डाटा ह्यकिङ्ग, साइबर सुरक्षा र यसबाट बच्ने उपाय

२०७७, २ जेष्ठ शुक्रबार १५:१२


डाटा ह्यकिङ्गबाट विश्वमा प्रत्येक वर्ष खरबौँ डलरको नोक्सानी हुन्छ । साइबर आक्रमणबाट कम्पुटर प्रणालीको उपयोगमा बाधा उत्पन्न गर्नेदेखि आर्थिक/सामाजिक संवेदनशील डाटा चोरीसम्म हुने गरेको छ । नेपालकै सन्दर्भ हेर्दा पछिल्लो केहि महिना यता विभिन्न घटनाहरु सार्वजनिक भइरहदा हामीले सतर्क हुन साइबर सेक्युरेटीका केही सामान्य प्रकियाहरु बुझ्न जरूरी छ । सामान्यरुपमा तल दिएका तरिकाहरु साइबर हमला हुने गरेको छ :

१) वेभ सफ्टवेयरमा हुने कमजोरी/जोखिम

सर्वप्रथम के बुझ्न जरुरी छ भने, कुनै पनि सिस्टम विकास गर्न विभिन्न तहका सफ्टवेयर प्रयोग गरिएको हुन्छ। कुनै सफ्टवेयर आफै निर्माण गरिन्छ भने कुनै तेश्रो-पक्षीय प्रयोग गरिन्छ । धेरै जसो वेभ सफ्टवेयरमा हुने हमला जसमा डाटा चोरिन्छ त्यसमा कुनै न कुनै तहको वेभ सफ्टवेयरमा कमजोरी भएको हुन्छ । वेभ सफ्टवेयरमा प्रयोग हुने फारम, dynamic-urls, इत्यादिहरुमा प्रयोगकर्ताले हालेको डाटालाई सिस्टमले सर्भरमा लिदा राम्रोसँग परीक्षण गरिएन भने डाटा चोरी हुन सक्छ । कोडमा रहेको त्रुटीको फाइदा लिई ह्याकरहरुले सजिलै डाटालाई डाटाबेसमा रहेको Privilege Protection Logic लाई बाइपास गरि डाटाबेसबाट संवेदनशील डाटा निकाल्न सक्दछन् । SQL Injection, Remote File Inclusion, Remote Code Execution जस्ता हमला यसमा पर्दछन् । केहि हमलामा युजरको वेब ब्राउजरबाट पनि सिधै डाटा चोरी गर्न सकिन्छ । CSRF , XSS जस्ता हमला यसमा पर्दछन् ।

२) नेटवर्क तहको कमजोरी/जोखिम

नेटवर्क प्रोटोकलको दुरुपयोग गरी कुनै कम्पनिको wifi/lan मा बसेर सोहि कम्पनिको युजरका युजरनेम, पासवर्ड र अन्य डाटा चोरी गर्न सकिन्छ। केही हमलामा फेक वाई-फाई (fake wifi) बनाएर त्यसमा युजर साइन इन गराई डाटा चोरी गरिन्छ । man-in-the-middle नामको हमला यसमा पर्दछ ।

३) सिस्टम सफ्टवेयर / OS कमजोरी/जोखिम

यसमा कम्पुटरको OS मा रहेको त्रुटिहरुको फाइदा लिई डाटा चोरी गरिन्छ । धेरै जसो हमला पुरानो र आपडेट नभएको OS मा हुने गरेको छ । अहिले प्रचलित रान्समवयेर (ransomware) हमला यसमा पर्दछ ।

४) हार्डवेयर तहको कमजोरी/जोखिम

यो प्राय सेकुरिटी अडिटमा नआएता पनि, हार्डवेयर तहको त्रुटीहरुबाट साइबर हमला गर्न सकिन्छ भनेर सोधकर्ताहरुले पत्ता लगाएका छन् । उदाहरणको लागि स्मार्टफोनलाइ छेउमा राखेर कम्पयुटरमा टाईप गर्दा आउने कम्पन (vibration) बाट के अक्षर लेखिएको हो भन्ने थाहा पाउन सकिन्छ ।

५) स्टाफ/व्यक्ति तहको कमजोरी/जोखिम

अहिलेसम्मकै सबैभन्दा सफल हमला रहेको यस तरिकालाई सोसियल इन्जिनियरिङ को संज्ञा पनि दिइन्छ । यसमा ह्याकरहरुले अधिकारिक जस्तो लाग्ने इ-मेल, फोन कल गरि मालवयेर/भाइरसहरु कम्पुटरमा हाली युजरलाई थाहा नदिई डाटा चोरिन्छ ।

दोष कसको हो ?

हमलाको प्रकृति बमोजिम सफ्टवेयर निर्माता, कम्पनीमा काम गर्ने स्टाफ, सफ्टवेयर चलाउने व्यक्ति, नेटवर्क वितरण गर्ने संस्था, OS निर्माता, हार्डवेयर निर्माता इत्यादीको दोष हुन सक्छ । तर, धेरैजसो घटनामा सफ्टवयेर निर्माणको समय वा सफ्टवयेर कार्यन्वयनको फेजमा (phase) प्रभावकारी सेक्युरिटी अडिटिङ्ग प्रक्रियाको कमीले गर्दा हमलाहरु भएको पाइन्छ । सर्वसाधारणलाई साइबर सुरक्षाको चेतनाको कमी पनि हमलाको संख्यामा वृद्धि आउनुको अर्को मुख्य कारण हो ।

बच्नलाई के गर्ने ?

क ) हामी प्रयोगकर्ताको हिसाबले केहि आधारभूत अभ्यासहरुमा सचेत भयौँ भने साइबर हमलाबाट जोगिन सकिन्छ :

१) कडा पासवर्डको प्रयोग (लामो र विशेष अक्षर समिलित ) गर्ने ।

२) यदि तपाईको सिस्टममा दुई तहको प्रमाणीकरण (two factor authentication) छ भने त्यसको प्रयोग गर्ने ।

३) सेक्युरिटी थाहा नभएको खुला वाई फाई (open-wifi) प्रयोग नगर्ने ।

४) सिस्टम पिच्छे फरक पासवर्ड राख्ने ।

५) तपाईको आहिलेको पासवर्ड चोरी भएको हुन सक्छ, त्यसैले यसको चेक गर्न https://haveibeenpwned.com मा गई आफ्नो अनलाईन खाता राखी विवरण हेर्न सक्नुहुन्छ ।

६) फायरवाल (firewall) र एन्टिभाइरस कम्पुटरमा राख्ने ।

७) सबै सफ्टवेयर अपडेट गरिराख्ने ।

८) आफ्नो पासवर्ड अरुलाई नदिने ।

ख) सबै सफ्टवेयर कम्पनीलेले सफ्टवेयर निर्माणको बेला प्रभावकारी सेक्युरिटी अडिटिङ्गलाई (security auditing) अनिवार्य गर्ने । सफ्टवेयर निर्माणको बेला डाटा लिने वा देखाउने पोइन्टमा सुक्ष्म अध्ययन गर्ने। हालको सबै भन्दा राम्रो अभ्यासहरूको प्रयोग गर्ने, जस्तै: युजरलाई कडा पासवर्डको प्रयोग (लामो र विशेष अक्षर) गर्न लगाउने, दुई तहको प्रमाणीकरणको प्रयोग, डाटा पाउने/पठाउने अनुरोध SSL को प्रयोगबाट गर्ने, डाटालाई ईन्क्रिप्टेड (encrypted) गरेर सञ्चय गर्ने गरियो भने सफ्टवेयर निक्कै सुरक्षित हुन्छ ।

ग ) कम्पनी, ठुलो होस या सानो, सबै स्टाफलाई साइबर सेक्युरिटीको राम्रो अभ्यासहरूको (best practices) बारेमा अवगत गराउने । कम्पनीको साइबर पोलिसी, प्रोटोकल र भौतिक पूर्वाधारहरु तयार गरी सबै स्टाफलाई यसको पूर्ण रुपले पालना गराउने ।

घ ) यदि कुनै कम्पनीले निकै संवेदनशील सूचनाहरु राख्छ भने अडिट लगिंग संयन्त्र (audit logging mechanism) तयार गर्ने । चरम अवस्थामा हनीपट (Honeypot) जस्तो तरिकाको प्रयोग गर्ने ।

(मनिष कु. शर्मा प्रिक्सा समूहका प्रमुख कार्यकारी अधिकारी हुनु कासाथै जोन्स हप्किंस विश्वविद्यालयका सोधकर्ता हुन् ।)


Leave a Reply

Your email address will not be published. Required fields are marked *