कार्यकर्ताओं और शोधकर्ताओं ने इजरायली कंपनी के सॉफ्टवेयर को कार्यकर्ताओं, पत्रकारों और अधिकारियों के स्मार्टफोन को लक्षित करते हुए पाया।
यह एक डिजिटल जासूसी का मामला है। सुरक्षा शोधकर्ताओं ने कार्यकर्ताओं, पत्रकारों और व्यवसायियों के 37 फोन पर एक इजरायली साइबर सुरक्षा कंपनी द्वारा बनाए गए सॉफ्टवेयर पेगासस के प्रयास या सफल स्थापना के प्रमाण पाए। ऐसा प्रतीत होता है कि वे अपराधियों और आतंकवादियों का पीछा करने के इरादे से सॉफ़्टवेयर द्वारा संभावित गहन गुप्त निगरानी के लक्ष्य थे।
फोन एक सक्रिय संगठन की सूची में राजनेताओं, न्यायाधीशों, वकीलों, शिक्षकों और अन्य लोगों के लिए 50,000 से अधिक फोन नंबरों की सूची में थे। इसके अलावा उस सूची में 10 प्रधान मंत्री, तीन राष्ट्रपति और एक राजा हैं, जैसा कि वाशिंगटन पोस्ट ने रिपोर्ट किया है, हालांकि इस बात का कोई सबूत नहीं है कि सूची में होने का मतलब है कि हमले का प्रयास किया गया था या सफल हुआ था।
एनएसओ ग्रुप द्वारा निर्मित, पेगासस इस बात का ताजा उदाहरण है कि हम सभी डिजिटल प्राइइंग के प्रति कितने संवेदनशील हैं। हमारी सबसे व्यक्तिगत जानकारी – फोटो, टेक्स्ट संदेश और ईमेल – हमारे फोन पर संग्रहीत होती है। इंटरनेट पर भेजे गए डेटा की सुरक्षा करने वाले एन्क्रिप्शन को दरकिनार करते हुए, स्पाइवेयर हमारे जीवन में क्या हो रहा है, इसे सीधे प्रकट कर सकता है।
50,000 फोन नंबर दुनिया भर के फोन से जुड़े हैं, हालांकि एनएसओ पेगासस द्वारा लक्षित सूची और वास्तविक फोन के बीच की कड़ी को विवादित करता है। मैक्सिकन राष्ट्रपति एंड्रेस मैनुअल लोपेज़ ओब्रेडोर के करीबी दर्जनों लोगों के उपकरण सूची में थे, जैसे कि सीएनएन, एसोसिएटेड प्रेस, न्यूयॉर्क टाइम्स और वॉल स्ट्रीट जर्नल के पत्रकारों से संबंधित थे। लेकिन सूची में कई लोगों के फोन, जिनमें मोरक्को में जेल में बंद एक राजनीतिक कार्यकर्ता की फ्रांसीसी पत्नी क्लॉड मैंगिन भी शामिल हैं, संक्रमित हो गए या उन पर हमला कर दिया गया।
यहां आपको पेगासस के बारे में जानने की जरूरत है।
एनएसओ(NSO) ग्रुप क्या है?
यह एक इज़राइल-आधारित कंपनी है जो सरकारी एजेंसियों को निगरानी सॉफ्टवेयर का लाइसेंस देती है। कंपनी का कहना है कि उसका पेगासस सॉफ्टवेयर एक मूल्यवान सेवा प्रदान करता है क्योंकि एन्क्रिप्शन तकनीक का मतलब है कि अपराधी और आतंकवादी “अंधेरा हो गए हैं।” सॉफ्टवेयर स्मार्टफोन पर गुप्त रूप से चलता है, जो मालिकों द्वारा किए जा रहे कार्यों पर प्रकाश डालता है। अन्य कंपनियां समान सॉफ्टवेयर प्रदान करती हैं।
मुख्य कार्यकारी शैलेव हुलियो ने 2010 में कंपनी की सह-स्थापना की। कंपनी अन्य उपकरण भी प्रदान करती है जो यह पता लगाते हैं कि फोन का उपयोग कहां किया जा रहा है, ड्रोन से बचाव और पैटर्न को खोजने के लिए मेरा कानून प्रवर्तन डेटा।
एनएसओ ग्रुप को पिछली रिपोर्टों और अन्य हैक में मुकदमों में फंसाया गया है, जिसमें 2018 में अमेज़ॅन के संस्थापक जेफ बेजोस की एक कथित हैक भी शामिल है। एक सऊदी असंतुष्ट ने 2018 में पत्रकार जमाल खशोगी से संबंधित डिवाइस को हैक करने में कथित भूमिका के लिए कंपनी पर मुकदमा दायर किया था, जिसने उस वर्ष तुर्की में सऊदी दूतावास के अंदर हत्या कर दी गई थी।
पेगासस(Pegasus) स्पाइवेयर क्या है?
पेगासस एनएसओ का सबसे प्रसिद्ध उत्पाद है। वाशिंगटन पोस्ट के अनुसार, किसी दस्तावेज़ या वेबसाइट लिंक को खोलने के लिए निगरानी लक्ष्य के बिना इसे दूरस्थ रूप से स्थापित किया जा सकता है। पेगासस एनएसओ के उन सभी ग्राहकों के बारे में बताता है जो इसे नियंत्रित करते हैं – टेक्स्ट संदेश, फोटो, ईमेल, वीडियो, संपर्क सूचियां – और फोन कॉल रिकॉर्ड कर सकते हैं। वाशिंगटन पोस्ट ने कहा कि यह नई रिकॉर्डिंग बनाने के लिए गुप्त रूप से फोन के माइक्रोफोन और कैमरों को भी चालू कर सकता है।
आपके सॉफ़्टवेयर को अपडेट करने और दो-कारक प्रमाणीकरण का उपयोग करने जैसी सामान्य सुरक्षा प्रथाएं मुख्यधारा के हैकर्स को दूर रखने में मदद कर सकती हैं, लेकिन सुरक्षा वास्तव में कठिन है जब विशेषज्ञ, अच्छी तरह से वित्त पोषित हमलावर अपने संसाधनों को किसी व्यक्ति पर केंद्रित करते हैं।
कार्यकर्ताओं, पत्रकारों और राजनेताओं के पीछे जाने के लिए पेगासस का इस्तेमाल नहीं किया जाना चाहिए। कंपनी ने अपनी वेबसाइट पर कहा, “एनएसओ ग्रुप अपने उत्पादों को केवल सरकारी खुफिया और कानून प्रवर्तन एजेंसियों को आतंक और गंभीर अपराध को रोकने और जांच करने के एकमात्र उद्देश्य के लिए लाइसेंस देता है।” “हमारी समीक्षा प्रक्रिया कानूनी और नियामक आवश्यकताओं से परे जाती है ताकि हमारी तकनीक के वैध उपयोग को सुनिश्चित किया जा सके।”
मानवाधिकार समूह एमनेस्टी इंटरनेशनल, हालांकि, विस्तार से दस्तावेज करता है कि उसने एनएसओ समूह में समझौता किए गए स्मार्टफोन का पता कैसे लगाया। टोरंटो विश्वविद्यालय में एक कनाडाई सुरक्षा संगठन सिटीजन लैब ने कहा कि उसने फोन बैकअप डेटा की जांच के बाद एमनेस्टी इंटरनेशनल के निष्कर्षों को स्वतंत्र रूप से मान्य किया।
Pegasus अभी खबरों में क्यों है?
फॉरबिडन स्टोरीज़, एक पेरिस पत्रकारिता गैर-लाभकारी संस्था, और एमनेस्टी इंटरनेशनल, एक मानवाधिकार समूह, ने 17 समाचार संगठनों के साथ उन लोगों के लिए 50,000 से अधिक फ़ोन नंबरों की सूची साझा की, जिन्हें NSO ग्राहकों के लिए रुचिकर माना जाता है।
समाचार साइटों ने सूची में कई व्यक्तियों की पहचान और उनके फोन पर संक्रमण की पुष्टि की। द वाशिंगटन पोस्ट के अनुसार, सूची में 67 फोन के डेटा में से 37 ने पेगासस इंस्टॉलेशन या इंस्टालेशन के प्रयास के संकेत दिखाए। उन 37 फोन में से 34 एप्पल के आईफोन थे।
50,000 फोन नंबरों की सूची में फ्रांस के राष्ट्रपति इमैनुएल मैक्रों, इराकी राष्ट्रपति बरहम सालिह और दक्षिण अफ्रीका के राष्ट्रपति सिरिल रामफोसा शामिल हैं। इसके अलावा इस पर सात पूर्व प्रधान मंत्री और तीन वर्तमान, पाकिस्तान के इमरान खान, मिस्र के मुस्तफा मदबौली और मोरक्को के साद-एद्दीन एल ओथमानी हैं। मोरक्को के राजा मोहम्मद VI भी सूची में हैं।
पेगासस ने किसके फोन को संक्रमित किया?
द गार्जियन ने बताया कि मैंगिन के अलावा, हंगरी के खोजी आउटलेट Direkt36 के दो पत्रकारों के पास संक्रमित फोन थे।
वॉशिंगटन पोस्ट ने कहा कि मारे गए सऊदी स्तंभकार जमाल खशोगी की पत्नी हनान एलात्र के फोन पर एक पेगासस हमला शुरू किया गया था, हालांकि यह स्पष्ट नहीं था कि हमला सफल हुआ या नहीं। लेकिन स्पाइवेयर ने खशोगी की मंगेतर, हैटिस केंगिज़ के फोन पर उनकी मृत्यु के तुरंत बाद इसे बना दिया।
वाशिंगटन पोस्ट ने कहा कि भारत में सात लोग संक्रमित फोन के साथ पाए गए, जिनमें पांच पत्रकार और विपक्षी दल के एक सलाहकार ने प्रधानमंत्री नरेंद्र मोदी की आलोचना की।
इस बारे में एनएसओ का क्या कहना है?
एनएसओ स्वीकार करता है कि उसके सॉफ्टवेयर का दुरुपयोग किया जा सकता है। द वाशिंगटन पोस्ट के अनुसार, मानवाधिकारों के हनन के बारे में चिंताओं के कारण इसने पिछले 12 महीनों में दो ग्राहकों को काट दिया। कंपनी ने जून की पारदर्शिता रिपोर्ट में कहा, “आज तक, NSO ने अपनी मानवाधिकार समीक्षा प्रक्रियाओं के परिणामस्वरूप बिक्री के अवसरों में US $ 300 मिलियन से अधिक को अस्वीकार कर दिया है।”
हालांकि, एनएसओ फोन नंबरों की सूची के किसी भी लिंक को कड़ी चुनौती देता है। कंपनी ने एक बयान में कहा, “एनएसओ समूह या पेगासस के 50,000 नंबरों के बीच कोई संबंध नहीं है।”
“सिस्टम के दुरुपयोग के बारे में हर आरोप मेरे बारे में है,” हुलियो ने पोस्ट को बताया। “यह उस भरोसे का उल्लंघन करता है जो हम ग्राहकों को देते हैं। हम हर आरोप की जांच कर रहे हैं।”
एक बयान में, एनएसओ ने पेगासस के बारे में “झूठे दावों” से इनकार किया कि उसने कहा कि “लीक किए गए डेटा की भ्रामक व्याख्या पर आधारित है।” पेगासस “संयुक्त राज्य अमेरिका के भीतर साइबर निगरानी करने के लिए इस्तेमाल नहीं किया जा सकता है,” कंपनी ने कहा।
मैं कैसे बता सकता हूं कि मेरा फोन पेगासस से संक्रमित हो गया है?
एमनेस्टी इंटरनेशनल ने एमवीटी (मोबाइल वेरिफिकेशन टूलकिट) नामक एक ओपन-सोर्स यूटिलिटी जारी की, जिसे पेगासस के निशान का पता लगाने के लिए डिज़ाइन किया गया है। सॉफ्टवेयर एक व्यक्तिगत कंप्यूटर पर चलता है और एक iPhone या Android फोन से निर्यात की गई बैकअप फ़ाइलों सहित डेटा का विश्लेषण करता है।
पेगासस समाचार पर क्या प्रतिक्रिया रही है?
यूरोपीय आयोग के प्रमुख उर्सुला वॉन डेर लेयेन ने कहा कि अगर आरोपों की पुष्टि हो जाती है, तो पेगासस का उपयोग “पूरी तरह से अस्वीकार्य है।” उन्होंने कहा, “मीडिया की स्वतंत्रता, स्वतंत्र प्रेस यूरोपीय संघ के मूल मूल्यों में से एक है।”
भारत में राष्ट्रवादी कांग्रेस पार्टी ने पेगासस के उपयोग की जांच की मांग की।
एडवर्ड स्नोडेन, जिन्होंने 2013 में अमेरिकी राष्ट्रीय सुरक्षा एजेंसी की निगरानी प्रथाओं के बारे में जानकारी लीक की थी, ने गार्जियन के साथ एक साक्षात्कार में स्पाइवेयर की बिक्री पर प्रतिबंध लगाने का आह्वान किया। उन्होंने तर्क दिया कि इस तरह के उपकरण अन्यथा जल्द ही लाखों लोगों की जासूसी करने के लिए उपयोग किए जाएंगे। स्नोडेन ने कहा, “जब हम आईफोन जैसी किसी चीज के बारे में बात कर रहे हैं, तो वे दुनिया भर में एक ही सॉफ्टवेयर चला रहे हैं। इसलिए अगर वे एक आईफोन को हैक करने का तरीका ढूंढते हैं, तो उन्होंने उन सभी को हैक करने का एक तरीका ढूंढ लिया है।”
पेगासस स्पाइवेयरए के क्सपोजर को कम कैसे करें
बेहतर सुरक्षा के लिए मैं क्या कर सकता हूं? यद्यपि अधिकांश लोगों को इस प्रकार के हमले से लक्षित होने की संभावना नहीं है, फिर भी आप अपने संभावित जोखिम को कम करने के लिए सरल कदम उठा सकते हैं – न केवल पेगासस के लिए बल्कि अन्य दुर्भावनापूर्ण हमलों के लिए भी।
1) अपने डिवाइस का उपयोग करते समय केवल ज्ञात और विश्वसनीय संपर्कों और स्रोतों से लिंक खोलें। Pegasus को iMessage लिंक के माध्यम से Apple उपकरणों पर तैनात किया गया है। और यह वही तकनीक है जिसका उपयोग कई साइबर अपराधी मैलवेयर वितरण और कम तकनीकी घोटालों दोनों के लिए करते हैं। ईमेल या अन्य मैसेजिंग एप्लिकेशन के माध्यम से भेजे गए लिंक पर भी यही सलाह लागू होती है।
2) सुनिश्चित करें कि आपका डिवाइस किसी भी प्रासंगिक पैच और अपग्रेड के साथ अपडेट है। जबकि एक ऑपरेटिंग सिस्टम का मानकीकृत संस्करण हमलावरों को लक्षित करने के लिए एक स्थिर आधार बनाता है, फिर भी यह आपका सबसे अच्छा बचाव है।
यदि आप Android का उपयोग करते हैं, तो ऑपरेटिंग सिस्टम के नए संस्करणों के लिए सूचनाओं पर निर्भर न रहें। नवीनतम संस्करण के लिए स्वयं जाँच करें, क्योंकि हो सकता है कि आपके डिवाइस का निर्माता अपडेट प्रदान नहीं कर रहा हो।
3) हालांकि यह स्पष्ट लग सकता है, आपको अपने फोन तक भौतिक पहुंच सीमित करनी चाहिए। डिवाइस पर पिन, फिंगर या फेस-लॉकिंग को इनेबल करके ऐसा करें। ई-सेफ्टी कमिश्नर की वेबसाइट में कई तरह के वीडियो हैं जो बताते हैं कि आपके डिवाइस को सुरक्षित रूप से कैसे कॉन्फ़िगर किया जाए।
4) सार्वजनिक और मुफ्त वाईफाई सेवाओं (होटल सहित) से बचें, खासकर जब संवेदनशील जानकारी तक पहुंच हो। जब आपको ऐसे नेटवर्क का उपयोग करने की आवश्यकता हो तो वीपीएन का उपयोग एक अच्छा समाधान है।
5) अपने डिवाइस डेटा को एन्क्रिप्ट करें और जहां उपलब्ध हो वहां रिमोट-वाइप सुविधाओं को सक्षम करें। यदि आपका उपकरण खो जाता है या चोरी हो जाता है, तो आपको कुछ आश्वासन मिलेगा कि आपका डेटा सुरक्षित रह सकता है।
पेगासस स्पाइवेयर कैसे काम करता है?
50,000 से अधिक फोन नंबरों की सूची से, पत्रकारों ने ५० देशों में १,००० से अधिक लोगों की पहचान की, जो कथित तौर पर पेगासस स्पाइवेयर का उपयोग कर निगरानी में थे। सॉफ्टवेयर इजरायली कंपनी एनएसओ ग्रुप द्वारा विकसित किया गया था और सरकारी ग्राहकों को बेचा गया था।
स्पाइवेयर के कथित लक्ष्यों में पत्रकार, राजनेता, सरकारी अधिकारी, मुख्य कार्यकारी अधिकारी और मानवाधिकार कार्यकर्ता शामिल हैं।
रिपोर्ट अब तक ऑरवेलियन दुःस्वप्न की याद दिलाने वाले एक निगरानी प्रयास की ओर इशारा करती है, जिसमें स्पाइवेयर कीस्ट्रोक्स को पकड़ सकता है, संचार को बाधित कर सकता है, डिवाइस को ट्रैक कर सकता है और उपयोगकर्ता की जासूसी करने के लिए कैमरा और माइक्रोफ़ोन का उपयोग कर सकता है।
उन्होंने यह कैसे किया? पेगासस स्पाइवेयर पीड़ितों के फोन को कैसे संक्रमित करता है, इसके बारे में विशेष रूप से जटिल कुछ भी नहीं है। प्रारंभिक हैक में एक तैयार किया गया एसएमएस या iMessage शामिल होता है जो एक वेबसाइट के लिए एक लिंक प्रदान करता है। यदि क्लिक किया जाता है, तो यह लिंक दुर्भावनापूर्ण सॉफ़्टवेयर वितरित करता है जो डिवाइस से समझौता करता है।
इसका उद्देश्य या तो रूटिंग (एंड्रॉइड डिवाइस पर) या जेलब्रेकिंग (ऐप्पल आईओएस डिवाइस पर) द्वारा मोबाइल डिवाइस के ऑपरेटिंग सिस्टम पर पूर्ण नियंत्रण हासिल करना है।
आमतौर पर, एंड्रॉइड डिवाइस पर रूटिंग उपयोगकर्ता द्वारा गैर-समर्थित ऐप स्टोर से एप्लिकेशन और गेम इंस्टॉल करने या निर्माता द्वारा अक्षम की गई कार्यक्षमता को फिर से सक्षम करने के लिए किया जाता है।
इसी तरह, ऐप्पल ऐप स्टोर पर उपलब्ध नहीं ऐप्स की स्थापना की अनुमति देने के लिए या वैकल्पिक सेलुलर नेटवर्क पर उपयोग के लिए फोन को अनलॉक करने के लिए ऐप्पल डिवाइस पर एक जेलब्रेक तैनात किया जा सकता है। कई जेलब्रेक दृष्टिकोणों के लिए फोन को हर बार चालू होने पर कंप्यूटर से कनेक्ट करने की आवश्यकता होती है (जिसे “टेथर्ड जेलब्रेक” कहा जाता है)।
रूटिंग और जेलब्रेकिंग दोनों ही एंड्रॉइड या आईओएस ऑपरेटिंग सिस्टम में एम्बेडेड सुरक्षा नियंत्रण को हटा देते हैं। वे आम तौर पर संशोधित कोड को चलाने के लिए कॉन्फ़िगरेशन परिवर्तनों और ऑपरेटिंग सिस्टम के मुख्य तत्वों के “हैक” का संयोजन होते हैं।
स्पाइवेयर के मामले में, एक बार डिवाइस अनलॉक हो जाने के बाद, अपराधी डिवाइस के डेटा और कार्यों तक दूरस्थ पहुंच को सुरक्षित करने के लिए और सॉफ़्टवेयर तैनात कर सकता है। इस उपयोगकर्ता के पूरी तरह से अनजान रहने की संभावना है।