FUTURE CRIMES - Everything Is Connected, Everyone Is Vulnerable and What We Can Do About It
Marc Goodman
इंट्रोडक्शन
कंप्यूटिंग के इस गोल्डन ऐज में हम सभी को इस बात की फ़िक्र रहती है कि AI यानी आर्टिफीशियल इंटेलिजेंस हमारी जॉब ना छीन ले, लेकिन हमें इस बात का बिल्कुल भी अंदाज़ा नहीं है कि टेक्नोलॉजी से क्या-क्या रिस्क पैदा हो सकता है। वर्चुअल वर्ल्ड में ढेर सारे सिक्यूरिटी और प्राइवेसी रिस्क भरे हुए हैं।
ये समरी, आपको साइबरक्राइम की दुनिया से रूबरू कराएगी। 21वीं सेंचुरी के हैकर्स ऐसे स्किल्ड प्रोफेशनल्स हैं जो organizations के लिए काम कर रहे हैं। वो ऐसे एडवांस्ड टूल्स यूज़ करते हैं जिन्हें अमीर से अमीर गवमेंट भी मैनेज नहीं कर सकती है।
आप उन सिक्यूरिटी रिस्क्स के बारे में भी जानेंगे जो क्राइम से भी आगे निकल गए हैं। यहाँ तक कि लीगल टेक कंपनियां भी ऐसे प्राइवेसी के रूल्स को तोड़ रही हैं, जो बहुत शॉकिंग और डराने वाली बात है। इंटरनेट से कनेक्टेड हर एक डिवाइस आपके और आपके पर्सनल डेटा के लिए एक रिस्क है।
आपको शायद ऐसा लग रहा होगा कि ये सभी खतरे मॉडर्न टेक्नोलॉजी का एक ऐसा हिस्सा हैं जिसके बारे में आप कुछ नहीं कर सकते, लेकिन ये पूरी तरह सच नहीं है। हमारे पास अभी भी फ्यूचर को बदलने की पावर है। तो आइए जानते हैं कि कैसे आप डिजिटल वर्ल्ड में अपने हक़ को वापस पा सकते हैं।
System Crash
जनवरी 2008 में, पोलैंड में एक ट्रेन अचानक से लेफ्ट ट्रैक पर मुड गई थी। ये बात हैरान करने वाली थी क्योंकि ट्रेन का कंडक्टर राईट टर्न लेने की कोशिश कर रहा था। इस एक्सीडेंट की वजह से, ट्रेन के पिछले डिब्बे दूसरे ट्रैक पर चल रही ट्रेन से टकरा गए।
इस एक्सीडेंट के लिए 14 साल का एक बच्चा ज़िम्मेदार था। उसने एक इंफ़्रारेड रिमोट बनाया था जिससे ट्रेन के जंक्शन को कंट्रोल किया जा सकता था। उस लड़के ने रेल के सिस्टम को अच्छे से स्टडी किया था ताकि वो ये जान सके कि ज़्यादा से ज़्यादा उत्पात कैसे मचाया जाए।
हॉस्पिटल, एयर ट्रैफिक कंट्रोल और पावर ग्रिड जैसे बेहद इम्पोर्टेन्ट एलिमेंट्स कंप्यूटर नेटवर्क से जुड़े हुए होते हैं। हम इंसानों के चारों तरफ मशीनें ही मशीनें मौजूद हैं, लेकिन इनमें से ज़्यादातर सिस्टम की सिक्यूरिटी बहुत खराब है। सोचिए कि अगर पोलैंड में एक बच्चा ट्रेन के सिस्टम को हैक कर सकता है तो एक आतंकवादी क्या-क्या कर सकता है।
इंफ्रास्ट्रक्चर को मैनेज करने के लिए अक्सर Supervisory Control and Data Acquisition (SCADA) सिस्टम को यूज़ किया जाता है। ये ऐसे पुराने कंप्यूटर सिस्टम हैं जिन्हें बनाते वक़्त सिक्यूरिटी में बारे में नहीं सोचा गया था। इस वजह से, इंटरनेट से जुड़े SCADA सिस्टम में बहुत रिस्क है।
इसका सबसे पहला एग्ज़ाम्पल 2001 में ऑस्ट्रेलिया में देखा गया था। एक हैकर ने queensland के sewage ट्रीटमेंट प्लांट को निशाना बनाया जिस कारण लाखों लीटर गंदगी और कचरे से नदियाँ, पार्क और नदी किनारे बना हुआ एक होटल ये भर गए थे। इससे ना सिर्फ़ पब्लिक के हेल्थ पर ख़तरा मंडरा रहा था बल्कि ना जाने कितने ही जानवर और पौधे भी मारे गए थे।
इंफ्रास्ट्रक्चर पर सबसे घातक साइबर अटैक पावर ग्रिड को निशाना बनाकर किया जा सकता है। इलेक्ट्रिसिटी के बिना, लाइट मेट्रो, रेफ्रीजिरेटर और हर तरह की मशीन काम करना बंद कर देंगी। मोबाइल फोन और इंटरनेट भी कुछ दिनों तक ही चल पाएँगे, लेकिन जैसे ही बैकअप generator की बैटरी ख़त्म होगी तो ये बंद हो जाएँगे।
आज क्रिमनल्स हमारे इंफ्रास्ट्रक्चर को बर्बाद करने के लिए नए-नए तरीके ढूँढ रहे हैं। The Chaos Communication Conference, जर्मनी में organize किया जाने वाला एक एनुअल gathering है। इस ग्रुप ने पहले ही ये demonstrate कर दिया है कि एनर्जी, ऑइल और केमिकल इंडस्ट्रीज़ को कैसे कंट्रोल किया जा सकता है।
इंफ्रास्ट्रक्चर को हैक करने के लिए हैकर्स के पास पब्लिक गाइड और डेटाबेस भी हैं। Shodan नाम की एक वेबसाइट पर ऐसे इंस्ट्रक्शन हैं जिससे पावर प्लांट्स और विंड टरबाइन को कंट्रोल किया जा सकता है। इससे, नेशनल इलेक्ट्रिसिटी ग्रिड में रुकावट पैदा करने के लिए ख़ास स्किल की ज़रुरत नहीं पड़ती है। Shodan जैसी वेबसाइट को बंद करना नामुमकिन है क्योंकि उनके सर्वर कई देशों में हैं।
इन रिस्क्स की वजह से US ने, साइबरस्पेस को वॉर का 5th डोमेन बताया है। पुरानी पीढ़ियों को सिर्फ अपने लैंड, sea, एयर और स्पेस बचाकर रखना पड़ता था, लेकिन अब आतंकवादी, organized क्राइम ग्रुप्स और इंडिविजुअल हैकर्स, इंटरनेट की मदद से किसी भी देश पर हमला कर सकते हैं।
लेकिन सबसे खतरनाक अटैक तब होते हैं जब गवर्नमेंट भी साइबर ऑपरेशन में शामिल हो जाती है। 2013 में, US को पता चला था कि चाइना ने पेंटागन के डिफेंस फाइल्स को हैक कर लिया था। Chinese सरकारी हैकर्स ने, 300 बिलियन डॉलर के F-35 जॉइंट स्ट्राइक फाइटर प्रोजेक्ट की जासूसी की थी। उस वक़्त, ये US की हिस्ट्री का सबसे महंगा वेपन प्रोग्राम था।
पेंटागन ने ये रिपोर्ट किया कि चाइना ने उनके डिफेंस के कई ब्लूप्रिंट चुरा लिए थे, जिनमें पैट्रियट मिसाइल सिस्टम, एजिस बैलिस्टिक मिसाइल डिफेंस सिस्टम और ब्लैक हॉक हेलीकॉप्टर (Patriot missile system, the Aegis Ballistic Missile Defense system and the Black Hawk helicopter) शामिल थे। FBI ने अपनी रिपोर्ट में कहा था कि चाइना के पास 180,000 हैकर्स की एक ऐसी आर्मी है जो साइबर अटैक कर रही है।
इससे पता चलता है कि ऐसे कई लोग हैं जो हमारे टेक्नोलॉजिकल इंफ्रास्ट्रक्चर का गलत फ़ायदा उठा सकते हैं। हमारी आइडेंटिटी, फाइनेंशियल डेटा और पावर ग्रिड, सभी ख़तरे में हैं। जैसे-जैसे टेक्नोलॉजी आगे बढ़ेगी, वैसे-वैसे उनकी capability भी बढ़ती जाएगी।
You’re Not the Customer, You’re the Product
2004 में, जेमी और बेन हेवुड ने PatientsLikeMe.com बनाया। ये वेबसाइट लोगों को अपनी बीमारी और उससे जुड़े चैलेंजेज़ के बारे में शेयर करने का मौका देती है। इस वेबसाइट को रेयर कंडीशन वाले लोग यूज़ करते थे ताकि वो ट्रीटमेंट के नए तरीके और टिप्स के बारे में जान सकें। आज, इस साईट पर 200,000 रिकार्डेड केस हैं, जिसमें 1500 बीमारियों के बारे में बताया गया है।
अहमद, सिडनी के एक बिज़नसमैन हैं, जो अपनी माँ के गुज़रने के बाद डिप्रेशन में चले गए थे। अपने मेंटल स्ट्रगल को डिस्कस करने के लिए उन्होंने PatientsLikeMe का मूड फोरम जॉइन किया। 7 मई 2010 को, अहमद को मूड फोरम पर एक unauthorized एक्टिविटी के बारे में एक notification मिला। एक थर्ड पार्टी, उनके सारे कंटेंट को डाउनलोड कर रही थी।
ये सब BuzzMetrics नाम की एक advertising कंपनी कर रही थी। ये कंपनी, इंटरनेट से डेटा कलेक्ट करके advertisers को बेच देती है। BuzzMetrics के पास, मूड फोरम के सभी लोगों के मेंटल हेल्थ डेटा का एक्सेस था।
इस डेटा ब्रीच से, अहमद जैसे users को ये महसूस हुआ कि उन्हें धोखा दिया गया है, लेकिन ये फ़ेडरल लॉ के तहत पूरी तरह से लीगल था। इस इंसिडेंट के बाद, PatientsLikeMe को डेटा सिक्यूरिटी पर एक स्टेटमेंट देनी पड़ी। इससे ये पता चला कि वेबसाइट यूज़र का डेटा पहले से ही बेच रही थी। यानी 200,000 से ज़्यादा परेशान पेशेंट्स की मेडिकल हिस्ट्री बेनाम कंपनियों को बेची जा चुकी थी।
आप जो भी फ्री सर्विस यूज़ करते हैं उसके ‘टर्म्स एंड कंडीशंस’ के सेक्शन में ये डिटेल छुपा होता है। क्या आपने कभी सोचा है कि गूगल आपको कभी बिल क्यों नहीं भेजता है? क्यों घंटों तक टेम्पल रन खेलने के बाद भी आपका एक पैसा भी नहीं लगता है?
कई लोगों को लगता है कि फेसबुक, Instagram और यूट्यूब फ्री हैं क्योंकि हम उन पर ad देखते हैं, लेकिन ये पूरा सच नहीं है। ये सभी साइट आपके पर्सनल डेटा का इस्तेमाल करते हैं और कंपनियों को अपनी ad से आपको टारगेट करने में मदद करते हैं।
गूगल का ही एग्ज़ाम्पल ले लीजिए। ये आपके हर सर्च और क्लिक किए गए हर लिंक को ट्रैक करके रिकॉर्ड करता है। इसके बाद, ये आपके पर्सनल और प्रोफेशनल कम्युनिकेशन को एक्सेस करने के लिए Gmail जैसी free सर्विस ऑफर करता है। मान लीजिए कि आपने अपनी माँ को अपने हाल ही में हुए ब्रेकअप के बारे में एक ईमेल भेजा, तो गूगल आपको डेटिंग साइट और थेरपिस्ट के ad भेजना शुरू कर देगा।
इससे ये साफ़ पता चलता है कि गूगल कैसे आपका डेटा कलेक्ट करता है। अगर आप गूगल ड्राइव पर अपने contacts को स्टोर करते हैं तो इससे उन्हें ये पता चलता है कि आपका कनेक्शन कितना अच्छा है। गूगल मैप जानता है कि आप कहाँ-कहाँ जा रहे हैं। ये आपके स्मार्टफोन को हर समय ट्रैक करने के लिए फ़्री में Android OS भी देता है।
आप गूगल के कस्टमर नहीं हैं बल्कि आप खुद एक ऐसे प्रोडक्ट हैं जिसे कंपनी आपके डेटा खरीदने वाले advertisers को बेचती है। इसलिए, गूगल की सर्विस का आपको कभी कोई बिल नहीं मिलता है। ये हर रोज़ 24 मिलियन गीगाबाइट से ज़्यादा user डेटा को प्रोसेस करते हैं।
Advertising, पर्सनल डेटा को इस्तेमाल करने का बहुत ही आसान तरीका है। 2012 में, एक रशियन कंपनी ने यूज़र डेटा को बेचने का दूसरा तरीका दिखाया जो बहुत खतरनाक था। Girls around me एक ऐसा app था, जो फेसबुक और FourSquare औरतों द्वारा डाले गए पोस्ट को एनालाइज़ करता था। Girls around me का यूज़र, अपने एरिया की सभी यंग लड़कियों के चेहरे और उनके लोकेशन को तुरंत देख सकता था।
जैसे, एक आदमी पास के कैफ़े में आई एक attractive लड़की को बड़ी ही आसानी से ढूँढ सकता था। इसके बाद, वो उस लड़की के प्रोफाइल को देखकर उसके interest के बारे में जान सकता था। इस information के साथ वो उसके साथ फ़ौरन बात करना शुरू कर सकता था। नौजवान लड़कों के लिए ये एक बहुत अच्छा डेटिंग टूल था, लेकिन इससे गलत इरादे वाले लोगों जैसे stalkers यानी पीछा करने वाले और rapists को भी बहुत पावर मिल गई थी।
Crime Inc.
2006 में, शैलेश कुमार जैन और जोर्न संडिन ने इनोवेटिव मार्केटिंग की शुरुआत की। अपने low टैक्स रेट की वजह से कंपनी को बेलीज़ में रजिस्टर किया गया। उन्होंने अपना ऑफिस यूक्रेन में बनाया जहाँ बहुत से यंग प्रोग्रामर्स थे जिन्हें कम सैलरी पर हायर किया जा सकता था।
इनोवेटिव मार्केटिंग ने Malware Destructor और Windows AntiSpyware जैसे प्रोडक्ट बनाए। तीन साल में, कंपनी ने पूरी दुनिया में 500 मिलियन डॉलर से ज़्यादा सेल्स की थी, जो ट्विटर के शुरुआती ग्रोथ से भी ज़्यादा बड़ी थी। तो उनकी सक्सेस के पीछे का राज़ क्या था?
इनोवेटिव मार्केटिंग एक लीगल एंटीवायरस कंपनी नहीं थी। वो एक ऐसा प्रोग्राम बनाते थे जो कंप्यूटर पर एक अलर्ट ट्रिगर करता था। ये मैसेज स्पीकर के ज़रिए सायरन की आवाज़ बजाता था और स्क्रीन पर “सीरियस वायरस डिटेक्टेड” जैसी warning डिस्प्ले होने लगती थी। इसके बाद, एक box आता था जिस पर लिखा होता था, “सभी रिस्क को हटाने के लिए यहाँ क्लिक करें”।
ये लिंक users को इनोवेटर्स मार्केटिंग के सिस्टम डिफेंडर के advertising पेज पर ले जाता था। ये प्रोग्राम users के कंप्यूटर पर मैलवेयर प्रॉब्लम को सॉल्व करने की गारंटी देता था, लेकिन इस सॉफ्टवेयर के लिए कस्टमर को 49 डॉलर ख़र्च करना पड़ता था।
इस तरह के प्रोडक्ट को ‘crimeware’ कहते हैं। ये एक ऐसा कंप्यूटर प्रोग्राम है जो यूजर को एक वायरस इन्फेक्शन होने के बारे में डराता है, जिससे डरा हुआ यूज़र उस प्रॉब्लम हो हटाने के लिए क्रिमिनल को पैसा दे देता है।
इनोवेटिव मार्केटिंग के केस में, users के कंप्यूटर में कोई वायरस नहीं आता था। वो warning मैसेज उनके ब्राउज़र की मदद से इनस्टॉल किया जाता था, इसलिए वो उनके कंप्यूटर को कोई नुक्सान नहीं पहुंचा सकता था।
हम आमतौर पर साइबर क्रिमिनल्स को ऐसे हैकर्स के रूप में देखते हैं जो किसी अँधेरे बेसमेंट में रहते हैं, लेकिन ये लोग प्रोफेशनल क्रिमिनल organization में भी काम करते हैं। इनोवेटिव मार्केटिंग के केस में ऐसा लगता था कि ये एक लीगल टेक कंपनी थी।
साइबर क्रिमिनल्स, अपना प्रोडक्ट बनाने के लिए लीगल टेक सर्विसेज़ को कॉपी भी करते हैं। निकोल गिब्सन नाम की एक यंग आयरिश लड़की ने, एक ऐसा टेक्स्ट-बेस्ड सर्विस बनाया था जिससे चोरों को ऐसे ड्राइवर मिल सकते थे जो चोरी के बाद उन्हें उस जगह से निकाल सकते थे। उसका बिज़नस मॉडल, Uber से इंस्पायर्ड था।
कई मायनों में, मॉडर्न साइबरक्राइम organization किसी भी रेगुलर बिज़नस की तरह काम करते हैं। अब Citadel का ही केस ले लीजिए, जो users के बैंकिंग डिटेल्स को चुराने वाला एक मैलवेयर प्रोग्राम है। क्रिमिनल्स इसका सॉफ्टवेयर खरीदकर इसे अपने विक्टिम के कंप्यूटर में डाल देते हैं।
Citadel के डेवलपर्स ने कस्टमर के रिक्वेस्ट को ट्रैक करने के लिए एक फ़ोरम भी बनाया था। उन्होंने बग के बारे में रिपोर्ट करने और नए फीचर्स के लिए वोट करने के लिए भी, पेज बनाए थे। इन फीचर्स को आमतौर पर ‘कस्टमर रिलेशनशिप मैनेजमेंट (CRM)’ कहा जाता है। लगभग सभी बड़ी सॉफ्टवेयर कंपनियां ऐसा करती हैं।
एक रेगुलर employee की ट्रेनिंग की तरह, साइबर क्रिमिनल्स भी नए हैकर्स को ट्रेनिंग देते हैं। स्पैमिंग और phishing अटैक करने का गाइड फ़्री में ऑनलाइन मिल जाता है। क्रेडिट कार्ड चुराने से लेकर फायरवॉल को तोड़ने जैसी क्रिमिनल एक्टिविटीज़ पर ऑनलाइन टुटोरिअल भी अवेलेबल हैं।
कई वजह हैं जिनसे हैकर्स को साइबरक्राइम करने का मोटिवेशन मिलता है। जैसे, कम से कम रिस्क लेकर वो लाखों कमा सकते हैं। साइबरक्राइम के सभी मामलों में सिर्फ 0.001% लोगों को ही सज़ा मिलती है। आप इसे अपनी आइडेंटिटी छुपाकर बिल्कुल गुमनाम होकर कर सकते हैं और दुनिया में किसी को भी टारगेट कर सकते हैं। इसके फ़ायदों की वजह से, Yakuza और Cosa Nostra Mafia जैसे ग्रुप भी साइबरक्राइम करने लगे हैं।
साइबरक्राइम सिर्फ फॉर्मल organization में ही नहीं होते हैं। ये Amazon जैसे ऑनलाइन मार्केटप्लेस में भी काम करते हैं। इन साइबर ब्लैक मार्केट में, buyer और सेलर रेटिंग सिस्टम होते हैं। यानी जैसे आप eBay के प्रोडक्ट को रेटिंग देते हैं, वैसे ही कंप्यूटर वायरस और चुराए हुए क्रेडिट कार्ड को भी रेटिंग दे सकते हैं।
क्रिमिनल मार्केट के एंट्री लेवल पर scammers का होना बहुत कॉमन है, लेकिन जो लोग वहां काम करते हैं वो उन्हें तुरंत वहां से हटा देते हैं। ज़्यादा इम्पोर्टेन्ट transactions के लिए Escrow जैसे एडिशनल सेफ्टी measure लिए जाते हैं, जिसमें पेमेंट एक सिक्योर थर्ड पार्टी को भेजा जाता है और डील कम्पलीट होने के बाद ही उसे रिलीज़ किया जाता है।
क्राइम के बड़े और sophisticated नेटवर्क में घुसना और भी ज़्यादा मुश्किल है। इसके लिए ज़्यादातर, एक भरोसेमंद साइबरक्रिमनल आपको किसी से मिलवाता है और अपने वादों को पूरा ना करने के गंभीर परिणाम हो सकते हैं। हैकर्स अपने दुश्मनों पर, “डिजिटल drive-bys” करते हैं। इन अटैक्स में, क्रिमिनल एंटरप्राइज़ के पूरे डेटाबेस को बर्बाद कर किया जाता है।
साइबरक्रिमिनल्स अपनी एक्टिविटीज़ को और ज़्यादा decentralize करने के लिए क्राउडसोर्सिंग का इस्तेमाल भी करते हैं। वॉशिंगटन में, 30 आदमियों ने G-Star Raw स्टोर को लूटने के लिए सोशल मीडिया पर एक दूसरे से बात की थी। उन्होंने स्टोर के गार्ड्स को डरा-धमकाकर 20,000 डॉलर के आइटम चुरा लिए थे। अगर उनमें से कोई एक भी पकड़ा जाता तो वो दूसरे लोगों का नाम नहीं बता पाता क्योंकि उस दिन सभी एक दूसरे से पहली बार मिले थे।
इस तरह का क्राइम एक आम इंसान के लिए ज़्यादा बड़ा ख़तरा नहीं है। चोरियाँ तो रोज़ होती हैं, लेकिन क्राउडफंडिंग का Assassination Market नाम के एक क्रिमिनल साईट पर गलत इस्तेमाल किया गया। इसमें लोग अपने टारगेट को मारने के इरादे से पैसा इकट्ठा करने के लिए क्राउडफंड का इस्तेमाल कर सकते हैं। 2014 तक, उस ग्रुप ने US फ़ेडरल रिज़र्व के चेयरमैन, बेन बर्नानके को मारने के लिए 75000 डॉलर इकट्ठा कर लिए थे।
Hacking You
बर्टोल्ट मेयर का लेफ़्ट हाथ नहीं था। बचपन में उन्हें ख़राब quality का प्रोस्थेटिक आर्म यानी नकली हाथ यूज़ करना पड़ा था। वो हाथ ऐसा नहीं था जिससे काम किया जा सकता था इसलिए मेयर कभी कोई काम करने के लिए अपने दोनों हाथों को यूज़ नहीं कर पाए।
2009 में, मेयर को “Touch Bionics i-limb hand” ट्राई करने के लिए invite किया गया। ये उस वक़्त का सबसे एडवांस्ड प्रोस्थेटिक होने के साथ-साथ एक इंसान के असली हाथ का एक परफेक्ट कॉपी था। इस डिवाइस को, उनके हाथ के ऊपर के हिस्से की नसों से आने वाले सिग्नल से कंट्रोल किया जाता था।
मेयर के हाथ को एक app के ज़रिए रिमोटली यानी दूर से भी कंट्रोल किया जा सकता था। ब्लूटूथ के ज़रिए उनके हाथ को उनके फ़ोन से भी कनेक्ट किया जा सकता था। इस app में, कई अलग-अलग तरह के मूवमेंट और किसी चीज़ को पकड़ने का फीचर भी था। इसे यूज़र की इच्छा के हिसाब से री-प्रोग्राम भी किया जा सकता था।
Touch Bionics i-limb hand में कुच्प्रोब्लेम भी थी, जैसे: app से मिलने वाले किसी भी इंस्ट्रक्शन को यूजर ब्लॉक नहीं कर सकता था। इसका मतलब ये भी था कि अगर मेयर के iphone को किसी ने हैक कर लिया तो उस इंसान के पास मेयर के हाथ को पूरी तरह कंट्रोल करने का पावर होगा। ऐसा हिस्ट्री में पहली बार हुआ था कि इंसान की बॉडी को भी हैक किया जा सकता था।
प्रोस्थेटिक्स, ह्यूमन बॉडी का मशीन एक्सटेंशन है। उसी तरह, स्मार्टफोन हमारे mind का एक्सटेंशन है। स्मार्टफ़ोन इस्तेमाल करने वाले 90% users अपने फोन को हमेशा अपने पास रखते हैं। हम अपने फ़ोन से इतना attach हो चुके हैं कि जब वो हमारे आसपास नहीं होता है तो हम परेशान हो जाते हैं।
फ्यूचर में हमारे आसपास और ज़्यादा इलेक्ट्रॉनिक डिवाइसेस होंगे। इसमें, बायोनिक्स, इम्प्लांटेबल मेडिकल डिवाइस और wearable कंप्यूटर शामिल हैं। सबसे पहली कार में कोई इलेक्ट्रॉनिक डिवाइस नहीं था। आज कार में अ सेंट्रल कंट्रोलर होता है और ये इलेक्ट्रॉनिक सर्किट का एक नेटवर्क है। आज हम जो डिवाइस carry करते हैं वो भी फ्यूचर में जाकर एक extensive नेटवर्क बन जाएँगे।
ऐसा ही पॉपुलर होने वाला पहला डिवाइस था हियरिंग ऐड यानी सुनने की मशीन। आज, हियरिंग एड ब्लूटूथ टेक्नोलॉजी का इस्तेमाल करते हैं और एक साथ कई ऑडियो स्ट्रीम्स को हैंडल कर सकते हैं। Users एक स्मार्टफ़ोन app के ज़रिए इसका वॉल्यूम, equalization के साथ-साथ ये भी कंट्रोल कर सकते हैं कि वो क्या सुनना चाहते हैं।
लेकिन अब तक आपको इस बात का एहसास हो गया होगा कि किसी भी ब्लूटूथ डिवाइस को भी हैक किया जा सकता है। कोई अगर ढूंढे तो सारे ज़रूरी प्रोग्राम ऑनलाइन अवेलेबल हैं। आप अपने हियरिंग एड में क्या सुन रहे हैं, एक हैकर उसे आसानी से सुन सकता है। इसी तरह, वो ऐसा कुछ भी play कर सकता है, जो वो आपके कानों तक पहुंचाना चाहता है।
हियरिंग एड के बाद, अगला बड़ा ट्रेंड था, “wearables” नाम के कई डिवाइस। ये डिवाइस आपकी लाइफ के कई एरिया को measure करते हैं। key metrics में आपके नींद की quality, weight, हार्ट रेट, स्टेप काउंट जैसी चीज़ें शामिल हैं। सबसे पॉपुलर wearables हैं, Nike का फ्यूलबैंड और स्मार्टवाच जैसे एक्टिविटी ब्रेसलेट।
wearables में सिर्फ हैक होने का ही खतरा नहीं है। 52% फिटनेस apps की कोई प्राइवेसी पॉलिसी नहीं है। इसका मतलब है कि आपके wearables बनाने वाले मैन्युफैक्चरर आपका हेल्थ डेटा बेच सकते हैं। example के लिए, आपके ख़राब स्लीप पैटर्न को किसी कोर्ट केस में आपके खिलाफ इस्तेमाल किया जा सकता है, हेल्थ insurance कंपनियां अपने रेट को एडजस्ट करने के लिए आपके wearable का डेटा मांग सकती है।
ह्यूमन बॉडी में कंप्यूटर का सबसे इम्पैक्टफुल यूज़ मेडिकल कंडीशन को ठीक करने के लिए किया जाता है। ऐसा पहला डिवाइस एक पेसमेकर था जिसे 1958 में आर्ने लार्सन (Arne Larsson) नाम के पेशेंट में इम्प्लांट किया गया था। ये उसके पेट की कैविटी में स्टोर किया गया था और ये उसके दिल को नॉर्मल तरह से धड़कने में मदद करता था। आज के पेसमेकर में WiFi कैपबिलिटीज़ हैं इसलिए डॉक्टर अपने पेशेंट्स को रिमोटली मॉनिटर कर सकते हैं।
पेसमेकर इकलौता इम्प्लांटेबल मेडिकल डिवाइस यानी IMD नहीं है। आज, इम्प्लांटेबल defibrillator और डायबिटिक पम्प भी हैं। लाखों लोग IMD पहनते हैं और अमेरिका में हर साल इसके 300,000 से ज़्यादा यूनिट बिकते हैं। जैसे-जैसे ये डिवाइस ज़्यादा छोटे और पावरफुल होते जा रहे हैं वैसे-वैसे ये बहुत कॉमन भी होते जा रहे हैं।
जैसा दूसरे इलेक्ट्रॉनिक्स में होता है, कोई भी IMD के लिए साइबर सिक्यूरिटी डिज़ाइन नहीं करता है। इसके manufacturers ने कभी ये नहीं सोचा था कि कोई पेसमेकर को भी हैक करना चाहेगा। लेकिन, ऐसे कई मेडिकल डिवाइस हैं जो मैलवेयर से इन्फेक्टेड हैं। MRI, X-ray, वेंटीलेटर और हॉस्पिटल की दूसरी मशीन में वायरस पाया गया है।
वॉशिंगटन यूनिवर्सिटी के रिसर्चर्स ने एक मेडिकल डिवाइस को हैक करने के रिस्क के बारे में समझाया है। उन्होंने Medtronic द्वारा बनाए गए हार्ट defibrillator और पेसमेकर के कॉम्बिनेशन को हैक किया। रिसर्चर्स इससे पेशेंट्स का सारा डेटा चुरा सकते थे। इससे भी ज़्यादा परेशान करने वाली बात ये थी कि हैकर्स सीधा पेशेंट के हार्ट में सीधे जानलेवा इलेक्ट्रिक शॉक भी भेज सकते थे।
ऐसा डेमो सिर्फ़ यूनिवर्सिटी के रिसर्चर्स ने नहीं किया था। Barnaby जैक एक फ़ेमस क्रिमिनल हैकर है जिसने ATM और दूसरे डिवाइसेस को हैक किया है। 2012 में, उसने अपने 300 फीट के एरिया में सभी इन्सुलिन पम्प को हैक करने के लिए एक स्पेशल ऐन्टेना का इस्तेमाल किया था। अगर जैक उन सभी पेशेंट्स में 45 दिन का इन्सुलिन एक साथ रिलीज़ करता तो उन सबकी मौत हो जाती।
अभी तक, हमने ऐसी मशीन के रिस्क को examine किया है, जो आपकी बॉडी के बाहर या अंदर हैं। लेकिन, दूर रखी मशीनें भी ह्यूमन बॉडी के लिए सिक्यूरिटी रिस्क बन सकती है। जैसे, फेशियल रिकग्निशन सॉफ्टवेयर को ही ले लीजिए।
FaceFirst, कैलिफ़ोर्निया की एक बायोमेट्रिक्स कंपनी है। ये स्टोर में चोरी करने वालों को पहचानने और उन्हें बाहर निकालने के लिए स्टोर में कस्टमर्स के चेहरों को स्कैन करते हैं। हिल्टन होटल्स, अपने गेस्ट्स को स्कैन करने के लिए facial रिकग्निशन सॉफ्टवेयर का इस्तेमाल करते हैं। इसके बाद, वो अपने विज़िटर्स और VIPs को उनके नाम से ग्रीट कर सकते हैं।
इस एग्ज़ाम्पल से शायद किसी को नुक्सान नहीं होगा। लेकिन 2012 में, टेक्सस की एक कंपनी ने लोकल bar और pub के साथ पार्टनरशिप की। वो कस्टमर्स को पहचानने और स्कैन करने के लिए सिक्यूरिटी कैमरा के फुटेज का इस्तेमाल करते थे। इसकी मदद से एक app बनाया गया SceneTap।
SceneTap, users को किसी bar के अंदर के population डेटा के बारे में बताता था। वो जेंडर रेश्यो और एवरेज ऐज के साथ-साथ ये भी बताता था कि हर स्पॉट में कितने गेस्ट हैं। नशे में धुत कॉलेज के लड़के इस app का इस्तेमाल ऐसे bar ढूँढने के लिए करते थे जहाँ बहुत सारी लड़कियां होती थीं ताकि वो उनका फ़ायदा उठा सकें।
Next-Generation Threats: Why Cyber Was Just the Beginning
1999 में, कई वॉल स्ट्रीट ट्रेडर्स की जगह कंप्यूटर ने ले ली थी। इन कंप्यूटर्स को HFT यानी हाई फ्रीक्वेंसी ट्रेडिंग प्लेटफॉर्म कहते थे। HFT ऐसे आर्टिफीशियल इंटेलिजेंस की तरह थे जो खुदबखुद ट्रेड कर सकते थे। वो न्यूज़ पढ़ सकते थे, कैलकुलेशन कर सकते थे और कौन सा स्टॉक बेचना और खरीदना है, ये फैसला भी ले सकते थे। 2015 में, HFT ने Dow Jones इंडेक्स का 70% ट्रेड किया था।
अप्रैल 23, 2013 को, एसोसिएटेड प्रेस (AP) ने वाइट हाउस में हुए एक धमाके के बारे में रिपोर्ट किया। ब्रेकिंग न्यूज़ ये थी कि प्रेसिडेंट बराक ओबामा को चोट लगी थी। HFT ने इस हैडलाइन को पढ़ा और तुरंत जवाब दिया। ये सोचकर कि अमेरिका पर आतंकवादी हमला हुआ है उन्होंने अपने स्टॉक्स को तुरंत बेचना शुरू कर दिया।
तीन मिनट के अंदर, शेयरहोल्डर्स को 136 बिलियन डॉलर का नुक्सान हो गया। बाद में पता चला कि ये कोई हमला नहीं था बल्कि सीरियन इलेक्ट्रॉनिक आर्मी के हैकर्स ने AP ट्विटर अकाउंट को एक्सेस कर लिया था और एक फेक हैडलाइन पब्लिश किया था। लेकिन, इस इकॉनोमिक डैमेज को ठीक करना अब नामुमकिन था।
स्टॉक मार्केट ही इकलौता फील्ड नहीं है जहाँ AI इतना हावी हो गया है। AI का मतलब है ऐसा information सिस्टम जो ऐसे प्रॉब्लम को सॉल्व करता है जिसमें ह्यूमन इंटेलिजेंस की ज़रुरत होती है। ज़्यादातर प्रोग्राम बहुत narrow यानी लिमिटेड और कमज़ोर AI हैं। ये ऐसे सॉफ्टवेयर हैं जिन्हें एक स्पेसिफिक टास्क को सॉल्व करने के लिए प्रोग्राम किया जाता है।
जैसे, मान लीजिए कि Netflix आपको एक टीवी शो recommend करता है। ये आपके watch हिस्ट्री और दूसरे डेटा को एनालाइज़ करता है। इसके बाद, एक सही शो ढूँढने के लिए इसका algorithm कैलकुलेशन और comparison करता है। लेकिन, इसका अलावा Netflix का AI दूसरा कोई काम नहीं कर सकता। ये कितना narrow AI है।
Narrow AI सिर्फ एंटरटेनमेंट और IT सेक्टर में ही नहीं हैं। आज, टेस्ट रिज़ल्ट को जल्दी पढ़ने के लिए डॉक्टर कंप्यूटर-एडेड डायग्नोस्टिक्स का इस्तेमाल कर रहे हैं। पैटर्न रिकग्निशन algoritm हज़ारों टेस्ट में abnormal रिज़ल्ट को ढूँढ सकता है।
दूसरी तरफ, लॉयर्स की जगह ऐसे कंप्यूटर ने ले ली है जो लीगल डॉक्यूमेंट को प्रोसेस कर सकते हैं। वो 15% कॉस्ट में, इंसान से कहीं ज़्यादा तेज़ी से काम कर सकते हैं।
इन algorithm के साथ प्रॉब्लम ये है कि कोई नहीं जानता कि ये कैसे काम करते हैं। जो प्रोग्रामर्स और कंपनियां AI यूज़ करते हैं वो अपने algorithm को लेकर ट्रांसपेरेंट नहीं हैं। कंप्यूटर हमारे लिए हमसे बिना पूछे या हमें बिना बताए खुदबखुद फैसला ले लेते हैं।
जैसे, FICO स्कोर, अमेरिका का एक AI द्वारा कैलकुलेट किया गया क्रेडिट स्कोर है। अगर आपका FICO स्कोर हाई है तो आपको कम इन्ट्रेस्ट रेट पर तुरंत लोन मिल सकता है। लेकिन, किसी को नहीं पता कि ये कैसे कैलकुलेट किया जाता है। यानी अगर algorithm में कोई गलती है जो वो बहुत से लोगों को नुक्सान पहुंचा सकता है. वो इस सिस्टम से किसी भी तरह से लड़ नहीं सकते।
AI का इस्तेमाल क्राइम बॉट के रूप में illegal एक्टिविटी के लिए भी किया जा सकता है। ये ऐसे इंटेलीजेंट प्रोग्राम हैं जो बिना ह्यूमन सपोर्ट के कंप्यूटर सिस्टम को हैक कर सकते हैं। आइए इसे Gameover Zeus botnet के एग्ज़ाम्पल से समझते हैं। इसने हजारों users को उनके कंप्यूटर से लॉग आउट कर दिया और उनके डिवाइस को अनलॉक करने के लिए पैसे मांगे।
Gameover Zeus ने कई इंटेलीजेंट बॉट की मदद से कमज़ोर कंप्यूटर्स को एक्सेस किया जिससे हैकर्स ने 100 मिलियन डॉलर कमाए। इतना बड़ा ऑपरेशन मैन्युअली करना बहुत मुश्किल और महंगा पड़ता। बाकी इंडस्ट्रीस की तरह AI ने कॉस्ट को कम करने के साथ-साथ क्राइम की घटनाओं को बढ़ने में भी बहुत मदद की है।
Botnet जैसे narrow AI कई दशकों से मौजूद हैं। अब, दुनिया आर्टिफीशियल जनरल इंटेलिजेंस (AGI) की तरफ बढ़ रही है। ये ऐसी थिंकिंग मशीन हैं जो एक इंसान की तरह कोई भी इंटेलीजेंट काम कर सकती हैं। AGI नई चीज़ें सीख सकते हैं, फैसले ले सकते हैं, डिबेट कर सकते हैं और कम्यूनिकेट भी कर सकते हैं।
एक स्ट्रोंग AI क्राइम bot नेटवर्क, Gameover Zeus से कहीं ज़्यादा नुक्सान पहुंचा सकता है, लेकिन सिर्फ यही रिस्क नहीं है। एक स्ट्रोंग AI उसे दिए गए कामों को करते हुए आपको नुक्सान भी पहुंचा सकता है।
आइए इसे 2001 की फिल्म ‘अ स्पेस ओडिसी’ के HAL 9000 के साइंस फिक्शन के एग्ज़ाम्पल से समझते हैं। इसे जुपिटर के पास अपना मिशन ख़त्म करने के लिए प्रोग्राम किया गया था, लेकिन HAL को ये इंस्ट्रक्शन भी दिया गया था कि वो इस मिशन का डिटेल क्रू मेंबर्स को ना बताए। इस मुद्दे को हल करने के लिए इसने जुपिटर के पास पहुँचने पर पूरे क्रू को मारने का फैसला ले लिया।
बिज़नस reasons की वजह से किसी भी बड़े AGI प्रोग्रामिंग के बारे में पब्लिक में शेयर नहीं किया जाएगा। इसका मतलब ये है कि हो सकता है कि इनमें से कुछ में बड़ी-बड़ी गलतियाँ हों। AGI, HAL 9000 की तरह शायद लोगों को जान से ना मारे, लेकिन ये हो सकता है कि वो अपने मकसद को पूरा करने के लिए किसी की प्राइवेसी का उल्लंघन करे या किसी इकोसिस्टम को नुक्सान पहुंचाए।
इसके अलावा, हाई इंटेलीजेंट AGI अब हमसे ज़्यादा दूर नहीं हैं। 2014 में, IBM ने TrueNorth नाम के चिप को develop करने के बारे में announce किया था। TrueNorth, ह्यूमन ब्रेन से इंस्पायर्ड है और उसे ह्यूमन ब्रेन की तरह ही बनाया गया है। इसमें एक million डिजिटल नयूरोंस और 256 million synapses हैं।
TrueNorth, एक ह्यूमन ब्रेन को कॉपी करने से अभी भी काफी दूर है, लेकिन कंप्यूटिंग के फील्ड में लगातार प्रोग्रेस हो रहा है। हमारे skull का साइज़, ह्यूमन ब्रेन की पावर को लिमिटेड बना देता है, लेकिन एक कंप्यूटर ब्रेन, जितना हम चाहें, उतना बड़ा बन सकता है। ऐसा AGI, ह्यूमन evolution का अगला स्टेज आसानी से बन सकता है।
Surviving Progress
अब हम टेक्नोलॉजी को रिवर्स नहीं कर सकते। हम इसके एडवांसमेंट के रेट को कम भी नहीं कर सकते। हमारे पास इकलौता रास्ता ये है कि हम टेक्नोलॉजी के नुक्सान को कम करते हुए इसे सिर्फ अच्छे कामों के लिए इस्तेमाल करें।
इसके लिए सबसे पहला स्टेप जो हम ले सकते हैं, वो ये है कि हमें टेक्नोलॉजी को develop करने के तरीके को बदलना होगा। फेसबुक में काम करने वाले इंजिनियर्स सिर्फ एक ही बात सोचकर काम करते हैं कि “move fast and break things”। उनके मानना है कि नए सॉफ्टवेयर का परफेक्ट होना ज़रूरी नहीं है बल्कि उनके लिए सिर्फ एक ही चीज़ इम्पोर्टेन्ट है और वो है इनोवेशन का स्पीड। किसी भी तरह का Bug, और सिक्यूरिटी इशूज़ को बाद में ठीक किया जा सकता है।
ये प्रॉब्लम सिर्फ फेसबुक में ही नहीं है। दुनिया भर में प्रोग्रामर्स बहुत ज़्यादा काम कर रहे हैं और उन्हें बहुत टाइट डेडलाइन दी जाती है। जो प्रोग्राम वो लिखते हैं जो कभी-कभी काम करते हैं, जिस वजह से Sony और Target जैसी कंपनियों में लार्ज-स्केल की हैकिंग हुई थी।
अकेले माइक्रोसॉफ्ट ऑफिस में 50 मिलियन तरह के कोड हैं। किसी हैकर को दूर रखने के लिए उन सभी का परफेक्टली काम करना ज़रूरी है। इसके अलावा, आपके कंप्यूटर के प्रोग्राम आपस में synchronise होने चाहिए। जब आप इंटरनेट से कनेक्ट करते हैं तो आप अलग-अलग कंप्यूटर पर सिक्यूरिटी रिस्क के contact में आते हैं।
ऐसे रिस्क का पता लगाने को आसान बनाने के लिए हमें अपने इंसेंटिव सिस्टम को बदलने की ज़रुरत है। अब हैकर्स का ही एग्ज़ाम्पल ले लीजिए। जब उन्हें सिक्यूरिटी में कोई कमी मिलती है तो उनके पास दो ऑप्शन होते हैं - पहला, वो पैसों के बदले में उसे ब्लैक मार्केट में बेच सकते हैं। दूसरा, अगर वो इस बारे में रिपोर्ट करते हैं तो बदले में उन्हें कोई रिवॉर्ड नहीं मिलेगा और हो सकता है कि उन्हें इसके लिए सज़ा भी दी जाए।
इसका solution है ऐसे सिक्यूरिटी रिस्क रिपोर्टिंग सिस्टम क्रिएट करना जिसमें कैश का reward दिया जाए। इससे प्रोग्रामिंग एरर्स को रिपोर्ट करने के लिए हैकर्स मोटीवेट होंगे। कंपनियां जल्दबाज़ी में बनाए गए अपने इनसिक्योर कोड को अभी भी पब्लिश कर सकते हैं, लेकिन इससे यूज़र को होने वाला नुक्सान कम किया जाएगा।
कंपनियां बग वाले प्रोग्राम भी रिलीज़ करती हैं क्योंकि ऐसा करने से उन्हें कोई नुकसान नहीं झेलना पड़ता है। जब आप उनके टर्म्स ऑफ़ सर्विस पर क्लिक करते हैं तो आप इस बात से सहमत होते हैं कि वो किसी भी नुक्सान के लिए ज़िम्मेदार नहीं होंगे। ये बहुत ही गलत बात है कि सॉफ्टवेयर कंपनियां ऐसा करके बच जाती हैं। हम ऐसा किसी और सेक्टर में तो नहीं करते हैं।
सॉफ्टवेयर कंपनियों का ये कहना है कि रेगुलेटरी लॉ उनका दिवाला निकाल देंगे, लेकिन 1960 के दशक में ऑटोमोबाइल सेक्टर में ऐसी ही प्रॉब्लम देखने को मिली थी। पहले की कारों में, सेफ्टी स्टैंडर्ड बहुत ही खराब हुआ करते थे। मैन्युफैक्चरर्स का कहना था कि सेफ्टी फीचर्स डालने से उनकी कार और ज़्यादा महंगी हो जाएगी।
1966 में, US ने नेशनल ट्रैफिक एंड मोटर व्हीकल सेफ्टी एक्ट पास किया। इसे 20th सेंचुरी का सबसे बड़ा पब्लिक हेल्थ अचीवमेंट माना जाता है। इस कारण, कार पहले से कहीं ज़्यादा सेफ हो गईं थी और एक्सीडेंट होने पर बचने का चांस भी बढ़ गया था।
आज, कंप्यूटर ऑटोमोबाइल से ज़्यादा कॉम्प्लेक्स मशीन हैं, लेकिन इन्हें रेगुलेट करना नामुमकिन भी नहीं है। जब तक laws नहीं बनेंगे तब तक कंपनियां ऐसे प्रोडक्ट्स रिलीज़ करती रहेंगी जिनसे users को खतरा हो सकता है।
लेकिन, डेटा सिक्यूरिटी को बेहतर बनाने के लिए, कंपनियों को सिर्फ बेहतर कोड बनाने पर ही ध्यान नहीं देना चाहिए। 2014 में, HP द्वारा किए गए एक स्टडी से पता चला है कि हमारे 90% डिवाइस हमारा पर्सनल डेटा कलेक्ट करते हैं। इनमें से, सिर्फ 70% अपने स्टोरेज को एन्क्रिप्ट करते हैं।
जब आप ऑनलाइन कम्यूनिकेट करते हैं रो वो सारा डेटा रेगुलर टेक्स्ट की तरह भेजा जाता है। एन्क्रिप्शन का मतलब है उस टेक्स्ट को ऐसे डेटा में बदलना जो सिर्फ रिसीवर ही पढ़ सकता है। अगर आपका डेटा अनएन्क्रिप्टेड है तो आपका डिवाइस जो भी एक्सेस करेगा वो आपके डेटा को चुरा सकता है। हैकर्स, ज़्यादातर डिवाइस की खराब सिक्यूरिटी और अपने एडवांस्ड टूल्स की मदद से इनमें आसानी से घुस जाते हैं।
इस रिस्क का तब पता चला था जब Home Depot का पेमेंट सिस्टम हैक हो गया था। Home Depot ने अपना डेटा को एन्क्रिप्ट नहीं किया था। इस वजह से, हैकर्स ने 55 मिलियन कस्टमर्स के क्रेडिट कार्ड के डिटेल को एक्सेस कर लिया था।
आज, गूगल जैसी कंपनियों ने इमेल को एन्क्रिप्ट करना शुरू कर दिया है। ऐसा करने से, अब एक नेटवर्क को हैक करके किसी के लिए भी आपके ईमेल को पढ़ना मुश्किल होगा। माइक्रोसॉफ्ट और iOS जैसे ऑपरेटिंग सिस्टम के साथ फ्री एन्क्रिप्शन फीचर्स आते हैं, लेकिन बहुत कम users ये जानते हैं कि ऐसे सिक्यूरिटी ऑप्शंस भी होते हैं।
इसका solution यही है कि एन्क्रिप्शन को सभी इलेक्ट्रॉनिक डिवाइसेस का डिफ़ॉल्ट सेटिंग बना दिया जाए। Users को सिक्यूरिटी टूल्स के बारे में सिखाने के बजाय ये करना काफी आसान है। 2014 में, एप्पल एक ऐसा फीचर लेकर आया था जिसमें जैसे ही आप iphone में एक पासवर्ड सेट करते हैं आपका सारा डेटा एन्क्रिप्ट हो जाएगा। लेकिन, ये काफी नहीं होगा क्योंकि 40% users पासवर्ड यूज़ नहीं करते हैं।
इन टेक कंपनियों के अलावा, गवर्नमेंट को भी डेटा सिक्यूरिटी में इंवेस्ट करने की ज़रुरत है। साइबरक्राइम अक्सर एक इंटरनेशनल प्रॉब्लम होती है इसलिए इसके साथ डील करने में लीगल सिस्टम बनाना मुश्किल है। सोचो कि अगर टेक्सास के एक सर्वर पर टोक्यो में बैठा एक हैकर हमला कर दे तो क्या होगा? अमेरिकन पुलिस, जापान में किसी को अरेस्ट नहीं कर पाएँगे।
ऐसे केस में, गवर्नमेंट को क्रिमिनल को पकड़ने में मदद करनी चाहिए। लेकिन, इंटरनेशनल लॉ बहुत ढीला-ढाला है। दूसरे देश से सबूत इकट्ठा करने में पुलिस को सालों लग जाते हैं। पुलिस साइबर क्राइम की स्पीड का मुकाबला नहीं सकती है।
इस प्रॉब्लम को सॉल्व करने का एक तरीका है, इंटरनेशनल साइबर policing के लिए फंडिंग को बढ़ाना। अभी, इंटरपोल का बजट सिर्फ 90 मिलियन डॉलर है। इसमें ह्यूमन ट्रैफिकिंग यानी मानव तस्करी और ड्रग ट्रेड जैसे मुद्दे शामिल हैं। ऐसा माना जाता है कि कई इंडिपेंडेंट साइबरक्राइम organizations के पास इससे ज़्यादा फंडिंग है।
लेकिन, फंडिंग बढ़ाने के साथ-साथ हाई-टेक जस्टिस सिस्टम की भी ज़रुरत है। US का सुप्रीम कोर्ट, आज भी कम्यूनिकेट करने के लिए पेन और पेपर का इस्तेमाल करता है। ऐसा इसलिए क्योंकि वहाँ के जज को अभी भी ईमेल की ख़ास समझ नहीं है। यानी एक तरह से कह सकते हैं कि हमारे लीगल सिस्टम को उन अपराधों की समझ तक नहीं है जिनके लिए उन्हें फैसला लेना है।
इसी तरह, पूरी दुनिया में पुलिस साइबरक्राइम को मैन्युअली हैंडल करती है। दूसरी तरफ, क्रिमिनल लोग हज़ारों हमले को automatic बनाने के लिए AI यूज़ कर रहे हैं। चाहे फंडिंग को कितना भी बढ़ा दो लेकिन वो पुलिस को कभी भी bot के जितना फ़ास्ट नहीं बना पाएँगे। गवर्नमेंट को क्राइम के फील्ड में इनोवेशन का लेवल बढ़ाना ही होगा।
साइबरसिक्यूरिटी की ज़िम्मेदारी हम सिर्फ गवर्नमेंट और कंपनियों पर नहीं डाल सकते। Users को भी खुद को बचाने के लिए कुछ स्टेप्स लेने होंगे। ऑस्ट्रेलियाई गवर्नमेंट ने ऑनलाइन सेफ रहने के लिए चार key स्ट्रेटेजीज़ बताई है -
पहला है, application whitelisting। इसका मतलब अपने डिवाइस पर सिर्फ trusted यानी भरोसेमंद सॉफ्टवेयर को यूज़ कीजिए। अगर आपके कंप्यूटर में unknown एप्लीकेशन और installers हैं तो उन्हें ब्लॉक कर दीजिए।
दूसरा, इस बात का ध्यान रखिए कि आपके सभी एप्लीकेशन में इम्पोर्टेन्ट सिक्यूरिटी पैच हों। MS ऑफिस, जावा और एडोबी एक्रोबेट जैसे ऑटो-अपडेटिंग प्रोग्राम ऐसा कर सकते हैं।
तीसरा स्टेप इस बात का ध्यान रखना है कि आपके ऑपरेटिंग सिस्टम भी patched हों। इस बात पर फोकस कीजिए कि आप अपने OS का फुली अपडेटेड version ही यूज़ कर रहे हैं।
आखिर में, अपने कंप्यूटर पर एडमिनिस्ट्रेटिव एक्सेस पर restriction लगाइए। वेब ब्राउज़िंग जैसे बेसिक टास्क के लिए, गेस्ट बनकर लॉग इन कीजिए। इससे मैलवेयर को आपके कंप्यूटर पर काम करने के लिए एडमिन एक्सेस लेना नामुमकिन हो जाएगा।
Conclusion
सबसे पहले, आपने जाना कि कैसे क्रिटिकल इंफ्रास्ट्रक्चर को हैक किए जाने का रिस्क है। एनर्जी, ट्रांसपोर्ट और waste मैनेजमेंट सिस्टम्, सभी इंटरनेट से कनेक्टेड हैं। ऑनलाइन टुटोरिअल, क्रिमिनल्स को ये सिखाते हैं कि सिस्टम में कैसे घुसा जाता है। चाइना जैसे देशों में hackers की पूरी आर्मी है जो किसी साइबर अटैक में इंफ्रास्ट्रक्चर को टारगेट कर सकते हैं।
दूसरा, आपने जाना कि कैसे सोशल मीडिया के साइट आपको एक प्रोडक्ट की तरह यूज़ करते हैं। कोई भी फ्री वेब सर्विस, आपके डेटा को इकट्ठा करके उसे बेचकर पैसा कमाती है। वो आपकी पर्सनल डिटेल्स को पैसों के लिए किसी को भी बेचने के लिए तैयार रहते हैं। आपका डेटा सिर्फ advertisers ही नहीं बल्कि क्रिमिनल्स भी खरीद सकते हैं।
तीसरा, आपने organized साइबरक्राइम की दुनिया के बारे में भी जाना। हैकर्स ऐसे organization के लिए काम करते हैं जो किसी रेगुलर कंपनियों जैसी ही होती हैं और जिसमें कस्टमर फीडबैक के लिए specialized यूनिट होते हैं। कुछ प्रोग्रामर्स, Amazon जैसे मार्केटप्लेस में malware बेचते हैं। अब तो ऐसे फ्री ऑनलाइन रिसोर्सेज़ भी अवेलेबल हैं जो लोगों को malware बनाना सिखाते हैं।
चौथा, आपने जाना कि कैसे ह्यूमन बॉडी को भी हैक किया जा सकता है। हमारी बॉडी पर इंटरनेट से जुड़े कई तरह के डिवाइस हैं, जैसे - prosthetic, मेडिकल डिवाइस या wearables। अगर आप इनमें से कुछ भी यूज़ नहीं करते हैं तो भी फेशियल रिकग्निशन सॉफ्टवेयर आपको कहीं भी ट्रैक कर सकता है।
पांचवा, आपने उन नए सिक्यूरिटी रिस्क के बारे में जाना जो AI क्रिएट कर सकता है। छोटे-छोटे AI, मीडिया और स्टॉक ट्रेडिंग जैसे कई सेक्टर्स को कंट्रोल करते हैं। इन प्रोग्राम्स में एक छोटी सी गलती से बड़ा नुक्सान हो सकता है। हैकर्स, अपने अटैक को automatic बनाने के लिए AI का इस्तेमाल कर रहे हैं। AGI में होने वाला फ्यूचर डेवलपमेंट इस मौजूदा रिस्क को और भी बढ़ा देगा।
छठा, आपने जाना कि हम जितनी तेज़ी से प्रोग्रेस कर रहे हैं उसके साथ कदम से कदम मिलाने के लिए हमें कौन से स्टेप्स लेने चाहिए। लॉ बनाने वाले और इसे कंट्रोल करने वालों को इनोवेशन की मदद से और सिचुएशन के अनुसार ख़ुद को ढालकर, क्रिमिनल्स से डील करना होगा। कंपनियों को अपने द्वारा बेचे जाने वाले हर प्रोडक्ट की ज़िम्मेदारी लेनी चाहिए। ऑनलाइन सेफ्टी गाइडलाइंस को फॉलो करके हमें भी अपनी सिक्यूरिटी की ज़िम्मेदारी लेनी होगी।
डिजिटल ऐज हमें एक्स्ट्राऑर्डिनरी opportunities दे सकता है लेकिन ये अपने साथ खतरनाक रिस्क भी लेकर आता है। ये हमारी मदद करता है या हमें नुकसान पहुँचाता है ये सिर्फ इस बात पर डिपेंड करता है कि हम अभी क्या एक्शन ले रहे हैं। हमें ऐसे ज़िम्मेदार टेक्नोलॉजिकल डेवलपमेंट के लिए लड़ना होगा जो हमारी सेफ्टी का ख़याल रखे।
ऐसा फ्यूचर बनाना जहाँ इनोवेशन से इंसान का सिर्फ़ फ़ायदा होता है, बनाने में अभी भी देर नहीं हुई है और ये सब उन चॉइसेस पर डिपेंड करता है जो हम आज ले रहे हैं।
