१६ वर्षे किशोरले किन र कसरी ह्याक गरे त्रिविको वेबसाइट ?

माघ १८, २०८० ११:३३

सामाजिक सञ्जालका पोस्ट हेर्दै थिएँ, परीक्षा नियन्त्रण कार्यालयले वेबसाइटमा ल्याएको नयाँ अनलाइन सेवाबारे ट्रोल भइरहेको देखें । त्यहाँ पेज डिजाइन, स्पेलिङ मिस्टेक र अन्य कुराको ट्रोल भइरहेको थियो । मलाई त्यसभन्दा अगाडि उक्त वेबसाइट बारे थाहा थिएन । मैले वेबसाइट भिजिट गरेपछि त्यहाँ अक्षरहरू बिगारेर लेखेको, बटनहरू मिलाएर नराखेको देखें ।

पेज हेर्दा सुरुमै बग (कमजोरी) वा ग्लिच भएको जस्तो लाग्थ्यो । लगइन गर्न खोज्दा इरर देखाइरहेको थियो । त्यस्तो देखेपछि मलाई यो साइटको एक्सेस पाउने कुनै ‘लुपहोल’ पो छ कि भन्ने लाग्यो । यस्तो ग्लिच भएको साइट सेक्योर छ वा छैन त्यो जाँच्नुपर्छ भन्ने लाग्यो ।

म पनि सेक्युरिटी टेस्टिङ सिक्दै गरेको विद्यार्थी, त्यसमा टेस्टिङ गर्दैमा के जान्छ र जस्तो लाग्यो । टेस्ट गर्दै जाँदा मैले त्रिविको साइटमा ‘लुपहोल’ फेला पारें, जुन इन्ड पोइन्ट (अन्तिम विन्दु) पनि थियो । त्यसमा एड्मिनको एक्सेस लिन मिल्ने पेज थियो । अनि त्यो पेजबाट एड्मिन एक्सेस गरें ।

सामान्य अर्थमा भन्नुपर्दा त्रिविको एड्मिन लगइन पेजमा अकाउन्ट क्रियट गर्दा क्रस साइट स्क्रिप्टिङ जस्तो बग फेला पर्‍यो । त्यसमा भ्यालिडेसन पनि कम थिएन । अथोराइजेसन पनि चेक गरेको थिएन । एक ठाउँमा लगइन गर्न खोज्दा राम्रोसँग कोड डेभलप गरिसकेको पनि थिएन ।

त्यसैले त्यहाँ इरर पेज देखाइरहेको थियो । त्यो कोडको इरर विश्लेषण गर्दा त्यसबाट एड्मिन पेज (सर्भरको एक्सेस लिन मिल्ने ठाउँ) को केही सङ्केत फेला पर्‍यो । त्यही सङ्केतको सहायताले मैले लगइन गर्न खोजें र, लगइन भयो । त्यसपछि सी-प्यानल मार्फत सबै सबसाइटलाई आफ्नो फेसबुक पेजमा रिडाइरेक्ट हुने बनाएँ । अन्तिममा मुख्य पेजलाई आफ्नो फेसबुक अकाउन्टमा रिडाइरेक्ट गराएँ ।

सबैलाई ह्याकिङ शब्द सुन्नेबित्तिकै खतरा हो भन्ने लाग्छ । मलाई पनि सानोमा त्यस्तै लाग्थ्यो । कक्षा आठमा पढ्दा स्कुलमा वाईफाई जडान गरिएको थियो । त्यो बेला नै सेभ भएको वाईफाईको पासवर्ड हेर्न जान्थें । त्यसबाहेक पनि सानोमा मोबाइल बिग्रिंदा वा पासवर्ड बिर्सेको बेला मलाई बनाइदिन भन्नुहुन्थ्यो गाउँमा । त्यसबाट मलाई प्रविधि र कम्प्युटरतिर रुचि जागेको हो ।

मलाई सबैभन्दा पहिले ह्याकिङतर्फको रुचि चाहिं कक्षा १० मा पढ्दा फ्रिफायरबाट आएको थियो । फ्रिफायरमा ठ्याक्कै ह्याकिङ भन्ने त होइन, त्यसलाई मोडिफिकेसन भनिन्छ । तर, मोड एपीकेबाट फ्रिफायर खेल्दा ह्याकिङको फिल आउँछ । त्यसबाट मलाई ह्याकिङतर्फ रुचि जाग्दै गयो ।

त्यसलाई छोडेर म मोड एपीकेलाई आफैले कसरी मोडिफाई गर्ने भन्ने सिक्न थालें । त्यसमा सिक्दै जाँदा जाभा प्रोग्रामिङ ल्याङ्ग्वेजबाट स्ट्रिङ परिवर्तन गर्न मात्र आउँथ्यो । स्ट्रिङ परिवर्तन गरेर मोड एपीकेमा आफ्नो नाम राख्ने अनि आफ्नो जस्तै बनाउने गर्थें ।

त्यसबाट मलाई कोडिङतर्फ रुचि जाग्यो । कोडिङ मैले पाइथनबाट सिक्न सुरु गरें । पछि युट्युबमा ह्याकिङसँग सम्बन्धित अन्य भिडिओहरू आउन थाले । त्यसबाटै पनि सिक्दै गएँ । १० कक्षा सकिएर म काठमाडौं आइसकेपछि इन्टरनेटको पहुँच पाएर झन धेरै सिक्न पाएँ ।

म अहिले सीसीआरसीमा कक्षा १२ मा विज्ञान विषय पढ्दैछु । ह्याकिङ र साइबर सुरक्षा फरक विषय पनि हो । मैले १२ मा अप्सनल सब्जेक्टको रूपमा कम्प्युटर साइन्स लिएको भए पनि त्यसमा साइबर सुरक्षाको विषय सिकाइँदैन ।

मलाई पहिलेदेखि नै रुचि भएर मैले अनलाइबाट स्वअध्ययन गरेर ह्याकिङ सम्बन्धी सीप विकास गरेको हुँ । पहिले स्वअध्ययन गर्दा म आफ्नै सिस्टममा भर्चुअल मसिन क्रियट गरेर चेक गर्थें । आफै अध्ययन गर्दै जाँदा वास्तविक जीवनमा पनि यसलाई प्रयोग गरौं भनेर विभिन्न वेबसाइटमा परीक्षण गरिरहेको थिएँ ।

मैले पाएको एक्सेस सी-प्यानलको सिस्टम कमान्ड एक्सेस हो । त्यसलाई कमान्ड इन्जेक्सन भनिन्छ । मैले यताबाट रन गरेको कमान्ड सिस्टममा रन हुन्छ । मैले कम्प्युटरमा कमान्ड प्रोम्प्ट खोल्छु अनि आफ्नो कमान्ड गर्दा आफ्नो सिस्टममा रन हुन्छ । त्यसरी नै मैंले वेबसाइटको क्लाइन्ट साइडबाट यताबाट रन गरेको कमान्ड उनीहरूको सर्भरमा रन गरेर उताको रेस्पोन्स लिन मिल्ने बग हो यो ।

टीयूको साइट ह्याक गर्नुको कारण !

ह्याक गर्नु गैरकानूनी काम हो भन्ने मलाई पनि थाहा छ । कुनै पनि डेटालाई असुरक्षित तरिकाले लिक गर्नु वा त्यसलाई तोडमोड गर्नु नराम्रो काम हो । तर यसमा के छ भने म सिक्दै गरेको विद्यार्थी हुँ । वेबसाइटमा गएर डेटा एक्सेस गरिसकेपछि मैले रिपोर्ट गर्न खोजेको थिएँ ।

बग रिपोर्ट गर्न कुनै पनि लगइन फर्म दिइएको छैन । सोसल मिडिया अकाउन्ट पनि राखिएको छैन, जहाँबाट हामी बग रिपोर्ट गर्न सक्छौं । बग रिपोर्ट गर्ने कुनै ठाउँ नभेटाएपछि मैले त्यहाँ दिइएको नम्बरमा सम्पर्क गर्न पनि खोजें, तर कुनै रेस्पोन्स आएन ।

मैले केही गरे पनि बग रिपोर्ट गर्न नसकेपछि मलाई के गरौं भन्ने लाग्यो । साइट त्यत्तिकै छोडे कुनै अर्को ह्याकरले डेटा लिक गर्न सक्छ जस्तो लाग्यो । त्यसैले साइट मैले ह्याक गरेको हुँ भन्ने देखाउन आफ्नै फेसबुक अकाउन्टमा रिडाइरेक्ट हुने बनाएँ । त्यस्तो भयो भने परीक्षा नियन्त्रण कार्यालयका कर्मचारीले सोझै मलाई देख्छन् र समस्या बुझेर समाधान गर्छन् जस्तो लागेको थियो ।

मैले टीयूको आधिकारिक साइटमा एक्सेस पाइसकेपछि आफ्नै अकाउन्टमा रिडाइरेक्ट नगरेर फेक आईडीमा पनि रिडाइरेक्ट गर्न सक्थें । कुनै फिशिङ लिङ्क वा भिजिटर बढाउनुपर्ने साइटमा रिडाइरेक्ट गर्न सक्थें । यस्तो हुँदा मेरो परिचय पनि बाहिर आउँदैनथ्यो । त्यो साइट फिर्ता ल्याउनका लागि कोसँग सम्पर्क गर्ने भन्ने उनीहरूलाई अन्योलता हुन्थ्यो ।

मैले आफ्नो आधिकारिक फेसबुक अकाउन्ट राखिदिंदा टीयूको मान्छेले सोझै मलाई सम्पर्क गर्न सक्छन् । मैले आफ्नो ईमेल पनि राखेको छु । मलाई आधिकारिक ईमेलबाट सम्पर्क गर्नुभयो भने म सबै जानकारी दिन्छु । यदि मैले डेटा लिक गर्ने मनसाय राखेको भए त्यसो गर्न सक्थें । तर, त्यो नराम्रो कुरा हो । त्यसैले मैले आफ्नो आधिकारिक अकाउन्ट राखेको हँ ।

ह्याकिङ भन्ने बित्तिकै नराम्रै हो भन्ने पनि हुँदैन । ह्याकिङ एउटा सीप हो । यसलाई गलत तरिकाले प्रयोग गर्‍यो भने ब्ल्याक ह्याट ह्याकर भनिन्छ । यदि सही ढङ्गले सीप प्रयोग गर्‍यो भने ह्वाइट ह्याट मानिन्छ ।

मैले अहिलेसम्म कुनै डेटा लिक गरेको छैन । त्यसमा कुनै फाइल हटाउने वा मोडिफाई गर्ने त्यस्तो केही काम गरेको छैन । मैले बग रिपोर्ट गर्न सकूँ भनेर मात्रै आफ्नो अकाउन्टमा रिडाइरेक्ट गरेको हुँ । कानूनी रूपमा ह्याकिङ गलत हो । तर, मैले गलत तरिकाले गरेको होइन ।

यो वेबसाइट मात्र नभएर मसँग यस्ता सुरक्षा कमजोरी भएका अरू केही वेबसाइटहरू पनि छन् । तर, मैले ती साइटमा एक्सेस लिन खोजेको छैन । डेटा लिक गर्नका लागि धेरै बाटा हुन्छन् । तर, मैले वेबसाइटको मुख्य सञ्चालकसम्म पुग्ने तरिकाले एक्सेस लिएको छु । त्यसभन्दा अगाडि मैले आफ्नै कलेजको वेबसाइट ह्याक गरेको थिएँ । त्यसमा पनि बग फेला पारेर मैले एड्मिन एक्सेस लिएको थिएँ ।

सरकारी साइटमा लापरवाही

प्रायः सरकारी वेबसाइटमा इनसेक्युअर (असुरक्षित) डिजाइन हु्न्छ । जस्तो प्रोपर भ्यालिडेसन गरिएको हुँदैन । वेबसाइटमा ककसलाई एक्सेस गर्न दिने, कसले कस्ता फाइलहरू हेर्न पाउने ती कुराहरू सही ढङ्गले व्यवस्थापन गरिएका छैनन् ।

कतिपय सर्भर साइटमा रन हुनुपर्ने कोड क्लाइन्ट साइडमै रन भइरहेका हुन्छन् । त्यस्तो कोड भिजिबल हुँदा त्यसबाट थप सूचनाहरू पाउन सकिन्छ । साइट डिजान गर्दा सर्भर र युजरबीच जुन रेस्पोन्स हुन्छ, त्यसबीचमा हुने रेस्पोन्स हिडन फर्म (गोप्य भएर) मा जानुपर्ने हुन्छ । तर, सरकारी साइटमा त्यस्तो रेस्पोन्स इन्क्रिप्ट नभएर गइरहेको हुन्छ ।

सरकारी वेबसाइट हेर्दा बनाउने मान्छेको पनि कमजोरी छ जस्तो लाग्छ । जब कसैले वेबसाइट डेभलप गर्छ, त्यसमा उसले पहिले नै सबै किसिमको सेक्युरिटी टेस्टिङ गर्नुपर्ने हुन्छ । उनीहरूले टेस्ट नगरेर नै सार्वजनिक गरिदिए । डेभलपरको एक्सेस जसले पनि लिन सक्ने बनाइएको छ । उसले आफ्नो एक्सेस युजरले जस्तो राख्नु नै कमजोरी हो जस्तो लाग्छ ।

यी कुराहरूलाई ख्याल नगर्दा सरकारी वेबसाइटमा जोखिम निम्तिएको छ । वेबसाइट छिटो सार्वजनिक गर्ने हतार गर्नुभन्दा पनि सही तरिकाले गुणस्तरीय सेवा दिने गरी सम्पूर्ण मापदण्ड पूरा गरेर मात्र साइट लाइभ गर्नुपर्ने हुन्छ ।

सरकारी साइटमा बग रिपोर्ट गर्ने त्यस्तो कुनै विकल्प दिइएको हुँदैन । त्यो दिनुपर्छ भन्ने पनि मलाई लाग्छ ।

अहिले म १२ कक्षामा पढ्दै छु । प्लसटु सकाएपछि ब्याचलरमा साइबर सुरक्षा विषय लगेर पढ्ने सोचेको छु । यदि त्यो भएन भने वेब डेभलपमेन्टतिरै जान्छु । मैले ह्याकिङ रहरले सिकेको हो । म आफै पनि फुल स्ट्याक डेभलपर हुँ ।

मलाई पीएचपी, डेटाबेस, पाइथन ज्याङ्गोको राम्रो ज्ञान छ । आफैले पूर्ण रूपमा वेबसाइट बनाएर दिन सक्छु । प्लस टुपछि यही क्षेत्रमा आम्दानी गर्नका लागि फ्रिल्यान्सिङ गर्न सक्छु । कानूनी तरिकाले सेक्युरिटी टेस्टिङको काम पनि गर्न सक्छु ।

म आफूलाई रुचि लाग्ने र साइबर सुरक्षासँग जोडिएका विभिन्न कार्यक्रममा सहभागी भइरहेको हुन्छु । पेनटेस्टर नेपालले आयोजना गर्ने सीटीएफ प्रोग्राममा गइरहेको हुन्छु । कोडिङ कार्यक्रममा सहभागी भइरहेको हुन्छु ।

ह्याकिङ भनेपछि धेरैलाई नराम्रो कुरा हो भन्ने लाग्छ । यसलाई डिजिटल सम्पत्तिको चोरीका हिसाबले धेरैले हेरिरहेका हुन्छन् । ह्याकिङमा मैले रोजेको पाटो ह्वाइट ह्याट ह्याकिङ हो । यसमा मैले आचार संहिता अपनाएर आफ्नो सीप प्रयोग गरेको छु ।

टीयूको सवालमा पनि मैले राम्रोसँग रिपोर्ट गर्न खोजेको हो, तर त्यस्तो नभएकाले आफ्नै फेसबुक अकाउन्टमा रिडाइरेक्ट गरें । यसमा गलत नियत छैन । मलाई सम्बन्धित व्यक्तिले सम्पर्क गरेर यसको विस्तृत कारण बुझ्न सक्नुहुन्छ । त्यसका लागि मैले आफ्नो फेसबुक प्रोफाइलमै ईमेल राखेको छु र, मैले गरेको यो काम गैरकानूनी हो भन्ने मलाई लाग्दैन ।

(किशोर ह्याकरसँगको कुराकानीमा आधारित)