान् ह्याकर हिवारेकरले बीबीसीलाई बताए।

उनले यो कमजोरी वा चल्तीको भाषामा 'बग' बारे 'बग बाउन्टी ' कार्यक्रममार्फत् फेसबुकलाई जानकारी दिए। दुई साताभित्रै उनले हजारौँ डलर पुरस्कार पाए।

'बग सिकारी'

आफ्नो क्षमतालाई सकारात्मक कार्यको लागि प्रयोग गर्ने नैतिकवान् ह्याकरहरूले धेरै पैसा कमाउन थालेका छन्। सँगसँगै यो विधा पनि फैलँदो छ।

यस्ता बग सिकारी सामान्यतया युवा उमेरका हुन्छन्। एक अनुमानअनुसार दुई तिहाइभन्दा धेरै १८ देखि २९ वर्ष उमेरका हुन्छन्।

वेबकोडमा भएका त्रुटि र छिद्रलाई खराब ह्याकरले पत्ता लगाएर ठूलै समस्या सिर्जना गरिदिनुअगावै तिनलाई औँल्याइदिने यस्ता नैतिकवान् ह्याकरलाई विभिन्न पुरस्कार कार्यक्रममार्फत् ठूला कम्पनीहरूले पैसा दिन्छन्।

अरू कसैले पत्ता लगाउनुभन्दा पहिले कुनै बग पत्ता लगाउने कार्य अलि दुर्लभै हुन्छ। त्यसो गर्न सक्नेलाई ठूलो पुरस्कार दिइन्छ। सम्भवत: लाखौँ डलर। त्यसले यस्ता नैतिकवान् ह्याकरहरूलाई उत्प्रेरित गर्छ।

"पुरस्कार नै मेरो आम्दानीको एक मात्र स्रोत हो," भारतका एक नैतिकवान् ह्याकर शिवम् वशिष्ठले भने। उनले गत वर्ष सवा लाख डलर कमाएका थिए।

"मैले कानुनी रूपमै विश्वका सबभन्दा ठूला कम्पनीका प्रणाली ह्याक गर्छु र त्यसको लागि पैसा पाउँछु। यो एकदमै रमाइलो तथा चुनौतीपूर्ण छ।"

यो यस्तो क्षेत्र हो जहाँ सफल हुन कुनै औपचारिक शैक्षिक योग्यता वा अनुभव आवश्यक छैन। वशिष्ठका अनुसार उनले यो ज्ञान अन्लाइन तथा ब्लगहरूबाट सिके।

"मैले कैयौँ रात नसुतीकनै ह्याकिङ तथा प्रणालीमा आक्रमण गर्ने उपाय सिकेको छु। मैले विश्वविद्यालय पनि दोस्रो वर्षमै छाडेँ।"

उनले आफ्नो यो रुचिलाई लाभदायी 'करीअर' बनाएका छन्, अमेरिकी ह्याकर जेसी किन्सरले जस्तै।

"ह्याकिङप्रति मेरो रुचि मैले कलेजमा हुँदा स्वतन्त्र रूपमा मोबाइल ह्याकिङ तथा डिजिटल फरेन्सिकको अनुसन्धान गर्दा ताकादेखि नै जागेको हो," उनले इमेलमार्फत् बताइन्।

"एक पटक मैले एन्ड्रोइड एप स्टोरमा खुसुक्क खराब एप हाल्न मिल्ने तरिका पत्ता लगाएकी थिएँ।"

ठूलो धनराशि

विज्ञहरूका अनुसार ठूला धनराशिका पुरस्कार कार्यक्रमले यी ह्याकरहरूलाई उत्प्रेरणा मिल्छ।

"यस्ता कार्यक्रमले प्रविधिमा भिजेका यस्ता युवायुवतीलाई कानुनी ढङ्गबाटै पैसा कमाउने बाटो दिन्छ। अन्यथा उनीहरू त गैरकानुनी ह्याकिङ गरेर डेटा बेच्ने काममा संलग्न हुन सक्थे," डेटा सुरक्षा कम्पनी इम्पर्भाका प्रमुख प्रविधि अधिकृत टेरी रेले बताए।

सन् २०१८ मा अमेरिका तथा भारतका नैतिकवान् ह्याकरहरूले सबभन्दा धेरै पुरस्कार बटुलेको साइबर सुरक्षा कम्पनी ह्याकर वनले जनाएको छ।

तीमध्ये केहीले त वर्षको साढे तीन लाख डलर वा झन्डै चार करोड रुपैयाँ कमाउँछन्।

ह्याकरको दुनियाँमा 'गिकबोय' को उपनामले चर्चित सन्दीप सिंहका अनुसार उनीहरूको काम निकै कठिन हुन्छ।

"मलाई पहिलो पुरस्कार जित्न छ महिनाको समय अनि ५४ चोटिको निवेदन आवश्यक परेको थियो।"

सुरक्षा बढाउँदै

ह्याकर वन, बग क्राउड, साइन्याक तथा अन्य कम्पनीहरूले ठूला कम्पनी एवं सरकारहरूका तर्फबाट पुरस्कार कार्यक्रम चलाउँछन्।

नैतिकवान् ह्याकरको पहिचान र तिनको एजेन्टका रूपमा यिनले कार्य गर्छन्।

ह्याकर वनको रेकर्डमा साढे पाँच लाख नैतिकवान् ह्याकर छन्। उसले तिनलाई कुल सात करोड डलर दिइसकेको सो कम्पनीका बेन सादेगिपुरले बताए।

"प्रविधि उद्योगमा पुरस्कार कार्यक्रम नयाँ होइन, तर त्यसको रकम भने बढ्दो छ।"

ठूला कम्पनीहरूले बुझेका छन् कि यस्ता कमजोरी पत्ता लगाउन पर्याप्त ध्यान नदिने हो भने त्यसले भविष्यमा सम्भावित ह्याकर हमलाको सामना गर्नु पर्ने हुन्छ जसकारण उसले पैसाको नोक्सानीको साथै डेटाको चोरी एवं प्रतिष्ठा हनन् को अवस्था बेहोर्नुपर्छ।

"पछिल्ला वर्षहरूमा प्रतिवर्ष साइबर हमला ८० प्रतिशतले बढेको छ। तर सुरक्षा दिलाउनसक्ने क्षमता भएको मानवस्रोत भने सीमित मात्र छ," साइबर सुरक्षा कम्पनी साइन्याकको भनाइ।

सार्वजनिक तथा निजी इनाम कार्यक्रम

फेसबुक तथा गुगलजस्ता ठूला प्रविधि कम्पनीले आफ्नै हिसाबले चलाउने बग बाउण्टी भनिने इनाम कार्यक्रमप्रति साइन्याकले चिन्ता प्रकट गरेको छ। ऊ भन्छ त्यसो गर्दा पहिचान नगरिएका र अञ्जान नियत भएका ह्याकरहरूले संवेदनशील डिजीटल सम्पत्तिमा पहुँच पाउँछन्।

"उदाहरणका लागि, एकजना ह्याकरले सन् २०१७ मा विश्वव्यापी रेस्टुरेन्ट गाइड जोम्याटोमा ह्याक गरेर पौने दुई करोड प्रयोगकर्ताका विवरण डार्क वेबमा बेचिदिने धम्की दिएको थियो। ती ह्याकरले कम्पनीलाई ठूलो इनाम कार्यक्रम सुरु गर्न माग गरेको थियो," साइन्याकले बतायो।

जोम्याटोले एक ब्लग पोस्ट लेख्दै उसको "प्रणालीमा... एक नैतिकवान ह्याकरले हमला गरेको" स्वीकार गरेको थियो।

अन्तत:, कम्पनीले उक्त ह्याकरको माग पूरा गर्न बग बाउण्टी कार्यक्रम सुरु गर्ने वाचा गर्‍यो र उक्त ह्याकरले ती विवरण नष्ट गरिदियो।

विज्ञहरू भन्छन् इनाम शिकारीहरूलाई आफ्नो प्रणाली परीक्षण गर्न दिनु अगाडि कम्पनीहरूले अरू रक्षात्मक उपाय अपनाउनु पर्छ।

त्यसैले साइबर सुरक्षा कम्पनीहरू भन्छन् उनीहरूले पहिचान गरिएका ह्याकरहरूमार्फत् नियन्त्रित वातावरणमा सुरक्षित परीक्षण गर्ने मौका प्रदान गर्छन्।

"बग बाउण्टी कम्पनीहरूले सही मानिसहरूको अगाडि गल्ती कमजोरी औँल्याइदिन्छन्," सुरक्षा परीक्षणकर्ता रोबि विगिन्स भन्छन्।

उद्योगका मुद्दा

सार्वजनिक होस् वा निजी, इनाम कार्यक्रमको बजारमा घुइँचो बढ्दो छ। अनि सबैले प्रशस्त कमाएका पनि छैनन्।

थोरै मानिसले धेरै कमाएका छन्। धेरैले कमाएका छैनन्। साथै यो क्षेत्रमा लैङ्गिक असन्तुलन धेरै छ।

"साइबर सुरक्षा क्षेत्रमा विगतदेखि नै पुरुषको वर्चस्व छ, संसारभरको ह्याकिङ समुदायमा केवल ४% मात्र महिला छन्," बग क्राउडका केसी एलिसले बताए।

"महिलाको कामलाई कम आकलन गरिने कारण यस्तो भएको हो," जेसी किन्सरले एकपटक माशाबलसँगको अन्तर्वार्तामा बताएकी थिइन्।

सुरक्षित इन्टरनेटको माग बढ्दै गर्दा, उनको आशा छ धेरैभन्दा धेरै महिला यस क्षेत्रमा आउनेछन् र तिनले ह्याकिङ समुदायको समर्थन पाउनेछन्। साना परिवर्तन पनि फाइदाजनक हुने उनले बताइन्।

"आकार जत्रो भएपनि त्यसले सही दिशातर्फ लाग्न सकारात्मक प्रेरणा दिन्छ," उनी भन्छिन्।