Home / Featured / इथिकल ह्याकर अर्विन गोदार भन्छन्– ‘नेपालमा बग बाउन्टी प्रोग्रामकाे कल्चर नै छैन’

इथिकल ह्याकर अर्विन गोदार भन्छन्– ‘नेपालमा बग बाउन्टी प्रोग्रामकाे कल्चर नै छैन’

‘ह्याकिङ’ शब्द सुन्नेबित्तिकै धेरै नेपालीले अझै ‘अपराध’ र ‘नराम्रो’ भनेरै बुझ्छन् । अरु प्रकृतिका अपराधीभन्दा ह्याकर अझै खतरनाक हुन् भन्ने सोच उनीहरुको छ । हुन पनि नेपालजस्तो देशमा वेब सेक्युरिटी निकै कमजोर भएकाले बारम्बार वेबसाइट डिफेस भइरहेका घटना देख्न/सुन्न पाइन्छ । यस्तो काममा लाग्नेहरु अनधिकृत रुपमा अर्काको सिष्टममा प्रवेश गरी डाटा हातमा लिन्छन, बिगारिदिन्छन् वा अन्य गैरकानूनी काम गर्छन् । तर, अर्कोतिर सिस्टममा कमजोरी (लुपहाेल्स) छ भनेर सम्बन्धित वेबसाइट वा कम्पनीलाई रिपोर्ट गर्ने वा वेबसाइटको सेक्युरिटीका लागि खटाइने अर्काथरीका ह्याकर पनि हुन्छन् । उनीहरुले गरेको कामलाई स्याबासी र सम्मानस्वरूप ‘रिवार्ड’ दिने गरेकाे पाइन्छ । नेपालमा एक वर्षअघिसम्म वेबसाइट आक्रमण गर्ने किशोरहरुको समूह निकै सक्रिय थियो । अहिले त्यस्ता समूहहरुका सदस्यहरु पनि यस्तै ‘रिवार्ड’ पाउन सकिने काम अर्थात् इथिकल ह्याकिङमा लाग्ने गरेका छन् । हुन त नेपालमा सर्टिफाइड इथिकल ह्याकरहरु पनि छन् । उनीहरुको स्टोरी हामीले यसअघि पनि पटक–पटक गरिसकेका छौं । आज हामी भर्खरै १८ वर्ष लागेका एक किशोरको कुरा गर्दैछौं ।

तनहुँ स्थायी घर भएका अर्विन गोदार अहिले काठमाडौंको ट्रिनिटी इन्टरनेश्नल कलेजमा कक्षा १२ मा पढ्दै छन् । उनी आफूलाई सेक्युरिटी एन्थुजियास्ट भन्न रुचाउँछन् जो दिनको धेरै समय अनलाइनमा सेक्युरिटी रिसर्चिङमा बिताउँछ । उनी बग बाउन्टी (bug bounty) प्रोगाममा सहभागी हुने, नयाँ नयाँ टेक्निक सिक्ने, साइटमा बग खोजेर रिपोर्ट गर्ने गर्छन् । यसरी कुनै कम्पनीको वेबसाइट ह्याक गर्ने र बग पत्ता लगाएर उनीहरुको सेक्युरिटी टिमलाई रिपोर्ट गर्ने अनि त्यो गर्दिएबापत कम्पनीहरूले अर्विनलाई एकनलेज (acknowldge) गर्छन् । यसरी इथिकल ह्याकिङ वा सेक्युरिटी ह्याकिङमा लागेका उनलाई हालसम्म विश्वका ठूला भनिने ६० भन्दा कम्पनीले एकनलेज गरिसकेका छन् । कुनै कम्पनीले उनको नाम hall of fame मा राखेका छन् । कुनैले सर्टिफिकेट दिएका छन् । कुनैले टिसर्टहरु दिएका छन् । अनि कुनैले डलर रिवार्ड दिएका छन् । यस्ता कम्पनीहरुमा माइक्रोसफ्ट, ओर्याकल, इन्टेल, नोकिया, एओएल, एभिजी, एभिरा, मिडियाफायर, सर्ट–इयु, एनभाटो जस्ता कम्पनी छन् । नेपालमा पनि केही नाम चलेका ईमर्श साइट र पेमेन्ट सिस्टमहरुको उनले रिपोर्ट गरेका थिए :1

इथिकल ह्याकिङमा कसरी रुची भयो ? 
मलाई इन्ट्रेस्ट (रुची) त पहिले देखि नै थियो । पहिला १० कक्षासम्म त होस्टेल (सैनिक आवसीय महाविद्यालय भक्तपुर)मै थिएँ । त्यहाँ ग्योजेटहरु प्रयोग गर्न पाइन्थेन । तर, स्कुलको लाइब्रेरीमा टेक्नोलोजीका बुकहरु खुब पढ्थें । साथीहरुले त पहिलेदेखि नै ह्याकर भनेर जिस्काउने गर्थे । होस्टेलबाट आउटिङ आएको बेलामा ब्लग, वेबसाइटहरु कसरी बनाउने भनेर खोज्थें । जब कक्षा १० सक्कियो मलाई अब साच्चिकै हयाकिङतिर इन्ट्रेस्ट बढ्न थाल्यो । सुरुसुरुतिर राम्रो कामभन्दा नि नराम्रै कामबाट सुरु गरियो । तर यसबाट धेरै कुराहरू सिक्दै थिएँ । फेसबुकमा अरु विदेशी साथीहरुले सेक्युरिटी भल्नेरबिलिटी रिपोर्ट गरेर रिवार्ड पाएकाे पोस्ट गर्थे । त्यो देखेर मलाई झनै इन्ट्रेस्ट बढ्यो । अब यो फिल्डमा केही गर्छु भनेर नै आफै सिक्न थालेँ । आफूमा रुची र धैर्य भयो भने त्यो काम अवश्य सफल हुन्छ र केही कोर्श गरि राख्नु पर्छ जस्तो लाग्दैन । मैले आजसम्म छुट्टै कोर्श चैं गरेको छैन ।


तर नेपालमा अझै बग बाउन्टीको कल्चर खासै देखिएको जस्तो त लाग्दैन नि, यो साँचो हो ?

हजुर हाे। नेपालमा अहिलेसम्म बग बाउन्टी प्रोगाम छ जस्तो लाग्दैन । नेपालमा ह्याकिङ के हो भनेर समाजले अझै बुझेको छैन । दिनहुँ gov र org साइटहरु ह्याक भइरहेको छ । बाहिरबाट टुरिस्ट ह्याकरहरुले नेपाल आएर बैंक, एटीएम ह्याक गरेको समाचारहरु हामीले सुनिरहेका हुन्छौं । तर, यस्ताे घटना कम गर्नभन्दा पनि कम्पनीहरू गुपचुप बस्ने अनि सरकारले पनि सेक्युरिटीका लागि दर्हाे कानून नल्याइदिने अवस्थाका कारणा ह्याकिङका घटना नराेकिएका हुन् । यसरी मुख्य कुरा भनेकै ह्याकिङको ज्ञान नभएर नेपालमा इथिकल ह्याकिङको ट्रेन्ड स्मुथ्ली जान नसकेकाे हाे । ह्याकर, ह्याकिङ शब्द सुन्न पाएको छैन धेरै नेपालीहरू क्राइम हो भनेर बुझ्छ्न् । नेपालमा इन्फर्मेशन टेक्नोलोजी सेक्युरिटी इमर्जेन्सी रेस्पोन्स टिम छ भन्ने सुनिन्छ तर उनीहरूकाे उपस्थिति खासै देख्दिनँ । नेपालमा एउटा साइट ह्याक हुँदा कम्पनीले सामान्य लिन्छ, साइट ह्याक हुनुभन्दा अघि नै सेक्युरिटी अडिट गर्न दियो भने साइट सुरक्षित हुन्छ । अनि सरकारले साइबर सेक्युरिटी सम्बन्धी पब्लिक अवेयरनेश प्रोगामहरु गरे केही सुधार हुन सक्छ ।

तपार्इ हाल कस्ता कम्पनीहरूकाे बग बाउन्टी प्राेगाममा सहभागी हुनुभएकाे छ ? तपार्इकाे रिपाेर्ट र एकनलेजका बारे जानकारी दिन मिल्छ ?
पहिलो बाउन्ट अमेरिकी कम्पनीकाे गरेकाे थिएँ । पहिलो पटक बाउन्टी पाउँदा एकदमै एक्साइटेड भएँ । मैले पनि केही गर्न सक्छु जस्तो लाग्न थाल्यो अनि झन रुचीपूर्वक सिक्ने, रिपोर्ट गर्ने काम गर्न थालें । हालसम्म ६० भन्दा बढी कम्पनीले एकनलेज गरेका छन् । कुनै कम्पनीले हल अफ फेममा मेराे नाम राखेको छन्, सर्टिफिकेट दिएका छन्, टिसर्टहरु दिएका छन् । डलर रिवार्ड आदि दिएका छन् । याे सूचिमा माइक्रोसफ्ट, अाेर्याकल, इन्टेल, नोकिया, एओएल, एभिजी, एभिरा, मिडियाफायर, सर्ट–इयु, एनभाटोजस्ता कम्पनी छन् ।13516468_1089122544495296_4036617168154135490_n

तपार्इले गर्ने कामबाट परिवार, आफन्त, साथिभार्इ र शिक्षकहरुको रेस्पोन्स कस्तो छ ?
सुरुमा त परिवारबाट निकै गाली पाएँ । उठ्न पाछैन ल्यापटप, कलेजबाट आउन पाछैन ल्यापटप… नराम्रो काम पो गरिराछ कि भनेर बुवाममी सारै चिन्ता मान्नुहुन्थ्याे । पढाइ बिग्रन्छ कि भनेर पटक पटक यस्ताे काम छाेड्न सम्झाउनुहुन्थ्याे । तर, अहिले मैले गर्ने काम थाहा पाएपछि सबै जना पोजेटिभ नै हुनुहुन्छ । केही अवरोध छैन । जे गर्छस् राम्रो गर्, नराम्रो नगर् भन्नुहुन्छ । म ३ कक्षा हुँदा मेरो मामाले मलाई विदेशबाट कम्प्युटर ल्याइदिनुभएको थियो । त्यो समयमा एउटा कम्प्युटर हुनु भनेको एकदम ठूलो कुरा जस्तै भएको थियो । घरमा ‘कम्प्युटराइज्ड जोन’ बनाउनमा मेरो मामाको ठूलो हात छ । मेरो धेरै आफन्तहरुलाई त थाहा छैन म के गर्छु भनेर। थाहा हुनेहरुले मेरो कामलाई राम्रै भनिरहनु भएको छ । साथीभार्इहरूले त सधै हाैसला दिन्छन् । सरहरुलाई त थाहा छैन होला मैले यस्तो गर्छु भनेर ।

नेपालमा पनि तपाई जस्तै बग बाउन्टीमा लागेकाहरु कति हाेलान् ?
अरु देशमा देखिने एक्टिभ मेम्बरहरु भन्दा नेपालमा कम नै छौं । केही दाईहरु विभिन्न कम्पनीमा बग बाउन्टी गर्नुहुन्छ। मेराे विचारमा याे संख्या २०/२५ जति छ । धेरै जना अझै सिकी पनि राख्नु भएको छ । म पनि सिक्दै छु ।

यसको लागि के के सिक्न आवश्यक छ ? सल्लाह र टिप्स के दिनुहुनुहुन्छ नयाँ वा सिक्ने मान्छेका लागि ?
हुन त म पनि लर्नर/स्टार्टर नै हो । त्यही पनि के भन्न चाहन्छु भने यसमा प्रोगामिङ ३० प्रतिशत र ७० प्रतिशत चै ‘आउटसाइड द बक्स’ सोच्नुपर्छ । भनिन्छ मैले केही गर्न सकिन भनेर फ्रस्ट्रेटेड हुनु भन्दा पनि जसरी नि केही गर्छु भनेर लाग्नु पर्छ । काम भनेको गर्नुपर्छ । गरे जे पनि सिकिन्छ । नेटमा सबै कुरा छ, गुगल गर्ने बानी गर्नुपर्छ अब इथिकल ह्याकिङ भनेर Fame & $$$’s मात्र हेर्ने भन्दा पनि नयाँ रिसर्च गर्न कोसिस गर्नुपर्छ । सबै बेसिक नलेज हुनुपर्छ । सेक्युरिटी एक्स्पर्टहरुको रिसर्च पेपरहरु पनि पढ्नुपर्छ ।

अनि रिपोर्ट गर्दा कहिले काहीँ थ्रेट अाउने चान्सेस कत्तिकाे हुन्छ ?
अहिलेसम्म मलाई त्यस्तो थ्रेट त आएको छैन । बाहिरका कम्पनीहरुकाे छुट्टै रेस्पोन्सिबल डिसक्लोजर वा बग बाउन्टी प्रोगाम नै हुन्छ । यसर्थ बाहिरकोमा गर्दा थ्रेट आउदैन । सके बग पत्ता लगाउने नसके रिटर्न हुने हाे । नेपाली साइटमा चै मैले खासै रिपोर्ट गरेको छैन । नेपाली साइटहरुको बग बाउन्टी प्रोगाम हुँदैन । मानाैं एउटा घरको ढोका खुल्ला छ भने अब त्यो घरमा छिरेर सामन चोर्ने अनि पुलिस केस लागेपछि घरको ढोका खुल्लै थियो त्यही भएर चोर पसे भन्न त मिलेन नि । घरमा छिर्न त पहिले घरका मान्छेको अनुमति लिनु पर्यो त्यस्तै गरी नेपाली साइटमा पनि केही सेक्युरिटी भल्नेरेबिलिटी डिस्क्लोजर प्रोगाम भए पाे रिपोर्ट गर्ने हो । नत्र किन र कसरी गरिरहनु ? तर, अाफ्नै देशका साइटमा समस्या छ भनेर रिपाेर्ट गरियाे भने मेराे विचारमा थ्रेट नअाउनुपर्ने हाे ।16105733_1325236577550557_1748973498570833382_n

तपाईको भविष्यको योजना के छ ? अनि बग बाउन्टिङ प्रोगामहरुको फ्युचर नेपालमा कस्तो देख्नुहुन्छ ?
पहिला प्लस टु सक्छु । नेपाल अहिले डिजिटाइज्ड हुने क्रममा छ । पासपोर्ट, लाइसेन्स सबै सरकारी कार्यहरु अनलाइनबेस्ड हुँदैछ । विस्तारै अनलाइन बैंकिङ, टिकेटिङको जानकारी हामीले पाइरहेका छाैं । त्यसैले अब हाम्रो देशमा पनि सेक्युरिटी धेरै नै महत्वपूर्ण बनेर आएको जस्तो लाग्छ । यसकारण मैले जे जति सीप जानेकाे छु, यसमै प्रयाेग गर्ने साेचेकाे छु । आउने दिनहरुमा नेपालमै बसेर सेक्युरिटीमा केही परिवर्तन लेराउने मन छ । नेपालमा पनि बग बाउन्टीको स्काेप एकदमै राम्रो छ । केही टप कम्पनीहरुको बग बाउन्टी प्रोगाम सुरू गरिसकेका छन्, जसले गर्दा उनीहरुलाई सेक्युर्ड पार्न सहयोग पुगेकाे छ । कम्पनी सेक्युरसँगै ह्याकरहरुलाई इथिकल्ली पैसा र फेम कमाउन सहयोग पुगिरहेकाे छ । बग बाउन्टी प्रोगाम कम्पनीले होस्ट गरेपछि नेश्नल ह्याकर मात्र हाेइन इन्टरनेश्नल ह्याकरहरुले पनि सिस्टम टेस्ट गर्दा साइट अझै सेक्युर हुन्छ ।arbin goddar14601055_1184177774989772_8419280650449760520_n

Check Also

स्टार्टअप स्टाेरी : डिजाइनर दाजुभाइको डिजाइनप्याक

गाउँको स्कुले जीवन सकेर काठमाडौंको कुनै निजी कलेज पढेर सक्दासम्म भविष्यका लागि कुनै ठोस योजना …

टेलिकमका डाटा प्याकेज अब अनलाइनबाट खरिद गर्न सकिने

नेपाल टेलिकमले उपलब्ध गराएका विभिन्न डाटा प्याकेज अब अनलाइनको माध्यमबाट नेपाल टेलिकमको वेबसाइटबाटै खरिद गर्न …

One comment

  1. Can I have his Email Address?

Leave a Reply

Your email address will not be published. Required fields are marked *