केही समयअगाडि हाम्रा प्रधानमन्त्री सुशील कोइरालाको आधिकारिक ट्विटर ह्यान्डल ह्याक हुँदा सामाजिक सञ्जालमा, र विशेष गरी ट्विटरमा, ठुलै होहल्ला भयो ।
यदि बाराक ओबामा, नरेन्द्र मोदी, र डेभिड केमरुनजस्ता अन्य देशको कार्यकारी प्रमूखको ट्विटर एकाउन्ट ह्याक भएको भए के हुने थियो, सजिलै कल्पना गर्न सकिन्छ ।
आखिर प्रतीक प्रधानजस्ता हस्तीको रेखदेखमा भएको एकाउन्ट कसरी कसैले ह्याक गर्न सक्यो ? यस घटनाले कस्तो सन्देश दिएको छ ? र यस्ता ह्याकरबाट बच्न के गर्नु पर्छ ? आउनुहोस् केही छलफल गरौँ ।
कसरी ह्याक भयो ?
ह्याक कसरी भयो भन्ने बारे बाहिर प्रकाशमा नआएपनि ट्विटर एकाउन्टको पासवर्ड कसैले चोरी गरेर वा अनुमान गरेर प्रधानमन्त्रीको ट्विटर एकाउन्टमा छिरेको अनुमान लगाउन सकिन्छ ।
यसरी कुनै व्यक्ति वा एकाउन्ट विशेषलाई target गरेर, त्यसलाई ह्याक गर्न तथ्यहरू (पासवर्ड आदि) संकलन गरेर गरिने कामलाई information securityको विधामा targeted attack भन्ने गरिन्छ । यस्ता attack गर्दा पासवर्ड अनुमान गर्नको लागि ह्याकरहरूले मूख्यत तलका तीन वटा बिधि अपनाउने गर्छन् ।
- Scanning or brute-force attack: मानी लिनोस् तपाईं एउटा यस्तो ढोका अगाडि हुनुहुन्छ जसभित्र छिर्नको निमित्त २ अंकको कुनै निश्चित नम्बर (उदाहरणको लागि सही उत्तर: ६७) गेस गर्नुपर्ने हुन्छ । यदि तपाईंले यो अंक मिलाउन सक्नुभयो भने मात्र ढोका खुल्दछ । सही उत्तर मिलाउने सबभन्दा सजिलो उपाय के होला ? दिमागमा जुन अंक आयो अन्धाधुन्ध त्यही अंक भन्दै जानुभन्दा ०० बाट क्रमैसँग ९९ सम्म भन्दै गएमा ६८औं ‘ट्राइ’मा ढोका खुल्नेछ । मतलब, अधिकमा १०० वटा नम्बरसम्म भन्दै जान पट्यार त लाग्छ नै, तर सफलता अवश्यम्भावी छ । अरूको ट्विर (वा अन्य कुनै एकाउन्ट पनि) भित्र लग-इन गर्नको निमित्त पनि यस्तै तरिका प्रयोग गर्न सकिन्छ, भलै पासवर्ड २ अक्षरको नभई धेरै लामो हुन्छ । पासवर्ड लामो भयो भने यसरी ‘ट्राई’ गर्नुपर्ने संख्या पनि अत्याधिक बढेर जान्छ । तर यहाँ के बुझ्नु जरुरी छ भने एउटा साधारण ‘हिट एण्ड ट्राइ’को सानो सफ्टवेरले एक रातमै लाखौं ‘ट्राइ’हरू मारिसक्न सक्छ । यसरी अरूको पासवर्ड अनुमान गरेर एकाउन्ट ह्याक गर्ने तरिकालाई scanning वा brute-force भनिन्छ ।
- Dictionary attack: यो पासवर्ड गेस गरेर अरूको अकाउन्टमा लग-इन गर्ने अर्को तरिका हो । शब्दकोषमा भेटिने शब्दहरू, जस्तै firefly, america, nepal जस्ताको तस्तै पासवर्डको रुपमा प्रयोग गर्ने मानिसहरूको संख्या पनि अत्याधिक छ भन्ने कुरा सर्वविदितै छ । यही तथ्यलाई मध्येनजर राख्दै, कुनै शब्दकोषमा भएका सबै शब्दहरूले ‘ट्राइ’ मार्दै गएमा एक न एक पटक मिल्न जान्छन् । माथिको scanning भन्दा यो तरिका बढी छिटो हुन्छ किनकि यसमा ‘ट्राइ’ मार्न पर्ने संख्या निकै कम हुन्छ ।
- Social engineering: यो सबभन्दा सशक्त तरिका हो । तपाईंले कहीं न कहीं मानिसहरूलाई पासवर्ड वा पासवर्डका हिन्टहरू फुस्काएको हुनसक्छ । भलै त्यो साथी वा परिवारको सदस्य वा बाहिरी व्यक्ति वा इन्टरनेटको कुनै पेजहरूमा जहाँकहीँ पनि हुन सक्छ । र त्यो पोहोर-परार, गत महिना, हिजो वा आजै पनि हुनसक्छ । कहिल्यै यसो भन्नुभएको छ ? – “म त जुनसुकै एकाउन्ट बनाउँदा सम्झिन सजिलोको लागि जन्ममिति प्रयोग गर्ने गर्छु ।” यस्ता “साना मसिना” कुराहरू जोड्दै जाँदा तपाईंको पासवर्ड अनुमान गर्ने सम्भावना निकै हुन्छ । त्यसको लागि ह्याकरहरूले तपाईंले फेसबुक, ट्विटर, ब्लग आदि सार्वजनिक ठाउँमा छोड्नुभएको हिन्टहरू जुटाउन सक्छन् । अर्को कुरा, सामाजिक सञ्जालहरू (facebook, twitter, linkedin, आदि), वेब-मेल (hotmail, yahoo mail, gmail, आदि), सपिङ् साइटहरू (amazon, rakuten, ebay, आदि) र अनगिन्ती पेजहरूमा प्रयोगकर्ताहरूले एउटै पासवर्ड प्रयोग गर्ने चलन पनि थाहा भैसकेको अर्को तथ्य हो । कतै तपाईं आफैं पनि त्यस्तै नै गर्नुहुन्छ कि? यसै क्रममा तपाईंले कुनै कम-विस्वसनीय पेजहरूमा एकाउन्ट खोल्नुभएको छ र त्यो कुनियतको साइट हो छ भने त्यस साइटका मालिकहरूले तपाईंको त्यो पासवर्ड प्रयोग गरेर gmail, facebook, twitter, amazon जस्ता महत्वपूर्ण अन्य एकाउन्टमा लग-इन गर्ने ‘ट्राइ’ मार्न सक्छन् । एउटा साइटले त खुलेरै यो विधि तरिका प्रयोग गर्ने गरेको तथ्य सार्वजनिक गरेको छ ।
प्रधानमन्त्रीको एकाउन्ट ह्याक हुँदा कुन चाहिँ विधि अपनाइयो, त्यो हामीलाई थाहा हुने कुरा भएन । तर जुनकुनै भए पनि इन्टर्नेटमा भएका तपाईं हाम्रा एकाउन्टका पासवर्ड नचोरिउन् वा एकाउन्ट ह्याक नहुन् भनेर सतर्कता अपनाउनु जरुरी छ ।
यसपटकको ह्याकबाट के सिक्ने ?
यस पटकको प्रकरणबाट हामीले यो सिक्न जरूरी छ कि हामी कोही पनि नेटमा सुरक्षित छैनौँ । जब देशको प्रमूख कार्यकारीको एकाउन्टमाथि त यस्तो भयो (जब कि, ह्याकरलाई थाहा अवश्य छ कि, यदि पक्रियो भने ठुलै फन्दामा ऊ पर्न सक्छ) भने हामी सर्वसाधारणको के कुरा ? यदि हामी सजग भएनौँ भने ।
बिचार गरी हेर्नुभयो भने तपाईंका महत्वपूर्ण जानकारी र सूचनाहरू इन्टर्नेटमा छन् – चाहे त्यो कुनै साथीसँगको तस्बीर किन नहोस्, वा तपाईंको पूर्व-प्रेमी/प्रेमिकालाई लेखेको इमेल, अथवा आर्थिक कारोवारका इमेलहरू अनि बैंक अकाउन्ट आदि तपाईं आफैंले सेभ गरेर राख्नुभएका डकुमेन्ट अनि महत्तपूर्ण अडियो-भिडियो आदि । यी यदि चोरी भए या बाहिर आए भने तपाईंमाथि ठुलो आर्थिक, मानसिक, र सामाजिक प्रतिष्ठामाथिको नोक्सान हुन सक्नेछ ।
अर्को कुरा बुझ्न के जरूरी छ भने आजभोलिका यस्ता ह्याकिंग सम्बन्धी घटनाहरू अधिकांश पैसा कमाउने वा बदला लिने उद्देश्यले अभिप्रेरित छन् । तपाईंको एकाउन्ट ह्याक गरी तपाईंसँग पैसा माग्ने, र पैसा नदिए तपाईंका महत्वपूर्ण डकुमेन्टहरू सार्वजनिक गर्ने धम्की दिन सक्छन् ।
उदाहरणको लागि, गत वर्ष आफ्नो राष्ट्रपतिमाथि हास्यचलचित्र बनाएको प्रतिशोधमा उत्तर कोरियालीहरूले विश्वप्रसिद्ध Sony Pictures को नेटवर्कभित्र गरेको ह्याकिंगले उक्त कम्पनीलाई नराम्ररी असर पार्यो । अन्तत Sony Pictures ले त्यो चलचित्र रिलिज गर्नबाट रोक्न पर्यो नै, उसका धेरै कामदार र प्रशासकहरूको तलब आदि महत्वपूर्ण डकुमेन्टहरू सार्वजनिक गराएर लज्जास्पद हुनु पर्यो ।
यस्ता ह्याकिंगबाट बच्न के गर्ने ?
माथि मूख्यत पासवर्ड चोरीको कुरालाई उल्लेख गरिएकोले मूख्यत हामीले ‘बलियो’ पासवर्डहरू रोज्न जरूरी छ । बलियो पासवर्ड कसरी राख्ने बारे तल बुँदागत रुपमा केही जानकारी लिऊँ ।
- पासवर्ड सकेसम्म लामो बनाउने । हिजोआजको best practice भन्नु पर्दा ८ देखि १० अक्षर हो । तर जति लामो त्यति सशक्त।
- कुनै नाम या शब्दलाई पासवर्ड नबनाउने । जस्तै आफू जन्मेको देश वा गाउँको नाम, आफ्नै नाम, आफ्नै थर आदिलाई ‘कमजोर’ पासवर्डको रुपमा मानिन्छ ।
- पासवर्डमा small alphabet, capital alphabet, symbol (!, ., $, #, &, आदि), र 0-9को अंक कम्तीमा पनि एक-एक ओटा राख्ने ।
- पासवर्ड सम्झन गहारो हुन्छ भने बरू कुनै सम्झिन सक्ने वाक्यप्रयोग गर्ने । जस्तै, “मानिस ठुलो दिलले हुन्छ जातले हुँदैन” । यसका शब्दहरूको पहिलो alphabet हरू लिँदा -> mtdhjh । अब यसमाथि symbol, number, capital आदि थपथाप पारेर पासवर्ड निकाल्न सकिन्छ । तपाईं पनि आफैंले मात्र सम्झने यस्तै वाक्यबाट पासवर्ड निकाल्न सक्नुहुन्छ ।
- पासवर्ड कहिल्यै पनि कसैलाई पनि नभन्ने । हिन्ट पनि नदिने । अरूको पासवर्ड सोध्ने बानी पनि नगर्ने ।
- पासवर्डलाई समय-समयमा परिवर्तन गरिरहने ।
इन्टर्नेट रमाइलो र सुबिधाजनक मात्रै छैन । यहाँ बसेर खेलबाड गर्नेहरू र तपाईंको अवस्थालाई फाइदा लिन चाहनेहरू पनि थुप्रै छन् । भौतिक रुपमा देखिन नपर्नाले यसरी फाइदा लिन चाहनेहरूलाई सजिलो पनि छ । यिनै खतराहरूलाई मनन गरेर सधैँ सजग भई आफूले आफूलाई बचाउन सके मात्रै इन्टर्नेटको सदुपयोग लिन सकिन्छ ।
