Sunday, May 13, 2018

तुमच्या माझ्या डेटाची चोरी (भाग ७)

_________

ऍपलचं नियोजन परिपूर्ण होतं. स्वतःचा नफा, यूझर्ससाठी सुलभ आणि उपयुक्त व्यवस्था, ती चालावी म्हणून वर ऍप डेव्हलपर्स तर खाली नेटवर्क ऑपरेटर्सशी भागीदारी आणि स्पर्धकांच्या विरुद्ध पेटंट कायद्याचा धाक हे त्या नियोजनाचे मुख्य पैलू होते. आयफोनसाठी ऍपलने हार्डवेअर सॉफ्टवेअर या दोन्हीची जबाबदारी स्वतःकडे घेतली होती. ऍपल स्वतःला सोशल नेटवर्क किंवा पब्लिशिंग प्लॅटफॉर्म मानत नव्हती (आणि नाही) ऍपलच्या जन्मापासून ती एक तंत्रज्ञान कंपनी होती. त्यामुळे ऍपल जाहिराती वापरणार नव्हती. यूझर्सचा जो डेटा ऍपलकडे जमा होणार होता त्यावर ऍपलला आपले जाहिरातींचे साम्राज्य उभारायचे नव्हते. हे सगळे अगदी योग्य असले तरी याचा परिणाम म्हणून आयफोनची किंमत सर्वसामान्यांच्या खिशाला परवडणारी नव्हती.

मग आयफोनची किंमत कमी वाटावी म्हणून ऍपलने मोबाईल नेटवर्क ऑपरेटर्सशी करार केले. म्हणजे आयफोन वापरायचा असेल तर विशिष्ट नेटवर्क ऑपरेटरच वापरावा लागेल. खुला आयफोन महाग असेल तर नेटवर्क ऑपरेटर्ससोबत घेतलेला आयफोन मात्र स्वस्त असेल. थोडक्यात नेटवर्क ऑपरेटर तुमच्या आयफोनला सब्सिडाईझ करतील. तुम्ही त्यांच्या नेटवर्कवरून डेटा वापरणार असल्याने त्यांना डेटा चार्जेस मिळतील. म्हणजे तुमच्याकडे ऍपलचा कॉम्प्युटर, ऍपलचा फोन, आणि ऍपलच्या भागीदाराचं मोबाईल नेटवर्क असेल तर तुम्हाला ऍपलने तयार केलेल्या बंदिस्त व्यवस्थेचा लाभ घेता येणार होता आणि हा ब्रँड वापरताय म्हणजे तुमच्या मित्रमंडळीत तुमची वट राहणार होती.

याउलट अँड्रॉइडने घाईघाईने रस्ता बदलला होता. आयफोननंतर बाजारात आलेली होती. स्वतः हार्डवेअर बनविण्यात अँड्रॉइडला रस नव्हता. उलट विविध हार्डवेअर उत्पादकांशी अँड्रॉइडने करार केले होते. म्हणजे ऍपलने मोबाईल उत्पादन स्वतः करायचे ठरवल्याने सरळ मोबाईल नेटवर्क ऑपरेटर्सशी करार केले. याउलट अँड्रॉइडवाल्या गूगलने मोबाईल उत्पादकांशी करार केले.

आता मोबाईल उत्पादकांसाठी समस्या तयार झाली. जर एलजी, सोनी, सॅमसंग, मोटोरोला सगळ्यांकडे सारखीच ऑपरेटिंग सिस्टीम असेल तर मग लोक एलजीऐवजी सॅमसंग किंवा सॅमसंगऐवजी मोटोरोलाचे फोन का म्हणून घेतील? मग जणू याला उत्तर म्हणून प्रत्येक मोबाईल उत्पादक, अँड्रॉइड वापरून स्वतःची वेगळी ऑपरेटिंग सिस्टीम तयार करत गेले. त्यामुळे गुगलने अँड्रॉइडची नवीन आवृत्ती बाजारात आणली तरी सर्व मोबाईल उत्पादकांना आपापल्या ऑपरेटिंग सिस्टीम मध्ये लगोलग सुधारणा करणे अशक्य होते. परिणामी जेव्हा ऍपल ऑपरेटिंग सिस्टीमची नवीन आवृत्ती बाजारात आणत होती तेव्हा जगभरातील सर्व आयफोन्सवर ती एकाचवेळी उपलब्ध होत होती. याउलट गूगलने अँड्रॉइडची नवीन आवृत्ती आणली तरी जगभरातील सर्व अँड्रॉइड फोन्सवर ती एकाचवेळी उपलब्ध होत नव्हती (अजूनही होत नाही).

पण लोक तक्रार करत नव्हते. कारण अँड्रॉइड मोफत असल्याने फोनची किंमत आयफोनच्या तुलनेत कमी होती. त्याशिवाय हवा तो नेटवर्क ऑपरेटर निवडण्याचे स्वातंत्र्य अँड्रॉइडमध्ये मिळत होते. किंमत कमी. हवा तो नेटवर्क ऑपरेटर. हवा तो मोबाईल उत्पादक निवडायचे स्वातंत्र्य. या सगळ्याच्या बदल्यात फक्त गोष्ट सक्तीची होती. ती म्हणजे प्रत्येक अँड्रॉइड फोनबरोबर तुम्हाला तुमचे गूगल अकाउंट जोडणे आवश्यक होते. परिणामी तुमच्या दिवसभराची सगळी माहिती गूगलकडे जात राहिली. तुम्हाला कुठल्या जाहिराती दाखवायच्या याबाबत गूगल अधिक अचूक होत राहिले. जवळपास प्रत्येक महिन्यात एक नवीन उत्पादक नवीन अँड्रॉइड फोन घेऊन बाजारात येत होता. किंमत कमी असल्याने नवनवीन ग्राहक बाजारात येत होते. परिणामी नेटवर्क ऑपेरेटर्सनाही नवनवीन ग्राहक मिळत होते. म्हणजे मोबाईल फोनच्या जगात ऍपल आणि अँड्रॉइड हे दोन प्लॅटफॉर्म सशक्तपणे उभे राहिले. या प्लॅटफॉर्मवर अनेक ऍप्स होती. त्यात सगळ्यात जास्त लोकप्रिय होऊ लागले ते फेसबुकचे ऍप.

ही पार्श्वभूमी लक्षात ठेवून आपण आता चोरीकडे वळूया. कशाची चोरी झाली? तर डेटाची चोरी झाली. ती कशी झाली ते आपण बघूया. डेटा चोरी म्हटलं की साधारणपणे आपल्याला वाटतं, कुणीतरी अंगाला घट्ट बसणारा आणि संपूर्ण अंग झाकणारा काळा पोषाख घालून फेसबुकच्या सर्व्हररुमध्ये घालून गेले असेल. सर्व सुरक्षा यंत्रणांना चकवत आपला पेन ड्राईव्ह सर्व्हरला जोडला असेल आणि मग तिथला डेटा चोरून नेला असेल. जर असे काही कुणाच्या मनात आले तर ती व्यक्ती फार मोठ्या प्रमाणावर चित्रपट बघते आहे आणि त्यात जे काही दाखवतात त्यावर विश्वास ठेवते आहे असे समजायला हरकत नाही. डेटा चोरी अशी झाली नाही तर मग झाली कशी? ते समजून घ्यायला आपण प्रथम इंटरनेट सिक्युरिटीमागच्या संकल्पना थोडक्यात समजून घेऊ.

जेव्हापासून इंटरनेट वापरून माहितीची देवाणघेवाण सुरु झाली तेव्हापासून इंटरनेट सिक्युरिटीच्या पायाभरणीस सुरुवात झाली. नंतर १९९०च्या दशकात ईबे सुरु झाल्यावर, इंटरनेट बँकिंग सुरु झाल्यावर आणि जगभरातील सरकारी विभागांनी नागरिकांची कामे इंटरनेटवरून करायला सुरुवात केल्यावर इंटरनेट सिक्युरिटीच्या बाबतीत चार महत्वाच्या संकल्पना तयार झाल्या.

पहिली संकल्पना आहे कॉन्फिडेन्शियालीटी (Confidentiality) म्हणजे गुप्तता. ज्याच्यासाठी संदेश पाठवला आहे त्याला सोडून इतर कुणालाही तो संदेश वाचता येऊ नये.

दुसरी आहे इंटिग्रिटी (Integrity) म्हणजे म्हणजे अखंडत्व. संदेश जसा पाठवला आहे त्याच स्वरूपात कुठलाही बदल न करता समोरच्या व्यक्तीपर्यंत पोहोचावा.

तिसरी आहे ऍव्हेलेबिलिटी (Availability) म्हणजे उपलब्धता. संदेश पाठवणारी, साठवणारी आणि शोधणारी व्यवस्था कायम उपलब्ध असली पाहिजे.

आणि चौथी आहे नॉन रेप्यूडिएशन (Non Repudiation) म्हणजे नाकारण्याची शक्यता नसणे. ज्याने संदेश पाठवला त्याला, 'तो त्यानेच पाठवला आहे' हे आणि ज्याला संदेश मिळाला त्याला, 'तो मिळाला आहे' हे नाकारता येणे अशक्य असले पाहिजे.

एखाद्या व्यवस्थेत जर या चार संकल्पना पूर्णपणे राबवल्या असतील तर ती इंटरनेटवरील माहितीच्या बाबतीतील परिपूर्ण आणि सुरक्षित व्यवस्था आहे हे मानले जात होते. इंटरनेट बँकिंगची सुविधा देणाऱ्या सर्व बँका, इंटरनेट वापरून इंश्युरन्स विकणाऱ्या, रेल्वे किंवा विमान प्रवास बुकिंग करून देणाऱ्या ईमेल सुविधा देणाऱ्या, वस्तू विकणाऱ्या ईबे किंवा अमॅझॉनसारख्या कंपन्या, आयकर किंवा तत्सम कराची विवरणपत्रके स्वीकारणारे सरकारी विभाग, या सर्व व्यवस्थांमध्ये या चारही संकल्पना काटेकोरपणे अमलात आणण्याकडे सगळ्यांचे लक्ष होते. फेसबुकनेदेखील सोशल नेटवर्कची आपली व्यवस्था उभारताना या चारही संकल्पना बिनचूकपणे अमलात आणल्या होत्या आणि अजूनही त्यांच्यात कुठेही निष्काळजीपणा केलेला नाही. त्यामुळे फेसबुक आपल्या व्यवस्थेबद्दल आश्वस्त होती.

असे असेल तर मग डेटा चोरी झालीच कशी?
उत्तर अगदी सोपे आहे. ते लपले आहे वर उल्लेख केलेल्या संकल्पनांपैकी पहिल्या संकल्पनेमध्ये आणि फेसबुकवर तयार होणाऱ्या डेटामध्ये.

इंटरनेट सिक्युरिटीमध्ये पहिली संकल्पना आहे कॉन्फिडेन्शियालीटी (Confedentiality) म्हणजे गुप्तता. जेव्हा आपण आपला एखादा फोटो किंवा व्हिडीओ किंवा पोस्टस्वरूपातील कुठलाही डेटा आपल्या फोनमधून किंवा डेस्कटॉपवरून फेसबुकच्या सर्व्हरकडे पाठवतो तेव्हा जर आपल्या फोनमध्ये / डेस्कटॉपवर कुठलेही मालवेअर नसेल तर तो डेटा फेसबुकच्या सर्व्हरपर्यंत गुप्तपणेच पोहोचतो. इंटरनेटवरून तो डेटा फेसबुकपर्यंत पोहोचताना मध्ये तो इतर कुणाला बघता येत नाही. पण गंमत नंतर सुरु होते. एकदा तुमची पोस्ट फेसबुकच्या सर्व्हरपर्यंत पोहोचली की तुम्हाला ती सगळ्यांना दाखवायची असते. म्हणजे ती पोस्ट फेसबुकवर प्रसिद्ध व्हावी, जगाला दिसावी, गुप्त न राहावी हीच तुमची इच्छा असते. किंबहुना, तुम्ही इतरांच्या कुठल्या पोस्टला लाईक केले आहे, काय प्रतिसाद दिला आहे तो देखील संपूर्ण जगासमोर खुला असतो. त्यात गुप्त असे काही नसते.

तुमच्या बँक खात्यात किती पैसे आहेत, तुम्ही कधी किती पैसे भरले, काढले याची माहिती जगाला कळावी असे तुम्हाला वाटत नाही. म्हणजे जेव्हा तुम्ही इंटरनेट वापरून बँकेचे व्यवहार करता तेव्हा तुम्हाला व्यवहार करताना कॉन्फिडेन्शियालीटीची (Confedentiality) गुप्ततेची आवश्यकता असते व व्यवहार करून झाल्यावर प्रायव्हसीची (privacy) गोपनीयतेचीही अपेक्षा असते. याउलट इंटरनेट वापरून फेसबुकवर जाताना जगापुढे प्रसिद्धी हीच अपेक्षा असल्याने डेटा पाठवताना गुप्तता (confidentialitty) हवी की नको आणि डेटा पाठवून झाल्यावर (privacy) गोपनीयता हवी की नको याबाबत यूझर्स अतिशय गोंधळलेले असतात.

पण फेसबुकवर आपली पोस्ट प्रसिद्ध झाली आणि ती जगासाठी खुली राहिली तर अनोळखी व्यक्तींकडून त्रास होऊ शकतो किंवा काही ओळखीच्या व्यक्तींनाही काही पोस्ट दिसू नये असे यूझर्सना वाटू शकते; याचे भान ठेवत फेसबुकने प्रायव्हसी सेटिंग्ज नावाची व्यवस्था सुरु केली. नीट विचार केला तर लक्षात येईल की ही प्रायव्हसी सेटिंग्ज खरं तर पब्लिसिटी सेटिंग्ज आहेत, कारण आपल्या पोस्ट्स कुठल्या लोकांना दिसाव्यात याचे ते सेटिंग्ज आहेत. केवळ नाव प्रायव्हसी सेटिंग्ज दिल्यामुळे अनेकांना आपला डेटा फेसबुकवर प्रायव्हेट (गोपनीय) आहे असा भ्रम झाला. तुमच्या पोस्ट्स कुणाला दिसतील, तुम्ही ज्यांना ब्लॉक कराल त्यांना दिसतील की नाही यावर जरी तुमचे नियंत्रण असले तरी तुम्ही कुठल्या भाषेत पोस्ट करता, कुठून पोस्ट करता, कुठल्या विषयांवर पोस्ट करता, कुठल्या विषयांवर प्रतिसाद देता, कशावर कश्या प्रकारे रिऍक्शन देता हा डेटा फेसबुककडे जमा होत होता. आणि फेसबुकने त्याचे काय करावे यावर तुमचे नियंत्रण नव्हते आणि अजूनही नाही.

हा डेटा किती असतो हे समजण्यासाठी फेसबुक तुम्हाला मधून मधून जी समरी देते ती नीट बघा.मागील अमुक महिन्यात तुम्ही किती नवीन मित्र केलेत, किती पोस्ट्सना लाईक, लव्ह, हाहा केलेत, किंवा तुमच्या पोस्ट्सना किती जणांनी काय रिअक्शन दिली त्याचे छान दिसणारे व्हिडीओ पहा. आणि आता असा विचार करा की फेसबुककडे सगळ्या यूझर्सचा असा संपूर्ण डेटा आहे. आणि छान दिसणारे व्हिडीओ तुम्हाला दाखवण्याखेरीज या डेटाचे फेसबुकने काय करावे यावर आपले काही नियंत्रण नाही.

मग फेसबुकने ग्राफ एपीआय (Graph API) नावाची व्यवस्था उभी केली. आणि सर्व यूजर्सचा हा सगळा डेटा जाहिरातदारांसाठी खुला केला. केवळ जाहिरातदारांसाठी नाही तर ज्याला फेसबुक डेव्हलपर कार्यक्रमात भाग घ्यायचा आहे त्या सर्वांसाठी खुला केला.

जास्तीत जास्त लोक मोबाईलवरून फेसबुक वापरू लागले होते. त्यांचे अकाउंट कुणी हॅक करू नये म्हणून फेसबुकने त्यांना अकाउंट फेसबुकशी जोडून घेण्याचा सल्ला दिला. मोबाईलवरून आपली मोफत सेवा वापरणाऱ्या लोकांनी कुठल्याही ब्राऊजरमधून आपल्या वेबसाईटवर न येता केवळ फेसबुकचे ऍप वापरावे जेणेकरून कुठल्याही ब्राऊजरद्वारे गूगलला फार माहिती मिळणार नाही आणि एकदा का फेसबुकवर आले की मग बाहेर न पडता सगळे यूझर्स इथेच एकमेकांच्या भिंतीवर खेळत बसतील म्हणून फेसबुकने आपले ऍप पुढे रेटण्याचा जोरदार प्रयत्न केला. जेव्हा ऍप ऍपलच्या आयफोनसाठी बनवायचे तेव्हा ऍपलच्या जाचक अटी पाळाव्या लागतात. पण अँड्रॉइडसाठी बनवायचे तर अटी शिथिल असतात (कारण वेगवेगळ्या मोबाईल उत्पादकांना सोयीचे व्हावे म्हणून अँड्रॉइडची व्यवस्था ऍपलच्या व्यवस्थेपेक्षा फार मोकळी ढाकळी आहे) याचा फेसबुकने फायदा घेतला.

ऍप कसे असावे? त्याला आयफोनच्या ऑपरेटिंग सिस्टिमकडून कुठली आणि किती माहिती मिळेल? याचे नियम ऍपल ठरवते. त्यामुळे जे ऍप आयफोनच्या यूझर्सना मिळते ते डाउनलोड करून वापरणे इतकी साधी गोष्ट यूझर्ससाठी बाकी राहिलेली असते.फक्त ऍपला कुठल्या कुठल्या परवानगी द्यायच्या ते आधी ठरवायचे. याउलट सिस्टीम मोकळी ढाकळी ठेवणे आवश्यक असल्याने अँड्रॉइडला सुरवातीला ते आवश्यक वाटले नाही. अर्थात पाचव्या आवृत्तीनंतर अँड्रॉइडनेही तेच धोरण राबवत युझर्सवर एक जबाबदारी टाकली. कुठलेही ऍप डाउनलोड केलेत आणि वापरायला सुरवात करणार असाल तर आता अँड्रॉइड तुम्हाला अनेक प्रश्न विचारेल. जसे की, या ऍपला तुमची फोटो गॅलरी बघायची आहे, परवानगी देऊ का? तुमचे काँटॅक्ट्स बघायचे आहेत, परवानगी देऊ का? तुमचे कॉल लॉग बघायचे आहेत, परवानगी देऊ का? तुमचे एसेमेस आणि त्याचे लॉग बघायचे आहेत, परवानगी देऊ का? तुमचा कॅमेरा वापरायचा आहे, परवानगी देऊ का? तुमची लोकेशन ट्रॅक करायची आहे, परवानगी देऊ का? मग तुम्ही हो किंवा नाही म्हणाल त्याप्रमाणे त्या ऍपला विविध परवानगी मिळू लागतात किंवा मिळणे बंद होते. आता जर तुम्ही फेसबुक ऍपला फोटो गॅलरी बघण्याची परवानगी नाकारलीत तर मग तुमच्या फोनमधून कुठलाही फोटो फेसबुक ऍप वापरून फेसबुकवर टाकणे अशक्य असेल. जर तसे करायचे असेल तर आधी नाकारलेली परवानगी फेसबुक ऍपला देऊन मग तुम्ही पुढे जाऊ शकाल.

फोटो गॅलरी, कॅमेरा प्रकरण ठीक आहे. पण फेसबुकने अँड्रॉइडसाठी जे ऍप बनवले त्यात फेसबुकने यूझर्सचे फोन नंबर, काँटॅक्ट्सचे नाव आणि नंबर, एसेमेसचा मेटा डेटा (किती वाजता, कुणाला, किती अक्षरे वगैरे) बघायची परवानगी मागितली. वर मी सांगितलेली अँड्रॉइडची प्रश्न विचारण्याची पद्धत साधारणपणे अँड्रॉइडच्या पाचव्या आवृत्तीपासून (अँड्रॉइड लॉलीपॉपपासून) सुरु झाली. त्याआधी सर्व ऍप्सना त्यांनी मागितलेल्या सर्व परवानग्या आपोआप मिळत होत्या. आणि लॉलीपॉप आवृत्तीनंतरही अनेक यूझर्स अँड्रॉइडने विचारलेल्या प्रत्येक प्रश्नांचं उत्तर ‘हो. परवानगी द्या.’ असंच देतात. त्यामुळे फेसबुककडे अनेक यूझर्सचा डेटा अतिप्रचंड प्रमाणात गोळा होऊ लागला. आणि फेसबुक ग्राफ एपीआय मुळे जाहिरातदार, गेम डेव्हलपर्स अश्या अनेकांना तो उपलब्ध होऊ लागला.

तुमच्या पोस्ट्स कुणाला दिसाव्यात हे तुमच्या हातात होतं पण तुम्ही तयार केलेला महाप्रचंड डेटा फेसबुकने कसा वापरावा यावर कुणाचंच नियंत्रण नव्हतं. Confidentiality, Authentication, Availability आणि Non Repudiation या तत्वांवर उभी असलेली व्यवस्था इंटरनेट बँकिंग साठी, ईमेलसाठी, सरकारी कार्यालयांसाठी योग्य होती. कारण तिथे व्यवहार जगाला दाखवणे हा मुद्दाच नव्हता. परंतु या संकल्पना तयार होऊन ३० -४० वर्षे लोटल्यानंतर जन्म घेतलेल्या फेसबुकसमोर नवीन प्रश्न होता. लोक इथे जे करणार होते ते जगाला दाखवण्यासाठीच करणार होते. आणि सेवा फुकट ठेवायची होती. त्यामुळे जाहिरातदार आवश्यक होते. आणि लोकांना फेसबुकबाहेर पडू द्यायचे नव्हते त्यामुळे गेम्स आणि इतर गमतीदार ऍप्स असणेही आवश्यक होते. परिणामी फेसबुकने प्रायव्हसी सेटिंग्जच्या नावाखाली आपल्या हातात पब्लिसिटी सेटिंग्ज ठेवली. आणि तयार होणारा महाप्रचंड डेटा सर्व ऍप्सना उपलब्ध करून दिला.

थोडक्यात सांगायचं म्हणजे फेसबुकवर आपण सगळ्यांनी मुख्य दाराला कुलूप लावले पण सर्व खिडक्या उघड्या ठेवल्या आणि मागचे दार उघडे ठेवले. डेटा चोरी कुणी केली नाही. तर आपण सगळ्यांनी आपापला डेटा फेसबुकला, त्याच्यावरच्या गेम्सना, विविध ऍप्सना स्वहस्ते उपलब्ध करून दिला. त्याद्वारे आपण कोण? आपले मित्र कोण? आपण काय वाचतो, कशावर कसा प्रतिसाद देतो? ही माहिती ज्याला हवी त्याला मिळू लागली.

आणि अशात एक दिवस केम्ब्रिज ऍनालिटिका फेसबुकवर आली.

No comments:

Post a Comment