ह्याकरको निसानामा सरकारी वेबसाइट

निर्वाचन आयोगसँग अहिले एक करोड ९० लाख पाँच हजार ३२४ जनाको व्यक्तिगत तथ्यांक संग्रहित छ । यो कुल जनसंख्याको ६५.१६ प्रतिशत हो । जसलाई आयोगले आफ्नो आधिकारिक वेबसाइटमा राखेको छ । नागरिकले चाहेका वेला साइट लगअन गरेर जुनसुकै वेला हेर्न सक्छ । तर, सोही साइट गत मंसिरको तेस्रो साता ह्याकरको निसानामा पर्‍यो । साइटमा राखिएका आयोगको तथ्यांक क्षणभरमै ह्याकरको पहुँचमा पुग्यो । तथ्यांक धन्न नष्ट भएन ।

अत्यन्तै संवेदनशील मानिएको मुलुकको दुई डेटा सेन्टरमा साइबर हमला गर्नुअघि ह्याकरले नेपाल मेडिकल काउन्सिलको वेबसाइटलाई त्यसैगरी आक्रमण गरेको थियो । गत २६ असोजमा ह्याक भएको वेबसाइट बल्लतल्ल नियन्त्रणमा आयो । तर, घटनामा संलग्नको पहिचान हुन सकेन । जसले अन्य ह्याकरलाई प्रोत्साहित तुल्यायो । आयोग र विभागको साइट ह्याक त्यसैको परिणाम थियो ।

संवेदनशील डेटासेन्टरमै ह्याकरको आक्रमण भएपछि प्रहरीले घटनाको अनुसन्धान थाल्यो । केही दिनको अपरेसनपछि झापा मेचीनगर नगरपालिका– ९ का २० वर्षीय सन्तोष चिमोरिया र सिन्धुपाल्चोक साँगाचोक नगरपालिका– ९ का १९ वर्षीय विकास पौडेल पक्राउ परे । अनुसन्धानपछि खुल्यो– उनीहरूले त्यसबाहेक विश्व निकेतन विद्यालय, सडक विभाग, मिर्मिरे माइक्रो फाइनान्स, नेपाल नागरिक उड्ययन प्राधिकरणको वेबसाइटसमेत ह्याक गरेका थिए । त्यसबाहेक उनीहरूले नेपाल विद्युत् प्राधिकरणको मोबाइल एप्ससमेत ह्याक गर्न भ्याए ।

घटनाको अनुसन्धानमा संलग्न साइबर ब्युरोका अनुसार सिएमडी नेपाल नामको आइडीबाट मेडिकल काउन्सिल, निर्वाचन आयोग र राष्ट्रिय परिचयपत्र विभागको वेबसाइट ह्याक भएको थियो । जसको सञ्चालक थिए, १९ वर्षीय विकास पौडेल । त्यसबाहेक नागरिक उड्डयन प्राधिकरणको वेबसाइट भने जेन–जी राइजिङ नेपाल नामको आइडीबाट ह्याक भएको थियो । उक्त आइडी २० वर्षीय सन्तोष चिमोरियाको नाममा खोलिएको थियो ।

पक्राउ परेकामध्ये पौडेल बिएस–सिएसआइटीका विद्यार्थी हुन् । चिमोरिया भने प्रविधिमा सामान्य जानकारी राख्ने युवा हुन् । ब्युरोका अनुसार पौडेल र चिमोरिया घटनामा प्रयोग भएका पात्र मात्रै हुन् । मुख्य खेलाडीलाई नेपालभित्र सञ्चालन हुने वेबसाइटको कमजोरी राम्रोसँग थाहा छ ।

‘वेबसाइट ह्याक हुन थालेपछि घटनाको अनुसन्धान सुरु भयो । दुई युवा पक्राउ परे, तर उनीहरू प्रयोग भएका धेरैमध्ये केही पात्र मात्रै हुन् । अर्थात् मुख्य खेलाडी अरू नै कोही छ । र, उसलाई नेपाली वेबसाइटको लुपहोलबारे राम्रोसँग थाहा छ । उसले पौडेल र चिमोरियाजस्ता धेरै पात्रलाई प्रयोग गरिरहेको छ,’ ब्युरोका प्रवक्ता एसपी दीपकराज अवस्थीले भने ।

विद्युत् प्राधिकरणको मोबाइल एप्स भने नेपाली फर नेपाल नामको आइडीबाट ह्याक भएको थियो । घटनामा संलग्न पहिचान भएको, तर पक्राउ गर्न प्रमाण नपुगेको ब्युरोको भनाइ छ । ब्युरोका अनुसार नेपाली फर नेपालबाहेकका आइडी सञ्चालन गर्ने ह्याकरबिच उद्देश्यमा भने फरक छ । नेपाली फर नेपाल आइडीमार्फत ह्याक गर्ने ह्याकरको उद्देश्य गत ३ मंसिमा पक्राउ परेका विवादित मेडिकल व्यवसायी दुर्गा प्रसाईंलाई रिहाइ गर्नु थियो भने अन्यको तथ्यांकमा अनधिकृत पहुँच पुर्‍याउनु र केही हदसम्म आत्मसन्तुष्टि आर्जन गर्नुु ।

‘वेबसाइट ह्याक गर्नुका पछि फरक–फरक उद्देश्य रहेको देखिन्छ । जस्तो– नेपाली फर नेपाल आइडीवालाको उद्देश्य प्रसाईंको रिहाइ थियो । बाँकीको भने तथ्यांकमा अनधिकृत पहुँच पुर्‍याउनु हो । कतिपयले आत्मसन्तुष्टि लिने उद्देश्यबाट प्रेरित भएर पनि यस्ता काम गरेको देखिन्छ । जसले जुनसुकै उद्देश्य राखेर गरे पनि यो काम गलत नै हो,’ एसपी अवस्थीले भने ।

नेपालमा ह्याक हुने प्राय: सरकारी वेबसाइट हुन् । पछिल्ला घटनामा पनि सरकारी वेबसाइट नै धेरै ह्याक भएका छन् । नेपालका सरकारी साइट ह्याकका ‘मास्टरमाइन्ड’ डेभलपर नै त होइनन् ? यसमा प्रहरी पनि केही हदसम्म सहमत देखिन्छ ।

किन हुन्छ हमला ? 
इन्टरनेट राजमार्गजस्तै हो, जहाँ एकैपटक अनेक किसिमका एप्लिकेसन यात्रा गर्छन् । जुन हानिकारक र फाइदाजक दुवै हुन सक्छन् । वेबसाइट पनि सोही मार्गमार्फत चल्ने हो । कुत्सित उद्देश्य राख्ने ह्याकरले यही मार्गमार्फत वेबसाइटमा अनधिकृत पहुँच पुर्‍याउँछन् । र, साइटमा हमला गर्छन् । यस्ता हमला रोक्न वेबसाइटमा त्यसैगरी सुरक्षा पर्खाल लगाउनुपर्छ, जसरी घरको सुरक्षा गर्न कम्पाउन्ड घेर्छौँ । झ्याल–ढोका लगाउँछौँ ।

वेब एप्लिकेसन फायरवाल (डब्लुएएफ) त्यस्तै पर्खाल हो, जसले वेबसाइटलाई सुरक्षा प्रदान गर्छ । यस्ता फायरवाल विभिन्न तहका छन् । जसलाई लेभल १, लेभल २, लेभल ३ र लेभल ४ भनिन्छ । लेभल १ को फायरवालले न्यून तहको मात्रै सुरक्षा गर्न सक्छ । त्यस्तै, लेभल २ कोले मध्यम, लेभल ३ को उच्च र लेभल ४ को अति उच्च सुरक्षा दिन सक्छ । जुन समय–समयमा अपडेट भइरहन्छ ।

नेपालका सरकारी वेबसाइटले प्राय: प्रयोग गर्ने लेभल ३ को फायरवाल हो । जुन अहिलेको सन्दर्भमा आउटडेटेड हो । यही फायरवाल पनि अपडेटेड भर्सनको छैन । अर्थात् एकपटक इन्स्टल गरेपछि थप अपटेड गरिएको छैन । ह्याकरलाई यो कमजोरी राम्रोसँग थाहा छ । सरकारी वेबसाइट ह्याकरको निसानामा पर्नुको मुख्य कारण यही हो । ‘फायरवाल वेबसाइट सुरक्षा गर्ने एउटा एप्लिकेसन हो । यसका लेभल हुन्छन् । हामीकहाँ प्राय: लेभल ३ को फायरवाल प्रयोग भएको देखिन्छ । यो अहिलेको सन्दर्भमा आउटडेटेड हो । यो पनि अपडेट भएको देखिँदैन,’ सूचना प्रविधिविज्ञ सुवेदीले भने ।

यो तथ्यलाई ब्युरोका प्रवक्ता एसपी अवस्थी पनि स्वीकार गर्छन् । उनले भने, ‘नेपालका सरकारी वेबसाइटले लेभल ३ को फायरवाल प्रयोग गर्छन् । तर, यो न अपडेटेड भएको देखिन्छ, न अपग्रेटेड नै हुन सकेका छन् ।’

बैंकहरूले ६–६ महिनामा वित्तीय सुरक्षा थ्रेट विश्लेषण गरिरहेका हुन्छन् । जसलाई राष्ट्र बैंकले अनिवार्य बनाएको छ । वेबसाइटको सुरक्षा विश्लेषण गर्न एउटा प्रणाली हुन्छ । जसलाई भिएपिटी (भल्र्नाएबलिटी एसेसमेन्ट एन्ड पेनेट्रेसन टेस्टिङ) भनिन्छ । जसले साइटमा समस्या आउनुअघि नै सम्बन्धित निकायलाई सूचना दिन्छ । यो प्रणाली विकसित मुलुकमा वेबसाइटमा अनिवार्य रूपमा प्रयोग हुन्छ । नेपालका पनि केही निजी वेबसाइटमा यस्तो प्रणाली इन्स्टल गरिएका छन् । तर, अधिकांश निजी र सरकारी कार्यालयको वेबसाइटमा यस्तो प्रणाली लागू गरिएका छैनन् । जसले गर्दा नेपालका वेबसाइट सजिलै ह्याकरको निसानामा पर्ने आइटी विज्ञहरूको भनाइ छ ।