एक क्रैक टीम एकत्रित होती है और एक शीर्ष गुप्त सैन्य अड्डे या कॉर्पोरेट मुख्यालय में सेंध लगाती है – आपने शायद इसे किसी फिल्म या टीवी पर दर्जनों बार देखा होगा।
लेकिन ऐसी टीमें वास्तविक दुनिया में मौजूद हैं और कड़ी सुरक्षा का परीक्षण करने के लिए उन्हें काम पर रखा जा सकता है।
बहुत सी कंपनियाँ कंप्यूटर सिस्टम को दूरस्थ रूप से हैक करने का प्रयास करके उनका परीक्षण करने की पेशकश करती हैं। इसे व्हाइट हैट हैकिंग कहा जाता है।
लेकिन शारीरिक सुरक्षा का उल्लंघन करने में शामिल कौशल, जिन्हें रेड टीमिंग के नाम से जाना जाता है, दुर्लभ हैं।
रेड टीम सेवा प्रदान करने वाली कंपनियों को बहुत विशेष कौशल वाले कर्मचारियों को इकट्ठा करना होता है।
अक्सर पूर्व सैन्य और ख़ुफ़िया कर्मियों का उपयोग करते हुए, रेड टीमों से एक प्रश्न पूछा जाता है।
“आप इस अति-गुप्त परियोजना में कैसे सेंध लगा सकते हैं?”
दिग्गज रक्षा कंपनी लियोनार्डो ऐसी सेवा प्रदान करती है।
इसमें कहा गया है कि व्यवधान और अराजकता चाहने वाले शत्रुतापूर्ण राज्य एक वास्तविक खतरा हैं और अपनी रेड टीम क्षमता सरकार, महत्वपूर्ण बुनियादी ढांचे और रक्षा क्षेत्र के ग्राहकों को बेचते हैं।
इसकी रेड टीम छद्म नामों के तहत बीबीसी से बात करने के लिए सहमत हुई।
टीम लीडर ग्रेग ने संभावित दुश्मनों की डिजिटल क्षमताओं का अध्ययन करते हुए ब्रिटिश सेना की इंजीनियरिंग और खुफिया शाखाओं में काम किया।
वह अपनी पृष्ठभूमि के बारे में कहते हैं, ”मैंने एक दशक यह सीखने में बिताया कि दुश्मन के संचार का फायदा कैसे उठाया जाए।”
अब वह पांच सदस्यीय टीम का समन्वय करते हैं।
हमला पहुंच हासिल करने को लेकर है. इसका उद्देश्य किसी प्रक्रिया को काम करने से रोकना हो सकता है, जैसे कि परमाणु ऊर्जा संयंत्र का मूल।
ग्रेग और उनकी टीम के लिए पहला कदम निष्क्रिय टोही कहा जाता है।
एक गुमनाम डिवाइस का उपयोग करते हुए, शायद एक स्मार्टफोन जिसे केवल उसके सिम कार्ड से पहचाना जा सकता है, टीम ने लक्ष्य की एक तस्वीर बनाई।
ग्रेग कहते हैं, “हमें संदेह पैदा करने से बचना चाहिए, ताकि लक्ष्य को पता न चले कि हम उन्हें देख रहे हैं।”
वे जिस भी तकनीक का उपयोग करते हैं वह किसी व्यवसाय से उसके इंटरनेट पते से जुड़ी नहीं होती है और नकदी से खरीदी जाती है।
चार्ली ने सैन्य खुफिया में 12 साल बिताए, उनकी तकनीकों में किसी साइट की वाणिज्यिक उपग्रह इमेजरी का अध्ययन करना और नौकरी विज्ञापनों को स्कैन करना शामिल है ताकि यह पता लगाया जा सके कि वहां किस प्रकार के लोग काम करते हैं।
“हम लक्ष्य के किनारों से दूर रहकर शुरुआत करते हैं। फिर हम लक्ष्य क्षेत्र में जाना शुरू करते हैं, यहां तक कि यह भी देखते हैं कि वहां काम करने वाले लोग कैसे कपड़े पहनते हैं।”
इसे शत्रुतापूर्ण टोही के रूप में जाना जाता है। वे साइट के करीब पहुंच रहे हैं, लेकिन अपना जोखिम कम रख रहे हैं, हर बार जब वे आते हैं तो अलग-अलग कपड़े पहनते हैं, और टीम के सदस्यों की अदला-बदली करते हैं, ताकि सुरक्षा लोग एक ही व्यक्ति को गेट के पास से गुजरते हुए न देख सकें।
प्रौद्योगिकी लोगों द्वारा तैयार की जाती है और मानवीय कारक किसी भी सुरक्षा व्यवस्था में सबसे कमजोर बिंदु है। यहीं पर एम्मा आती हैं, जिन्होंने आरएएफ में सेवा की थी।
मनोविज्ञान में पृष्ठभूमि के साथ एम्मा खुशी से खुद को “लोगों पर नजर रखने वाली थोड़ी नासमझ” कहती है।
“लोग सुरक्षा प्रोटोकॉल से परे शॉर्टकट अपनाते हैं। इसलिए, हम साइट पर असंतुष्ट लोगों की तलाश करते हैं।
नियोक्ता के प्रति असंतोष सामने आने पर वह आसपास के कैफे और पब में बातचीत सुनती है।
“प्रत्येक संगठन की अपनी विशिष्टताएँ होती हैं। हम देखते हैं कि काम के बोझ और थकान के कारण लोगों के संदिग्ध ईमेल के झांसे में आने की कितनी संभावना है।”
एक नाखुश सुरक्षा गार्ड काम में आलसी हो सकता है। “हम पहुंच पर विचार कर रहे हैं, उदाहरण के लिए डिलीवरी के साथ आगे बढ़ रहे हैं।”
बार-बार विज्ञापित रिक्तियों से प्रमाणित उच्च टर्नओवर दर भी असंतोष और सुरक्षा जिम्मेदारियों के साथ जुड़ाव की कमी को दर्शाती है। टेलगेटिंग, ऐसे लोगों का पता लगाना जो अनुयायी के लिए प्रवेश द्वार खुला रखने की संभावना रखते हैं, एक और तकनीक है।
उस खुफिया जानकारी का उपयोग करते हुए, साथ ही थोड़ी सी चालबाजी से, सुरक्षा पास की नकल की जा सकती है, और रेड टीम एक कर्मचारी के रूप में परिसर में प्रवेश कर सकती है।
एक बार साइट के अंदर जाने के बाद डैन जानता है कि दरवाज़े, फाइलिंग अलमारियाँ और डेस्क की दराजें कैसे खोलनी हैं। वह ताला तोड़ने वाली चाबियों से लैस है, जिन्हें जिगलर्स के नाम से जाना जाता है, जिसमें कई आकृतियाँ होती हैं जो ताले को खोल सकती हैं।
वह नीचे लिखे पासवर्ड खोज रहा है, या नेटवर्क में सेंध लगाकर कंप्यूटर कीबोर्ड का अनुकरण करने के लिए प्लग-इन स्मार्ट यूएसबी एडाप्टर का उपयोग करेगा।
तथाकथित हत्या श्रृंखला का अंतिम चरण स्टैनली के हाथों में है।
एक साइबर सुरक्षा विशेषज्ञ, स्टेनली अपने सहयोगियों की टोही रिपोर्ट पर काम करते हुए, सबसे सुरक्षित कंप्यूटर सिस्टम में प्रवेश करना जानते हैं।
“फिल्मों में एक हैकर को सिस्टम में सेंध लगाने में कुछ सेकंड लगते हैं, लेकिन वास्तविकता अलग है।”
वह अपने स्वयं के “एस्कलेटरी दृष्टिकोण” को प्राथमिकता देते हैं, एक प्रशासक की पहुंच के माध्यम से एक सिस्टम के माध्यम से काम करते हैं और एक “संगम” की खोज करते हैं, जो एक ही स्थान पर साझा की गई जानकारी का संग्रह है, जैसे कि कार्यस्थल इंट्रानेट।
वह व्यवस्थापक की पहुंच का उपयोग करके फ़ाइलों और डेटा में घूम सकता है। किल चेन समाप्त होने का एक तरीका यह है कि जब स्टेनली आंतरिक, इसलिए विश्वसनीय, नेटवर्क के माध्यम से व्यवसाय के मुख्य कार्यकारी का प्रतिरूपण करते हुए एक ईमेल भेजता है।
भले ही वे लक्षित ग्राहक की मंजूरी के साथ काम करते हैं, फिर भी वे पूरी तरह से अजनबी के रूप में साइट में प्रवेश कर रहे हैं। यह कैसा लगता है?
डैन कहते हैं, “यदि आपने सर्वर रूम तक पहुंच प्राप्त कर ली है जो काफी परेशान करने वाला है,” लेकिन जितनी अधिक बार आप ऐसा करते हैं यह आसान हो जाता है।
लक्ष्य स्थल पर कोई है जो जानता है कि क्या हो रहा है। चार्ली कहते हैं, “हम उनके संपर्क में रहते हैं, इसलिए वे निर्देश जारी कर सकते हैं कि ‘इन लोगों को गोली न मारें।”