ब्लॉग : कोड बदलून 'आधार' सॉफ्टवेअर हॅकिंग शक्य

(आधारचा वापर आणि डाटा सुरक्षा हा नेहमीच चर्चेचा आणि तितकाच वादग्रस्त मुद्दा ठरलाय. नुकत्याच 'हफिंग्टन पोस्ट'नं केलेल्या दाव्यानुसार, 'आधार'च्या सॉफ्टवेअरचा कोड बदलून ते हॅक केलं जाऊ शकतं. त्यामुळे नागरिकांच्या खाजगी माहितीच्या सुरक्षेचा मुद्दा पुन्हा एकदा ऐरणीवर आल्याचं दिसतंय. पण, हे प्रकरण नेमकं आहे तरी काय, याविषयी अधिक माहिती देणाऱ्या या ब्लॉगद्वारे सायबर सुरक्षा विश्लेषक ओंकार गंधे आपलं म्हणणं मांडत आहेत)
 
भारतातील आधार डेटाबेसमध्ये एक अब्जपेक्षा जास्त भारतीयांची बायोमेट्रिक्स आणि वैयक्तिक माहिती समाविष्ट आहे. या आधारच्या सॉफ्टवेअरमध्ये पॅचद्वारे तडजोड केली गेली आहे. हे पॅच नवीन आधार वापरकर्त्यांची नोंदणी करण्यासाठी वापरल्या जाणाऱ्या सॉफ्टवेअरची महत्त्वपूर्ण सुरक्षा वैशिष्ट्ये निकामी करते. 'हफपोस्ट इंडिया'ने नुकतीच तीन महिन्यांच्या शोधकामाची माहिती दिली आहे. मात्र, UIDAI कडून या वृत्ताचं खंडन करण्यात आलंय.  

हा पॅच खुलेआम रु. 2500 (सुमारे 35 डॉलर्स) उपलब्ध आहे. यामुळे अनधिकृत व्यक्तींना जगात कुठेही आधार क्रमांक तयार करता येऊ शकतो आणि याचा बाजार मांडला जाऊ शकतो, असं यामध्ये म्हटलं गेलंय. 

याचा राष्ट्रीय सुरक्षेवर महत्त्वपूर्ण परिणाम होऊ शकतो. कारण, भारत सरकारने भारतीय नागरिक ओळखण्यासाठी आधार क्रमांक सुवर्ण मानक बनवला आहे. आधार सुरक्षेसाठी NCIIPC (नॅशनल क्रिटिकल इन्फ्रास्ट्रक्चर प्रोटेक्शन सेंटर) ही सुरक्षा एजन्सी जबाबदार आहे.

हा पॅच सॉफ्टवेअर प्रोग्रामची कार्यक्षमता बदलण्यासाठी वापरला जातो. यात कोडचे एक बंडल आहे. सध्याच्या प्रोग्राम्सवरील किरकोळ बदलांसाठी कंपन्या अनेकदा पॅचेस वापरतात, परंतु या पॅचचा चुकीचा वापर धोकादायक ठरू शकतो.

'हफपोस्ट इंडिया'नं या पॅचचा ताबा मिळवलाय आणि तीन आंतरराष्ट्रीय स्तरावरील प्रतिष्ठित तज्ज्ञ आणि दोन भारतीय तज्ज्ञांनी याचे विश्लेषण केले आहे.

या पॅचमुळे वापरकर्त्यांना अनधिकृत आधार क्रमांक निर्माण करता येते, त्यासाठी त्याला ऑपरेटरच्या बायोमेट्रिक प्रमाणिकरणासारख्या महत्त्वपूर्ण सुरक्षांना 'बायपास' करता येते. यामध्ये फिंगरप्रिंट आणि डोळे तपासणी  (बायोमेट्रिक) केल्याशिवाय आधारची कामे करता येतात. तसेच पॅचमुळे जीपीएस सुरक्षासुद्धा बंद पडते, ज्यामुळे आधारचे लॉगिन कुठून झाले आहे ते कळत नाही. म्हणजेच याचा वापर बाहेरील देशातूनही करता येऊ शकतो.

मुख्य टेक्नोलॉजिस्ट गुस्टाफ ब्योर्कस्टेन यांनी 'हफपोस्ट इंडिया'च्या विनंतीनुसार पॅचचे विश्लेषण केले आणि त्यातून हे निष्कर्ष काढले आहेत. 

तज्ज्ञांनी 'हफपोस्ट इंडिया'ला दिलेल्या माहितीनुसार, आधार तंत्रज्ञानाची मूळ आधारभूत संरचना बदलणे आवश्यक आहे. जगभरातील काही विशेषज्ञांनी या पॅचची तपासणी केली आणि त्यावरून हे हॅक करण्यास वापरले जाऊ शकते, असे त्यांचे म्हणणे आहे. 

कसं केलं जातं हॅकिंग?

पॅच वापरण्यासाठी 'यूआयडीएआय'च्या नोंदणी गेटवेवर लॉग इन करावे लागते, त्यासाठी आवश्यक यूजरनेम व पासवर्ड केवळ 2,500 रुपयांना विकले जातात. हा व्यवहार मोबाईल वॉलेटद्वारे केला जातो. यामध्ये केवळ कोड ('जावा' लँग्वेजमध्ये लिहिलेला) कॉपी - पेस्ट करावा लागतो.  

काही वेळा नोंदणीकृत आधार ऑपरेटर्सना केवळ 30 रुपये प्रति नोंदणी देण्यात येतात. त्यामुळे अनेक ग्रामीण भागातील ऑपरेटर थोडे अधिक पैसे कमविण्यासाठी हा पॅच वापरतात आणि 100 ते 500 रुपयांदरम्यान शुल्क आकारतात. हफिंग्टन पोस्टनुसार UIDAI कडे भ्रष्टाचाराच्या अनेक तक्रारी आल्या आणि त्याची दाखल घेत UIDAI ने गेल्या काही महिन्यांपूर्वी  49,000 अशा नोंदणी केंद्राची नावे जाहीर केली. त्यामुळे, यापुढे फक्त बँक आणि सरकारी संस्था जसे की पोस्टल सेवेत आधार नोंदणी करता येऊ शकते.

emcp बायपास नावाने कोणीही याबाबत सर्च करू शकतात आणि व्हिडीओ बघू शकतात. या पॅच बनवण्यामागे कोण आहे हे अजून समजलेले नाही. 

या पॅचचा वापर करून आधारच्या सॉफ्टवेअरमध्ये असलेल्या सुरक्षा यंत्रणा बायोमेट्रिक वगैरे निकामी करता येतात, परंतु जो मुख्य आधारचा डेटाबेस आहे त्याला धोका पोचवता येत नाही, तसेच कोणतीही नवीन नोंदणी करताना सिस्टीमला संशय आल्यास ती नोंदणी आणि ते लॉगिन स्थगित करण्यात येते आणि हे 'ऑटोमेटेड' आहे. त्यामुळे काही गोष्टी या हॅक होऊ शकतात आणि काही गोष्टी होऊ शकत नाही, हे यावरून दिसून येते. 

नागरिकांचा डेटा पूर्ण सुरक्षित आहे आणि या पॅचद्वारे फक्त नवीन नोंदणी करता येते. भविष्यात अशा पॅचचा वापर करून डेटा चोरलाही जाऊ शकतो. UIDAI ने बाबत अधिक काळजी घेणे गरजेचे आहे. तसेच अनेक वेगवेगळ्या सायबर तज्ज्ञांना याबाबत विश्लेषण करण्यासाठी यामध्ये सहभागी करून घेतला पाहिजे. 

- ओंकार गंधे, सायबर सुरक्षा विश्लेषक, नाशिक 

(नोट - वरील संपूर्ण लेखाची जबाबदारी लेखकाची राहील)