साइबर सुरक्षा सम्मेलन ‘थ्रेटकन २०१८\' सम्पन्न, ह्याकरहरुले दिए सेक्युरिटी सोलुसन

नेपालमै पहिलोपटक आयोजना गरिएको दुई दिने अन्तर्राष्ट्रिय साइबर सुरक्षा सम्मेलन ‘थ्रेटकन २०१८ (Threat Con 2018)’ सम्पन्न भएको छ । काठमाडौंको होटल अन्नपूर्णमा आयोजित यो सम्मेलन विश्वमै प्रसिद्ध ‘ब्ल्याक ह्याट र डीईएफ कन’को नेपालको समकालीन सम्मेलनको रुपमा सञ्चालान भएको हो ।

सूचना र सञ्चार प्रविधि समाज, नेपाल (एसआईसीटी नेपाल) र थे्रट निक्सको संयुक्त आयोजनामा भएको सम्मेलनमा क्यान महासंघ, इन्टरनेट सोसाइटी नेपाल च्याप्टर, एनपिक्स लगायत संस्थाको सहकार्य रहेको थियो । दोस्रो दिन शुक्रबार समानान्तर रुपमा दुई हलमा विभिन्न कार्यक्रम गरियो । जसमध्य एक हलमा मुख्य कार्यक्रम जँहा वक्ताहरुले आ-आफ्नो प्रस्तुति दिनुभयो भने अर्को हलमा बग बाउन्टि, क्यापचर द फ्ल्याग, आर्सनल लगायतका कार्यक्रमहरु सञ्चालन भए ।

बग बाउन्टि र क्यापचर द फ्ल्यागमा प्रतिस्पर्धिहरुको उल्लेख्य सहभागिता रहेको थियो, प्रतिस्पर्धिहरुलाई क्रिप्टोग्राफ, मोबाइल एप, नेटवर्क, ओसिन्ट, रिभर्सिङ, ट्रिभिया, वेभ लगायतका विधामा १७ वटा चुनौतिहरु दिईएको थियो । विभिन्न ८ समूहले ति चुनौतिहरुको समाधान निकालेका थिए ।

प्रस्तुतिको सुरुवात म्याट सुइच ( Matt Suiche) बाट कम्युनिटि बनाउने विषयमा भयो, जहाँ विगत ३० वर्षमा विश्वभरि कसरी कम्युनिटिहरु बन्दै गए भन्नेमा समिक्षा गरियो र आन्तरिक र वाह्रय विकासको लागि साइबर कम्युनिटिहरुले कसरी प्रभाव पारिरहेका छन् भन्नेमा चर्चा भयो । स-साना अनलाइन र अफलाइन साइबर कम्युनिटिले के-कस्ता राम्रा कुरा ल्याइराखेका छन् र नयाँ व्यक्तिहरुलाई यस क्षेत्रमा भित्र्याउन कसरी मद्दत गरिराखेका छन् भन्ने विषयमा छलफल भयो ।

यसैगरी जिम म्यानिको (Jim Manico) ले SQL injection, HQL injection, XSS लगायत आक्रमणहरुको थुप्रै उदाहरण प्रस्तुत गर्नुभयो र त्यसबाट बच्न के कस्ता उपायहरु छन् भन्रे बारेमा सुझाव दिनुभयो । सेक्युरिटि आवश्यकताको परिभाषा दिने, सेक्युरिटि फ्रेमवर्क र लाइब्रेरिहरुको प्रयोग, डाटाबेसको पहुँच, डाटालाइ इनकोड गर्ने, युजरले दिएका इनपुटहरुको प्रमाणिकरण गर्ने, डिजिटल परिचय लागु गर्ने, पहुँच नियन्त्रणहरू सक्षम गर्ने, सबै ठाउँमा डाटा सुरक्षित गर्ने, सुरक्षा लगिङ र निगरानी कार्यान्वयन गर्ने र सबै त्रुटि र अपवादहरू ह्यान्डल गर्ने विषयमा डेभलपरहरुले ध्यान दिनुपर्छ भन्नेमा उहाँको जोड थियो ।

हामिले आउट सोर्स गरेका सफ्टवेयरमा कसरि सेक्युरिटिको कुरालाई हेर्न सक्छौ भन्ने दर्शकको प्रश्नमा कन्ट्रयाक्ट गर्ने बेलामा नै आफुलाइ चाहियको कुरा खुलस्त पार्न र किन्ने बेलामा सर्भिस लेबल एग्रिमेन्टमा कस्तो सुविधा लिने भन्ने कुरा खुलाउन पर्छ भनेर सुझाव दिनुभयो ।

एलेक्स " जय " वालन (Alex ‘Jay’ Balan) ले एडिम्याक्सको स्मार्ट ल्याम्पलाइ ह्याक गरेर देखाउनु भयो र आफुले कनेक्टेड कार भाडामा लिएको बखत आइओटि ( IoT) मा जोडिसके पश्चात सिस्टमको खराबिले गर्दा ७ महिना सम्म अरु कसैले चलाइराखेको कारको कन्ट्रोल आफ्नै हातमा रहेको बताउनु भयो ।

IoT डिभाइस हरु कम्प्युटर ह्याक गर्न भन्दा सजिलो छ र यसलाइ रोक्न समेत उत्तिकै कठिन छ भन्ने प्रस्ट पार्नु भयो । IoT का समस्याहरुमा साधारण र डिफल्ट गोप्यशब्दहरु, कमजोर एन्क्रिप्शन, कमान्ड इनजेक्सन, पुराना सर्भरहरु, खराब फर्मवेयर आदिलाई औंल्याउनु भयो ।

भ्लादमिर द्यास्चेन्को (Vladimir Daschenko) र सर्जे टेम्निकोभ (Sergey Temnikov) को समुहले लाइसेन्स म्यानेजरको कुराहरु राख्नु भयो जहाँ उहाँको समुहले गरेको रिसर्चबाट ठुला ठुला सेवा प्रदायक हरुले प्रदान गर्ने सिस्टमको कमजोरि हरु उजागर गर्नुभयो । उहाँले जेमाल्टो लाइसेन्स म्यानेजर (Gemalto License Manager) र फ्लेक्सनेट लाइसेन्स म्यानेजर (Flexnet License Manager) को बारेमा विस्तृत जानकारि दिनुभयो र ति License Manager ले गर्दा पारेको प्रभावहरु जस्तै रिमोट कोड एक्ज्युकेसन (Remote Code Execution) को डेमो दिनुभयो ।

रोहित तम्मा (Rohit Tamma) र सुक्रिति शर्मा (Sukriti Sharma) को समुहबाट आफ्नो संस्थाको क्लाउड सुरक्षा कसरि व्यवस्थापन गर्ने र आफ्ना रिसोर्सहरु क्लाउडमा लैजाँदा के कस्ता चुनौतिहरु आइपर्छन् र ति चुनौतिहरुलाई कसरि समाधान गर्ने भन्दै प्रमुख ५ समस्याहरुको बारेमा विस्तृतरुपमा छलफल गरियो ।

“नेपालको साइबर सुरक्षाको अवस्था र रणनितिहरु” विषयक प्यानल डिस्कसनमा नेपाल प्रहरीका नबिन्द्र अर्याल, ब्यांकर एशोसिएसन नेपालका सुजित श्रेष्ठ, नेपाल टेलिकमका डेपुटि म्यानेजर अफ आई.एस.एस.डि विमलेश झा, एमिनेन्स वेजका नारायण कोइराला प्यानलिस्टको रुपमा रहनुभएको थियो भने सचिन ठकुरीले मोडेरेट गर्नुभएको थियो । यस सत्रमा नेपालमा भएका थुप्रै प्रमुख साइबर संसारका घटनाक्रम हरुलाई केलाएर हेरियो । साथै नेपाल पुलिस लगायतका नियमन गर्ने संस्थाले त्यस्ता घटनाको न्युनिकरणको निम्ति कसरि काम गरिराखेका छन् भन्ने कुरा खुलस्त पारियो ।

साइबर सुरक्षाको निमित्त सरकारले गरेका कार्यहरुको विषयमा अर्को प्यानल डिस्कसनमा सञ्चार तथा सुचना प्रविधि मन्त्रालयका सह-सचिव विरेन्द्रकुमार मिश्र , नेपाल दुरसञ्चार प्राधिकरणका निर्देशक मिनप्रसाद अर्याल , सुचना प्रविधि विभागका महानिर्देशक लक्ष्मिप्रसाद यादव , एनपिसर्टका सदस्य प्रमोद पराजुली प्यानलिस्टको रुपमा रहनुभएको थियो भने सुवास खड्काले मोडेरेट गर्नुभएको थियो ।

नेपालमा साइबर सेक्युरिटीको विषयमा तालिम, विश्लेषण एवं सचेतनामूलक कार्यक्रमहरु नभएको साथै साइबर चुनौती बढ्दै गइरहेको वर्तमान अवस्थामा अन्तर्राष्टिय अभ्यास के कस्तो रहेको छ भन्ने बारे जानकारी प्रदान गर्न र नेपालमा साइबर अपराधको जोखिम न्यूनिकरण गर्न यो कार्यक्रमले महत्वपूर्ण भूमिका खेल्ने आयोजक संस्था एसआइसिटी नेपालका उपाध्यक्ष बिशाल महतले बताउनुभयो ।