आपका पुराना राउटर बन रहा है इंटरनेट पर अपराध का नया अड्डा

राउटर हमारी डिजिटल ज़िंदगी के मुख्य दरवाज़े हैं। वे लैपटॉप, फोन, कैमरे, स्मार्ट टीवी, गेम कंसोल, बेबी मॉनिटर और अब इंटरनेट से जुड़े ढेरों घरेलू गैजेट्स को जोड़ते हैं। फिर भी, उन्हें वॉलपेपर की तरह नज़रअंदाज़ किया जाता है। एक बार वाई-फाई (Wi-Fi) चलने लगे, तो ज़्यादातर लोग दोबारा उसमें लॉग-इन नहीं करते। इसी आदत ने एक बहुत बड़ा और आसान निशाना बना दिया है। कई देशों की सुरक्षा एजेंसियां सालों से चेतावनी दे रही हैं कि पुराने और बिना पैच वाले राउटर को बॉटनेट (botnets) में शामिल किया जा रहा है, जासूसी के लिए इस्तेमाल किया जा रहा है, या ट्रैफिक को दूसरी तरफ मोड़ने और डेटा चुराने के लिए उनका गलत इस्तेमाल हो रहा है। अमेरिका में एफबीआई (FBI) ने बार-बार घरों और दफ्तरों के हैक हुए राउटर के बारे में चेतावनी दी है। ब्रिटेन के नेशनल साइबर सिक्योरिटी सेंटर ने भी ऐसा ही किया है। यह कोई छोटी-मोटी चिंता की बात नहीं है। यह एक जानी-मानी कमज़ोरी है जो सबकी नज़रों के सामने है।

इसके सबूत साफ हैं। 2018 में, वीपीएनफिल्टर (VPNFilter) मैलवेयर ने दुनिया भर में लाखों नेटवर्किंग डिवाइसों को संक्रमित किया था, जिनमें घरों और छोटे कारोबारों में इस्तेमाल होने वाले राउटर भी शामिल थे। सिस्को (Cisco) के शोधकर्ताओं ने इस अभियान को एक बड़े ऑपरेशन से जोड़ा था, और बाद में एफबीआई ने लोगों से प्रभावित डिवाइसों को रीबूट करने का आग्रह किया। रीबूट करना केवल एक अस्थायी समाधान था। इससे जो बड़ा सबक मिला, वह चौंकाने वाला था: रोज़मर्रा के इंटरनेट हार्डवेयर को बड़े पैमाने पर चुपचाप एक हथियार बना दिया गया था। उससे कई साल पहले, मिराई (Mirai) बॉटनेट ने दिखाया था कि जब असुरक्षित डिवाइसों को खुला छोड़ दिया जाता है तो क्या होता है। उसने 2016 में हैक किए गए डिवाइसों की एक बड़ी फौज बनाकर कई बड़ी ऑनलाइन सेवाओं को ठप कर दिया था। मिराई कैमरों और दूसरे गैजेट्स पर कमज़ोर डिफ़ॉल्ट पासवर्ड का दुरुपयोग करने के लिए मशहूर हुआ, लेकिन इसका बड़ा सबक आज भी कायम है। सस्ते, नज़रअंदाज़ किए गए इंटरनेट हार्डवेयर को हमले का ज़रिया बनाया जा सकता है।

तब से यह समस्या खत्म नहीं हुई है, बल्कि और बड़ी हो गई है। हमलावरों को हमेशा नए तरीकों की ज़रूरत नहीं होती। कभी-कभी वे डिफ़ॉल्ट लॉगिन जानकारी का इस्तेमाल करते हैं जिसे मालिकों ने कभी नहीं बदला। कभी-कभी वे पुराने फर्मवेयर में मौजूद उन कमियों का फायदा उठाते हैं जिन्हें कंपनियों ने बहुत पहले ही ठीक कर दिया था, यह मानकर कि कोई अपडेट इंस्टॉल करने की ज़हमत उठाएगा। और कभी-कभी तो कोई पैच होता ही नहीं है क्योंकि डिवाइस का सपोर्ट खत्म हो चुका होता है और कंपनी ने उसे बेसहारा छोड़ दिया होता है। यूके के उपभोक्ता समूह 'व्हिच?' (Which?) और इंटरनेट सोसाइटी, दोनों ने एक बुनियादी लेकिन परेशान करने वाली सच्चाई पर प्रकाश डाला है: कई डिवाइस कमज़ोर सपोर्ट के वादों, अपडेट की अस्पष्ट समय-सीमा या ऐसे सुरक्षा फीचर के साथ बेचे जाते हैं, जिनका इस्तेमाल आम खरीदारों को कभी सिखाया ही नहीं जाता।

यहीं पर बाज़ार बुरी तरह फेल हुआ है। उपभोक्ताओं से कहा जाता है कि वे ऑनलाइन ज़्यादा ज़िम्मेदार बनें, लेकिन उन्हें ऐसे प्रोडक्ट बेचे जाते हैं जो ज़िम्मेदारी को मुश्किल बना देते हैं। राउटर की सेटिंग्स अक्सर अटपटे इंटरफेस के पीछे छिपी होती हैं। सुरक्षा अपडेट के लिए उन्हें खुद इंस्टॉल करना पड़ सकता है। सपोर्ट पेज ढूंढना मुश्किल होता है। सपोर्ट खत्म होने की सूचनाएं साफ नहीं होतीं। कुछ इंटरनेट प्रोवाइडर ऐसे हार्डवेयर देते हैं जिन्हें ग्राहक मुश्किल से समझते हैं और आसानी से बदल भी नहीं सकते। यह सामान्य अर्थों में यूज़र की गलती नहीं है। यह इंडस्ट्री का डिज़ाइन है। यह सिस्टम मानकर चलता है कि लोग लापरवाही करेंगे और फिर जब अपराधी इसका फायदा उठाते हैं तो हैरानी जताई जाती है।

छोटे कारोबार विशेष रूप से खतरे में हैं। वे अक्सर घरेलू इस्तेमाल वाले या पुराने नेटवर्किंग उपकरणों पर चलते हैं क्योंकि वे सस्ते और जाने-पहचाने होते हैं। हो सकता है कि उनके पास कोई खास आईटी स्टाफ न हो। वे सालों तक एक ही राउटर का इस्तेमाल कर सकते हैं, जबकि उसके पीछे पेरोल रिकॉर्ड, ग्राहकों का डेटा और पेमेंट की जानकारी जमा होती है। जब वह डिवाइस हैक हो जाता है, तो नुकसान चुपचाप फैल सकता है। अपराधी ट्रैफिक की निगरानी कर सकते हैं, मैलवेयर डाल सकते हैं, डिवाइस को बॉटनेट में शामिल कर सकते हैं, या इसे ज़्यादा कीमती सिस्टम में घुसने के लिए एक ज़रिया बना सकते हैं। अमेरिकी साइबर सुरक्षा और इन्फ्रास्ट्रक्चर सुरक्षा एजेंसी (CISA) ने बार-बार चेतावनी दी है कि राउटर और फ़ायरवॉल जैसे एज डिवाइस आकर्षक लक्ष्य हैं क्योंकि वे नेटवर्क की सीमा पर होते हैं और अक्सर उनकी ठीक से निगरानी नहीं होती।

इसका एक राष्ट्रीय सुरक्षा पहलू भी है जिस पर ज़्यादा ध्यान देने की ज़रूरत है। सरकारों से जुड़े ग्रुप सिर्फ बड़ी रक्षा कंपनियों या खुफिया एजेंसियों का पीछा नहीं करते। वे अक्सर आम इंटरनेट से जुड़े हार्डवेयर का फायदा उठाते हैं क्योंकि यह आसान और बड़े पैमाने पर किया जा सकता है। हाल के वर्षों में, पश्चिमी सरकारों ने जासूसी समूहों के बारे में संयुक्त सलाह जारी की है जो बड़ी कंपनियों द्वारा बनाए गए राउटर, फ़ायरवॉल और वीपीएन उपकरणों को निशाना बना रहे हैं। इसका मतलब यह नहीं है कि हर पुराने राउटर पर सरकार नज़र रख रही है। ऐसा दावा करना गलत होगा। मुद्दा यह है कि इन डिवाइसों को रणनीतिक लक्ष्य माना जाता है क्योंकि इन्हें हैक करने से चुपके से काम करने, टिके रहने और पहुंच बनाने का मौका मिलता है। यह उन सभी के लिए चिंता की बात होनी चाहिए जो सोचते हैं कि केवल बड़ी संस्थाएं ही मायने रखती हैं।

इसका असर सबसे पहले आम लोगों पर पड़ता है। एक हैक किया हुआ राउटर कनेक्शन को धीमा कर सकता है, खतरनाक डीएनएस बदलावों के ज़रिए यूज़र्स को नकली वेबसाइटों पर भेज सकता है, ब्राउज़िंग ट्रैफिक को उजागर कर सकता है, या स्मार्ट होम डिवाइसों को दुरुपयोग के लिए खुला छोड़ सकता है। एक परिवार के घर में, इसका मतलब यह हो सकता है कि बच्चों के डिवाइस, काम के लैपटॉप और निजी बातचीत, सभी एक ही ज़हरीले गेटवे का इस्तेमाल कर रहे हैं। किसी क्लिनिक, दुकान या स्थानीय दफ्तर में इसका मतलब कारोबार में रुकावट और महंगा सुधार हो सकता है। साइबर सुरक्षा को अक्सर क्लाउड में लड़ी जाने वाली एक काल्पनिक जंग के रूप में बेचा जाता है। असल में, यह टीवी के बगल में रखे एक पुराने प्लास्टिक के डिब्बे से शुरू हो सकती है।

इसके समाधान हैं, और वे कोई रहस्य नहीं हैं। पहला बहुत सरल है: पुराने राउटर को खराब होने के बाद नहीं, बल्कि उससे पहले बदल दें। यदि किसी डिवाइस को अब सुरक्षा अपडेट नहीं मिल रहे हैं, तो उसे एक असुरक्षित इंटरनेट उपकरण माना जाना चाहिए, न कि कोई सस्ती चीज़। खरीदारों को उन कंपनियों को प्राथमिकता देनी चाहिए जो अपडेट नीतियों को स्पष्ट रूप से बताती हैं। दूसरा, डिफ़ॉल्ट एडमिनिस्ट्रेटर पासवर्ड बदलें और रिमोट मैनेजमेंट को तब तक बंद रखें जब तक कि उसकी सच में ज़रूरत न हो। तीसरा, फर्मवेयर अपडेट तुरंत इंस्टॉल करें, चाहे डिवाइस दुकान से खरीदा गया हो या इंटरनेट सर्विस प्रोवाइडर से मिला हो। CISA और NCSC जैसी एजेंसियां इस्तेमाल न होने वाले फीचर को बंद करने, मज़बूत वाई-फाई एन्क्रिप्शन का उपयोग करने और किसी सक्रिय खतरे की स्थिति में डिवाइस को रीस्टार्ट करने की भी सलाह देती हैं, हालांकि अगर मूल कमज़ोरी बनी रहती है तो केवल रीस्टार्ट करना कभी भी पर्याप्त नहीं होता।

लेकिन सिर्फ व्यक्तिगत कार्रवाई काफी नहीं है। नियामकों और निर्माताओं को यह ढोंग करना बंद करना होगा कि सुरक्षा कोई वैकल्पिक प्रीमियम फ़ीचर है। कुछ प्रगति आखिरकार दिखाई दे रही है। यूके का प्रोडक्ट सिक्योरिटी एंड टेलीकम्युनिकेशंस इन्फ्रास्ट्रक्चर एक्ट असुरक्षित डिफ़ॉल्ट पासवर्ड और कनेक्टेड प्रोडक्ट्स में अन्य बुनियादी विफलताओं को निशाना बनाता है। यूरोपीय संघ के साइबर रेजिलिएंस एक्ट का उद्देश्य निर्माताओं पर सुरक्षा दायित्वों को डालना है। ये कदम मायने रखते हैं क्योंकि मौजूदा मॉडल उल्टा है। उपभोक्ताओं को बुनियादी इंटरनेट उपकरण सुरक्षित रूप से रखने के लिए विशेषज्ञ स्तर की सतर्कता की ज़रूरत नहीं होनी चाहिए।

साइबर सुरक्षा की पुरानी कहानी कहती है कि खतरा एक लापरवाही भरे क्लिक से आता है। कभी-कभी ऐसा होता भी है। लेकिन ज़्यादा असहज करने वाली सच्चाई यह है कि जोखिम अक्सर उन डिवाइसों में ही छिपा होता है जिन पर लोगों को भरोसा करने और फिर भूल जाने के लिए कहा जाता है। कोने में पड़ा राउटर अब कोई उबाऊ उपकरण नहीं रहा। यह एक जंग का मैदान है। और हर साल जब तक हम इसे एक सुरक्षा उपकरण के बजाय घरेलू उपकरण मानते रहेंगे, हम अपराधियों को एक और आसान जीत देते रहेंगे।