पैगासस विवाद ए टू जेड: सबूत छोड़िए,आरोप भी कन्फर्म नहीं

सॉफ्टवेयर पेगासस से भारत में 300 लोगों की जासूसी; जानिए कब, कैसे और क्या हुआ, किसने खोजा और इसमें कितना सच है?

रवींद्र भजनी

खोजी पत्रकारों के अंतरराष्ट्रीय ग्रुप का दावा है कि दुनियाभर में इजराइली कंपनी एनएसओ (NSO) के जासूसी सॉफ्टवेयर पेगासस से 10 देशों में 50 हजार लोगों की जासूसी हुई। भारत में भी अब तक 300 नाम सामने आए हैं, जिनके फोन की निगरानी की गई। इनमें सरकार में शामिल मंत्री, विपक्ष के नेता, पत्रकार, वकील, जज, कारोबारी, अफसर, वैज्ञानिक और एक्टिविस्ट शामिल हैं।

इस अंतरराष्ट्रीय ग्रुप में भारत का मीडिया हाउस द वायर भी शामिल था, जो जासूसी में टारगेट बने भारतीयों के नाम सामने लाया है। अब तक 38 पत्रकार, 3 प्रमुख विपक्षी नेता, 2 मंत्री और एक जज का नाम सामने आया है। द वायर के संपादक सिद्धार्थ वरदराजन का कहना है कि NSO अपने प्रोडक्ट पेगासस का लाइसेंस सिर्फ सरकारों को देता है। भारत सरकार का कहना है कि उसने पेगासस का इस्तेमाल नहीं किया। अगर उसने नहीं किया तो किसने भारतीय पत्रकारों, जजों, नेताओं और अफसरों की जासूसी कराई? प्रधानमंत्री नरेंद्र मोदी को इसकी जांच करानी चाहिए।

आइए समझते हैं कि यह मामला क्या है, जिसने देश की राजनीति में भूचाल ला दिया है?

पेगासस प्रोजेक्ट क्या है?

 

पेगासस प्रोजेक्ट दुनियाभर के 17 मीडिया संस्थानों के जर्नलिस्ट का एक ग्रुप है, जो एनएसओ (NSO) ग्रुप और उसके सरकारी ग्राहकों की जांच कर रहा है। इजराइल की कंपनी NSO सरकारों को सर्विलांस टेक्नोलॉजी बेचती है। इसका प्रमुख प्रोडक्ट है- पेगासस, जो एक जासूसी सॉफ्टवेयर या स्पायवेयर है।
पेगासस आईफोन और एंड्रॉयड डिवाइस को टारगेट करता है। पेगासस इंस्टॉल होने पर उसका ऑपरेटर फोन से चैट, फोटो, ईमेल और लोकेशन डेटा ले सकता है। यूजर को पता भी नहीं चलता और पेगासस फोन का माइक्रोफोन और कैमरा एक्टिव कर देता है।

पेगासस प्रोजेक्ट को NSO का डेटा कहां से मिला?

पेरिस के नॉन-प्रॉफिट जर्नलिज्म ऑर्गेनाइजेशन फॉरबिडन स्टोरीज और एमनेस्टी इंटरनेशनल के पास 2016 से NSO के ग्राहकों द्वारा टारगेट के रूप में चुने गए 50,000 से अधिक फोन नंबरों की जानकारी पहुंची थी। कब और कैसे, इसकी कोई जानकारी इन संगठनों ने नहीं दी है। तब उसने यह जानकारी गार्जियन, वॉशिंगटन पोस्ट समेत 17 न्यूज ऑर्गेनाइजेशन के साथ शेयर की। पिछले कुछ महीनों से इन मीडिया ऑर्गेनाइजेशन के 80 से अधिक पत्रकारों ने इस डेटा पर काम किया। इनके बीच कोऑर्डिनेशन का काम फॉरबिडन स्टोरीज का था।

जो डेटा लीक हुआ है, उसमें क्या है?

लीक हुआ डेटा 50,000 से अधिक फोन नंबरों की एक सूची है। यह नंबर उन लोगों के हैं, जिनकी 2016 के बाद से अब तक NSO के सरकारी ग्राहकों ने जासूसी कराई। इन्हें ही NSO ने पेगासस का सर्विलांस लाइसेंस बेचा था। डेटा में सिर्फ समय और तारीख है, जब इन नंबरों को निगरानी के लिए चुना गया या सिस्टम में दर्ज किया गया था।
डेटा के आधार पर कुछ नंबरों का सैम्पल निकालकर ग्रुप के पत्रकारों ने टारगेट्स से मोबाइल फोन लिए। उनके हैंडसेट की फोरेंसिक जांच एमनेस्टी की सिक्योरिटी लैब से कराई, जो इस प्रोजेक्ट में टेक्निकल पार्टनर बना।
जो नंबर सामने आए, क्या उनकी जासूसी हुई?

पता नहीं। पत्रकारों के कंसोर्टियम का कहना है कि लीक हुआ डेटा सर्विलांस के लिए पहचाने गए टारगेट्स बताता है। इससे सिर्फ इतना पता चलता है कि इन लोगों के फोन को इन्फेक्ट करने को कहा गया था। दावे के साथ नहीं कहा जा सकता कि पेगासस जैसे स्पायवेयर ने इन मोबाइल नंबरों की जासूसी की कोशिश की है या नहीं। जासूसी हो सकी या नहीं, यह भी इस डेटा से पता नहीं चलता।
जो डेटा मिला है, उसमें कुछ लैंडलाइन नंबर भी हैं। इस पर NSO का कहना है कि इनकी निगरानी टेक्निकली असंभव है। पर कंसोर्टियम का दावा है कि यह नंबर टारगेट्स में शामिल थे, भले ही पेगासस से इन पर हमला हुआ हो या नहीं।
हालांकि, सूची में जो नंबर शामिल हैं, उनके मोबाइल फोन के छोटे सैम्पल की फोरेंसिक जांच हुई है। इसमें लीक हुए डेटा में पेगासस की एक्टिविटी शुरू होने का जो वक्त और तारीख लिखी थी, उसके अनुसार ही एक्टिविटी देखने को मिली है। इससे यह नहीं कह सकते कि इन फोन की जासूसी हुई भी या नहीं। इतना जरूर कह सकते हैं कि इन नंबरों को अलग-अलग सरकारों ने जासूसी के लिए चुना था।

फोन के फोरेंसिक एनालिसिस से क्या पता चला?

एमनेस्टी इंटरनेशनल ने उन 67 स्मार्टफोन्स की जांच की, जिन पर पेगासस से हमले की आशंका थी। इनमें से 23 इन्फेक्ट हुए थे और 14 में पेगासस से हमले के लक्षण मिले। बचे हुए 30 फोन से कुछ पता नहीं चला। दरअसल, कुछ लोगों ने अपने हैंडसेट बदल दिए थे।
इंटरेस्टिंग यह है कि 15 फोन एंड्रॉयड डिवाइस थे, जिनमें से किसी में भी पेगासस के हमले की पुष्टि नहीं हुई। एक पहलू यह भी है कि आईफोन में यूजर लॉग बनता है और एंड्रॉयड के कुछ वर्जन में नहीं, इस वजह से कहना बड़ा मुश्किल है कि इनकी जासूसी हुई है या नहीं। तीन एंड्रॉयड फोन से संकेत जरूर मिले कि उन्हें टारगेट बनाने की कोशिश हुई थी। उन पर पेगासस से लिंक करने वाले SMS मैसेज मिले हैं।
एमनेस्टी ने चार आईफोन की “बैकअप कॉपी” सिटीजन लैब से शेयर की थी, जो टोरंटो यूनिवर्सिटी का रिसर्च ग्रुप है। इस ग्रुप को पेगासस की स्टडी करने में महारत हासिल है। इस ग्रुप ने इन आईफोन में पेगासस से जासूसी को कंफर्म किया है। सिटीजन लैब ने एमनेस्टी इंटरनेशनल के फोरेंसिक जांच के तरीकों और नतीजों को सही पाया।
क्या पेगासस से आप भी जासूसी करा सकते हैं?

नहीं। इजराइली कंपनी का कहना है कि उसके ग्राहक सिर्फ सरकारें हैं। और यह महंगा भी है। 40 देशों में इसके 60 ग्राहक हैं। मैक्सिको और पनामा की सरकारें ही खुलकर पेगासस का इस्तेमाल करती हैं। बाकी ने कभी इसकी पुष्टि नहीं की। कंपनी के 51% यूजर इंटेलिजेंस एजेंसियों, 38% कानून प्रवर्तन एजेंसियों और 11% सेना से संबंधित हैं।
पेगासस स्पायवेयर लाइसेंस के साथ बेचा जाता है। कीमत आपसी डील पर निर्भर करती है। एक लाइसेंस की कीमत 70 लाख रुपए तक हो सकती है। एक लाइसेंस से कई स्मार्टफोन ट्रैक हो सकते हैं। 2016 में पेगासस से 10 लोगों की जासूसी के लिए NSO ग्रुप ने 9 करोड़ रुपए लिए थे।
‘द इकोनॉमिक टाइम्स’ ने 2019 में दावा किया था कि NSO पेगासस के लाइसेंस के लिए 7-8 मिलियन डॉलर यानी 52 करोड़ से लेकर 59 करोड़ रुपए सालाना खर्च वसूलता है। एक लाइसेंस से 50 फोन का सर्विलांस हो सकता है। अगर 300 फोन की निगरानी करनी है तो छह लाइसेंस चाहिए और 313 करोड़ से लेकर 358 करोड़ रुपए सालाना खर्च होगा।

तो क्या भारत सरकार या किसी और सरकार ने जासूसी कराई?

कह नहीं सकते। लीक हुए डेटा में नंबरों को क्लस्टर में ऑर्गेनाइज किया गया है। यह इस बात का संकेत है कि यह सभी नंबर NSO के किसी क्लाइंट यानी किसी सरकार के टारगेट थे। पर किस सरकार ने किसे टारगेट किया, इसका दावा कोई नहीं कर सकता। NSO का दावा है कि वह 40 देशों में 60 ग्राहकों को अपने प्रोडक्ट बेचता है। पर उसने कभी भी इन देशों या ग्राहकों का नाम सामने नहीं रखा है।
किस देश ने किसकी जासूसी कराई, इसका खुलासा मीडिया ग्रुप कर रहे हैं। इसमें वे टारगेट्स के पैटर्न के साथ ही उस समय उनके महत्व को एनालाइज कर रहे हैं। इस आधार पर मीडिया ग्रुप्स ने 10 सरकारों की पहचान की, जिन्होंने टारगेट्स चुने। इनमें अजरबैजान, बहरीन, कजाकिस्तान, मैक्सिको, मोरक्को, रवांडा, सऊदी अरब, हंगरी, भारत और संयुक्त अरब अमीरात शामिल हैं।
इन खुलासों पर NSO ग्रुप का क्या कहना है?

NSO ग्रुप पहली बार विवादों में नहीं पड़ा है। दरअसल, पेगासस प्रोजेक्ट 2016 में शुरू हुआ था और तब से ही यह स्पायवेयर विवादों में रहा है। NSO ने दोहराया है कि उसकी ग्राहक सरकारों ने किसे टारगेट किया, इसका डेटा उसके पास नहीं रहता।
NSO ने तो अपने वकीलों के माध्यम से कहा है कि पत्रकारों के कंसोर्टियम के दावे गलत हैं। 50,000 नंबरों का आंकड़ा भी बढ़ा-चढ़ाकर पेश किया गया है। जो सूची जारी हुई है, वह सरकारों के टारगेट्स हैं ही नहीं। कंसोर्टियम को जो डेटा सामान्य तौर पर उपलब्ध था, उसका अपने मनमुताबिक एनालिसिस किया और अब उसे डेटा लीक कहकर सनसनी फैलाई जा रही है।
क्या कोई तरीका है, जिससे मोबाइल में स्पायवेयर डिटेक्ट हो सके?

ब्रॉडकास्ट इंजीनियरिंग कंसल्टेंट्स इंडिया लिमिटेड (BECIL) में साइबर सिक्योरिटी एडवाइजर निशिकांत ओझा के अनुसार इसके दो तरीके हैं-

1. आपके मोबाइल अनपेक्षित व्यवहार करने लगे। तेज गरम होने लगे। मेमोरी करप्ट हो जाए। वॉट्सऐप या टेलीग्राम के मैसेज अचानक डिलीट होने लगे।
2. पेगासस जैसा स्पायवेयर मॉडर्न है। इसके जैसे टूल्स को डिटेक्ट करने के लिए फोरेंसिक एनालिसिस होता है। टूलकिट से जांच की जाती है। एमनेस्टी का मोबाइल वेरिफिकेशन टूलकिट (MVT) इसे डिटेक्ट करने में मदद कर सकता है।

… और स्पायवेयर को निष्क्रिय कैसे करें?

ओझा का कहना है कि अगर कोई साधारण स्पायवेयर है तो वह मोबाइल बंद होते ही निष्क्रिय हो जाएगा। उसे दोबारा एक्टिव करना आसान नहीं रहता। यह इसी तरह है कि ऑक्सीजन न हो तो जीव मर जाते हैं। फ्री के एंटीवायरस से तलाश छोड़ें, क्योंकि यह परेशानी बढ़ा सकते हैं। बेहतर होगा भरोसेमंद एंटीवायरस अपने मोबाइल में इंस्टॉल करें।
पर कई एनालिस्ट कहते हैं कि पेगासस जैसे एडवांस सॉफ्टवेयर को डिएक्टिवेट करना मुश्किल है। बेहतर होगा कि आप अपना हैंडसेट ही बदल दें।