शर्मा को पता है कि वे आधार की चुनौती के सामने हार गये हैं

सभी तरह प्रणालियों को मनुष्यों की आवश्यकता होती है, और मनुष्यों खुद के बनाये सुरक्षा के घेरे को भेदने का तरीका भी ढूँढ लेता है।

प्रबीर पुरकायस्थ

01 Aug 2018

Translated by महेश कुमार

बड़ी ही धूर्तता से, टीआरएआई प्रमुख आरएस शर्मा ने "मेरे आधार डेटाबेस को हैक करने" से "मेरे आधार का उपयोग करके मुझे नुकसान पहुंचाकर" दिखाओ में बदल दिया। दोनों पूरी तरह से अलग मुद्दे हैं। नैतिक हैकर समुदाय क्या है - हां, वह वो हैं – जिसने दिखाया है कि वे श्री शर्मा को कितना नुकसान पहुंचा सकते थे, लेकिन नहीं पहुँचाया।

श्री शर्मा का जवाब यह है कि इसमें सभी आधार डेटाबेस की हैकिंग शामिल नहीं थी; और उसका ईमेल हैक नहीं किया जा सका था। वह डींग मारता है कि 1 रुपया लाभ के रूप में उसके अपने खाते में जमा किय गया, जिसे वे एक सार्वजनिक नौकर होने के नाते, जवाब में "मुझे नहीं पता कि यह एक लाख कहाँ से आया है (कंप्यूटर के लिए, 1 या रुपये 1,00,000 समान है)" लेकिन सतर्कता प्राधिकारी इस जवाब से संतुष्ट नहीं होंगे। सादा तथ्य यह है कि श्री शर्मा ने अपनी चुनौती खो दी, और वह इसे जानते हैं। इसलिए ये घबराहट है।

तो आरएस शर्मा चुनौती में हैकर समुदाय ने क्या साबित किया? इससे पता चला कि उनकी आधार संख्या आसानी से उपलब्ध उनकी विभिन्न निजी जानकारी तक पहुंच प्रदान कर सकता है। यह उनकी आधार संख्या में दर्ज़ उनके व्यक्तिगत विवरण के विभिन्न डेटाबेस को खोजने के लिए ज़्यादा कौशल नहीं लगता है। उनके व्यक्तिगत विवरण के ज़रिये, उनके एयर इंडिया फ्लायर नंबर तक पहुंचना आसान था, जो उनके ईमेल खातों में से एक के लिए सुरक्षा का सवाल था। जीमेल या याहू अकाउंट चलाने वाले किसी भी व्यक्ति के बारे में वे जान लेंगे कि हैकर उनके खाते को हैक करने के करीब था। उन्होंने ऐसा नहीं किया क्योंकि संभवतः वह नैतिक हैकर थे, और इसलिए भी क्योंकि श्री शर्मा कभी भी ऐसे किसी भी अधिनियम के आपराधिक परिणामों के खिलाफ लोगों को क्षतिपूर्ति करने के लिए सहमत नहीं थे।

आइए श्री शर्मा और उनके विद्रोहियों को भूल जाएं और गोपनीयता और आधार के बड़े मुद्दे पर नज़र डालें। हम सभी का डेटा है जो अलग-अलग सिलो में बंद हैं। हमारे पास हमारे बैंक खाते हैं, जो हमारे लेन-देन का रिकॉर्ड रखते हैं, हमारे दोस्तों का समूह जो हमारे टेलीफोन कॉल और हमारे ईमेल से जुड़े होते हैं, हमारे टैक्स का रिकॉर्ड जो हमारे पैन नंबर द्वारा उपयोग किया जाता हैं, आदि। इनमें से प्रत्येक सिलो को हैक किया जा सकता है, और यदि वे हैं, तो अन्य सिलो प्रभावित नहीं होते हैं। इसके अलावा, हम अपने बैंक खाते, हमारी आईडी, हमारे पासवर्ड इत्यादि को बदल सकते हैं और हमारी गोपनीयता हासिल कर सकते हैं, भले ही पहले हैकर ने उस सिलो में हमारे पिछले डेटा से छेड़छाड़ की हो।

आधार पर हमारी गोपनीयता के लिए कई खतरे हैं। एक यह है कि यह अलग सिलो के लिए एक आम लिंक प्रदान करता है, जो सिस्टम में एक सामान्य मोड में विफलता प्रदान करता है। मेरे आधार संख्या के माध्यम से, सभी सिलो अब जुड़े हुए हैं। इससे सिलो को हैक करने का काम बहुत आसान हो जाता है।

यदि शर्मा एपिसोड में हैकर द्वारा दिया खाता सच है, तो श्री शर्मा के सुरक्षा प्रश्न का उत्तर देकर, उनका जीमेल खाता भी हैक किया जा सकता था। उनके आधार संख्या का इस्तेमाल एयर इंडिया फ्रीक्वेंट फ्लायर नंबर की पहचान के लिए किया गया था, और यह उनका जीमेल सुरक्षा प्रश्न था। और श्री शर्मा, हम में से कई की तरह, व्यक्तिगत जानकारी का उपयोग अपने पासवर्ड के हिस्से के रूप में करते हैं; या पासवर्ड हासिल करने के लिए एक सुरक्षा सवाल के रूप में।

श्री शर्मा ने कुछ हद तक सुरक्षा सुनिश्चित की हो सकती है। आखिरकार, यह माना जाता है कि वह एक तकनीकी व्यक्ति है, जिसने यूएडीएआई की अध्यक्षता की थी, और इसलिए संभवतः सुरक्षा के बारे में कुछ जानकारी उन्हें थी। हम में से अधिकांश के लिए, हमारे पास सुरक्षा की कई परतें नहीं होंगी - उदाहरण के लिए, जीमेल खाते में दो कारक लॉगिंग - पासवर्ड और ओटीपी का उपयोग करना - और हमारे ईमेल खाते को हैक किया जा सकता था। एक बार यह हैक हो जाने के बाद, व्यक्तिगत जानकारी की एक बड़ी राशि भी हैक की जा सकती है। तो हमारे फोन भी हैक हो सकते हैं, क्योंकि गूग्ल डिफ़ॉल्ट रूप से हमारे डेटा का बैक अप लेता है। और जब हम अपने फोन और ईमेल पर विभिन्न जानकारी संग्रहीत करते हैं, तो इससे हमारी गोपनीयता को कई अन्य तरीकों से समझौता छेड़छाड़ की जा सकती है।

आधार के साथ दूसरी समस्या यह है कि अगर आधार डेटाबेस - और मैं बायोमेट्रिक डेटाबेस के बारे में बात नहीं कर रहा हूं, जिसका यूएडीएआई प्राधिकार दावा करती है वह सत्तर फीट की दीवारों के भीतर है- ट्रिब्यून रिपोर्ट के अनुसार हमें आसानी से उपलब्ध है, हमारी सभी गुप्त जानकारी अब मामूली राशि में उपलब्ध है। शर्मा ने हमें बताया कि यह इतना ख़तरनाक क्यों है।

आधार का तीसरा ख़तरा यह है कि अगर बॉयोमीट्रिक डेटाबेस से समझौता किया जाता है तो हम सभी स्थायी रूप से फंसा दिए जाएंगे। हम सिस्टम से अपने बॉयोमीट्रिक्स को वापस नहीं ले सकते हैं। यहां तक कि अगर बॉयोमीट्रिक डेटाबेस का एक बार भी हैक होता है तो इसका मतलब है कि आधार परियोजना बर्बाद हो गई है; इसका मतलब इस सिस्टम की एक विनाशकारी विफलता होगी। इंजीनियरिंग में, आप वह सिस्टम नहीं बनाना है जिसमें एक विफलता का मतलब सिस्टम का समाप्त होना है। और आपको ऐसी प्रणाली नहीं बनाना जिसके पास ऐसी विफलता से रिकवरी का कोई मौक़ा नहीं होता है।

आधार प्रणाली के इंजीनियरिंग की खुबसुरती के बारे में श्री शर्मा और श्री नीलेकणी की बातों पर ध्यान देने से पहले, हम अमेरिका की राष्ट्रीय सुरक्षा एजेंसी की विशालता पर विचार करें। इनके पास यूएडीएआई जैसे निश्चित रूप से अच्छे सुरक्षा विशेषज्ञ थे। इस तरह के एक सिस्टम से स्नोडेन उनके पूरे डेटाबेस को लेकर निकल सकता है, और इसके सभी डेटा को संकट में डाल सकता है।

सभी प्रणालियों को मनुष्य की आवश्यकता होती है और मनुष्य सुरक्षा को भेदने के रास्ते तलाश लेंगे जिन्हें उन्होंने स्वयं बनाया है। विफलता के इत्तेफाक को मानवीय विफलता के तौर पर ध्यान में रखना चाहिए। मनुष्य ही सिस्टम में सुरक्षा कोड डालते हैं और जानते हैं कि इसे कितने तरीक़ों से हैक किया जा सकता है।

यह कोई दुर्घटना नहीं है कि कई देशों ने आधार जैसी राष्ट्रीय रजिस्ट्रेशन को स्वीकार कर लिया और इसे छोड़ दिया। भारत में आधार क्यों क़ायम है जो कि अनुभवहीन तकनीकी अभिमान का संयोजन है जो एक सुरक्षा राज्य के सपनों से जुड़ा है। भारत में आधार की सुरक्षा को लेकर आज हम संघर्ष कर रहे हैं।

आधार कार्ड

आधार डेटा लीक

आर एस शर्मा

बाकी खबरें