ईव्हीएम हॅकिंग आणि मिथके

@@NEWS_SUBHEADLINE_BLOCK@@

    23-Jan-2019
Total Views |

 


 
 
 
 
२०१९ च्या लोकसभा निवडणुका अवघ्या काही महिन्यांवर असताना, लंडनमध्ये बसून कोण कुठचा शुजा नावाचा हॅकर २०१४ च्या लोकसभा निवडणुका ईव्हीएम मशीन हॅक करुन भाजपने खिशात घातल्याचा आरोप करतो. पण, खरंच अशाप्रकारे ईव्हीएम हॅकिंग शक्य आहे का? हॅकिंगचे आरोप करणाऱ्यांना तरी त्यामागील तांत्रिक बाबींची किती माहिती आहे? यांसारख्या प्रश्नांची पोलखोल करणारा हा माहितीपूर्ण लेख...
 

परवा लंडनमध्ये एका सो कॉल्ड हॅकरने अमेरिकेतून स्काईपवरून एक पत्रकार परिषद घेतली. त्यात २०१४ मध्ये ईव्हीएम हॅक करून भाजपने कशा निवडणुका जिंकल्या, त्यासाठी किती खून पाडले, असे खळबळजनक दावे त्याला लागणारे पुरावे सादर न करता केले. बाकी खूनबिन सोडून देऊ, पण मला आश्चर्य एका गोष्टीचे वाटले की, एक हॅकर ज्याला स्वतःच्या जीवाचे भय आहे, तो अमेरिकेत बसून ‘स्काईप’ वरून लंडनमधील पत्रकार परिषदेत भाग घेतो? म्हणजे स्काईप वापरून त्याने खूप मोठी चूक केलीय. कारण त्यावरून त्याचा IP address (इंटरनेटशी जोडलेल्या प्रत्येक संगणकाचा असा एक पत्ता) ट्रेस करून तो सध्या नेमका कुठल्या शहरात नेमक्या कुठल्या ठिकाणी बसून स्काईप करतोय, हे शोधून काढणे फार फार तर १५-२० मिनिटांचे काम आहे. IP Spoofing methodology (खोटा पत्ता देणारी यंत्रणा) जरी तो वापरत असला तरी Bogon filters (IP address फिल्टर करणारी यंत्रणा) सारखी यंत्रणा वापरून त्याच्या मशीनचा खरा खझ रववीशीी काढून त्याची भौगोलिक लोकेशन काढायला फारफार तर ३० मिनिटे लागतील. मग अशा वेळी एखादा हॅकर हा इतका मोठा धोका पत्करून सव्वा तास तोंडाला फडकं बांधून स्काईपवर येईल? एक व्हिडिओ रेकॉर्ड करून माध्यमांना चर्वितचर्वण करायला पाठवून देणे अधिक सोपे आहे नाही? किंवा ‘कारवान’सारख्या फर्जी शोधपत्रिकेला हाताशी धरून एक मुलाखत देणे. जीवाशी खेळ करणारा असला मूर्खपणा का करायचा? कुठलाही हॅकर हा मुळात जगातला सगळ्यात भित्रा माणूस असतो, ज्याला स्वतःची आयडेंटिटी आणि जीव जपणं हे सगळ्यात महत्त्वाचे असते. इतका बिनधास्त कुणी आरोप करत सुटत असेल तर तो हॅकर नसतो, कारण हॅकरचे काम प्रात्यक्षिक दाखवून अचंबित करून फेम मिळविणे असते, मुलाखत देऊन हिरोगिरी करणे नाही.

 
हॅकिंग म्हणजे नेमके काय? हॉलिवूड चित्रपटांनी त्याला जितकी अवास्तव प्रसिद्धी दिलीय, तसा काही नसतो हा प्राणी. हॅकरचे मुख्य काम असते, कमीत कमी वेळात जास्तीत जास्त नुकसान करणे आणि हे नुकसान ‘अ‍ॅक्टिव्ह’ स्वरूपात नसून ‘पॅसिव्ह’ स्वरूपात असते. म्हणजे बघा बरं, कुणा हॅकरने तुमचा सीसीटीव्ही हॅक केला तर तो सीसीटीव्ही लगेच बंद करणार नाही, गुपचूप त्यात पडून राहील आणि जेव्हा वेळ येईल तेव्हा काहीही डेटाशी मोठी छेडखानी न करता गुपचूप सीसीटीव्ही फुटेज स्ट्रिमिंगची लॅटन्सी (वेळ) बदलून टाकेल किंवा रेकॉर्डिंग पॉज करूनही क्लॉक चालू ठेवेल. यातून त्याला तुमच्या सीसीटीव्हीचा अ‍ॅक्सेस अधिक आणि खात्रीशीररित्या मिळेल, त्याचं कामही होईल आणि उजेडातही येणार नाही. याला ‘पॅसिव्ह हॅकिंग’ म्हणतात. एकदा अ‍ॅक्सेस मिळाला की, अगदी निपचित पडून राहून फक्त फ्लो बघत राहायचा आणि मिळेल ती माहिती घ्यायची. ती किती महत्त्वाची हे नंतर ठरविता येते. ‘पॅसिव्ह हॅकिंग’ हे जास्त उपयुक्त असते. आता ‘अ‍ॅक्टिव्ह हॅकिंग’ बघा कसं काम करतं. समजा, हॅकरला एखाद्या सरकारी वेबसाईटच्या डेटा सेंटरचा अ‍ॅक्सेस मिळाला तर तो काय करेल? प्रथम त्यात घुसून डेटाबेसमध्ये जी माहिती आहे, ती उडवायचा प्रयत्न करेल ना की डेटाबेसवर DB Query (डेटाबेसला देणारी आज्ञा) चालवून त्यात त्याला पाहिजे ते बदल करेल. त्यात वेळ खूप जाईल, कारण डेटाबेसमध्ये कुठलाही डेटा हा ‘encrypted’ (न वाचता येण्यासारखा) रित्या स्टोअर केलेला असतो. त्याला आधी ‘decrypt’ करून मग त्यावर बदल करणं, यात खूप वेळ जातो. त्यापेक्षा सरळ घुसून फारसा विचार न करता तो डेटाबेस कसा क्रॅश होईल, हे हॅकर बघेल. कारण, तोच क्रॅश झाला तर त्याचा रिस्टोरेशन टाईम (बिघाड दुरुस्ती) आणि रिकव्हरी टाईम हा जितका अधिक असेल तितका वेळ त्या कंपनीचे व्यवहार ठप्प होतील आणि त्यांना आर्थिक नुकसान होईल. बस्स. त्याला अजून काय हवं आहे? ईव्हीएम हॅक जर कुणाला खरंच करणं शक्य असतं तर त्याने एकच काम केलं असतं सरळ जितकी मतं मशीनमध्ये नोंदवली गेली आहेत, ती स्क्रॅप (उडवून देणे) केली असती आणि जेव्हा बॅलेट मशीन उघडले गेले असते तेव्हा त्यांना रिकामी, मतं नसलेली मशीन मिळाली असती. उगा मोदी की राहुल गांधी कोण जिंकतो, यापेक्षा सरकारचे किमान १० हजार कोटी पाण्यात घालविणे हॅकर म्हणून अधिक फायद्याचे नसेल का? मोदी किंवा राहुलसाठी मी का काम करू? त्यापेक्षा कितीतरी अधिक पैसा आणि प्रसिद्धी त्याला १० हजार कोटी पाण्यात घालून मिळेल. निवडणूक आयोगाच्या नाकावर टिच्चून तो मिरवेल की, तुमच्या मशीन सदोष आहेत. एका हॅकरच्या ‘पॉईंट ऑफ व्ह्यू’तून बघता कुठलाही हॅकर असाच विचार करतो.
 
 
IOT (Internet Of Things) च्या जमान्यात आज तुमच्या आजूबाजूला असणारी ९० टक्के उपकरणं कुठल्या ना कुठल्या ऑपरेटिंग सिस्टिम किंवा नेटवर्कशी जोडली गेली आहेत. तुमच्या घरातील मोबाईल/कम्प्युटरपासून ते स्मार्ट लाईट, अलेक्सा/गुगल होम असिस्टन्सपर्यंत सगळं काही नेटवर्किंगमध्ये येतं. काही दिवसांनी तुमच्या घराचा फ्रिज, मायक्रोवेव्ह वगैरेदेखील येतील. ज्या ज्या गोष्टींना स्वतःची अशी intuitive ऑपरेटिंग सिस्टिम आहे आणि ते इंटरनेटशी कुठल्याही प्रकारे जोडले आहेत, त्या गोष्टींना भविष्यात हॅकिंगपासून धोका असू शकेल. तो कसा असेल, यात शिरण्याचे कारण नाही, पण तो असेल. तो कसा टाळता येईल, त्याचेही काही उपाय आहेत/असतील. पण, विचार करा, तुमच्या घरी एक जुना कॉम्प्युटर आहे, जो एका खोलीत बंद आहे, ज्यात खूप जुनी ऑपरेटिंग सिस्टिम आहे, जसे की विंडोज ९५/९८, त्या खोलीत इंटरनेटचा LAN सॉकेटही नाहीय, त्या खोलीचे कडीकुलूप बंद करून त्याची किल्ली १००० किमी दूर दुसऱ्या शहरात आहे, वरून त्या खोलीला हत्यारबंद पहारेकऱ्यांचा वेढा आहे. अशा परिस्थितीत हॅकरला कुणी म्हटलं की, “तू हॅकर आहेस. करून दाखव हॅक ही मशीन,” तर त्याचं सरळ उत्तर राहील,“माफ कर बाबा, मला नाही जमणार. कुठलीही मशीन हॅक प्रूफ ठेवायची असेल तर त्याला बाहेरच्या जगापासून त्याला लांब ठेवणे. रोजच्या ऑफिसच्या कामात मी जगभरात रोज होणाऱ्या सायबर हल्ल्यांवर नजर ठेवतो. काल सगळ्यात जास्त सायबर हल्ले हे इराणवरून अमेरिकेवर आणि चीनवरून अमेरिकेवर झाले आहेत. हे हल्ले IP Spoofing, WAP, Passive Eavesdropping सारखे हल्ले आहेत, जे सरळ मोठमोठ्या सर्व्हरवर केलेले आहेत. डेटा सांभाळणारा कुठलाही सर्व्हर हा थेट इंटरनेटशी कधीही जोडलेला नसतो. बऱ्याच भिंती ज्याला ‘फायरवॉल’ म्हणतात, अशा मध्ये असतात. त्यामुळे बाहेरच्या व्यक्तीला डेटाबेस सर्व्हरचा अ‍ॅक्सेस मिळायला बरीच अडथळ्यांची शर्यत पार करावी लागते. वेबसाईट हॅक करण्याइतके ते सोपे नाही. आता वेबसाईट हॅक म्हणजे काय? तर कुठल्याशा पोर्टलला हॅक करणे म्हणजे वेबसाईट हॅक. उदा. एलआयसीची वेबसाईट हॅकरला हॅक करायची असेल तर तो त्यात शिरून ‘भारतीय विमा निगम’ या हेडिंगऐवजी ‘चीन विमा निगम’ (जे सहसा कुठलेही हॅकर करतात) लिहिले म्हणजे त्याने एलआयसीचा सगळा बॅकएंड डेटाबेस मिळविला असं नव्हे. बहुतेकवेळा तुमचं पेमेंट पोर्टल गेटवे (वेबसाईट ज्यातून तुम्ही विमा पॉलिसीचा हफ्ता भरता) आणि एलआयसी पॉलिसीधारकांचा डेटा हे दोन वेगवेगळ्या सर्व्हरवर असतात. एका DMZ demilitarized zone (एक असा IP Address झोन जो लोकांना तर दिसतो, पण तो त्या सर्व्हरचा खरा आयपी नसतो) ने एलआयसी पोर्टल आणि एलआयसीचा डेटाबेस सर्व्हर जोडलेले असतात, म्हणून एलआयसी पोर्टल हॅक झालं तर लोकांची पेमेंट डिटेल्स हॅक होऊ शकतात. पण, एलआयसीचा मूळ डेटाबेस हॅक होत नाही, कारण तो बाहेरच्या जगाशी कधी संपर्कातच येत नाही!! हुश्श, आहे ना चक्रावणारं सगळं? मला वाटतं, हॅकिंग म्हणजे काय तुम्हाला कळलं असेल. सरळ शब्दांत सुदूर ठिकाणी बसून कुणालाही न कळू देता शांतपणे व्हिक्टिमवर हल्ला करून आपल्याला हवी ती गोष्ट मिळवून निघून जायचे. आता तुम्ही म्हणाल, हे सगळं ठीक आहे, पण अजूनपर्यंत ते इव्हीएमवर तुमची गाडी आली नाही. आता ती आणतो. 
 
 
लोक मला विचारतात, ईव्हीएम हॅकिंग शक्य आहे का? त्यावर तांत्रिक उत्तर न देता मी म्हणतो, Yes it MAY be but ONLY possible With certain circumstances. यातील कॅपिटलमध्ये लिहिलेले शब्द महत्त्वाचे आहेत. फक्त ‘Yes’ हा शब्द पुरेसा नाही. उत्तर प्रदेश निवडणुकीनंतर समस्त विरोधक ईव्हीएम हॅकिंगची राळ उडवताना अमेरिकेचा दाखला देत होते की, बघा अमेरिकेतसुद्धा ईव्हीएमबद्दल तक्रारी आहेत. मग आपण का त्या मान्य करत नाही की, ईव्हीएम हॅक होऊ शकते? अमेरिकेत प्रत्येक राज्याला आपापली मतदान प्रक्रिया निवडण्याचा अधिकार आहे. त्यात बॅलेट पेपरपासून तर पंच कार्ड, ऑप्टिकल स्कॅनिंग, DRE (Direct Recoeding Electronic Voting System) वापरतात तर काही PNDRE (Public Network DRE) वापरतात. यातील ‘PNDRE’ वगळता कुठलेच ईव्हीएम पब्लिक इंटरनेटशी जोडलेले नसतात. ‘PNDRE’ हे पब्लिक इंटरनेटशी जोडलेले असते आणि नियमितपणे व्होटिंग काऊंट सर्व्हरवर अपलोड करत असतात. या मशीन आपल्या संगणकासारख्या असतात, ज्याला स्वतःची ऑपरेटिंग सिस्टिम असते. त्यामुळे अशा मशीन हॅक करायला तुलनेने सोप्या असतात. जर्मनीतदेखील नेदाप कंपनीच्या ‘ESD1’ आणि ‘ESD2’ श्रेणीच्या मॉडेलला याच कारणामुळे विरोध झाला होता. आता भारतात आपण ज्या ईव्हीएम वापरतो त्या पूर्णपणे भारतीय बनावटीच्या आहेत. ECIL (Electronics Corporation Of India Limited) कडे याच्या देखभालीची जबाबदारी आहे. त्या शुजा नावाच्या हॅकरने तो ECIL माजी कर्मचारी असल्याचा दावा केला आहे. अर्थात, ECIL तो फेटाळून लावला आहे. आपल्या ईव्हीएम या पब्लिक नेटवर्कपासून पूर्णपणे अनभिज्ञ असतात, कारण त्या कुठल्याही प्रकारे कुठल्याच नेटवर्कशी (इंटरनेट, LAN, WAN, ब्ल्यूटूथ, USB) कनेक्ट नसतात. त्यामुळे ईव्हीएम मशीनला फिजिकली अ‍ॅक्सेस केल्याशिवाय त्यात कुठलाही फेरफार करणे शक्यच नाही. ईव्हीएमला स्वतःची कुठलीही ऑपरेटिंग सिस्टिम नाही. Embedded System mechanism नी ईव्हीएमला देण्यात येणाऱ्या आज्ञा (binary commands) या त्या ईव्हीएमच्या चिपवर हार्ड कोडेड आहेत. कुठलाही दुसरा इनपुट त्यांना दिला तर त्या मशीनला तो कळतच नाही. आता समजा ईव्हीएम फिजिकली अ‍ॅक्सेस केलं तरीही काय होईल? बॅलेट युनिट ताब्यात घेऊन ती उघडून त्यात जो बायनरी कोड आहे त्यात फेरफार केली तर? हे देखील शक्य नाही. कारण, तो executable format मध्ये असतो. म्हणजे काय, तर जो ओरिजनल सोर्स कोड आहे, त्याची चालणारी फाईल ज्यात फक्त ०,१ या बायनरी भाषेत आज्ञा असतात, ज्याला एडिट करता येत नाही. आता तुम्हाला त्यात फेरफार करायचे असतील तर तुम्हाला मूळ सोर्स कोड लागेल, जो सहसा ‘C’ किंवा ‘Python’ या संगणकीय भाषांमध्ये लिहितात तो लागेल, जो कदाचित ज्यांनी तो लिहिला, त्यांच्या कुठल्याशा सर्व्हरमध्ये असेल. म्हणजे, हॅकरला पहिले त्या सर्व्हरचा अ‍ॅक्सेस लागेल, मग मूळ सोर्स कोडमध्ये बदल जरी केले तरी ते Compile करून त्याची बायनरी फाईल बनवावी लागेल. मग ती फाईल ईव्हीएममध्ये टाकावी लागेल. ती टाकणार कशी? कारण, कुठलंच ते टाकायला कुठलचं माध्यम नाही, तर त्यांना ईव्हीएममध्ये जी चिप आहे ती कदाचित बदलावी लागेल आणि नवीन चिप बसवावी लागेल किंवा मग काहीतरी जादूटोणा चेटूक करून सध्या असलेल्या चिपवर नवीन बायनरी टाकावी लागेल!! आता समजा, हॅकरकडे तमराज किल्विशचा पापपुंज असेल (आता भारतीय ईव्हीएम म्हणून भारतीय व्हिलन) आणि त्याने चिपवर बदल केला तरी त्या ईव्हीएमच्या चिपवर एक Firmware असू शकतो, जो २०४८ bit encryption algorithm नी encrypted असेल (ज्याला हॅक करायला एखाद्या गणितज्ञ व्यक्तीलादेखील २५-३० वर्ष लागतील) त्याला हॅक करून हे जे हार्डवेअर टेम्परिंग त्याने केले आहे, ते रेकॉर्ड होऊ नये याची सोय करावी लागेल!! दमलात?? पण, वरील वाक्य परत एकदा वाचा!! भारतीय ईव्हीएम हेच तंत्रज्ञान वापरत असेल, असा माझा दावा नाही. पण, सांगायचा मुद्दा हा आहे की, चिप लेव्हलवर कुठलाही बदल हा प्रत्येक मशीन बुटींगआधी कुठलाही Firmware किंवा हार्डवेअर हे रेकॉर्ड करून ठेवते आणि ते कधीही ज्यांनी ती चिप प्रोग्राम केली त्यांना ती तपासता येते. आता बॅलेट युनिटला फिजिकली कसं अ‍ॅक्सेस कराल?? तिथे तर २४ तास केंद्रीय सुरक्षा दलाचा पहारा असतो. आता ते पहारेकरीदेखील भाजपचे एजंट आहेत हे लॉजिक देऊ नका. म्हणजे एकूण काय तर वरील सगळी परिस्थिती जुळून आली तरच कदाचित भारतीय ईव्हीएमला हॅक करायला हॅकर न थांबता बसले तर काही तीन-चार महिन्यांत ते हॅकदेखील करतील कोण जाणे!! तोपर्यंत निकाल लागून नवीन सरकार स्थापन होऊन मंत्रिमंडळ विस्तारदेखील होईल!! त्यामुळेच काही सेकंदांचा दावा तो हॅकर करतो, तेव्हा माझी प्रतिक्रिया अशीच असते, “भाई तुम कहा से आए हो यार? इस आकाशगंगा के तो नही लगते।”
 
 
 
- प्रसाद देशपांडे 

(लेखक सायबर आणि सिस्टिम सिक्युरिटी कन्सल्टंट आहेत.)

[email protected]

 
 

माहितीच्या महापुरात रोजच्या रोज नेमका मजकूर मिळविण्यासाठी लाईक करा... facebook.com/MahaMTB/

 
 
ईव्हीएम हॅकिंग लोकसभा निवडणुका शुजा हॅकर ईव्हीएम मशीन EVM hacking Loksabha elections Shuja Hacker EVM Machine
@@AUTHORINFO_V1@@