Skip to main content
xआप एक स्वतंत्र और सवाल पूछने वाले मीडिया के हक़दार हैं। हमें आप जैसे पाठक चाहिए। स्वतंत्र और बेबाक मीडिया का समर्थन करें।

जनतंत्र के लिए ख़तरा है पेगासस

एनएसओ का मार्केट कैपीटलाइजेशन एक अरब डालर से ज्यादा का बताया जाता है। यह इसे शायद सबसे मालदार असैनिक साइबर खुफियागीरी कंपनियों में से एक बना देता है। 
जनतंत्र के लिए ख़तरा है पेगासस

ग्रीक पुराकथाओं का पंखों वाला घोड़ा, पेगासस एक बार फिर मोदी सरकार को त्रास देेने आ गया है। द वायर तथा वाशिंगटन पोस्ट समेत सत्रह सामाचार संगठनों और दो एनजीओ― एमनेस्टी इंटरनेशनल तथा फॉरबिडन स्टोरीज― ने महीनों लगाकर, करीब 45-50 देशों के 50 हजार संभव फोन नंबरों की सूची की छानबीन की है। इस तरह उन्होंने इन देशों में साइबर हमलों के वास्तविक संभव-निशानों का पता लगाया है। इसके बाद, साइबर हमले के संभावित निशानों की इस सूची मेें से उन लोगों के संबंधित फोनों की उन्होंने फोरेंसिक जांच भी करायी है, जो अपने फोनों की ऐसी जांच कराने के लिए तैयार थे। इस जांच के नतीजे बताते हैं कि इनमें से 85 फीसद टेलीफोनों में पेगासस स्पाईवेयर द्वारा  हैक किए जाने के निशान मौजूद थे।

इस जासूसी के संभव शिकारों में सिर्फ पत्रकारों तथा सामाजिक-राजनीतिक कार्यकर्ताओं के नाम ही नहीं हैं, सरकारी अधिकारियों के नाम भी हैं। हद्द तो यह है कि इसमें 14 शासन या सरकार के प्रमुखों के नाम भी शामिल हैं। इनमें तीन राष्ट्रपति हैं― फ्रांस के इमैनुअल मैक्रां, इराक के बरहम सालिह तथा दक्षिण अफ्रीका के सिरिल रामफोसा। इसके अलावा तीन वर्तमान तथा सात पूर्व-प्रधानमंत्री हैं और एक शाह है, मोरक्को का मोहम्मद-छठा। तीन वर्तमान प्रधानमंत्री हैं― पाकिस्तान के इमरान खान, मिस्र के मुस्तफा मदबाउली और मोरक्को के साद-ऐदीन अल ओतमानी। सात पूर्व-प्रधानमंत्रियों में लेबनान के साद हरीरी, फ्रांस के एडुआर्ड फिलिप, अल्जीरिया के नूरुद्दीन बेदुई और बेल्जिमय के चाल्र्स मिशेल के नाम भी शामिल हैं।

निशाना बनाए जाने वाले फोन पर जो भी पेगासस मॉलवेयर रोपता है, उसे न सिर्फ संबंधित फोन के सारे डॉटा तक पहुंच हासिल हो जाती है बल्कि फोन के  माइक्रोफोन तथा कैमरा पर नियंत्रण भी हासिल हो जाता है। उस स्थिति में संबंधित फोन का माइक तथा कैमरा, फोन के मालिक के उपयोग के उपकरण की जगह, फोन मालिक की जेब में बैठा या उसके साथ लगा जासूस बन जाता है, जो सिर्फ फोन पर होने वाली बातचीत को ही नहीं रिकार्ड करता है बल्कि फोन से बाहर, अपने गिर्द की सारी बातचीत को रिकार्ड कर सकता है और तस्वीरें भी खींचकर रिकार्ड कर सकता है। जाहिर है कि यह सारी सामग्री फोन से निकलकर, उसमें पेगासस डालने वाले के पास पहुंचती रहती हैं।

उत्तरोत्तर सूचना प्रौद्योगिकी मंत्रियों ने― रविशंकर प्रसाद तथा अश्विनी वैष्णव ने― कहा है कि देश में ‘कोई अनाधिकृत इंटरसैप्शन’ नहीं हुआ है। तब क्या खुद सरकार ने ही एनएसओ से हैकिंग का सॉफ्टवेयर खरीदा है और भारतीय नागरिकों को इस तरह को निगरानी का निशाना बनाए जाने को अधिकृत किया है। सवाल तो यह भी है कि क्या लोगों के स्मार्टफोनों को संक्रमित करने के लिए और इन फोनों की बुनियादी भूमिका को ही बदल डालने के लिए, पेगासस के स्पाईवेयर के इस्तेमाल को, सूचना प्रौद्योगिकी कानून के नियमों के अंतर्गत, ‘किसी कंप्यूटर संसाधन से किसी भी सूचना को बीच में पकड़ने, उसकी निगरानी या डिक्रिप्शन करने’ की कार्रवाई के रूप में अधिकृत किया भी जा सकता है?

बहरहाल, कानूनी मुद्दों को हम उनके लिए छोड़े देते हैं, जो इस क्षेत्र के बेहतर जानकार हैं। इसके बजाए हम इसी की पड़ताल तक खुद को सीमित रखना चाहेंगे कि किसी राष्ट्र-राज्य द्वारा इस तरह के मॉलवेयर को अपना हथियार बनाए जाने में, किस तरह के नये खतरे छुपे हुए हैं। याद रहे कि पेगासस ऐसे सॉफ्टवेयर का इकलौता उदाहरण नहीं है। जैसा कि स्नोडेन के भंडाफोड़ों ने दिखाया था, अमरीका की राष्ट्रीय सुरक्षा एजेंसी (एनएसए) और पंच-नेत्रीय सरकारें यही सब करती हैं।

इस मामले में राष्ट्र-राज्यों और ऐसा कोई मॉलवेयर विकसित करने वाले साइबर अपराधियों में असली अंतर यही है कि राष्ट्र-राज्यों के पास ऐसे मॉलवेयर का विकास करने के लिए कहीं ज्यादा संसाधन होते हैं। इसे हम शैडोब्रोकर्स के उदाहरण से समझ सकते हैं जिन्होंने 2017 में, अमरीकी एनएसए द्वारा हथियार के रूप में विकसित किए गए सॉफ्टवेयर में से एक गीगाबाइट सामग्री, इंटरनैट पर डालकर उसे सार्वजनिक कर दिया था। उसी समय, जाने-माने सुरक्षा विशेषज्ञ, मैथ्यू हिकी ने आर्सटैक्रीका से बातचीत में बताया था: ‘यह बहुत ही महत्वपूर्ण है क्योंकि व्यावहारिक मानों में यह हरेक उस शख्श के हाथों में साइबर हथियार दे देता है, जो भी इसे डॉउनलोड करेगा।’ इसके कुछ ही अर्से बाद रेन्समवेयर या फिरौती वसूली सॉफ्टवेयर का, बड़ा धमाका हुआ था। इसमें वानाक्राई और नॉटपेट्या रेन्समवेयर ने खास जोर दिखाया था। एनएसए के टूलकिट के ही साइबर हमले के लिए इस्तेमाल पर आधारित इन रेन्समवेयरों ने, तब बड़ी भारी तबाही मचायी थी।

पूछा जा सकता है कि पेगासस की चर्चा करते-करते हम अमरीकी राष्ट्रीय सुरक्षा एजेंसी (एनएसए) के मॉलवेयर औजारों का किस्सा क्यों सुनाने लगे? क्योंकि पेगासस इस्राइली कंपनी एनएसओ का उत्पाद है और एनएसओ एक ऐसी इस्राइली कंपनी है, जिसके इस्राइल की यूनिट 8200 के साथ बहुत घनिष्ठ संबंध हैं, जोकि अमरीकी एनएसए का इस्राइली समकक्ष है। इस्राइल की दूसरी अनेक कारोबारी साइबर खुफियागीरी की कंपनियां की ही तरह, एनएसओ की स्थापना से लेकर संचालन तक, सब कुछ उक्त यूनिट 8200 से जुड़े रहे पूर्व-खुफिया अधिकारियों की ही करनी है। राष्ट्र-राज्य के स्तर पर उपलब्ध कौशलों व ज्ञान के इस तत्व का, असैन्य कारोबारी क्षेत्र से जोड़ा जाना ही, इस स्पाईवेयरों को इतना खतरनाक बनाता है।

इसके अलावा ऐसा लगता है कि खाड़ी की दो तेल राजशाहियों, यूनाइटेड अरब अमीरात (यूएई) और साऊदी अरब के साथ इस्राइल के रिश्ते सुधरवाने में, एनएसओ की एक भूमिका रही है। इसलिए, इस्राइल, इस तरह के देशों के लिए इस स्पाईवेयर की बिक्री को, अपनी विदेश नीति के विस्तार की तरह ही देखता है। यूएई तथा साऊदी अरब द्वारा अनेक घरेलू असंतुष्टïों को और यहां तक कि विदेशी आलोचकों तक को निशाना बनाने के लिए, बड़े पैमाने पर पेगासस का इस्तेमाल किया गया है। बेशक, इसके सबसे चर्चित उदाहरणों में तो जमाल खाशोग्गी का प्रकरण ही आता है। इस साऊदी असंतुष्टï तथा वाशिंगटन पोस्ट के स्तंभकार की, इस्तांबुल में साऊदी कौंसुलेट में निर्ममता से हत्या कर दी गयी थी।

एनएसओ का मार्केट कैपीटलाइजेशन एक अरब डालर से ज्यादा का बताया जाता है। यह इसे शायद सबसे मालदार असैनिक साइबर खुफियागीरी कंपनियों में से एक बना देता है। और इस कंपनी के साइबर हथियार बहुत ही डरावने हैं क्योंकि उनसे कोई बचाव उपलब्ध हो ऐसा नहीं लगता है। इनमें से ज्यादातर उपकरणों को साइबर हथियारों के रूप में वर्गीकृत किया गया है और उनके निर्यात के लिए इस्राइली सरकार का अनुमोदन जरूरी होता है। यह एक बार फिर इस्राइली शासन और एनएसए के बीच के रिश्ते को दिखाता है।

पेगासस क्या है? और यह इतना खतरनाक क्यों है? जैसाकि हमने पहले जिक्र किया, पेगासस सिर्फ चोरी से हमारे संदेशों/संवादों को सुनने या उन पर निगरानी करने का काम नहीं करता है। एक बार जब यह किसी स्मार्टफोन को संक्रमित कर लेता है, वह फोन के  सॉफ्टवेयर में ही ‘बदलाव’ कर देता है और फोन के सारे कामों तक अपनी पहुंच बना लेता है। व्यावहारिक मानों में वह फोन का मालिक ही बन जाता है और सिर्फ फोन के जरिए होने वाली बातचीत को ही नहीं, उसके इर्द-गिर्द होने वाली फोन से बाहर की बातचीत को भी सुन सकता है। इसी प्रकार, फोन के लेंस से जो कुछ दिखाई देता हो, उसकी फोन कैमरा के जरिए तस्वीर भी ले सकता है और इस सब को फोन में दर्ज कर सकता है। रिकार्ड की गयी इस सारी सामग्री की फाइलें पेगासस के सर्वर को भेज दी जाती हैं और वहां से पेगासस का लाइसेंसधारक खरीददार इस सामग्री को देख सकता है या अपने कंप्यूटरों में उतार सकता है।

पेगासस के इतने खतरनाक होने का दूसरा कारण यह है कि इससे संक्रमित होने के लिए, निशाने पर लिए जाने वाले फोन के धारक को, अपनी तरफ से कुछ करना ही नहीं पड़ता है। ज्यादातर मामलों में हमारे उपकरणों में संक्रमण तभी आता है जब हम या तो एसएमएस/ई-मेल के जरिए आए हुए किसी लिंक पर क्लिक करते हैं या किसी साइट पर जाते हैं और वहां किसी चीज पर क्लिक करते हैं। लेकिन, पेगासस ने व्हाट्सएप की एक सुरक्षा कमजोरी का ही फायदा उठाया और सिर्फ एक मिस्ड कॉल रास्ते से फोनों को संक्रमित करने का तरीका निकाल लिया। पेगासस स्पाईवेयर के किसी फोन में लोड होने के लिए, संबंधित फोन पर एक घंटी देना ही काफी होता है। अब इसका विस्तार कर के आईमैसेज, व्हाट्सएप, फेसटाइम, वीचैट, टेलीग्राम तथा अपरिचित स्रोतों से डॉटा प्राप्त करने वाले दूसरे एप्स की दूसरी-दूसरी वेध्यताओं का भी इस्तेमाल शुरू कर दिया गया है। इसका सीधा सा अर्थ यह है कि फोन उपयोक्ता के किसी भी लिंक पर क्लिक किए बिना ही, पेगासस उस फोन को संक्रमित कर सकता है। साइबर समुदाय में इन्हें क्लिक-मुक्त घुसपैठ के नाम से जाना जाता है।

एक बार जब पेगासस किसी फोन में घुसपैठ कर लेता है, वह उस फोन के मैसेज, ई-मेल, फोन कॉल, सब दर्ज कर सकता है, स्क्रीन शॉट दर्ज कर सकता है, दबायी जाने वाली कुंजियों का विवरण, ब्राउजर हिस्ट्री, कांटैक्ट, सब कुछ पढक़र दर्ज कर सकता है। वह इन फाइलों को अपने सर्वर पर भेजता रहता है। बुनियादी तौर पर वह अपना निशाना बनने वाले की जिंदगी के हरेक पहलू की जासूसी कर सकता है। इससे बचाव के लिए ई-मेलों को एन्क्रिप्ट करना या एन्क्रिप्टेड सेवाओं का, मिसाल के तौर पर सिग्नल का उपयोग करना भी किसी काम का नहीं है क्योंकि वह तो वही पढ़ता है, जो हम पढ़ते हैं और फोन पर हम जो भी टाइप करते हैं, उसे दर्ज कर लेता है।

बहुत से लोग आईफोन को ज्यादा सुरक्षित मानकर, उसका उपयोग करते हैं। लेकिन, एक कडुई सचाई यह है कि पेगासस के हमलों के लिए आईफोन भी उतने ही वेध्य हैं, जितने एंड्रोइड-आधारित फोन। हां! अगर आईफोन संक्रमित हो जाए तो इसका पता लगाना कहीं आसान है क्योंकि उसमें यह भी दर्ज रहता है कि फोन क्या कर रहा है? एंड्रोइड प्रणालियों में इस तरह का रिकार्ड दर्ज नहीं होता है और इसलिए उनके मामले में पेगासस, अपने निशानों को ज्यादा अच्छी तरह से छिपा सकता है।

स्नोडेन ने मुनाफे के लिए मॉलवेयर विकसित करने वालों के लिए कहा है कि यह, ‘एक ऐसा उद्योग है जिसे होना ही नहीं चाहिए... अगर हम इस प्रौद्योगिकी की बिक्री बंद कराने के लिए कुछ नहीं करते हैं, तो यह 50 हजार को निशाना बनाने पर रुकने वाली नहीं है। यह 5 करोड़ को निशाना बनाएगी और यह हम में से किसी की भी अपेक्षा से कहीं तेजी से होने जा रहा है।’ उन्होंने स्पाईवेयर के अंतर्राष्ट्रीय व्यापार पर फौरन वैश्विक रोक लगाने की मांग की है।

लेकिन, इस तरह के स्पाईवेयर की बिक्री पर रोक लगवाने का स्नोडेन का समाधान भी काफी नहीं है। इसके बजाए, हमें स्पाईवेयर समेत समूचे साइबरस्पेस का गैर-शस्त्रीकरण किए जाने पर विचार करने की जरूरत है। हाल में साइबर हमलों की जो बाढ़ आयी है– अनुमानत: हर रोज दसियों हजार ऐसे हमले होते हैं– उससे समूचे साइबर बुनियादी ढांचे के लिए ही खतरा पैदा हो रहा है, जबकि हमारी सभी संस्थाएं इसी पर निर्भर हैं। एनएसए तथा सीआइए के साइबर-शस्त्रों के लीक हो जाने के बाद और अब जबकि एनएसओ पेगासस का अंधाधुंध इस्तेमाल कर रहा है, हमें इस सवाल का भी जवाब तलाश करना होगा कि क्या ऐसे शस्त्रों के विकास के मामले में, राष्ट्र-राज्यों पर भी सचमुच भरोसा किया जा सकता है?

माइक्रोसॉफ्ट के अध्यक्ष, ब्रेड स्मिथ ने, जो कि न तो कोई शांतिवादी हैं और न वामपंथी, 2017 में लिखा था: ‘सरकार के हाथों से रिसकर, घुसपैठ के ये हथियार बार-बार सार्वजनिक दायरे में पहुंचते रहे हैं और उनसे बड़े पैमाने पर नुकसान हुआ है...।’ 2017 में साइबर उद्योग की कुछ अग्रणी कंपनियों– माइक्रोसॉफ्ट, डॉइश टेलेकॉम तथा अन्य– ने इसी चिंता को स्वर दिया था और साइबर शस्त्रों पर पाबंदी लगाने के लिए एक नयी जिनीवा कन्वेंशन की मांग की थी। रूस और चीन तो और भी पहले से इसकी पुकार करते आ रहे थे। लेकिन, अमरीका ने इस मांग को सीधे-सीधे खारिज कर दिया क्योंकि उसको  लगता है कि उसे साइबर दुनिया में एक सैन्य बढ़त हासिल है और इस बढ़त को उसे हाथ से नहीं जाने देना चाहिए।

पेगासस एक बार फिर इसकी याद दिलाता है कि राष्ट्र-राज्यों के साइबर-शस्त्र विकसित करने के क्या खतरे हैं? यह दूसरी बात है कि फिलहाल मुद्दा इस तरह की प्रौद्योगिकी के लीक होकर अवांछित हाथों में पड़ने का नहीं बल्कि निजी मुनाफे के लिए इस तरह की खतरनाक प्रौद्योगिकी के सोचे-समझे इस्तेमाल का है जो पत्रकारों, कार्यकर्ताओं, विपक्षी पार्टियों और अंतत: जनतंत्र के लिए ही खतरा पैदा कर रहा है। वह दिन दूर नहीं है जब हमारे स्मार्ट फोनों को, जिन्हें हम अपने साथ लिए फिरते हैं, उस साइबर बुनियादी ढांचे पर ही हमला करने के लिए औजार बना दिया जाएगा, जिस पर हम पूरी तरह से निर्भर हो चले हैं।  

इस लेख को मूल अंग्रेज़ी में पढ़ने के लिए नीचे दिये गए लिंक पर क्लिक करें।

Pegasus and Cyberweapon Threats in the Age of Smartphones

अपने टेलीग्राम ऐप पर जनवादी नज़रिये से ताज़ा ख़बरें, समसामयिक मामलों की चर्चा और विश्लेषण, प्रतिरोध, आंदोलन और अन्य विश्लेषणात्मक वीडियो प्राप्त करें। न्यूज़क्लिक के टेलीग्राम चैनल की सदस्यता लें और हमारी वेबसाइट पर प्रकाशित हर न्यूज़ स्टोरी का रीयल-टाइम अपडेट प्राप्त करें।

टेलीग्राम पर न्यूज़क्लिक को सब्सक्राइब करें

Latest