सोमबार, ८ असोज, २०७५
Monday, 24 September, 2018

इथिकल ह्याकर अर्विन गोदार भन्छन्– ‘नेपालमा बग बाउन्टी प्रोग्रामकाे कल्चर नै छैन’

‘ह्याकिङ’ शब्द सुन्नेबित्तिकै धेरै नेपालीले अझै ‘अपराध’ र ‘नराम्रो’ भनेरै बुझ्छन् । अरु प्रकृतिका अपराधीभन्दा ह्याकर अझै खतरनाक हुन् भन्ने सोच उनीहरुको छ । हुन पनि नेपालजस्तो देशमा वेब सेक्युरिटी निकै कमजोर भएकाले बारम्बार वेबसाइट डिफेस भइरहेका घटना देख्न/सुन्न पाइन्छ । यस्तो काममा लाग्नेहरु अनधिकृत रुपमा अर्काको सिष्टममा प्रवेश गरी डाटा हातमा लिन्छन, बिगारिदिन्छन् वा अन्य गैरकानूनी काम गर्छन् । तर, अर्कोतिर सिस्टममा कमजोरी (लुपहाेल्स) छ भनेर सम्बन्धित वेबसाइट वा कम्पनीलाई रिपोर्ट गर्ने वा वेबसाइटको सेक्युरिटीका लागि खटाइने अर्काथरीका ह्याकर पनि हुन्छन् । उनीहरुले गरेको कामलाई स्याबासी र सम्मानस्वरूप ‘रिवार्ड’ दिने गरेकाे पाइन्छ । नेपालमा एक वर्षअघिसम्म वेबसाइट आक्रमण गर्ने किशोरहरुको समूह निकै सक्रिय थियो । अहिले त्यस्ता समूहहरुका सदस्यहरु पनि यस्तै ‘रिवार्ड’ पाउन सकिने काम अर्थात् इथिकल ह्याकिङमा लाग्ने गरेका छन् । हुन त नेपालमा सर्टिफाइड इथिकल ह्याकरहरु पनि छन् । उनीहरुको स्टोरी हामीले यसअघि पनि पटक–पटक गरिसकेका छौं । आज हामी भर्खरै १८ वर्ष लागेका एक किशोरको कुरा गर्दैछौं ।

तनहुँ स्थायी घर भएका अर्विन गोदार अहिले काठमाडौंको ट्रिनिटी इन्टरनेश्नल कलेजमा कक्षा १२ मा पढ्दै छन् । उनी आफूलाई सेक्युरिटी एन्थुजियास्ट भन्न रुचाउँछन् जो दिनको धेरै समय अनलाइनमा सेक्युरिटी रिसर्चिङमा बिताउँछ । उनी बग बाउन्टी (bug bounty) प्रोगाममा सहभागी हुने, नयाँ नयाँ टेक्निक सिक्ने, साइटमा बग खोजेर रिपोर्ट गर्ने गर्छन् । यसरी कुनै कम्पनीको वेबसाइट ह्याक गर्ने र बग पत्ता लगाएर उनीहरुको सेक्युरिटी टिमलाई रिपोर्ट गर्ने अनि त्यो गर्दिएबापत कम्पनीहरूले अर्विनलाई एकनलेज (acknowldge) गर्छन् । यसरी इथिकल ह्याकिङ वा सेक्युरिटी ह्याकिङमा लागेका उनलाई हालसम्म विश्वका ठूला भनिने ६० भन्दा कम्पनीले एकनलेज गरिसकेका छन् । कुनै कम्पनीले उनको नाम hall of fame मा राखेका छन् । कुनैले सर्टिफिकेट दिएका छन् । कुनैले टिसर्टहरु दिएका छन् । अनि कुनैले डलर रिवार्ड दिएका छन् । यस्ता कम्पनीहरुमा माइक्रोसफ्ट, ओर्याकल, इन्टेल, नोकिया, एओएल, एभिजी, एभिरा, मिडियाफायर, सर्ट–इयु, एनभाटो जस्ता कम्पनी छन् । नेपालमा पनि केही नाम चलेका ईमर्श साइट र पेमेन्ट सिस्टमहरुको उनले रिपोर्ट गरेका थिए :1

इथिकल ह्याकिङमा कसरी रुची भयो ? 
मलाई इन्ट्रेस्ट (रुची) त पहिले देखि नै थियो । पहिला १० कक्षासम्म त होस्टेल (सैनिक आवसीय महाविद्यालय भक्तपुर)मै थिएँ । त्यहाँ ग्योजेटहरु प्रयोग गर्न पाइन्थेन । तर, स्कुलको लाइब्रेरीमा टेक्नोलोजीका बुकहरु खुब पढ्थें । साथीहरुले त पहिलेदेखि नै ह्याकर भनेर जिस्काउने गर्थे । होस्टेलबाट आउटिङ आएको बेलामा ब्लग, वेबसाइटहरु कसरी बनाउने भनेर खोज्थें । जब कक्षा १० सक्कियो मलाई अब साच्चिकै हयाकिङतिर इन्ट्रेस्ट बढ्न थाल्यो । सुरुसुरुतिर राम्रो कामभन्दा नि नराम्रै कामबाट सुरु गरियो । तर यसबाट धेरै कुराहरू सिक्दै थिएँ । फेसबुकमा अरु विदेशी साथीहरुले सेक्युरिटी भल्नेरबिलिटी रिपोर्ट गरेर रिवार्ड पाएकाे पोस्ट गर्थे । त्यो देखेर मलाई झनै इन्ट्रेस्ट बढ्यो । अब यो फिल्डमा केही गर्छु भनेर नै आफै सिक्न थालेँ । आफूमा रुची र धैर्य भयो भने त्यो काम अवश्य सफल हुन्छ र केही कोर्श गरि राख्नु पर्छ जस्तो लाग्दैन । मैले आजसम्म छुट्टै कोर्श चैं गरेको छैन ।


तर नेपालमा अझै बग बाउन्टीको कल्चर खासै देखिएको जस्तो त लाग्दैन नि, यो साँचो हो ?
हजुर हाे। नेपालमा अहिलेसम्म बग बाउन्टी प्रोगाम छ जस्तो लाग्दैन । नेपालमा ह्याकिङ के हो भनेर समाजले अझै बुझेको छैन । दिनहुँ gov र org साइटहरु ह्याक भइरहेको छ । बाहिरबाट टुरिस्ट ह्याकरहरुले नेपाल आएर बैंक, एटीएम ह्याक गरेको समाचारहरु हामीले सुनिरहेका हुन्छौं । तर, यस्ताे घटना कम गर्नभन्दा पनि कम्पनीहरू गुपचुप बस्ने अनि सरकारले पनि सेक्युरिटीका लागि दर्हाे कानून नल्याइदिने अवस्थाका कारणा ह्याकिङका घटना नराेकिएका हुन् । यसरी मुख्य कुरा भनेकै ह्याकिङको ज्ञान नभएर नेपालमा इथिकल ह्याकिङको ट्रेन्ड स्मुथ्ली जान नसकेकाे हाे । ह्याकर, ह्याकिङ शब्द सुन्न पाएको छैन धेरै नेपालीहरू क्राइम हो भनेर बुझ्छ्न् । नेपालमा इन्फर्मेशन टेक्नोलोजी सेक्युरिटी इमर्जेन्सी रेस्पोन्स टिम छ भन्ने सुनिन्छ तर उनीहरूकाे उपस्थिति खासै देख्दिनँ । नेपालमा एउटा साइट ह्याक हुँदा कम्पनीले सामान्य लिन्छ, साइट ह्याक हुनुभन्दा अघि नै सेक्युरिटी अडिट गर्न दियो भने साइट सुरक्षित हुन्छ । अनि सरकारले साइबर सेक्युरिटी सम्बन्धी पब्लिक अवेयरनेश प्रोगामहरु गरे केही सुधार हुन सक्छ ।

तपार्इ हाल कस्ता कम्पनीहरूकाे बग बाउन्टी प्राेगाममा सहभागी हुनुभएकाे छ ? तपार्इकाे रिपाेर्ट र एकनलेजका बारे जानकारी दिन मिल्छ ?
पहिलो बाउन्ट अमेरिकी कम्पनीकाे गरेकाे थिएँ । पहिलो पटक बाउन्टी पाउँदा एकदमै एक्साइटेड भएँ । मैले पनि केही गर्न सक्छु जस्तो लाग्न थाल्यो अनि झन रुचीपूर्वक सिक्ने, रिपोर्ट गर्ने काम गर्न थालें । हालसम्म ६० भन्दा बढी कम्पनीले एकनलेज गरेका छन् । कुनै कम्पनीले हल अफ फेममा मेराे नाम राखेको छन्, सर्टिफिकेट दिएका छन्, टिसर्टहरु दिएका छन् । डलर रिवार्ड आदि दिएका छन् । याे सूचिमा माइक्रोसफ्ट, अाेर्याकल, इन्टेल, नोकिया, एओएल, एभिजी, एभिरा, मिडियाफायर, सर्ट–इयु, एनभाटोजस्ता कम्पनी छन् ।13516468_1089122544495296_4036617168154135490_n

तपार्इले गर्ने कामबाट परिवार, आफन्त, साथिभार्इ र शिक्षकहरुको रेस्पोन्स कस्तो छ ?
सुरुमा त परिवारबाट निकै गाली पाएँ । उठ्न पाछैन ल्यापटप, कलेजबाट आउन पाछैन ल्यापटप… नराम्रो काम पो गरिराछ कि भनेर बुवाममी सारै चिन्ता मान्नुहुन्थ्याे । पढाइ बिग्रन्छ कि भनेर पटक पटक यस्ताे काम छाेड्न सम्झाउनुहुन्थ्याे । तर, अहिले मैले गर्ने काम थाहा पाएपछि सबै जना पोजेटिभ नै हुनुहुन्छ । केही अवरोध छैन । जे गर्छस् राम्रो गर्, नराम्रो नगर् भन्नुहुन्छ । म ३ कक्षा हुँदा मेरो मामाले मलाई विदेशबाट कम्प्युटर ल्याइदिनुभएको थियो । त्यो समयमा एउटा कम्प्युटर हुनु भनेको एकदम ठूलो कुरा जस्तै भएको थियो । घरमा ‘कम्प्युटराइज्ड जोन’ बनाउनमा मेरो मामाको ठूलो हात छ । मेरो धेरै आफन्तहरुलाई त थाहा छैन म के गर्छु भनेर। थाहा हुनेहरुले मेरो कामलाई राम्रै भनिरहनु भएको छ । साथीभार्इहरूले त सधै हाैसला दिन्छन् । सरहरुलाई त थाहा छैन होला मैले यस्तो गर्छु भनेर ।

नेपालमा पनि तपाई जस्तै बग बाउन्टीमा लागेकाहरु कति हाेलान् ?
अरु देशमा देखिने एक्टिभ मेम्बरहरु भन्दा नेपालमा कम नै छौं । केही दाईहरु विभिन्न कम्पनीमा बग बाउन्टी गर्नुहुन्छ। मेराे विचारमा याे संख्या २०/२५ जति छ । धेरै जना अझै सिकी पनि राख्नु भएको छ । म पनि सिक्दै छु ।

यसको लागि के के सिक्न आवश्यक छ ? सल्लाह र टिप्स के दिनुहुनुहुन्छ नयाँ वा सिक्ने मान्छेका लागि ?
हुन त म पनि लर्नर/स्टार्टर नै हो । त्यही पनि के भन्न चाहन्छु भने यसमा प्रोगामिङ ३० प्रतिशत र ७० प्रतिशत चै ‘आउटसाइड द बक्स’ सोच्नुपर्छ । भनिन्छ मैले केही गर्न सकिन भनेर फ्रस्ट्रेटेड हुनु भन्दा पनि जसरी नि केही गर्छु भनेर लाग्नु पर्छ । काम भनेको गर्नुपर्छ । गरे जे पनि सिकिन्छ । नेटमा सबै कुरा छ, गुगल गर्ने बानी गर्नुपर्छ अब इथिकल ह्याकिङ भनेर Fame & $$$’s मात्र हेर्ने भन्दा पनि नयाँ रिसर्च गर्न कोसिस गर्नुपर्छ । सबै बेसिक नलेज हुनुपर्छ । सेक्युरिटी एक्स्पर्टहरुको रिसर्च पेपरहरु पनि पढ्नुपर्छ ।

अनि रिपोर्ट गर्दा कहिले काहीँ थ्रेट अाउने चान्सेस कत्तिकाे हुन्छ ?
अहिलेसम्म मलाई त्यस्तो थ्रेट त आएको छैन । बाहिरका कम्पनीहरुकाे छुट्टै रेस्पोन्सिबल डिसक्लोजर वा बग बाउन्टी प्रोगाम नै हुन्छ । यसर्थ बाहिरकोमा गर्दा थ्रेट आउदैन । सके बग पत्ता लगाउने नसके रिटर्न हुने हाे । नेपाली साइटमा चै मैले खासै रिपोर्ट गरेको छैन । नेपाली साइटहरुको बग बाउन्टी प्रोगाम हुँदैन । मानाैं एउटा घरको ढोका खुल्ला छ भने अब त्यो घरमा छिरेर सामन चोर्ने अनि पुलिस केस लागेपछि घरको ढोका खुल्लै थियो त्यही भएर चोर पसे भन्न त मिलेन नि । घरमा छिर्न त पहिले घरका मान्छेको अनुमति लिनु पर्यो त्यस्तै गरी नेपाली साइटमा पनि केही सेक्युरिटी भल्नेरेबिलिटी डिस्क्लोजर प्रोगाम भए पाे रिपोर्ट गर्ने हो । नत्र किन र कसरी गरिरहनु ? तर, अाफ्नै देशका साइटमा समस्या छ भनेर रिपाेर्ट गरियाे भने मेराे विचारमा थ्रेट नअाउनुपर्ने हाे ।16105733_1325236577550557_1748973498570833382_n

तपाईको भविष्यको योजना के छ ? अनि बग बाउन्टिङ प्रोगामहरुको फ्युचर नेपालमा कस्तो देख्नुहुन्छ ?
पहिला प्लस टु सक्छु । नेपाल अहिले डिजिटाइज्ड हुने क्रममा छ । पासपोर्ट, लाइसेन्स सबै सरकारी कार्यहरु अनलाइनबेस्ड हुँदैछ । विस्तारै अनलाइन बैंकिङ, टिकेटिङको जानकारी हामीले पाइरहेका छाैं । त्यसैले अब हाम्रो देशमा पनि सेक्युरिटी धेरै नै महत्वपूर्ण बनेर आएको जस्तो लाग्छ । यसकारण मैले जे जति सीप जानेकाे छु, यसमै प्रयाेग गर्ने साेचेकाे छु । आउने दिनहरुमा नेपालमै बसेर सेक्युरिटीमा केही परिवर्तन लेराउने मन छ । नेपालमा पनि बग बाउन्टीको स्काेप एकदमै राम्रो छ । केही टप कम्पनीहरुको बग बाउन्टी प्रोगाम सुरू गरिसकेका छन्, जसले गर्दा उनीहरुलाई सेक्युर्ड पार्न सहयोग पुगेकाे छ । कम्पनी सेक्युरसँगै ह्याकरहरुलाई इथिकल्ली पैसा र फेम कमाउन सहयोग पुगिरहेकाे छ । बग बाउन्टी प्रोगाम कम्पनीले होस्ट गरेपछि नेश्नल ह्याकर मात्र हाेइन इन्टरनेश्नल ह्याकरहरुले पनि सिस्टम टेस्ट गर्दा साइट अझै सेक्युर हुन्छ ।arbin goddar14601055_1184177774989772_8419280650449760520_n

सम्बन्धित समाचार
धेरै पढिएको
ट्वीटरमा