एथिकल हॅकिंगची अद्भुत दुनिया

 

ethical hacking सीबीएसईच्या 2026 मध्ये झालेल्या 12 वीच्या परीक्षा निकालानंतर असंख्य असंतुष्ट विद्यार्थ्यांनी उत्तरपत्रिकांचे पुनर्मूल्यांकन करवले. मूळ आणि पुनर्मूल्यांकनातील तफावतीमुळे स्टँडर्ड ऑन स्क्रीन मार्किंग पोर्टल (ओएसएम) प्रक्रियेतील त्रुटी उजागर झाल्यात. 2026 चा निकाल 2025 मधील निकालापेक्षा 3.10 टक्क्यांनी कमी झाला. 90 टक्क्यांपेक्षा जास्त गुण मिळविणाऱ्या विद्यार्थ्यांची संख्या कमी झाली आणि विद्यार्थ्यांना मिळालेले गुण त्यांच्या अपेक्षेनुसार नसल्यामुळे ओएसएम प्रणालीवर प्रश्नचिन्ह उभे झाले. देशभरातील विद्यार्थ्यांमध्ये प्रचंड मोठा असंतोष निर्माण होऊन देशात सर्व दूर मोठ्या प्रमाणात निदर्शने सुरू झालीत आणि अजूनही होताहेत. ही परीक्षा झाल्यानंतर भारतातीलच निसर्ग अधिकारी आणि सार्थक सिद्धांत या दोन तरुण नैतिक तांत्रिक तज्ज्ञ (एथिकल हॅकर्स) विद्यार्थ्यांनीच सीबीएसईच्या ओएसएम पोर्टलमधील त्रुटींचा पर्दाफाश केला.

 

 

 

 

आजमितीला डिजिटल युगातील सतत बदलत्या संगणकीय धोक्यांच्या (सायबर थ्रेट्स) वातावरणात, संवेदनशील विदा रक्षणासाठी (सेन्सेटिव्ह डेटा प्रोटेक्शन) एथिकल हॅकर्सच तांत्रिक कौशल्य आणि नैतिक मूल्यांचं महत्त्व निर्विवाद आहे. एथिकल हॅकिंग ऊर्फ पेनिट्रेशन टेस्टिंग ऊर्फ व्हाईट हॅट हॅकिंगमध्ये संगणक प्रणाली, अनुप्रयोग/अ‍ॅप, संगणक सॉफ्टवेअर किंवा विदेत (डेटा) अनधिकृत प्रवेश मिळविणे, त्यातील त्रुटींचा आढावा घेणे आणि सुरक्षेच्या उपाययोजना केल्या जातात. एथिकल हॅकर्स संगणकीय सुरक्षिततेला भेदण्यासाठी सायबर गुन्हेगारांची पद्धत आणि साधनांचा वापर करतात. एथिकल हॅकिंग सर्वमान्य असून अपरिहार्य आहे. कारण हे हॅकर्स अ) विदा चोरी रोखण्यासाठी, संगणकीय गुन्हेगारांनी विदा पद्धतीला भेदून चोरण्याआधीच संस्थेला प्रतिबंधात्मक उपाययोजना अंगीकारण्यास मदत करतात. ब) संस्थेच्या विद्यमान सुरक्षा उपायांच्या परिणामकारकतेबद्दल मौल्यवान अंतर्दृष्टी प्रदान करीत असल्यामुळे संस्थांना नवीनतम/अद्ययावत, संगणकीय संरक्षण प्रोटोकॉल्स अंगीकारता येतात आणि क) एथिकल हॅकिंगचा वापर करणाऱ्या संस्थांनी अंगीकारलेल्या सायबर सुरक्षा प्रणालीमुळे ग्राहक, भागीदार आणि हितधारकांची विश्वास वृद्धी होते.

 

 

सूत्रांनुसार निसर्ग अधिकारीने सीबीएसई ट्वेल्थ स्टँडर्ड ओएसएममधील त्रुटी आणि सार्थक सिद्धांतने कोएम्प्ट एज्यु टेक या संस्थेलाच कॉन्ट्रॅक्ट देण्यासाठी सीबीएसईने केलेल्या ढळढळीत नियम फेरबदलांना उजागर केले आहे. या दोन्ही बाबींमुळे लाखो विद्यार्थ्यांना तांत्रिक आणि प्रक्रियात्मक त्रुटींचा सामना करावा लागला आणि डिजिटल सुधारणांमुळे परीक्षेची/परीक्षेतील सचोटी, निःपक्षता आणि विद्यार्थ्यांच्या व्यक्तिगत माहिती सुरक्षेचे धिंडवडे निघाले. सीबीएसईने याच वर्षी अंगीकारलेले ओएसएम पोर्टल, परीक्षकांसाठी एक नवीन डिजिटल प्रणाली होती/आहे. मे 2026 च्या चौथ्या आठवड्यात निसर्ग अधिकारीने पोर्टल कोड हॅक करून त्यातील त्रुटी उजागर केल्यात. ओएसएममुळे परीक्षकांना ऑनलाईन पोर्टलवर लॉग-इन करून उत्तरपत्रिकांच्या स्कॅन्ड प्रतींचे मूल्यांकन करता येते. हा बदल प्रामुख्याने लांबलचक मूल्यांकन प्रक्रियेला सुव्यवस्थित करण्यासाठी करण्यात आला. दुसरीकडे ऑनस्क्रीन मार्किंग प्रणाली तयार करून ती होस्ट करण्यासाठी सीबीएसईने हैदराबादच्या कोएम्प्ट एज्यु टेकला या नवीन पद्धतीसाठी आवश्यक असणाèया पायाभूत सुविधा तयार करून राबविण्याची जबाबदारी दिली होती. कोएम्प्ट एज्यु टेकलाच ही जबाबदारी देण्यासाठी सीबीएसईने आपल्या नियमांत कोणते बदल कसे केलेत हे सार्थक सिद्धांतने दाखवून दिले.

या किस्स्याचा ओनामा वेदांत श्रीवास्तवने केला. त्याने 10 वी सीबीएसई भौतिकशास्त्राच्या उत्तरपत्रिकेची छायाप्रती मिळविण्यासाठी अर्ज केला होता. ती मिळाल्यावर त्याच्या लक्षात आले की, सीबीएसईने अपलोड केलेली भौतिकशास्त्राची उत्तरपत्रिका त्याची नव्हती. दुर्दैवाने हा अपवाद नव्हता. अनेक विद्यार्थ्यांना असेच अनुभव आलेत. त्यामुळे निसर्ग आणि सिद्धांतने हे प्रकरण स्वतःच हाताळण्याचा निर्णय घेतला असावा, असे म्हटल्यास ते वावगे होणार नाही.

 

निसर्ग अधिकारी हा 2026 सीबीएसई 12 परीक्षेला बसलेला विद्यार्थी, सायबर सुरक्षा संशोधकही आहे. 2026 फेब्रुवारीमध्ये त्याने संगणकावर सहज फिरता फिरता मनोरंजनास्तव सीबीएसई ओएसएम प्लॅटफॉर्म हॅक केला आणि भारतीय संगणक आपत्कालीन प्रतिसाद टीमला (इंडियन कॉम्प्युटर इमरान रिस्पॉन्स टीम: सर्ट इन) त्याची माहिती दिली. हॅकिंगमध्ये मिळालेल्या माहितीच्या विश्लेषणांनतर त्याच्या समोर ओएसएम सॉफ्टवेअरमधील अनेक कमी पेशी, कमतरता, दोष, उजागर झाले. निसर्ग अधिकारीने केवळ उत्सुकतेपोटी सीबीएसईच्या नवीन सुरू झालेल्या ओएसएम मूल्यांकन प्लॅटफॉर्मच्या बॅकएंड कोडची तपासणी केली असता त्याला केवळ 30 मिनिटांत त्या पोर्टलमधील गंभीर सुरक्षा त्रुटी मिळाल्या.

अ) सर्वांत गंभीर त्रुटी म्हणजे फ्रंट एंड सोर्स कोडमध्ये थेट एम्बेड केलेल्या हार्ड कोडेड मास्टर पासवर्डमुळे परीक्षकाचा युजर आयडी असलेल्या कोणाही अनधिकृत व्यक्तीला वन टाईम पासवर्ड, ओटीपी पडताळणी टाळून पोर्टलमध्ये प्रवेश मिळविणे शक्य होत होते.

ब) पोर्टलमध्ये शिरल्यावर ती अनधिकृत व्यक्ती कोणत्याही खऱ्या शिक्षकाच्या नावाने लॉग-इनद्वारे मूल्यमापनकर्त्यांच्या डॅश बोर्डमध्ये प्रवेश करून कोणत्याही विद्यार्थ्यांचे गुण बदलू शकते.

क) बोर्डाची अ‍ॅमेझॉन वेब सर्व्हिसेस स्टोरेज बकेट संपूर्ण चुकीच्या पद्धतीने कॉन्फिगर केलेली असल्यामुळे अनधिकृत वापरकर्त्यांना 18 लाखांहून अधिक स्कॅन केलेल्या विद्यार्थ्यांच्या उत्तरपत्रिका आणि प्रश्नपत्रिका सहजपणे अ‍ॅक्सेस करून डाऊनलोड करता येणार होत्या.

ड) पोर्टलमध्ये कार्यक्षम पासवर्ड रीसेट पडताळणीची सोय नव्हती. एखादा अनधिकृत/अप्रमाणित वापरकर्ता केवळ स्वतःच्या युजर आयडीचा वापर करून दुसèयाच्या खात्याचा पासवर्ड बदलू शकत होता, ज्यामुळे जुन्या पासवर्डची पडताळणी पूर्णपणे टाळली जात होती. सीबीएसई 12 वी परीक्षेचा निकाल जाहीर झाल्यानंतर निसर्ग अधिकारीने सोशल मीडियावर ही बाब सार्वजनिक केली.

 

त्याच्या हे लक्षात आले की, सर्वप्रथम संगणक हल्लेखोर, लक्ष्यित व्यक्तीचा सार्वजनिक असलेला युजर आयडी आणि स्कूल कोड डाऊनलोड करेल. त्यानंतर कोड स्क्रिप्टमधील हार्डकोडेड मास्टर पासवर्ड मिळवून तो पोर्टलमध्ये एक परीक्षक म्हणून लॉग-इन करू शकेल. हा पासवर्ड शोधताना अधिकारीला पासवर्ड संरक्षण व्यवस्थेला तोंडच द्यावे लागले नाही. कारण ती अस्तित्वातच नव्हती. जर निसर्ग अधिकारीसारखा तरुण मुक्तछंदी हे सहजपणे करू शकला तर व्यावसायिक संगणक हल्लेखोराला कुठल्याही विद्यार्थ्याच्या उत्तरपत्रिकेत किंवा मार्क लिस्टमध्ये मुक्तपणे बदल करण सहज शक्य होईल. निसर्गने ही सर्व माहिती लगेच सर्ट-इनला दिली. उत्तरात त्याला ‘याची तपासणी केली जाईल’ हा प्रतिसाद मिळाला. मात्र, वेदांत श्रीवास्तवची कहाणी कळल्यानंतर निसर्ग अधिकारीने त्याच्या हॅकिंग आणि सीबीएसईच्या उत्तराची ब्लॉग पोस्ट प्रकाशित केली आणि वातावरण तापणे सुरू झाले.

दुसरीकडे सार्थक सिद्धांतने ओएसएम पोर्टलमधील डिजिटल पायाभूत सुविधा तयारीच्या व्यावसायिक आणि कायदेशीर बाजूंचा अभ्यास करून सोशल मीडियावर, सीबीएसईच्या रिक्वेस्ट फॉर प्रपोजल/आरएफपी निविदा दस्तावेजांचे (टेंडर सिस्टिम) सार्वजनिक विश्लेषण प्रकाशित केले.ethical hacking वेदांत श्रीवास्तवची कहाणी कळल्यानंतर सार्थक सिद्धांतनेदेखील या शोधाची ब्लॉग पोस्ट टाकली आणि त्यात; अ) सीबीएसई ही एक सार्वजनिक संस्था असल्यामुळे ओएसएम व्यवस्थापनासाठी स्वतःच्या पसंतीच्या खाजगी विक्रेत्याची निवड न करता सार्वजनिक प्रस्ताव विनंती/आरएफपी जारी करून स्पर्धात्मक निविदा मागवायला पाहिजे होत्या. ब) संचालक मंडळाने कंपनीच्या इतिहासाशी संबंधित कलम काढून टाकले. क) संचालक मंडळाने कॅपॅबिलिटी मॅच्युरिटी मॉडेल इंटिग्रेशन स्तर 5 वरून 3 पर्यंत खाली आणल्यामुळे सॉफ्टवेअर इंजिनीअरिंगची गुणवत्ता वांध्यात येऊन विद्यार्थ्यांची संवेदनशील माहिती खुली झाली आणि स्कॅनरच्या गुणवत्तेतही घट केल्याचे स्पष्ट केले. सार्थक सिद्धांतनुसार हा केवळ एक योगायोग नाही. या ब्लॉगनंतर सोशल मीडियावर स्फोट होणे स्वाभाविक होते. दोन्ही ब्लॉगच्या उत्तरादाखल ‘आम्ही सायबर सुरक्षा व्यावसायिकांची एक टीम तैनात केली असून ती ओएसएम पोर्टलमधील त्रुटींची तपासणी करेल. यासाठी सूचना द्यायच्या असल्यास नागरिकांनी संपर्क साधावा’ असे आवाहन सीबीएसई संचालक मंडळाने केले आहे.

 

संगणकीय हॅकिंग, अनधिकृत घुसखोरी, चोरीमुळे सामान्यतः उत्पादक हेतूंसाठी वैयक्तिक आणि गोपनीय माहिती उघड करता येते. संगणकात नैतिक घुसखोरी (एथिकल हॅकिंग) करणारी व्यक्ती किंवा संस्था, नेटवर्क किंवा सिस्टिमच्या माध्यमातून चाचणी करून, नेटवर्कमधील त्रुटी शोधून त्यात दुरुस्ती करण्यासाठी एखाद्या उपकरणात (सिस्टिम किंवा नेटवर्क) प्रवेश करू शकते. बहुतेक नैतिक हॅकर्स, विविध दृष्टिकोन, कार्यपद्धती आणि साधनांच्या वापराद्वारे सिस्टिमची चाचणी करून सायबर हल्ल्यांपासून आपल्या गोपनीयतेचे रक्षण करतात. असे करताना त्यांना सायबर सुरक्षा कायदे आणि नियमांचे पालन करून, संगणक गुन्हे कायदे, विदा संरक्षण नियम आणि बौद्धिक संपदा हक्क यांसारख्या कायदेशीर चौकटींशी परिचित व्हावे लागते. वाढत्या इंटरनेट वापरामुळे सांप्रत काळात संगणकीय गोपनीयता सुनिश्चित करण्याची प्रचंड गरज निर्माण झाली आहे. वापरकर्ते आणि उद्योगांच्या नेटवर्कची विश्वसनीयता आणि सुलभता अत्यंत महत्त्वाची बनल्यामुळे वापरकर्त्याची ओळख व गोपनीय माहितीच्या रक्षणासाठी सुरक्षित पायाभूत सुविधांचा विकास अत्यावश्यक झाला आहे. इंटरनेटचा विकास आणि लोकप्रियतेमुळे हॅकिंग, फिशिंग, स्पॅमिंग करत सायबर घुसखोरी/चोरी करता येते. व्यक्ती आणि संस्थांनी आपला डेटा क्लाऊड आर्किटेक्चरवर स्थलांतरित केल्यामुळे डेटा संरक्षणाचे नवीन प्रश्न आणि धोके निर्माण झाले आहेत.

 

सीबीएसई आणि नीट परीक्षांमधील प्रचंड गोंधळानंतर दस्तुरखुद्द पंतप्रधानांनी यात लक्ष घालत संचालक मंडळाचे अध्यक्ष व सचिव तडकाफडकी बदललेत. मे 26 मध्येच उजागर झालेली नीट परीक्षेतील प्रश्नपत्रिका गळती आणि सीयूईटी परीक्षेतील तांत्रिक अडचणींच्या पृष्ठभूमीवर परीक्षांच्या सद्यस्थितीबद्दल देशात चिंतेचे वातावरण निर्माण झाले असून नवनिर्मित कॉक्रोच जनता पार्टीसकट सर्व विरोधी पक्षांनी सरकार विरोधात उठावाचे आदेश दिले आहेत.

 

निसर्ग अधिकारी आणि सार्थक सिद्धांतने केलेली हॅकिंग सीबीएसईच्या ऑन स्क्रीन मार्किंग पोर्टलमध्ये उघड झालेल्या सायबर सुरक्षा त्रुटी आणि टेंडरच्या विसंगती शोधण्यासाठी झालेले दुर्भावनापूर्ण सायबर हल्ले नव्हते तर 12 वीच्या उत्तरपत्रिकांचे डिजिटल मूल्यांकन कसे होईल याबद्दल संगणकीय तंत्रज्ञान कुशल, किशोरवयीन मुलांनी केलेल्या तपासाचा हा एक भाग होता, असे माझे मत आहे. मात्र, सरकारने आता याची पुनरावृत्ती होणार नाही, याची ग्वाही लोकांना देणे अनिवार्य आहे. केवळ संबंधित अधिकाèयांची बदली करून काहीही साध्य होणार नाही. नीट आणि सीबीएसई मिळून अंदाजे 41 लाख विद्यार्थ्यांच्या आकांक्षांवर या गलथानपणामुळे पाणी फेरले गेले आहे. या विद्यार्थ्यांच्या मनात धुमसत असलेल्या असंतोषाचा फायदा कॉक्रोच जनता पार्टी, असंतुष्ट विरोधक आणि अर्बन नक्षल्यांनी घेतल्यास त्यात काहीच नवल नसेल. राजा, सावध हो, रात्र वैèयाची आहे...!

 

---