सरकार की डिजिटल सुरक्षा संरचना हैक कर ली गई
चित्र सौजन्य: Flickr.com
डिजिटल भारत बनाने के लिए नई सरकार द्वारा ई शासन को बढ़ावा देने और उसका बेजा इस्तेमाल करने की मुहीम को बढ़ावा देने की उसकी इच्छा को कुछ समय के लिए इंतज़ार करना होगा क्योंकि सरकारी संस्थाओं द्वारा ऑनलाइन लेनदेन के साथ गंभीर रूप से समझौता हुआ है। राष्ट्रीय सूचना विज्ञान केन्द्र (एनआईसी) जो बुनियादी प्रणाली ढांचे और डिजिटल प्रमाण (DCs) पत्र देने वाली वाली संस्था है, और जोकि सरकार के लेनदेन में इस्तेमाल के लिए डिजिटल प्रमाण पत्र जारी करने वाली प्राधिकरण (सीए) है, को किसी अनजान एजेंट ने हैक कर लिया है। इस उल्लंघन ने एक तरफ सरकारी डोमेन के भीतर अब तक जारी सभी प्रमाण पत्रों की डिजिटल सुरक्षा को संकट में डाल दिया है, और, दूसरी तरफ, घुसपैठिये को नकली डिजिटल प्रमाणपत्र उत्पन्न करने के साथ-साथ ही धोखाधड़ी से पूर्ण जाहिर तौर प्रमाणित जाली वेबसाइटों बनाने के लिए भी सक्षम बना दिया हैं। आज तक एनआईसी-सीए 2.5 लाख डिजिटल प्रमाण (DCs) पत्र जारी कर चूका है।
एन.आई.सी. डाईट वाय द्वारा संचालित प्रमाण पत्र प्राधिकरण नियंत्रक (सीसीए) की प्रमाणपत्र जारी करने वाली छ संस्थाओं में से एक है, जोकि केवल सरकारी संथाओं को ही डिजिटल प्रमाणपत्र जारी कर सकती है। अब सभी 2.5 लाख डिजिटल प्रमाणपत्र दुर्भावनापूर्ण कृत्य और साइबर अपराध की वजह से उनकी चपेट में है। उदाहरण के लिए, एक सरकारी एजेंसी जो उसकी अन्तिम उपभोगकर्ता है और अगर वह एक विशेष भूमि रिकॉर्ड को एक्सेस करने की कोशिश करती है तो यह सुनिश्चित करना मुश्किल है कि वह प्रामाणित है की नहीं। इसी तरह, वह एक सरकारी एजेंसी से डेटा को प्राप्त करती है तो यह सुनिश्चित करना मुश्किल है कि उसके साथ छेड़छाड़ की गई है या नहीं।
एन.आई.सी. का सी.ए. प्रशासन के नयी दिल्ली में मुख्य डेटा और इसका मुख वेब सर्वर दिल्ली मुख्यालय में है, और इसकी बेक-उप साईट (जिसे आपदा प्रबंधन साइट) कहा जाता है, हैदराबाद में है। इन सी.ए. के लिए डिजिटल प्रमाणपत्र जारी करने के लिए सॉफ्टवेयर टाटा कंसल्टेंसी सर्विसेज(टी.सी.एस.) उपलब्ध कराती है, जो अपने आप में खुद एक सी.ए. है, लेकिन यह केवल निजी संस्थाओं और व्यक्तियों को ही डिजिटल प्रमाणपत्र जारी कर सकती है। टी.सी.एस. के अलावा कुछ और सी.ए. संस्थाएं जैसे कि इंस्टिट्यूट फॉर डेवलपमेंट एंड रिसर्च इन बैंकिंग टेक्नोलॉजी (आई.डी.आर.बी.टी.) शामिल है जो बैंकिंग क्षेत्र को डिजिटल प्रमाणपत्र जारी करती है और टी.सी.एस. के सोफ्टवेयर का इस्तेमाल करती है।
दिलचस्प है की मुख्यालय के मुख्य इंफ्रास्ट्रक्चर बंद पड़ा है और पिछले एक महीने से वहां से डाटा उपलब्ध नहीं हो पा रहा है या डाईट वाय के एक अत्यंत विश्वसनीय स्रोत के मुताबिक़ जाहीर होता है कि ऐसा एन.आई.सी. परिसर में आग लगने से नहीं हो पा रहा है। इसलिए, प्रभावी ढंग से, हैदराबाद में बैक अप सिस्टम ही मुख्य सीए इंफ्रास्ट्रक्चर के रूप में काम कर रहा है। यह भी पता चला है कि टीसीएस ने अपने बैक अप सिस्टम के लिए एनआईसी के साथ एक वार्षिक रखरखाव अनुबंध किया हुआ (एएमसी) है। सूत्र के मुताबिक, डिजिटल प्रमाणपत्र जारी करने से पहले सीसीए को बैक अप प्रणाली का एक पूरा लेखा परीक्षा (ऑडिट) करने की जरूरत है जैसा कि पहले किया नहीं गया।
दुर्भाग्यवश, बावजूद तमाम कोशिशों के इस मामले में कोई भी आधिकारिक ब्यान अभी तक नहीं आया है। “में कुछ नहीं जानता, कृपया अपने सभी सवाल सी.सी.ए. से करें,” डॉ. गुलशन राय ने कहा, जोकि डिपार्टमेंट ऑफ़ इलेक्ट्रॉनिक्स एंड इनफार्मेशन टेक्नोलॉजी (डाईट वाय) में इंडियन कंप्यूटर रेस्पोंस टीम (आ.सी.ई.आर.टी.) के महानिदेशक हैं। डाईट में सी.सी.ए. संपर्क करने के सभी प्रयास विफल हो गए,चाहे वे श्री टीए खान, और एनआईसी के नए महानिदेशक श्री राजीव गौबा हो, मिलने की कोशिश सब व्यर्थ गयी। दिलचस्प है कि आग की गंभीर घटना, किसी कारण के लिए, को कभी सार्वजनिक नहीं किया गया। लेकिन अब हैकिंग की घटना को भी रफादफा करने का प्रयास किया जा रहा है।
जब टी.सी.एस. में नीश तेच्मोलिग्य डिलीवरी ग्रुप के प्रमुख डॉ. संदीप ओबेरॉय को संपर्क किया गया तो, क्योंकि टी.सी.एस. शाखा डिजिटल प्रमाणपत्र में संलग्न रही है, ने कहा “अगर एन.आई.सी.-सी.ए. व्यवस्था में कोई दिक्कत है तो एन.आई.सी. से पूछो। टी.सी.एस. ने तो केवल सोफ्टवेयर उपलब्ध कराया है।” यदपि उन्होंने स्पष्ट रूप से मना किया कि टी.सी.एस. भी सिस्टम को ओपरेट करता है, यह भी पता चलता है कि दो संस्थाओं के बीच कुछ अनौपचारिक व्यवस्था के तहत, टीसीएस भी इसे ओपरेट करता है।
हैकिंग की घटना का पर्दाफाश 2 जुलाई को तब हुआ जब गूगल ने सी.सी.ए. और एन.आई.सी. को यह सूचना दी कि उसे बिना आवेदन किये 25 जून और 30 जून को एन.आई.सी.-सी.ए. ने तीन नकली डिजिटल प्रमाणपत्र जारी किये। 30 जून को ही याहू को भी नकली डिजिटल प्रमाणपत्र जारी किये। गूगल को जो डिजिटल प्रमाणपत्र जारी किये गए वे उदहारण के तौर पर उन्हें गूगल सर्विसेज या गूगल डॉक्स को गैर-कानूनी ढंग से हासिल करने के लिए इस्तेमाल किया जा सकता था, और ऐसा ही याहू सर्विसेस के साथ भी किया जा सकता था।
सी.सी.ए. या एन.आई.सी. से कोई भी संतोषजनक जवाब न मिलने पर, गूगल ने डाईट में आई.सी.इ.आर.टी. को सूचित किया। निश्चित तौर पर अगर गूगल इसकी सूचना सी.सी.ए. को नहीं देता और उसे चौकन्ना नहीं करता तो यह घटना किसी को पता ही नहीं चलती। यह आश्चर्यजनक है कि एन.आई.सी. के पास कोई उचित निगरानी रखने कि प्रणाली नहीं हिया जिससे कि इस तरह कि घुसपैठ को पकड़ सके। जबकि वे आई.टी. के क्षेत्र में भारत एक 'सुपर पावर' है का दावा करते नहीं थकते।
जुलाई 8 को गूगल ने सी।सी।ए। को एक दिन का नोटिस दिया कि वह इस घटना को सार्वजनिक करे। जब ऐसा कुछ नहीं हुआ, तो 9 जुलाई को गूगल ने पाने सिक्यूरिटी ब्लॉग में अपने द्वारा उठाये गए कदम के बारे में एक बयान पोस्ट किया (http://googleonlinesecurity.blogspot.in/2014/07/maintaining-digital-certificate-security.html और https://code.google.com/p/chromium/issues/detail?id=392251)। गूगल के ब्यान के मुताबिक़, केवल विन्डोज़ यूजर इससे प्रभावित होंगें क्योंकि सी.सी.ए. माइक्रोसॉफ्ट रूट स्टोर से ही जुडी है, जोकि इन्टरनेट एक्स्प्लोरर और गूगल क्रोम का इस्तेमाल करती है। गूगल क्रोम और इन्टरनेट एक्स्प्लोरर ने पहले से ही एन.आई.सी-सी.ए. द्वारा प्रमाणित सभी वेबसाइटस को डीरिकगनाइज कर दिया है जिन्हें आसानी से चेक किया जा सकता है। उदहारण के तौर पर अगर आप गूगल सर्च पर ‘NIC CA’ किसी भी वेबसाइट को सर्च के लिए डालते हैं जिसे कि NIC -CA ने प्रमाणित किया है और आप लिंक पर क्लीक करते हैं, आपको यह ब्यान पढने को मिलेगा “There is a problem with this website's security certificate”।(यानी, इस वेबसाइट की सुरक्षा प्रमाणपत्र के साथ समस्या है।
गूगल ने जब इस मामले को सार्वजनिक कर दिया, तो सी.सी.ए. ने गूगल को बताया की केवल 4 जाली डिजिटल प्रमाणपत्र जारी किये गए हैं। जबकि गूगल ने और अब शायद याहू ने भी इन जाली प्रमाणपत्रों को ब्लॉक (रोक दिया) कर दिया है जोकि शायद काफी नहीं है, हालांकि इस सम्बन्ध में कोई सार्वजनिक ब्यान इन की तरफ से नहीं आया। जैसा कि गूगल ने एक अपडेट में सही तौर पर नोट किया है, “ हमें पता है की बेजा इस्तेमाल वाले अन्य कई प्रमाणपत्रों को इन चार के सेट में शामिल नहीं किया गया है और इसका यही निष्कर्ष निकला जा सकता है की उल्लंघन का दायरा अज्ञात है।” जबतक इस समस्या का सही ढंग से विश्लेषण नहीं किया जाता तब इसका पता लगाना मुश्किल है आखिर हैकिंग कि सबसे पहली घटना कब घटी,और यह भी स्पष्ट नहीं होगा कि ऐसे कितने जाली डिजिटल प्रमाणपत्र 25 जून से पहले या 25 जून और 2 जुलाई के दौरान जारी किये गए।
निश्चित तौर पर 10 जुलाई को माइक्रोसॉफ्ट ने भी सिक्यूरिटी चेतावनी (No। 2982792 athttps://technet.microsoft.com/library/security/2982792) जारी की जिसने यह चेतावनी दी कि गूगल और याहू को जाली प्रमाणपत्रों के चलते गूगल और याहू सर्विसेज से जुड़े 45 डोमेन को जोखिम भरा बताया।एक ब्यान में कहा गया कि ”इन एस.एस.एल. प्रमाणपत्रों का इस्तेमाल हंसोड़ सामग्री, या इन वेबसाइट की प्रॉपर्टीज पर किसी भी तरह का हमला किया जा सकता है। इसके अधीनस्थ सी.ए. को भी, अन्य के लिए प्रमाण पत्र जारी करने के लिए भी इस्तेमाल किया गया हो सकता है, वर्तमान में अनजान साइट्स, जिन पर इसी तरह के हमले हो सकते हैं।”
काफी प्रभावी ढंग से गूगल ने कहा कि उस समय तक जब तक सीसीए इसकी गहन जांच कर इसके मूल कारण का विश्लेषण नहीं कर लेता कि यह हुआ कैसे, तब तक वह अपनी इन्टरनेट सर्विस को कुछ ख़ास, इन डोमेन (जैसे कि ac.in and rbi.org.in) आदि के लिए सिमित कर देगा, और वह भी केवल देश के भीतर लेन-देन के मामले में। सूत्रों ने कहा है कि हैकिंग के पूरे असर का पता आहिस्ता-आहिस्ता माइक्रोसॉफ्ट द्वारा सरकार डिजिटल इंफ्रास्ट्रक्चर पर कदम उठाने पर पता चलेगा।
सी.ए. द्वारा इस तरह के समझौते की घटनाएँ नई नहीं है। इनमे से सबसे ताज़ा घटना 2011 की है जब कोमोडो, जोकि एक अमरीकन सी.ए. थी और डीजीनोटोर, जोकि एक डच सी.ए. थी ने धोखाधड़ी से भरे डिजिटल प्रमाणपत्र DCs जारी किए गए थे। वापस रास्ते पर आने के लिए डिजिटल प्रमाणपत्रों की एक बार फिर अंतर्राष्ट्रीय स्तर पर मान्यता-प्राप्त होनी चाहिए, एन.आई.सी. को इस घटना का सम्पूर्ण फॉरेंसिक विश्लेषण करना होगा वह भी एक अंतर्राष्ट्रीय टीम के द्वारा, जैसा कि इन दो कम्पनियों ने किया।
अभी तक दोनों सी.सी.ए. और एन.आई.सी.-सी.ए. को कोई आभास नहीं है कि यह धोखा हुआ कैसे। हैकर ने बड़ी ही चतुराई से एक ऐसे कोड को डाला जो डिजिटल प्रमाणपत्र जारी करने के लिए सिस्टम में मौजूद चेकिंग के सभी मोडुल को बाईपास कर जाता है और हैकर को अतिरिक्त मनमाना आवेदन उस लाइन में लगाने की इजाजत दे देता है। इसके अलावा, कोड भी ऐसा है कि एकबार वह जब नकली डिजिटल प्रमाणपत्र (डीसी) उत्पन्न कर लेता है तो हैकर की पहचान से जुड़ा कोई भी सुराग नहीं मिलता है।
सूत्रों के मुताबिक़ यह किसी बाहरी एजेंट या किसी भीतरी इंसान का भी काम हो सकता है जो इंफ्रास्ट्रक्चर में अंतर्ध्वंस की कोशिश कर रहे हैं। अगर यह किसी भीतरी का काम है तो सोफ्टवेयर में लूफोलेस भी हो सकते हैं जिसको कि हैकर ने इस्तेमाल किया। सोफ्टवेयर पर अगर शक करें तो, अन्य सी.ए. जो टी.सी.एस. के सोफ्टवेयर का इसतेमाल करते हैं तो भी खतरे के दायरे में हैं। और और अगर यह बाद वाले का काम है तो अंतर्ध्वंस करने वाले के पास विभिन्न ख़ुफ़िया पासवर्ड और आई.पी. एड्रेस हैं जिनका इस्तेमाल वह चेक मोडुल को धोखा देने के लिए कर सकता है। लेकिन इससे भी गंभीर है कि इस मामले को रफा-दफा करने के लिए और इसके मूल कारण के विश्लेषण करने के लिए आई.सी.ई.आर.टी. द्वारा सिस्टम डेटाबेस, हार्डवेयर और लोग-बुक को एक्सेस करने की कोशिश नाकाम हो गयी।
सी.सी.ए. इसके समाधान के लिए जो तुरंत कदम उठाने की तैयारी रही है उसके अनुसार वह उन सभी डिजिटल प्रमाणपत्रों पर रोक लगा देगी जिन्हें एन.आई.सी.-सी.ए. ने जारी किया है, इसमें कुछ महीनों का समय लग सकता है। लेकिन यह केवल नाकाफी प्रतिक्रिया है और स्पष्ट रूप से कोई समाधान नहीं है जिसे कि माइक्रोसॉफ्ट, गूगल या याहू एन.आई.सी.-सी.ए. के सामने स्वीकार करेगा।
डिस्क्लेमर:- उपर्युक्त लेख मे व्यक्त किए गए विचार लेखक के व्यक्तिगत हैं, और आवश्यक तौर पर न्यूज़क्लिक के विचारो को नहीं दर्शाते ।
अपने टेलीग्राम ऐप पर जनवादी नज़रिये से ताज़ा ख़बरें, समसामयिक मामलों की चर्चा और विश्लेषण, प्रतिरोध, आंदोलन और अन्य विश्लेषणात्मक वीडियो प्राप्त करें। न्यूज़क्लिक के टेलीग्राम चैनल की सदस्यता लें और हमारी वेबसाइट पर प्रकाशित हर न्यूज़ स्टोरी का रीयल-टाइम अपडेट प्राप्त करें।
