మీకు తెలియకుండా మీ ఫోన్‌లోకి దూరే దొంగలు -డిజిహబ్

గత రెండు మూడు వారాలుగా పెగాసస్ స్పైవేర్, జాతీయంగా అంతర్జాతీయంగా చాలా దుమారమే రేపుతోంది. రాజకీయ వాదోపవాదాలు, ప్రైవసీ ఉల్లంఘనలపై పెరుగుతున్న ఆందోళనలతో పాటుగా, అసలు ఆ స్పైవేర్ ఏంటి, ఎలా పనిజేస్తుంది, దాని శక్తి సామర్థ్యాలు ఎలాంటివి అనేవి కూడా విస్తృతంగా చర్చల్లోకి వస్తున్నాయి.

టెక్నాలజీ మన జీవితాలను ఎంత అనూహ్యంగా నిర్దేశిస్తోంది, శాసిస్తోంది అన్నదానికి పెగాసస్ స్పైవేర్ ఒక ఉదాహరణ.

మొబైల్ మాల్‍వేర్‍కు సంబంధించిన కొన్ని అంశాలను ఇంకాస్త లోతుగా అర్థం చేసుకునే ముందు, పెగాసస్ గురించి గుర్తుపెట్టుకోవాలిసిన విషయాలు ఇవి.

పెగాసస్ మామూలు సాఫ్ట్‌వేర్ కాదు. అది మిలటరీ స్థాయిలో తయారైన అత్యుత్తమ స్పైవేర్. అందుకే అదంత పకడ్బందీగా పనిచేస్తోంది. దాని ఖరీదు మామూలుగా ఉండదు. అధికారమూ, డబ్బూ అంతే స్థాయిలో ఉంటే తప్పించి సామాన్యులకు దొరకదు.

ఎంతో పకడ్బందీగా పనిచేసేదే అయినా చివరకు అది కూడా ఒక సాఫ్ట్‌వేరే. అంటే, దానిలోనూ లోటుపాట్లు, తప్పులు ఉండే ఉంటాయి. ప్రస్తుతం యాంటీ-స్పైవేర్లు దాన్ని పట్టుకోలేకపోతున్నంత మాత్రాన దానికి ఎప్పటికీ అపజయమే లేదని అనుకోడానికి లేదు. పెగాసస్ రూపొందించడానికి పెట్టినంత డబ్బు, శ్రమ పెడితే దాన్ని పట్టుకోగలిగే యాంటీ-స్పైవేర్‍ను కూడా రూపొందించచ్చు.

మొబైల్ మాల్‍వేర్‍లో అనేక రకాలు

మాల్‍వేర్ అన్న పదం 'మాలిషస్ సాఫ్ట్‌వేర్' అన్న పదబంధం నుంచి పుట్టుకొచ్చింది. అంటే, సాఫ్ట్‌వేరే గానీ దురుద్దేశాల కోసం ప్రవేశపెట్టేది, హాని కలిగించేది. మనకి తెలీకుండా, మన అనుమతి లేకుండా మన డివైజ్‌లోకి ప్రవేశించి, దాన్ని కబ్జా చేసుకుని, అనుచితమైన పనులు చేయిస్తుంది.

డివైజ్ అంటే కంప్యూటర్ అని, మాల్‍వేర్ అంటే వెబ్ బ్రౌజర్ల ద్వారా చేసే అటాక్ అని అనుకునే రోజులు పోయాయి. ఇది 'ఇంటర్నెట్' యుగం కాదు. 'ఇంటర్నెట్ ఆఫ్ థింగ్స్' యుగం.

అందుకని, ఇంటర్నెట్‍కు కనెక్ట్ కాగల ఏ డివైజ్ అయినా అటాక్‍కు గురికాగలదు. ఉదాహరణకు, లాప్‍టాప్, మొబైల్, ఇంటర్నెట్ కనక్షన్‍తో పనిజేసే సీసీటీవీలు, ఫ్రిడ్జిలు, టీవీలు, మెడికల్ ఉపకరణాలు మొదలైనవి.

డివైజ్‌కు ఉండే శక్తిసామర్థ్యాల (అంటే, ఎంత మెమరీ, హార్డ్ డిస్క్, కంప్యూటింగ్ కెపాసిటీ వగైరాలను బట్టి ఈ దాడులు ఎంత తీవ్రరూపం దాల్చగలవనేది ఆధారపడి ఉంటుంది.

‌ఈ వ్యాసంలో మనం మొబైల్ మాల్‍వేర్‌లో కొన్ని రకాల గురించి చెప్పుకుందాం.

మాడ్‍వేర్ (మొబైల్ ఆడ్‍వేర్)

యూజర్ అనుమతి లేకుండా ఏదైనా యాప్ ద్వారా డివైజ్‌లోకి ప్రవేశించి, యూజర్‍కు సంబంధించిన డేటాను రహస్యంగా అనుసరిస్తూ, రకరకాల యాడ్స్‌తో స్పామ్ చేస్తుంది.

మామూలు యాప్స్‌లో కూడా యాడ్స్ ఉండవచ్చు. యాడ్స్ ఉంటాయని ముందుగానే చెప్పి, యూజర్ అనుమతిస్తేనే అవి ఇన్స్టాల్ అవుతాయి. అలా కాకుండా, అనవసర అసంబద్ధ (కొన్ని సార్లు అశ్లీల) యాడ్స్ చూపిస్తూ, యూజర్‍కు ఆ విండో క్లోజ్ చేసే అవకాశం కూడా ఇవ్వని వాటిని మాల్‍వేర్‍గా పరిగణించవచ్చు.

స్పైవేర్

యూజర్ అనుమతి లేకుండా డివైజ్‌లోని సమాచారాన్ని (క్యాలెండర్, ఈమెయిల్స్, మెసేజెస్ లాంటివి) ఇంకెక్కడో ఉన్న సర్వర్‍కు అప్‍లోడ్ చేస్తుంది. అది అటాకర్ సర్వర్ అయినా అవ్వొచ్చు లేదా, ఎవరైతే డబ్బులు పెట్టి ఈ స్పైవేర్‍ను కొనుక్కున్నారో వాళ్ళకు మాత్రమే అందుబాటుగా ఉండేలా చేయవచ్చు.

'గోడలకి చెవులుంటాయి' అన్నది పాత సామెత. సాఫ్ట్‌వేర్‌కు (స్పామ్‍వేరే కానవసరం లేదు) కళ్ళు, చెవులు కూడా ఉంటాయన్నది కొత్త సామెత.

మనం మాట్లాడుకుంటున్న కబుర్లు, చేస్తున్న పనులు అన్నీ ఎప్పటికప్పుడు గమనిస్తూ ఒక చోట సేకరిస్తుంది. అయితే, ఈ నిఘాను అధికారిక రూపంలో ఒక సార్వజనీనమైన మంచి కోసం చేస్తే దాన్ని 'సర్వివియలెన్స్' అని అంటారు.

అంటే, పబ్లిక్ ప్లేసుల్లో సీసీటీవీ కెమేరాలు ఉండడం వల్ల నేరస్థులను పట్టుకోడానికి ఆధారాలు దొరుకుతాయి. నిర్భయ రేప్ కేసు‍లో కీలకమైన సమాచారాన్ని అందించింది ఒక హోటల్ వాళ్ళు పెట్టిన సీసీటీవీలే.

అలా కాకుండా, వ్యక్తుల గురించి రహస్య సమాచారాలను వారి అనుమతి లేకుండా, వారికి చెప్పను కూడా చెప్పకుండా చేసేదాన్ని 'స్పైయింగ్' అంటారు. అయితే వీటి మధ్య తేడాలు చెరిగిపోయి సగటు మనిషికి ప్రయివసీ లేకుండా పోతుందనేది ఇప్పుడు మనం ఎదుర్కొంటున్న మరో చింత.

ప్రపంచంలో మొదటి మొబైల్ స్పైవేర్ 2007లో ఫ్లెక్సిస్పై' అను పేరుతో వచ్చింది.

“మీ పార్టనర్ మీద మీకు అనుమానమా? వాళ్ళు మీ గురించి ఏమనుకుంటారో తెలుసుకోవాలని ఉందా? అయితే ఫ్లెక్సిస్పై ట్రై చేయండి, మీ అనుమానాలు దూరం చేసుకోండి” తరహాలో దాన్ని అడ్వర్టైజ్ చేశారు.

అది ఫోన్ కాల్స్ రికార్డ్ చేసి, ఎస్ఎంఎస్‌లు కాపీ చేసి అటాకర్‍కు పంపించడం మాత్రమే చేయగలిగేది.

అలా తప్పటడుగులు వేసుకుంటూ మొదలైన స్పైవేర్ ఇవ్వాళ పెగాసస్‍తో ఎంత దూరం వెళ్ళిందో గమినిస్తే ఆశ్చర్యం వేయక మానదు.

రాన్సమ్‍వేర్

మొబైల్‌పై ఉన్న డాక్యుమెంట్స్ (ఫోటోలు, వీడియోలు లాంటివి) ముందుగా ఎన్‌క్రిప్ట్ (డేటాని కోడ్ గా మార్చడం) చేసేసి, అవి మునుపటిలాగా పనిజేయాలంటే అటాకర్‍కు అడిగినంత డబ్బు కట్టాలిసిన అగత్యాన్ని కలగచేస్తుంది. మనకు కావలిసిన వాళ్ళను కిడ్నాప్ చేసి, డబ్బులిస్తేనే వాళ్ళను సురక్షితంగా విడిచిపెడతారు అన్నట్టుగా.

ప్రపంచంలో మొదటి మొబైల్ రాన్సమ్‍వేర్ 2013లో వచ్చిన 'ఫేక్‌డిఫెండర్'.

ఇది వచ్చేటప్పటికి మొబైల్‌పై ఎన్‌క్రిప్షన్ టెక్నిక్‌లు ఇంకా పుంజుకోలేదు. అందుకని ఇది ఫేక్ సెక్యూరిటీ అలర్టులు చూపించి యాప్‍ను కొనిపించడం లేదా డివైజ్ సెట్టింగ్స్ మార్చేసి, వాటిని తిరిగి మార్చాలనుకుంటే డబ్బులు కట్టమని అడగడం లాంటివి చేసేది.

ఆ తర్వాత 2014, అంటే ఒక ఏడాది కాలంలోనే, సింప్‌లాకర్ అనే రాన్సమ్‍వేర్ మొబైల్ డివైజ్లో ఎస్‌డీ కార్డులో ఉన్న డాక్యుమెంట్సును ఎన్‍క్రిప్ట్ చేసి డబ్బులు అడగడం మొదలెట్టింది.

బాట్-నెట్

ఇంటర్నెట్‌లో అనేక వెబ్‍సైట్లపైనా, సర్వర్లపైనా వ్యూహాత్మక దాడులు చేస్తుంటారు హాకర్లు. ఇలా అటాక్ చేయడానికి మెషీన్ పవర్ కావాలి కదా? అందుకని డివైజ్‌లలో జొరబడి వాటిని ఆక్రమించుకుని ఈ దాడులు చేయడానికి అనుగుణంగా వాటిని మార్చేస్తుంటారు.

మొబైల్ మైనర్స్

ఇప్పుడు క్రిప్టోకరెన్సీ లాంటి టెక్నాలజీలు వచ్చాయి. వాటిని రన్ చేయడానికి కూడా మెషీన్ పవర్ కావాలి. అందుకని అటాక్ చేసి డివైజ్‌లను లోబర్చుకుని వాళ్ళ పనిని కానిచ్చుకుంటారు. మన ఇంటిపైన టాంకులో నీళ్ళనో, ఇంటి కరెంటునో ఇంకెవరో వాడేసుకుంటూ ఉంటే, బిల్లులు మాత్రం మన కట్టాలిసిన పరిస్థితి లాంటిది ఈ మాల్‍వేర్.

మొబైల్ మాల్‍వేర్‍లో స్టేజీలు

మాల్‍వేర్ పనిజేసే విధానాన్ని విస్తృతార్థంలో చూస్తే..

సోషల్ ఇంజనీరింగ్

మాల్‍వేర్‍లు డివైజ్‌లలో ప్రవేశించడానికి ఎక్కువగా యూజర్లను మాయ చేసి వాళ్ళ చేతే మాల్‍వేర్‍లు ఇన్స్టాల్ చేయించడం (సోషల్ ఇంజనీరింగ్), లేదూ ఒక మంచి యాప్‌లో మాల్‍వేర్‍ను దాచడం లాంటివి సర్వసాధారణమైన పద్ధతులు.

ఎస్ఎంఎస్, ఎంఎంఎస్‌ల రూపంలో వచ్చే లింకులు కావచ్చు, “మీ మొబైల్‌ను క్లీన్‍గా ఉంచుతాం, మీకు కొత్త యాప్స్ గురించి చెప్తాం” అంటూ ఊరిస్తూనో, లేదా “మీ మొబైల్‌లో బోలెడంత మాల్‍వేర్ ఉంది, వెంటనే తీయకపోతే అంతే సంగతులు” అని భయపెట్టో యూజర్ స్వహస్తాలతోనే పాపకార్యానికి శ్రీకారం చుడుతుంటారు. అంటే, దొంగ చేతికి తాళాలు మనమే ఇచ్చినవాళ్ళం అవుతుంటాం.

ఎప్పటికప్పుడు యాంటీ-వైరైస్ కంపెనీలు వీటికి విరుగుడు కనిపెట్టినా, యూజర్లు చాలా జాగ్రత్తగా ఉన్నా కొత్తకొత్త మోసపూరిత విధానాలు కనుక్కోవడంలో హాకర్లు దిట్టలు.

జీరో-డే అటాక్స్

అయితే పెగసస్ కేసులో అసలు ఇలాంటి లింకులేవీ క్లిక్ చేయకుండా, యాప్‍లు ఏవీ డౌన్లోడ్ చేసుకోకుండా కేవలం ఒక వాట్సాప్ మిస్‍డ్ కాల్‍తో స్పైవేర్ ఎంట్రీ కొట్టగలదు అని చెప్తున్నారు. అదెలా సాధ్యం?

ఇంట్లోకి జొరబడాలంటే మెయిన్ డోర్ తాళాలు తీసి, తలుపులు తెరవాలన్నది ఒక ఆప్షన్ మాత్రమే కదా? కిటికీల గ్రిల్స్ చాలా తేలిగ్గా వచ్చేసేవైనా లేదా డ్రైనేజి పైప్‍లైన్లు పట్టుకుని బాత్రూమ్ వెంటిలేటర్ల ద్వారా వచ్చే వీలున్నా దొంగలు జొరబడ్డానికి అవకాశాలు ఉన్నట్టే.

యాప్స్ అనే కాదు, ఏ సాఫ్ట్వేర్ అయినా ఇలా జొరబడేందుకు అవకాశాలు ఇస్తూనే ఉంటుంది.

జొరబడేందుకు అవకాశాలు ఉన్నాయని మనకి ముందుగానే తెలిస్తే అందుకు తగ్గ చర్యలు తీసుకుంటాం. కానీ మనం వాటిని గుర్తించే ముందే దొంగలు ఆ సంగతి పసిగడితే? ఏముంది, మనం అవాక్కై దిక్కులు చూస్తుంటాం.

మర్నాడు పోలీసులొచ్చి వెళ్ళాక పలకరింపుకు వచ్చే ఇరుగు పొరుగుతో “అసలెలా వచ్చారండీ బాబూ! ఏ మాత్రం అనుమానం వచ్చినా ముందుగానే ఏదోటి చేసుండేవాళ్ళం” అని వాపోతాం. చేతులు కాలాకే అయినా ఆకులు పట్టుకుంటాం, మళ్ళీ మళ్ళీ కాలకుండా.

వాట్సాప్ చేస్తున్నదదే! సాఫ్ట్వేరు ఇంజనీర్ల పని కూడా అంతే. చేతులు కాల్చుకోకుండా ఉండలేని పరిస్థితి. వాళ్ళు రాసే కోడ్‍లోనో, వాళ్ళు వాడే లైబ్రరీరలనో ఎక్కడో, ఏదో లోటు ఉండిపోయుండచ్చు. ఇలాంటి తప్పుల వల్ల ఒక్కోసారి విపరీతమైన నష్టం జరగవచ్చు. వాటిని వల్నరబిలిటీస్ అంటారు.

వీటిని హాకర్లు మొదట కనిపెట్టి, వాటిని ఆధారంగా చేసుకుని దాడులు చేయవచ్చు. వాటినే 'జీరో-డే అటాక్స్' అని అంటారు. ఇంకెవ్వరూ గుర్తించక ముందే, యాప్ విడుదలైన రోజునే ఈ దాడి చేసే అవకాశం ఉంటుంది.

పెగాసస్-వాట్సాప్ విషయంలో జరిగింది కూడా ఇదే

ఇప్పుడు ఈ వ్యాసం చదవడానికి మీరు ఒక బ్రౌజర్ తెరిచి ఉంటారు. దాని యూఆర్‌‌ఎల్ గమనిస్తే మీకు పక్కన 'హెచ్‌టీటీపీఎస్' అని కనిపిస్తుంది. అది ఒక ప్రోటోకాల్. అంటే ఒప్పందం.

నేను రాసిన ఈ వ్యాసం మీరు చదవాలంటే ఒక నిగూఢ ఒప్పందం ఉంది కదా. భాష తెలుగు. దానికో వ్యాకరణం ఉంది, దానికి అనుగుణంగా నేను రాస్తేనే మీరు చదవగలరు. వ్యాకరణం సరిగ్గానే ఉన్నా నేను చంధస్సు పద్యాలలోనో, గ్రాంధికంలోనో రాయకూడదు. సరళ వ్యవహారిక భాషలో ఉండాలి. అలానే 'హెచ్‌టీటీపీఎస్ - హైపర్ టెక్స్ట్ ట్రాన్స్‌ఫర్ ప్రోటోకాల్ సెక్యూర్' అంటే వెబ్ మీద టెక్స్ట్‌ను పంపించడానికి, చూపించడానికి కుదుర్చుకున్న ఒప్పందం.

మరి వాట్సాప్ కాల్‍‍లో వాయిస్ (ఆడియో) కదా పంపిస్తాం కాబట్టి ఆ ప్రొటోకాల్ వేరు. దాన్ని 'ఎస్ఆర్‌టీపీ - సెక్యూర్ రియల్ టైం ట్రాన్స్పోర్ట్ ప్రోటోకాల్' అంటారు.

ఇంటర్నెట్‌కు కనెక్ట్ అయ్యున్న రెండు డివైజ్‌ల మధ్య ఆడియో పంపడానికి ఇది వాడుతుంటారు.

వాట్సాప్ కూడా ఆ ప్రొటోకాల్‌నే వాడుతుంది. దానికి సంబంధించిన సాఫ్ట్వేర్‍ను వాడింది. అందులో ఒక బగ్ ఉంది. అది కాల్ స్వీకరించక ముందే ఆ బగ్ యాక్టివ్ అవుతుంది.

ఆ సంగతి కనిపెట్టిన ఇజ్రాయిల్ కంపెనీ ఎన్.ఎస్.ఒ వాళ్ళు ఆ లోటును ఆధారంగా చేసుకుని పెగాసస్ స్పైవేర్‍ను దాని ద్వారా మొబైళ్ళల్లో చేరేలా చూశారు.

మాల్‍వేర్‌పై యుద్ధం ఎవరి బాధ్యత?

కొందరు దుష్టులు డబ్బు ఆశతో తయారుచేసే హానికారకమైన సాఫ్ట్వేర్ అన్న దశను మాల్‍వేర్ దాటేసింది.

ఇప్పుడు దాని కొత్త రూపాల గురించి మన చుట్టూ చర్చలు జరుగుతున్నాయి.

రేపు, రాజకీయ నాయకులు ఎవరైనా.. “మాల్‍వేర్‍పై యుద్ధం ప్రకటిస్తున్నాం. దానిపై గెలిచి తీరుతాం” అన్న స్టేట్మెంట్లు కూడా ఇవ్వొచ్చు.

నిజజీవితంలో ఒక నేరాన్ని నిరోధించడానికి, శిక్షించడానికి న్యాయవ్యవస్థ, పోలీసులు, మానవ హక్కుల సంఘాల అవసరంతో పాటు ప్రజల జాగురూకత, సహకారం ఎంత అవసరమో టెక్నాలజీ ద్వారా జరిగే నేరాలని పట్టుకోడానికి కూడా అంతే అవసరం.

లేకపోతే, ప్రకాశ్ రాజ్ స్టైల్‍లో “నేను దిగడమంటూ మొదలెడితే ఇది నా తొలి మెట్టు. దీని బట్టి నా ఆఖరి మెట్టు ఎంత భయంకరంగా ఉంటుందో ఊహించుకో” అని పెగాసస్ లాంటి స్పైవేర్లు మనకి వార్నింగ్ ఇస్తున్నట్టు ఊహించుకోవడం అతిశయం కాదు.

ఇవి కూడా చదవండి:

(బీబీసీ తెలుగును ఫేస్‌బుక్, ఇన్‌స్టాగ్రామ్‌, ట్విటర్‌లో ఫాలో అవ్వండి. యూట్యూబ్‌లో సబ్‌స్క్రైబ్ చేయండి.)