इंटरनेट की दुनिया में चलता है जिनका सिक्का

यह कोई विज्ञान की काल्पनिक फिल्म नहीं है, बल्कि 2012 में एक रिपोर्टर मैट होनन के साथ हुई एक सच्ची घटना है। आज की सुपर कनेक्टेड डिजिटल दुनिया में ये दिखाता है कि इंटरनेट सुरक्षा कितनी अहम है। अकेले 2014 में, दुनिया भर में 42 मिलियन से ज्यादा साइबर हमले अनुमानित थे, जो कि 2013 की तुलना में 48 फीसदी ज्यादा था। हाल ही में, भारत के सबसे बड़े स्टार्टअप में से कुछ जैसे Ola, Zomato and Gaana.com हैक कर लिए गए थे, जिससे लाखों यूजर्स का डेटा जोखिम में था।

सुरक्षा अब एक लग्जरी नहीं, ज़रुरत है। हफ्ते के तकनीकी विशेषज्ञ मंगलवार को अपना ज्यादातर समय उत्पादों को समझने, जोखिम से बचाने और सुरक्षा से संबंधित खोज में खर्च करते हैं। गूगल, फेसबुक, एडोब, मॉज़िला और ट्विटर में सुरक्षा से जुड़ी खोजों और अपने बग्स पर जीत हासिल करने वाले प्रोग्राम्स के लिए वो मशहूर हैं।

रियाज अहमद वालीकर एक वेब अनुप्रयोग सुरक्षा पेशेवर और प्रवेश परीक्षण इंजीनियर हैं। वो वेबसाइट और डिजिटल इकाइयों में सुरक्षा खामियों की पहचान करने और उसे रोकने की भूमिका निभाते हैं। अपनी ज़िंदगी का एक लंबा अरसा गोवा में बिताने वाले रियाज की कहानी जितनी दिलचस्प है, उतनी ही इन्साइटफुल भी है।

---

एक खगोलविज्ञानी, शिक्षक, तारा-भौतिकविद, पॉयलट और न जाने क्या-क्या.....

अपने बचपन में रियाज इतने ज्यादा एक्टिव थे कि उन्हें आसानी से एक उपद्रवी कहा जा सकता था। उनके माता-पिता कॉलेज नहीं जा पाए थे, लिहाजा उन्होंने ये तय किया कि उनके बच्चे को शिक्षा का महत्व समझना ज़रूरी है। अपने स्कूली दिनों में, लगभग हर दूसरी कक्षा में उनके पास ‘तुम क्या बनाना चाहते हो?’ इस सवाल का एक अलग जवाब था। सातवीं में वो एक खगोल विज्ञानी बनना चाहते थे और आठवीं में एक डॉक्टर बनना चाहते थे। वो याद करते हैं...बाद में उनकी इच्छा ताराभौतिकविद, पायलट और डॉक्टर बनने की भी हुई थी।

“मैं जिंदगी में संतुष्ट होना चाहता था। अगर मैं लोगों की मदद करने और देश को (ग्रहों को) आगे बढ़ाने में सहयोग देने में सक्षम हूं, तो मैंने अपना फर्ज निभा लिया। मुझे लगता है कि तब मैं कामयाब हूं।”

रियाज का 9वीं कक्षा में कंप्यूटर से परिचय हुआ, लेकिन वो उनका खर्च वहन करने में सक्षम नहीं थे। इसलिए उन्होंने कंप्यूटर्स की साफ़-सफाई और झाड़ने-पोंछने का काम और लाइब्रेरी के काम में मदद करना शुरू कर दिया था ताकि वो कंप्यूटर्स तक पहुंच सकें। 12वीं कक्षा में उन्हें जीव विज्ञान में रुचि थी, लेकिन गोवा के इकलौते सरकारी मेडिकल कॉलेज में दाखिले के लिए ज़रूरी कट-ऑफ़ वो क्लीयर नहीं कर सके। दूसरे कॉलेज की फीस 18 लाख रुपए थी। इसलिए उन्होंने अपने कंप्यूटर्स के प्रति हुए नए-नए रुझान के लिए इंजीनियरिंग को चुना।

इंजीनियरिंग कॉलेज के तीसरे साल तक 400-पन्नों की किताब लिखना!

रियाज ने इलेक्ट्रॉनिक्स और टेलीकम्यूनिकेशन में दाखिला 2 बड़ी वजहों से लिया –

1.उनके पिता के दोस्त का दावा था कि कंप्यूटर्स में कोई भविष्य नहीं है, जबकि इलेक्ट्रॉनिक्स और टेलीकॉम में अच्छी गुंजाइश है।

2.उन्हें लगा कि वो कंप्यूटर्स को माइक्रोप्रोसेसर्स और हार्डवेयर समेत बिल्कुल जड़ से सीख सकते हैं।

अपने पहले साल में रियाज के पास सी++ और माइक्रोप्रोसेसर्स थे और वो दोनों में कुशल थे। हालांकि, उन्हें ये एहसास होने लगा कि अगर वो मौजूदा विषयों के साथ ही पढ़ाई करते रहेंगे तो कंप्यूटर के प्रति उनका प्यार जायज़ नहीं होगा। उन्होंने बिना किसी औपचारिक शिक्षा के कंप्यूटर साइंस सीखने का फैसला किया। वो कहते हैं, “आईटी विभाग के श्री संदेश पाटिल और सुश्री रज़िया कंप्यूटर्स में मेरी कुशलता और रुचि के चलते मुझे पसंद करते थे और दोनों ने मेरा साथ दिया। यद्यपि, इलेक्ट्रॉनिक्स के छात्रों को कंप्यूटर लैब में जाने की अनुमति नहीं थी, लेकिन मुझे आईटी लैब्स में जाने का पूरा मौका दिया गया और वहां मैं अपनी मर्जी से जो चाहूं, सीख सकता था।”

---

दूसरे साल तक, रियाज़ सी++ और विजुअल बेसिक में कोडिंग करने लगे थे। इसी साल, गोवा सरकार 11वीं और 12वीं के छात्रों के लिए सिर्फ 1000 रुपए में प्रिंटर के साथ कंप्यूटर बांट रही थी। रियाज का भाई 11वीं में था और उसने अपने मां-बाप को कंप्यूटर के लिए मना लिया। डेस्कटॉप पाने के 10 दिन के भीतर, उसने इसे खोल लिया था और हार्डवेयर पर स्टीफेन जे. बिजेलो की किताब ‘टबलशूटिंग...मेन्टेनिंग एंड रिपेयरिंग पीसी’ के मुताबिक़ समझना और काम करना शुरू कर दिया था।

जब उसे स्क्विड प्रॉक्सी सर्वर के बारे में पता चला, जहां http रिक्वेस्ट सीधे इंटरनेट की बजाय स्क्विड को भेजी जाती हैं, उसकी जिज्ञासा ऐसी चीजों में कैसे सेंध लगाएं, ये पढ़ने की हुई। उसे अक्सर कई नेटवर्क्स में घुसने और नियंत्रण के लिए मना कर दिया जाता था, जिससे वो काफी नाराज होता था। अपने तीसरे साल में, रियाज़ ने एक प्रोग्राम बनाया जिससे वो दूसरे सिस्टम को नियंत्रित कर सकता था। सिस्टम को हैंडल करने वाले को एक संदेश भेजकर, सिस्टम के माउस, स्क्रीन शॉट्स और इसमें लॉग करके की बोर्ड को भी उसी समय देखा जा सकता था। जब प्रोग्राम रन करने लगता वो पूरी तरह सिस्टम पर नियंत्रण कर सकता था। थोड़ा-बहुत जो समझ पाया वो ये था कि ये उसका अपनी पुरानी रुचि और नेटवर्क सिक्योरिटी के करियर की दिशा में उसका शुरुआती कदम है।

जॉब इंटरव्यूज़ के लिए अयोग्य, लेकिन जॉब्स के लिए शानदार

अपने तीसरे साल के अंत तक, रियाज़ ने बिगिनर्स अप्रोच टू विंडोज़ शीर्षक से 400 पेज की किताब पूरी कर ली थी। रियाज कैंपस प्लेसमेंट में शामिल होने के लिए अयोग्य था क्योंकि उसने अपने 5 सेमेस्टर्स में सिर्फ 56 फीसदी अंक हासिल किए थे, जबकि इसमें शामिल होने के लिए कम से कम 60 फीसदी की ज़रुरत थी। इसके बावजूद, अपने सहपाठियों के साथ प्लेसमेंट कमेटी के प्रतिनिधि के रूप में वो प्लेसमेंट्स के लिए गया। उसे पता था कि किस तरह के सवाल इंटरव्यू में किए जाएंगे और वो मॉक टेस्ट के जरिए छात्रों को ट्रेन कर सकता था। जब माइक्रोलैंड प्लेसमेट के लिए आई, रियाज़ कंपनी के सेशन में उनके प्रतिनिधियों और छात्रों के साथ शामिल हो रहे थे।

‘मैं इंटरव्यूज़ के लिए योग्य नहीं था, लिहाजा ध्यान नहीं दे रहा था। वो बता रहे थे कि ऑफिशियल पेनिट्रेशन टेस्टर्स की अपनी टीम के साथ वो कैसे दूसरी कंपनियों को सुरक्षा में मदद दे रहे हैं। तब तक, मैंने ऐसे किसी पेशे के बारे में नहीं सुना था और उसी वक्त मैंने फैसला कर लिया कि मुझे भी इन्हीं में से एक बनना है।

वो प्लेसमेंट ऑफिसर के पास अपने रिज्यूम और किताब की कॉपी के साथ गया। हालांकि, प्लेसमेंट ऑफिसर ने अनुमित दे दी थी, लेकिन कंपनी का प्रतिनिधि आरुल रियाज़ को अपवाद के तौर पर लेने की उसकी गुजारिश पर सहमत नहीं था। उसने वादा किया कि अगर रियाज ने एप्टीट्यूड टेस्ट सबसे ज्यादा अंकों के साथ पास कर लिया तो उसे टेक्निकल टेस्ट में शामिल होने का मौका दे दिया जाएगा। नतीजतन, रियाज ने चार घंटे के कठिन टेक्निकल टेस्ट का सामना किया। उसे ग्रैजुएशन में 60 फीसदी अंकों के साथ पास होने की शर्त के साथ नौकरी का ऑफर दिया गया। रियाज 60.2 फीसदी अंक लाने में कामयाब रहा।

---

इंजीनियरिंग के फाइनल ईयर में रियाज

नेटवर्क सुरक्षा का नेटवर्क

रियाज माइक्रोलैंड में अपनी ट्रेनिंग के दौरान नेटवर्क सिक्योरिटी पर काम करने के विचार से काफी खुश था। आखिर में, वो अकेला था जिसे टेस्टिंग टीम में रखा जाना था। ये उसे बाद में पता चला कि आरुल ने उसे इंटरव्यू के दिन से ही टीम के लिए चुन लिया था और कंपनी को भी कह दिया था।

माइक्रोलैंड में अपने साढ़े चार सालों में, रियाज ने नेटवर्क सुरक्षा और जोखिम मूल्यांकन के बारे में काफी कुछ सीखा। आज, सुरक्षा डिजिटल दुनिया का एक बहुत महत्वपूर्ण पहलू है और इसे कमरे में हाथी को रखने की तरह माना जाता है। वो एक क्लाइंट के साथ एक प्रोजेक्ट में काम करने के सिलसिले में एक महीने के लिए कतर चला गया। उसने दिखाया कि किस तरह ग्राहक का वायरलेस नेटवर्क और डेटा खतरे में है।

वो कहते हैं, “हम क़रीब-क़रीब हर चीज़ को तोड़ देने में सक्षम थे। अंत में, हमने उन्हें सिस्टम को ज्यादा सुरक्षित बनाने के बारे में अपनी सिफारिशें दीं।”

रियाज़ ने अपनी उत्सुकता के चलते भारत की सबसे बड़ी ओपन सिक्योरिटी कम्युनिटी ‘null’ बनाई, जहां लोग सुरक्षा के बारे में सब कुछ सीख और सिखा सकते हैं। हार्डवेयर हैकिंग से लेकर मालवेयर एनालिसिस, डिजिटल फॉरेंसिक, वेब अनुप्रयोग सुरक्षा, इंटरनेट से जुड़ी चीजें और कुछ भी जो हैक किया जा सकता है। कम्युनिटी के बंगलौर चैप्टर के संस्थापक आकाश महजान से भी वो मिले, जो उनके करीबी दोस्त बन गए। वो कहते हैं, ‘जितना मैं जानता हूं उसका आधे से ज्यादा ‘null’ पर चले सेशन से आता है। कम्युनिटी मेरे अंदर के जुनून को ईंधन देती है।‘

---

null कम्युनिटी सदस्यों के साथ रियाज

रियाज 2010 में चैप्टर लीडर बन गए और बाद में ये टाइटल नए लोगों को देना शुरू कर दिया। उन्होंने सीखा कि कैसे हैकर FUD (डर, अनिश्चितता और संदेह) के इर्द-गिर्द काम करता है। वो OWASP (Open Web Application Security Project) से भी जुड़े हैं, जहां वो आकाश और प्रशांत केवी के साथ बैंगलोर चैप्टर का नेतृत्व करते हैं।

रियाज दिसंबर 2012 में उस वक्त मशहूर हुए जब उन्हें अबू धाबी में ब्लैक हैट सम्मेलन में बोलने के लिए आमंत्रित किया गया। दुनिया भर में सूचना सुरक्षा को लेकर ये सबसे बड़ी कॉन्फ्रेन्स मानी जाती है। पहले, वो OWASP टेक्सास, यूएसए में बोल चुके थे। उन्होंने वेब ऐप सिक्योरिटी कॉन्फ्रेंस में एक पेपर जमा किया था, जिसमें वेब ऐप्स के उन जोखिम पर बात की गई थी जो एक हमलावर को वेब ऐप्लीकेशन का सर्वर रिसोर्स दूसरे नेटवर्क को निशाना बनाने के लिए इस्तेमाल करने की इजाज़त देता है। इस जोखिम को सर्वर साइड रिक्वेस्ट फोर्जरी (SSRF) या क्रॉस साइट पोर्ट अटैक्स (XSPA) CWE-918 कहा जाता है।

हमारी सुरक्षा में कहां सेंध है?

सबसे बड़े पेमेंट गेटवेज़ में से एक जिसका डेटाबेस हैक कर लिया गया था, उसके सुरक्षा आंकलन के अपने एक असाइनमेंट में रियाज को पता चला कि हैकिंग के पीछे की वजह टूटा हुआ सिस्टम है। ये तब है जबकि वेबसाइट को पेमेंट गेटवे या उसकी तरह डेटा करियर बनने के लिए सुरक्षा से जुड़े कई टेस्ट पास करने होते हैं और ये तय करने के लिए बाकायदा सरकारी नियमावली है। वो कहते हैं, “हम उस दौर में जी रहे हैं जबकि सब कुछ जुड़ा हुआ है और हमें डेटा के साथ कोई जोखिम नहीं लेना चाहिए। ये दशक एक आईओटी (इंटरनेट ऑफ थिंग्स) क्रांति और सुरक्षा (IOT के संबंध में) का गवाह है और ये कनेक्टिविटी के चलते ज्यादा अहम हो जाता है।”

आज के दौर में दुनिया में कुछ ऐसे उदाहरण भी है, जहां हैकिंग ने ज़िंदगी को जोखिम में डाल दिया हो। चाहे ये पेसमेकर को नियंत्रित करना हो या फ्लश को (ब्लूटूथ के जरिए), या फिर किसी हवाई जहाज के सिस्टम को हैक करके उसे नियंत्रित करना, सिर्फ कुछ सूचनाओं के पैकेट्स भेजकर लोगों की जान ली जा सकती है। सुरक्षा और स्टेट स्पॉन्सर्ड साइबर आतंकवाद के बीच लगातार जंग जारी रहती है। सबसे ज्यादा बात किया जाने वाला उदाहरण है स्टक्सनेट। ये 2010 में खोजा गया एक कंप्यूटर वायरस है जो ख़ासतौर पर विंडोज़ मशीनों पर हमला करता है और परमाणु रिएक्टर को बंद करने के मकसद से तैयार किया गया है।

---

रियाज और आकाश

कमी क्या है?

रियाज के मुताबिक़ डेवलपर्स सुरक्षा की अहमियत और खतरों के बारे में नहीं समझते। ज्यादातर वो टेक्निकल कोड गूगल खोज के जरिए सीखते हैं, जो अक्सर ऐसे परिणाम दिखाता है जिससे उनकी वेबसाइट काम तो करने लगती है, लेकिन सुरक्षित नहीं रहती।

सुरक्षा, प्रायोगिकता और कार्यक्षमता के त्रिकोण में संतुलन बनाने के बीच भी लगातार लड़ाई है। कोई चीज़ ज्यादा सुरक्षित है तो ये कम उपयोगी और कम व्यवहारिक हो जाती है।

रियाज कहते हैं, हाल में हुई ज्यादातर हैकिंग इसलिए हो सकीं क्योंकि लोग प्रशिक्षित नहीं थे। डिज़ाइन करने और बनाने के दौरान सुरक्षा का ध्यान रखना ज़रूरी है, बाद में इसे लागू करने के समय काफी देर हो चुकी होती है। कई ई-कॉमर्स कंपनियां बहुत सारा पैसा सुरक्षा के लिए देती हैं, क्योंकि वो प्रतिक्रियाशील होने की बजाय प्रोएक्टिव रहना चाहती हैं।

रियाज का कहना है कि अगर किसी यूज़र का डेटा हैक कर लिया जाता है तो सबसे बड़ा ख़तरा PII ( व्यक्तिगत रूप से पहचानने योग्य जानकारी) के दुरुपयोग का रहता है।

अपनी सुरक्षा की देखभाल

अपनी कम्युनिटी ‘null’ पर, रियाज और उनके साथी मुफ्त में सिखाते हैं। उनके जैसे लोग सरकारी दफ्तरों और स्कूल-कॉलेजों में सिखाते हैं। वो कहते हैं, “हमारे सेमिनारों में राज्य पुलिस विभागों के तमाम अधिकारी, सशस्त्र सुरक्षा बल, एयरफोर्स, आईएएस, आईपीएस, मंत्री, सीईओज़, सीटीओज़, और दूसरे बड़े पदों पर बैठकर फैसले लेने वाले लोग सुरक्षा पर चलने वाले सत्र में शामिल होते हैं। ये सुनिश्चित करना काफी महत्वपूर्ण है कि कंप्यूटर पर काम करने वाला हर कोई सुरक्षित हो।”

आखिर में, रियाज़ सुरक्षा पर ये 3 सलाह हर किसी को देते हैं.....

1. इंटरनेट पर हर कोई जिससे आप मिलते हैं या हर चीज़ जो आप पढ़ते हैं, वो सही नहीं है। कंप्यूटर सुरक्षा के क्षेत्र में असली योगदान करने वालों के बीच बहुत सारे नीम-हकीम भी हैं।

2. ये सुनिश्चित करो कि आप अपने डेटा को निजी सामान की तरह रखते हैं। उन्हें लोगों के पाने और दुरुपयोग करने के लिए अकेला मत छोड़ें।

3. अपने आस-पास कनेक्टिविटी की जटिलता से वाकिफ रहें। आप जो भी करते या कहते हैं, दुनिया के दूसरे किसी हिस्से में ये बिल्कुल किसी अलग घटना का कारण बन सकता है। (बटरफ्लाई इफेक्ट)

(यहां पर व्यक्त किए गए विचार पूरी तरह से रियाज के अपने हैं और ये किसी भी तरह से उनके वर्तमान या पूर्व नियोक्ता के विचारों का प्रतिनिधित्व नहीं करते।)