साइबर एक्सपर्ट संदीप शुक्ला ने क्विंट से बातचीत में इजरायली कंपनी NSO ग्रुप के पेगासस सॉफ्टवेयर (Pegasus) को एक 'बड़ा ब्लैक होल' बताया है. शुक्ला का कहना है कि इस सॉफ्टवेयर को क्रैक करना लगभग 'नामुमकिन' है क्योंकि 'कंपनी लगातार मोबाइल फोन पर हमले की मोडस ऑपरेंडी बदलती रहती है.'
शुक्ला IIT कानपुर में कंप्यूटर साइंस और इंजीनियरिंग के प्रोफेसर हैं. वो सरकार से फंड प्राप्त एक साइबर सिक्योरिटी लैब भी चलाते हैं.
फ्रांस की संस्था Forbidden Stories और एमनेस्टी इंटरनेशनल (Amnesty international) ने मिलकर खुलासा किया है कि स्पाइवेयर पेगासस के जरिए दुनिया भर की सरकारें पत्रकारों, कानूनविदों, नेताओं और यहां तक कि नेताओं के रिश्तेदारों की जासूसी करा रही हैं. इस जांच को 'पेगासस प्रोजेक्ट' (Pegasus Project) नाम दिया गया है.
WhatsApp ने साल 2019 में NSO पर आरोप लगाया था कि इसके स्पाइवेयर पेगासस का इस्तेमाल मई 2019 में दुनियाभर में WhatsApp के 1400 यूजर्स को टारगेट करने के लिए किया गया. इन लोगों में भारत के कई मानवाधिकार कार्यकर्त्ता, वकील और एक्टिविस्ट शामिल थे. जिन 121 भारतीय नागरिकों की सर्विलांस हुई थी, उनमें भीमा कोरेगांव मामले के वकील निहाल सिंह राठौड़, एल्गार परिषद केस के आरोपी आनंद तेलतुंबडे, बस्तर की मानवाधिकार वकील बेला भाटिया, एक्टिविस्ट सुधा भारद्वाज की वकील शालिनी गेरा जैसे लोग शामिल हैं.
WhatsApp ने दावा क्या था कि उसने अपने सॉफ्टवेयर की खामी को ठीक कर दिया है. एक मिस्ड WhatsApp वीडियो कॉल के जरिए ही पेगासस डाला गया था.
क्विंट ने संदीप शुक्ला से बात कर जाना कि पेगासस स्पाइवेयर कैसे ऑपरेट करता है और मोबाइल को इससे बचाने के लिए क्या कोई तरीका अपनाया जा सकता है.
पेगासस मोबाइल फोन में कैसे आता है?
2019 से पहले पेगासस फोन में आने के लिए मिस्ड WhatsApp वीडियो कॉल का रास्ता अपनाया करता था. पर अब WhatsApp ने सॉफ्टवेयर की ये दिक्कत दूर कर दी है.
लेकिन अब पता चला है कि पेगासस एपल की मेसेजिंग एप्लीकेशन iMessage का इस्तेमाल कर रहा है. एक अच्छी तरह से लिखे गए मेसेज में पेगासस स्पाइवेयर एम्बेड किया जाता है. फोन यूजर को इस मेसेज पर क्लिक भी नहीं करना होगा और ये स्पाइवेयर खुद ही एक्टिवेट हो जाएगा. अगर पीड़ित मेसेज डिलीट भी कर देगा तो भी पेगासस फोन को संक्रमित कर सकेगा. ऐसा लगता है कि iMessage में भी वही बग है जो पहले WhatsApp में था.
क्या पेगासस मोबाइल फोन पर हमला करने का तरीका बदलता है?
हां, iMessage इन कुछ तरीकों से एक है. ज्यादातर तरीकों में 'जीरो-क्लिक' तकनीक शामिल है, जिसमें पीड़ित यूजर को मेसेज को क्लिक करने की भी जरूरत नहीं है. जीरो-क्लिक अटैक 2019 के बाद से देखे गए हैं. हाल में इन्हें आईफोन में देखा गया है.
आप साइबर सिक्योरिटी लैब चलाते हैं. क्या आपने पेगासस संक्रमित कोई फोन टेस्ट किया है?
हमने ऐसा कोई फोन अपनी लैब में टेस्ट नहीं किया है. यहां मैं बताना चाहूंगा कि मैं या कोई और साइबर एक्सपर्ट सिर्फ ये पता लगा सकते हैं कि फोन में मालवेयर डाला गया है या नहीं. लेकिन ये पक्के तौर पर बताना मुश्किल होगा कि मालवेयर पेगासस ने ही डाला है क्योंकि NSO ग्रुप हमला करने के तरीके बदलते रहता है. अभी तक सिर्फ सिटीजन लैब ने ही पेगासस संक्रमित कुछ फोन पर फॉरेंसिक टेस्ट किए हैं, जिसके आधार पर मोडस ऑपरेंडी बताई गई है.
NSO ग्रुप हमले के तरीके कैसे बदलता है?
90 के दशक से गैजेट एप्लीकेशन्स में खामियां ढूंढने का एक बड़ा बाजार रहा है. सरकारों से लेकर सुरक्षा एजेंसी तक इसमें दिलचस्पी रखती हैं. इन्हें 'zero-day vulnerability' बाजार कहा जाता है. एक 'zero-day vulnerability' सॉफ्टवेयर की वो दिक्कत है जिसके बारे में सॉफ्टवेयर वेंडर को पता नहीं होता है. तो कुछ बहुत होशियार साइबर एक्सपर्ट्स जो एप्लीकेशन्स में खामियां ढूंढने का काम करते हैं, इनकी जानकारी करोड़ों डॉलर में आगे बेच देते हैं.
अगर किसी एप्लीकेशन में खामी इतनी महत्वपूर्ण है कि उसका गलत फायदा बिना पीड़ित के गैजेट को छुए उठाया जा सकता है, तो ऐसी जानकारी NSO ग्रुप जैसी कंपनियां खरीद सकती हैं. NSO इस जानकारी को खरीद सकती है या नई सर्विलांस तकनीक बना सकती है. ऐसे वो सुनिश्चित करती है कि पेगासस बदलता रहे और हमला करने के तरीके भी अपडेट होते रहें.
क्या पेगासस से डाला गया मालवेयर कोई एंटीवायरस डिटेक्ट कर सकता है?
कोई भी एंटीवायरस सॉफ्टवेयर उसी मालवेयर का पता लगा सकता है, जिसके बारे में उसे पहले से पता हो. जैसे कि भीमा कोरेगांव केस में ऐसा लगता है कि आरोपियों के लैपटॉप में 'NetWire' नाम का पुराना मालवेयर डाला गया था. इसलिए McAfee ने उसे पकड़ लिया.
लेकिन पेगासस के केस में ये मुमकिन है कि कंपनी ने एकदम नया मालवेयर लिखा हो जिसके बारे में किसी एंटीवायरस को जानकारी नहीं हो. इसलिए उसका पता लगाना मुश्किल है. मुझे उम्मीद है कि कई फॉरेंसिक लैब पता लगा रही होंगी कि पेगासस को कैसे डिटेक्ट करना है.
लेकिन फिर पेगासस को नया मालवेयर लिखने से कोई नहीं रोक सकता. मुझे पता चला है कि कंपनी चेक करती रहती है कि क्या कोई एंटीवायरस मालवेयर को पकड़ पा रहा है. अगर ऐसा होता है तो पेगासस मालवेयर को अपडेट करता है. तो ये लगातार चलने वाला युद्ध है.
NSO ग्रुप कहता है कि वो सिर्फ आतंकियों और आतंकवादी संगठनों की जासूसी करता है. आपका क्या कहना है?
मुझे लगता है कि NSO ग्रुप को लोकतंत्र और मानवता के खिलाफ अपराधों के लिए कोर्ट ले जाना चाहिए. आतंकी संगठनों को ट्रैक करने के नाम पर कंपनी अनैतिक काम कर रही है. आतंकी स्मार्टफोन या स्थायी मोबाइल फोन इस्तेमाल नहीं करेंगे. वो सैटेलाइट फोन या संपर्क के लिए ज्यादा एन्क्रिप्शन वाले फोन का इस्तेमाल करेंगे.
क्या पेगासस से बचने का कोई तरीका नहीं?
अभी ऐसा लगता है कि कोई उपाय नहीं है. प्रिमिटिव या नॉन-स्मार्ट फोन के इस्तेमाल से पेगसास हमले से बचा जा सकता है क्योंकि ऐसे फोन में मालवेयर डालना बहुत मुश्किल होता है. इसकी वजह इन फोन में कम स्टोरेज कैपेसिटी और कुछ एप्लीकेशन का होना है.
पब्लिक डोमेन में प्रिमिटिव फोन पर पेगासस हमले की कोई जानकारी नहीं है. लेकिन किसी बात को पक्का नहीं माना जा सकता है.
क्या इन हमलों का कोई अंत होगा?
मुझे नहीं लगता क्योंकि पेगासस अपने मालवेयर और खामियों का फायदा उठाने के तरीकों को अपडेट करता रहेगा. थोड़े समय के लिए कोई समाधान हो सकता है लेकिन स्थायी समाधान मुश्किल है. इसके अलावा ऐसे स्पाइवेयर के 'बाजार' और 'मांग' की वजह से NSO जैसी कंपनियों का बिजनेस चलता रहेगा और वो नए स्पाइवेयर बनाने में करोड़ों निवेश करेंगी.
(क्विंट हिन्दी, हर मुद्दे पर बनता आपकी आवाज, करता है सवाल. आज ही मेंबर बनें और हमारी पत्रकारिता को आकार देने में सक्रिय भूमिका निभाएं.)