‘पेगॅसस’प्रकरणी सर्व तपशील यथावकाश समोर येतीलच; पण प्रत्यक्ष हेरगिरीहून निराळे, तरीही गोपनीयतेसारख्या संवेदनशील विषयाच्या अयोग्य हाताळणीचे गंभीर परिणाम दाखवून देणारे प्रकरण दशकभरापूर्वी अमेरिकेत घडले, त्याविषयी…

या वेळच्या संसदीय अधिवेशनात इस्रााएलस्थित ‘एनएसओ ग्रुप’नामक कंपनीने निर्मिलेल्या ‘पेगॅसस सॉफ्टवेअर’ या प्रणालीद्वारे होत असलेल्या कथित हेरगिरीचे प्रकरण गाजतेय. वरकरणी सामान्य भासणाऱ्या एखाद्या ई-मेल किंवा एसएमएसच्या मदतीने हे सॉफ्टवेअर आपल्या निशाणावर असलेल्या व्यक्तीच्या मोबाइल अथवा संगणकात कसे लीलया घुसवता येते, त्या उपकरणाद्वारे आदानप्रदान होत असलेल्या माहितीवर कसा कब्जा मिळवता येतो, ‘एन्क्रिप्शन’सारख्या विदासुरक्षेत महत्त्वाची भूमिका बजावणाऱ्या तंत्रालादेखील हे सॉफ्टवेअर कसे भीक घालत नाही आणि या सॉफ्टवेअरच्या मदतीने आपल्या लक्ष्याच्या हालचालींचे अखंड निरीक्षण कसे करता येते, वगैरे तपशील यथावकाश समोर येतील. त्याचबरोबर ‘द गार्डियन’ दैनिकाने म्हटल्यानुसार, या सॉफ्टवेअरची खरेदी भारत सरकारने खरेच केली होती का व असल्यास तिच्यामागचा मूळ उद्देश काय होता, तेसुद्धा पुढेमागे समजेलच.

पण या साऱ्यात विचारात घेण्यासारखा मुद्दा हा आहे की, नागरिकांच्या दैनंदिन कृत्यांवर (विशेषत: सरकारकडून) पाळत ठेवली जाण्याची ही काही पहिलीच वेळ नाही. हेरगिरीची प्रकरणे पूर्वापार चालत आलेली आहेत. डिजिटल युगाच्या उदयाआधी सरसकट सर्व नागरिकांवर पाळत ठेवणे हे कायदा-सुव्यवस्था यंत्रणेसाठी अशक्य कोटीतली गोष्ट होती. कारण त्यासाठी प्रचंड मोठ्या प्रमाणावर मनुष्यबळाची आणि आर्थिक संसाधनांची गरज होती. तंत्रज्ञानाच्या प्रगतीमुळे ‘मास सर्व्हेलन्स’साठी होणारा प्रति माणशी खर्च आज नगण्य झाला असल्याने विविध देशांची सरकारे, राष्ट्रीय सुरक्षा, कायदा- सुव्यवस्था किंवा इतर लष्करी कारणांच्या आडून आपापल्या (व अनेक वेळेला इतर देशांच्याही) नागरिकांवर पाळत ठेवण्याचे उद्योग राजरोसपणे करत असतात. यात चीन, रशियासारखे एकाधिकारशाही असलेले देश आघाडीवर आहेतच; पण अमेरिका, इंग्लंड, ऑस्ट्रेलियासारखे लोकशाहीवादी देशही यात जराही मागे नाहीत. ‘विकिलिक्स’ किंवा ‘स्नोडेन फाइल्स’सारख्या दस्तावेजांतून ही प्रकरणे बाहेर आलेली आपण पाहिलीच आहेत.

या लेखात वर्णिलेले प्रकरण मात्र वरील प्रत्यक्ष हेरगिरीच्या प्रकरणांहून वेगळे आहे. खरे तर हे हेरगिरीचे किंवा गोपनीयता हक्काच्या उल्लंघनाचे प्रकरण नाहीच आहे. गोपनीयतेसारखा संवेदनशील विषय कसा हाताळू नये आणि अशा अयोग्य हाताळणीचे किती गंभीर परिणाम होऊ शकतात, याची अत्यंत गाजलेली ‘केस स्टडी’ अशीच या प्रकरणाची दखल घ्यावी लागेल.

अमेरिकेच्या कनेक्टिकट राज्यात राहत असलेल्या ट्रेव्हर एक्हार्ट नावाच्या संगणक अभियंत्याने नोव्हेंबर २०११ मध्ये एचटीसी कंपनीचा नवा अँड्रॉइड स्मार्टफोन विकत घेतला होता. संगणक तंत्रज्ञानाची उत्तम समज असणारा एक्हार्ट हा काही त्या फोनचा निव्वळ एक सामान्य वापरकर्ता नव्हता. फोन विकत घेतल्यावर लगेचच त्याने त्या फोनच्या अंतरंगात डोकावायला सुरुवात केली. त्याच्याजवळ उपलब्ध सॉफ्टवेअर संसाधनांच्या मदतीने फोनमध्ये असलेल्या विविध फाइल्सचे विश्लेषण करत असताना त्याला ‘कॅरियर आयक्यू’ नावाची एक फाइल आढळली. वरकरणी सरळसाध्या भासणाऱ्या या फाइलमध्ये एक्हार्टला दोन संशयास्पद गोष्टी आढळल्या, ज्यामुळे त्याने तिचे सखोल विश्लेषण करण्यास सुरुवात केली. त्या दोन गोष्टी अशा :

(१) ती फाइल लपलेल्या (हिडन) स्वरूपात फोनवर साठवली गेली होती. त्यामुळे सामान्य वापरकर्त्यांना ती फोनवर दिसण्याचा प्रश्नच उद्भवत नव्हता.

(२) कितीही प्रयत्न केला तरीही ती फाइल एक्हार्टला फोनवरून हटवता (डिलिट) येत नव्हती.

वरील कारणांमुळे एक्हार्टचा संशय बळावला व ही फाइल फोनवर असण्याचा नेमका हेतू काय असावा, हे शोधण्याचा त्याने चंग बांधला. अधिक खोलवर शोध घेतल्यावर त्याला फोनवर ‘एचटीसी आयक्यू एजंट’ नावाचे सॉफ्टवेअर सापडले, जे या फाइलमध्ये अखंडपणे काही विदा साठवत होते. हे सॉफ्टवेअरदेखील अदृश्य स्वरूपातच वापरकत्र्याच्या दृष्टिआड आपले काम करत होते आणि त्या फाइलप्रमाणेच एक्हार्टला हे सॉफ्टवेअरही फोनवरून हटवता येत नव्हते किंवा त्याचे कार्य तात्पुरत्या स्वरूपात थांबवताही येत नव्हते.

एक्हार्ट हाडाचा संगणक अभियंता होता. जोवर हे सॉफ्टवेअर आणि त्याच्याशी निगडित असलेल्या फाइलचा उद्देश ध्यानी येत नाही, तोवर त्याला चैन पडणे शक्य नव्हते. ‘एचटीसी आयक्यू एजंट’ सॉफ्टवेअरच्या क्रियाकलापांचा आढावा घेत असताना एक्हार्टला हे ध्यानात आले की, वापरकर्ता फोनवर जी कळ किंवा बटन दाबतोय त्या प्रत्येकाची नोंद हे सॉफ्टवेअर ‘कॅरियर आयक्यू’ या फाइलमध्ये करत आहे. थोडक्यात, वापरकत्र्याच्या प्रत्येक ‘की-स्ट्रोक’ची तपशीलवार नोंद या फाइलमध्ये होत होती. एवढेच नाही, तर ठरावीक कालावधीनंतर ही माहिती त्या फोनच्या उत्पादकाकडे आणि सेल्युलर सेवापुरवठादाराकडे पोहोचवली जात होती.

वापरकत्र्याच्या गोपनीयता हक्काचे हे उघड उल्लंघन होते. विचार करा, फोनवरून काही आर्थिक व्यवहार करण्यासाठी आपल्याला बँकेचे ई-खाते उघडायचे असले, तर त्यासाठी आपल्याला काही गोपनीय माहिती (उदा. खाते क्रमांक, ‘नेट बँकिंग’ पासवर्ड वगैरे) बँकेच्या संस्थळावर किंवा अ‍ॅपवर फोनवरून टाइप करून द्यावी लागते. ई-मेल वाचायचे असतील किंवा समाजमाध्यमी व्यासपीठाला भेट द्यायची असेल, तरीही त्या संदर्भातील काही गोपनीय माहिती त्या-त्या संस्थळाला पुरवावी लागते. आता ते संस्थळ किंवा अ‍ॅप आपण दिलेल्या गोपनीय माहितीला पुढे ‘एन्क्रिप्ट’ जरी करत असेल, तरीही आपण टाइप करतेवेळी ती एन्क्रिप्ट केलेल्या स्वरूपात नसते.

एक्हार्टला हे प्रकर्षाने जाणवले की, अशी जर आपल्या हातून फोनवर ‘टाइप’ झालेल्या प्रत्येक गोपनीय माहितीची नोंद त्या फाइलमध्ये जशीच्या तशी होत असेल, तर विदासुरक्षेच्या दृष्टीने हे मोठे आव्हान आहेच, पण त्याचबरोबर या माहितीचा दुरुपयोग होऊन वापरकत्र्याला आर्थिक नुकसान सहन करावे लागण्याचीही शक्यता नक्कीच नाकारता येणार नव्हती. एक्हार्टच्या मताप्रमाणे त्याहूनही गंभीर गोष्ट म्हणजे, वापरकत्र्याच्या गोपनीय माहितीची ही कथित अफरातफर त्याच्या संपूर्ण अनभिज्ञतेत सुरू होती. म्हणूनच हा सर्व प्रकार लवकरात लवकर जगासमोर आणण्यासाठी एक्हार्टने झटपट पावले उचलायला सुरुवात केली.

एक्हार्टला हे समजले की, ‘कॅरियर आयक्यू’ हेच नाव असलेल्या कंपनीकडून या फाइल व सॉफ्टवेअरची निर्मिती होत होती, जिच्या विविध स्मार्टफोन उत्पादक कंपन्या ग्राहक होत्या. या कंपन्याच पुढे त्यांच्या फोनवर सॉफ्टवेअर व फाइल अधिष्ठापित (इन्स्टॉल) करत होत्या.

त्याला लागलेला हा शोध सप्रमाण सिद्ध करण्यासाठी एक्हार्टने मग ‘कॅरियर आयक्यू’च्या संस्थळावरील माहितीआधारे १२ नोव्हेंबर २०११ रोजी स्वत:च्याच ‘अँड्रॉइडसेक्युरिटीटेस्ट.कॉम’ या संस्थळावर एक दीर्घ ब्लॉग लिहिला व लगेचच आठवड्याभरात यूट्यूबवर हीच माहिती दृक्मुद्रित स्वरूपात सादर केली. वापरकत्र्याने आपल्या स्मार्टफोनवर केलेली कोणतीही क्रिया व टाइप केलेले अक्षर अन् अक्षर ‘कॅरियर आयक्यू’चे सॉफ्टवेअर सेल्युलर सेवापुरवठादार व फोनच्या उत्पादकाकडे कसे हस्तांतरित करते, हे एक्हार्टने यात प्रात्यक्षिकासह दाखवून दिले होते.

एक्हार्ट एवढ्यावरच थांबला नाही. एचटीसीप्रमाणेच इतर कोणत्या कंपन्यांच्या स्मार्टफोनवर ‘कॅरियर आयक्यू’चे सॉफ्टवेअर वरील कारणांसाठी वापरले गेले आहे, याचा शोध घ्यायला त्याने सुरुवात केली. त्याला असे आढळले की, केवळ एचटीसीच नव्हे, तर एटीअ‍ॅण्डटी, सॅमसंग, टी-मोबाइल या कंपन्यांच्या स्मार्टफोनवर आणि अ‍ॅपलच्या आयफोनवरही ‘कॅरियर आयक्यू’चे सॉफ्टवेअर वापरले जात आहे. नोव्हेंबर २०११ मध्ये अमेरिकेतील तब्बल १५ कोटी स्मार्टफोन्सवर हे सॉफ्टवेअर अधिष्ठापित झाले होते आणि वापरकर्त्यांना त्याचा थांगपत्ताही नव्हता.

एक्हार्टने या बाबीदेखील विस्तृतपणे जगासमोर मांडल्या. साहजिकच, त्याच्या ब्लॉग आणि यूट्यूब व्हिडीओ मालिकेचा अपेक्षित परिणाम झाला. अमेरिकेतील वापरकर्त्यांकडून ‘कॅरियर आयक्यू’च्या विरोधात निषेधाचे सूर उमटू लागले आणि या विवादास्पद सॉफ्टवेअरवर बंदी आणायला हवी असा दबाव फोन उत्पादक कंपन्या, सेल्युलर सेवापुरवठादार आणि या सर्व घटकांचे नियंत्रक असलेल्या अमेरिकेच्या दूरसंचार आयोगावर (फेडरल कम्युनिकेशन्स कमिशन किंवा एफसीसी) वाढू लागला.

वापरकर्त्यांच्या ‘की-स्ट्रोक’ची माहिती गोळा करण्यामागे आणि ती परस्पर सेल्युलर सेवा पुरवठादाराकडे पोहोचवण्यामागे एक्हार्टला वाटले तसा खरोखरच विदाचौर्याचा काही प्रकार होता का; ‘कॅरियर आयक्यू’ने हा संवेदनशील विषय परिपक्वतेने हाताळला का आणि एक्हार्टने सुरू केलेल्या या लढ्याचे पर्यवसान कशात झाले, हे पुढील लेखात पाहू.

लेखक माहिती व तंत्रज्ञान क्षेत्रातील ओपन सोर्स, विदासुरक्षा व गोपनीयता तसेच डिजिटल परिवर्तन या विषयांचे अभ्यासक आहेत.

amrutaunshu@gmail.com