पेगासस बनानेवाली कंपनी और इस तरह की जो अन्य हैकिंग कंपनियां होती हैं, उनका काम ऐसे चलता है कि वे फोन के सॉफ्टवेयर की एक या एक से अधिक कमजोरियों को चिह्नित करती हैं तथा उनका फायदा उठाकर फोन को हैक कर देती हैं. हैक हुए फोन के तमाम एप, मैसेजिंग, कैमरा, माइक आदि उनके नियंत्रण में आ जाता है. फोन की ऐसी कमजोरियों के बारे में उनके ऑपरेटिंग सिस्टम बनानेवाली कंपनियों को भी पता नहीं होता है.
एप्पल कंपनी ऐसी कमजोरियों को पहचानने के बदले हैकरों को लाखों डॉलर देती हैं और फिर उन्हें दूर कर अपने उत्पाद को अधिक सुरक्षित बनाने का प्रयास करती हैं. कुछ अन्य कंपनियां भी ऐसा करती हैं. लेकिन ऐसी कंपनियां भी हैं, जो हैकरों को अधिक पैसा देकर उन कमजोरियों की जानकारी खरीद लेती हैं ताकि उनका फायदा उठाया जा सके. फिर वे कंपनियां भारी दाम पर अपनी तकनीक बेचती हैं, जिससे फोन की सारी सूचना हासिल हो सके. मौजूदा मामला भी ऐसा ही है.
जहां तक फोन और उसके डाटा को सुरक्षित रखने का सवाल है, तो यह समझा जाना चाहिए कि अगर बेहद उन्नत और महंगी तकनीक के सहारे, जैसे पेगासस एक सैन्य स्तर की तकनीक है, हैकिंग हो, तो उसे रोक पाना बेहद मुश्किल है. लेकिन अगर सर्विलांस (निगरानी) से संबंधित सुधार हों और समुचित कानूनी व्यवस्था हो, तो ऐसी घटनाओं को सीमित किया जा सकता है.
फोन टेपिंग और डाटा निकालने को रोकना जब इतना मुश्किल है, तो फिर गोपनीय ढंग से सक्रिय हैकिंग के मामले में क्या होता होगा, यह बड़ा अहम सवाल है. तकनीकी रूप से यह संभव है कि जो भी हम फोन के माध्यम से करते हैं, उसे हैक किया जा सकता है, लेकिन जो हम कर सकते हैं, वह यह है कि ऐसी व्यवस्था स्थापित हो, जहां हैकिंग आसान न रहे और उसकी जवाबदेही तय हो सके.
उल्लेखनीय है कि यह हैकिंग प्रक्रिया सस्ती नहीं है. फोन की कमजोरियों की जानकारी जब उसे या उसके सॉफ्टवेयर या ऑपरेटिंग सिस्टम बनानेवाली कंपनी को नहीं है और उसका पता केवल दो-चार हैकिंग कंपनियों को है, तो उसकी कीमत लाखों डॉलर में होती है. इसके दुरुपयोग को ‘जीरो क्लिक एक्सप्लॉइट’ कहते हैं, जिसका मतलब यह है कि आपको कोई लिंक वगैरह क्लिक नहीं करना होता है और जो वायरस भेजा गया है, वह स्वतः सक्रिय होकर आपके फोन को असुरक्षित कर देता है.
अब सवाल है कि यह पता कैसे चले कि फोन में ऐसा कोई वायरस है. पेगासस मामले में जितने फोन नंबर सामने आये हैं, उन सभी के बारे में यह निश्चित रूप से नहीं कहा जा सकता है कि उन्हें हैक किया गया था. यह बात फोन की फोरेंसिक जांच से ही पता चल सकती है. अनेक फोन की यह जांच की गयी है. एमनेस्टी इंटरनेशनल की फोरेंसिक लैब ने एक मोबाइल वेरिफिकेशन टूल निकाला है, जिससे न केवल पेगासस वायरस, बल्कि डिवाइस में मौजूद गड़बड़ी कर रहे अन्य एप भी चिह्नित किये जा सकते हैं.
लेकिन गिटहब पर उपलब्ध इस टूलकिट चलाने के लिए कुछ तकनीकी जानकारी और अनुभव जरूरी है. अब तक जिस तरह की हैकिंग से आम तौर पर हमारा सामना हुआ है, जैसे- सिम कार्ड क्लोनिंग, फोन में एप डालना, ईमेल जैसे अकाउंट को हैक करना आदि, उन्हें कुछ हद तक रोका जा सकता है. आप पासवर्ड बदल सकते हैं, एप हटा सकते हैं, ऑथेंटिकेशन प्रक्रिया अपना सकते हैं, सर्विस प्रोवाइडर को सूचित कर सकते हैं, आप अपने कार्ड के नंबर किसी को जाहिर नहीं करेंगे, अतिरिक्त सावधानी आदि अनेक उपाय हो सकते हैं.
पेगासस जैसा जीरो एक्सप्लॉइट आपके फोन की कमियों से होता है, इसलिए उसे जान पाना या रोक पाना मुश्किल है. उससे बचाव का उपाय है कि आप अपने ऑपरेटिंग सिस्टम को समय-समय पर अपडेट करते रहें. तकनीक के दुरुपयोग की आशंका हमेशा है और विभिन्न प्रकार की हैकिंग होती भी रहती हैं, लेकिन जिस पैमाने पर मौजूदा पेगासस जैसे मामले अंजाम दिये जाते हैं, वह एक अलग ही मसला है. उदाहरण के लिए आइफोन को लें.
अगर आप एक हैकर हैं और आपको उस फोन को हैक करने का एक तरीका मिल गया है कि फोन का इस्तेमाल करनेवाले व्यक्ति को कोई लिंक क्लिक नहीं करना पड़ेगा और उसके फोन को केवल एक मैसेज भेज कर हैक किया जा सकता है, तो आप इस जानकारी को सीधे एप्पल कंपनी को दे सकते हैं. ऐसी जानकारियों के बदले एप्पल ने दस लाख डॉलर की राशि की दर तय की हुई है. उसके बाद कंपनी उस कमी को दूर कर अपने ग्राहकों को सॉफ्टवेयर अपडेट करने के लिए कहेगी.
अब इस दस लाख डॉलर के ईनाम से अधिक राशि कौन दे सकता है? तब एनएसओ जैसी बड़ी कंपनियां मैदान में आती हैं. वे हैकर से अधिक दाम पर जानकारी ले लेती हैं. हैकिंग का यह कारोबार ऐसे चलता है. बहुत महंगे होने के कारण इन तरीकों से बड़ी संख्या में फोन को निशाना बनाना संभव नहीं है.
बहुत सारी छोटी कंपनियां हैं, जिनके पास अपने उत्पाद को अधिक सुरक्षित बनाने का समुचित बजट नहीं होता है. इनके फोन और एप को बड़ी संख्या में लोग इस्तेमाल करते हैं. यह सच है कि बहुत से लोग कुछ अन्य लोगों की तुलना में अधिक असुरक्षित हैं. लेकिन जो लोग सुरक्षित हैं, वे भी पूरी तरह सुरक्षित नहीं हैं. पेगासस का मामला फोन की सुरक्षा से संबंधित है, लेकिन चूंकि हमारे पास कानून नहीं है, तो सरकार हो या निजी क्षेत्र हो, जिनके पास नागरिकों का व्यक्तिगत डाटा है, उनके पास उसे सुरक्षित रखने का कोई प्रेरक या लाभ का कारण नहीं है.
आम तौर पर एक व्यक्ति का डाटा लगभग सौ जगहों पर है, जैसे- अस्पताल में, चुनाव आयोग के पास, आधार प्राधिकरण के पास, यातायात कार्यालय में, विभिन्न सेवाएं प्रदान करनेवाली निजी कंपनियों के पास आदि. अगर इन्हें उस डाटा को सुरक्षित रखने में कोई फायदा न दिखे, और डाटा के लीक या ब्रीच होने से उन्हें कोई नुकसान न हो, तो वे फिर इसकी परवाह क्यों करेंगे?
ऑनलाइन सेवाओं के लिए तो हम सभी अपना डाटा उपलब्ध कराते रहते हैं. ऐसी स्थिति का यही परिणाम होगा कि डिजिटल तकनीक के प्रसार के साथ-साथ डाटा में सेंध लगने की घटनाएं लगातार बढ़ती जायेंगी. तकनीकी रूप से इसे रोकना बड़ी चुनौती है. इसका ठोस उपाय यही है कि डाटा सुरक्षा और सर्विलांस को लेकर सुविचारित फ्रेमवर्क बनाने की दिशा में पहल हो. (बातचीत पर आधारित)
(ये लेखक के निजी विचार हैं.)
