نقشه ساخت آنتي ويروس

[ashkin.kh]

گفت وگوي اختصاصي ايتنا با مدير كوييك هيل

ايتنا- سنجاي كتكار ، مدير ارشد فني، طراح و عضو هيات مديره شركت تكنولوژي هاي كوييك هيل مي باشد. براي روشن شدن بعضي از مسائل در مورد اين شركت امنيتي و بالاخص مباحث فني در زمينه ويروس و ضد ويروس جلسه مصاحبه اي با او برگزار كرديم.


کوييک هيل، توليدکننده پيشروي آنتي ويروس و ابزار امنيت اينترنتي است. از زمان پايه گذاري شرکت در سال ۱۹۹۳ کوييک هيل پيوسته درگير تحقيق و توسعه حوزه فناوري آنتي ويروس مي باشد.

به همين جهت، در گفت وگويي اختصاصي با آقاي سنجاي کاتکار، مدير ارشد فني و عضو هيئت مديره شركت کوييک هيل تکنولوژي، تاريخچه شكل گيري و برنامه هاي اين شركت را بررسي كرده ايم كه در ادامه مي خوانيد. از همكاري و هماهنگي نمايندگي كوييك هيل در ايران نيز سپاسگزاريم.

شما يکي از بنيانگذاران و مدير ارشد تکنولوژي شرکت کوييک هيل هستيد؛ لطفا درمورد حرفه خود بيشتر براي ما توضيح دهيد.
کار ما رديابي آخرين تهديدهاي اينترنتي، بدافزارهاي جديد و تکنولوژي هايي است که هکرها و مجرمين شبکه از آنها براي نفوذ به سيستم و ضربه زدن به آن استفاده مي کنند. در واقع کار من کمک به کاربران کامپيوتر براي محافظت از سيستم هايشان و اطلاعات ذخيره شده در آنها با استفاده از آخرين تکنولوژي هاي مربوط به امنيت IT مي باشد. همچنين تحقيقات در رابطه با ميزان آسيب پذيري پايگاه هاي جديد از ديدگاه امنيتي بر عهده من است.

کوييک هيل چطور راه اندازي شد؟ چرا تصميم گرفتيد روي يک نرم افزار آنتي ويروس کار کنيد؟
در زمان فارغ التحصيلي و فعاليت هاي مربوط به آن، من علاقه مند به تحقيق در رابطه با آنتي ويروس و تحليل ويروس ها شدم. در طي مطالعات پس از تحصيل، به نتايجي رسيدم که بتوانم از کامپيوتر خود در برابر ويروس هاي آن زمان محافظت کنم. برادر بزرگ من کايلاش در آن زمان در زمينه نصب و تعمير کامپيوتر فعاليت مي کرد. او از من خواست نتايج بدست آمده خود را در قالب يک محصول ارائه دهم. اينچنين بود که اولين نسخه کوييک هيل متولد شد. پس از تکميل مطالعاتم کوشش کردم ويژگي هاي اين نرم افزار را توسعه دهم که منجر به Quick Heal Anti-Virus ۳.۰ در سال هاي ۱۹۹۴-۹۵ شد.

لطفا در مورد نحوه عملكرد تكنيكي يک نرم افزار آنتي ويروس كمي بيشتر توضيح دهيد؟
پاسخ به اين سوال مي تواند طولاني، فني و خارج از حوصله خوانندگان شما باشد. من سعي مي کنم با فهرست بندي اينکه هريک از اجزاي آنتي ويروس چطور کار مي کند، در مورد آن يک بررسي کلي انجام دهم. يک نرم افزار آنتي ويروس کامل شامل چندين واحد مهم مانند اكسنر، اسكن حافظه، محافظ از ايميل، محافظ بلادرنگ (Real Time) و غيره مي باشد. ترکيب اين واحدها محافظت کاملي به سيستم مي بخشد. در هسته همه اين بخش ها موتور آنتي ويروس است که هدف اسکن ويروس را دنبال مي کند. اين يک موتور قدرتمند چندرشته اي (multi-threaded) و چندوظيفه اي(multi-tasking) است که مي تواند فايل/فولدر/ بافر را به صورت كارآمد براي هرنوع بدافزار و تهديد اسکن کند. هريک از اين واحدها از نظر کاربرد و يکپارچه شدن با سيستم، جهت تامين محافظت کاملا پيچيده هستند.مثلا Real Time Protection بر مبناي درايور فايل سيستم كه درهسته قرار دارد عمل مي كند. اين واحد در همه فعاليت هاي پديد آمده در سيستم نفوذ مي کند تا اطمينان پيدا کند دسترسي به فايل ها بدون آلودگي هستند. Email protection بر مبناي درايور كارت شبکه عمل مي کند و همه ايميل هاي دريافتي و ارسالي را به صورت پيشگيرانه بررسي و اسکن مي نمايد.
مهم ترين جزء موتور آنتي ويروس شامل بخش هاي مختلفي مانند شناسايي و تجزيه فرمت، از حالت آرشيوي و بسته بندي درآوردن، اسکنر امضاء، نمونه ساز و غيره استُ. به عبارت ساده تر کار اصلي موتور آنتي ويروس اسکن فايل از ويروس و حضور ساير بدافزارها از طريق اسکن اوليه تعاريف ويروس(امضاء) مي باشد. پس از آن موتور ويروس ياب اسکن هاي مختلفي را برحسب نوع فايل و محتواي فايل به کار مي گيرد. مانند موتور شناسايي ويروس چندريختي، شناسايي نشانه هاي عمومي بدافزار و غيره. همچنين ابزاري در بيشتر موتورهاي آنتي ويروس به نام اسکنر اکتشافي وجود دارد که براي شناسايي مالويرهاي ناشناخته جديد به کار مي رود.
اميدوارم پاسخم به اندازه کافي در رابطه با تكنولوژي محصولات آنتي ويروس شفاف بوده و خوانندگان را راضي کرده باشد.

به نظر شما يك مهندس بايد چه دانش فني داشته باشد تا بتواند در زمينه تکنولوژي آنتي ويروس فعاليت کند؟ آيا نياز به داشتن دانش عميق در زمينه سيستم هاي عامل مي باشد؟
تکنولوژي آنتي ويروس در طي زمان تغييرات بسياري کرده و شکل بزرگي از سيستم امنيتي شامل جنبه هاي متفاوت امنيت را به خود گرفته است. از آنجا که هرروز تهديدهاي امنيتي تازه اي کشف مي شود، حوزه سيستم امنيتي نرم افزارهاي ضدويروس در همه زمينه ها رشد کرده اند. براي مقابله با همه اين تهديدها شخص نياز به داشتن دانش عميق در زمينه سيستم مورد نظر دارد. بسيار دشوار است که يک شخص به تنهايي بتواند دانش عميقي در زمينه همه سيستم عامل ها با تکنولوژي هاي متفاوت را در عصر حاضر داشته باشد. بنابراين فضا براي همه کساني که دانش عميقي درباره هر يک از جنبه هاي سيستم هاي عامل يا شبکه دارند وجود دارد. اين حوزه مي تواند سيستم فايل، شبکه، فرمت فايل، مديريت حافظه ،مهندسي معکوس، تحليل بدافزار، آناليز آسيب پذيري، پيامگذاري و غيره باشد.
شما درست مي گوييد، يك مهندس بيش از ۹۰% به اطلاعات كامل در زمينه مفاهيم سيستم عامل و به طور خاص بخشي که روي آن کار مي کند نياز دارد. مثلا مهندسي که در زمينه سيستم فايل اطلاعات دارد ممکن است در مورد مهندسي معکوس وارد نباشد.

بدترين نوع ويروس، تروجان يا كرم رايانه اي که در کوييک هيل با آن مواجه شديد چه بود؟ چطور تيم مهندسي شما به اين تهديدها پاسخ مي دهد؟
امروزه بيشتر بدافزارها براي ما حکم بدترين را دارند، از آنجا که مجرمين شبکه از طريق Hack کردن امرار معاش مي کنند، کوشش مي کنند براي مدت طولاني ناشناس باقي بمانند. آنها با استفاده يا استقرار بهترين ابزارها و بدافزارها كار خود را به بهترين وجه انجام مي دهند. بنابراين جديدترين بدافزارها بهترين بسته بندي، رمزنگاري و قابليت نفوذ را دارند که شناسايي آنها را دشوار مي کند.
اگر شما به دنبال اسامي خاصي از ويروس/تروجان/كرم اينترنتي هستيد، اجازه بدهيد بگويم پيچيده ترين تکنيک هايي که مالويرها استفاده مي کنند غيرمعروف ترين آنهاست؛ در حالي که ساده ترين ويروس ها مشهور شده و رو به گسترشند. بنابراين اسامي که من ذکر مي کنم ممکن است به نظر آشنا نيايند چون معروف نيستند اما بدترين انواع بدافزار به شمار مي آيند. دسته هاي چندريختي و دگرگون شده مالور بدترين انواع آنها هستند و چند نوع از آنها که فروشندگان آنتي ويروس ها را به دردسر انداخته شامل موارد زير مي باشد:
One Half, Natas در سيستم عامل MS-DOS
W۳۲/Marburg, W۳۲/CTX, W۳۲/Crypto, W۳۲/Zmist, W۳۲/Etap در سيستم عامل ويندوز
جهت اجراي شناسايي دقيق و به موقع در مورد چنين مالويرهايي، تحليلگران مالوير ما از تکنيک هاي نوين و بديع مهندسي معکوس استفاده مي کنند. در بسياري از مواقع اين امر تلاش جمعي گروهي از مهندسان را برمي انگيزاند تا مالور را قسمت به قسمت شناسايي کنند تا به راه حلي برسند. هرگاه چنين موقعيتي ايجاد شد تيم فني كوييك هيل بصورت شبانه روز کار مي کنند تا به راه حل منطقي شناسايي مالور برسد و آنرا به صورت آپديت براي کاربران ارائه دهند.

کوييک هيل براي عبور از رقباي خود چه برنامه اي دارد؟
همه همكاران در کوييک هيل از منشي دفتر گرفته تا مديريت ارشد به صورت يک تيم كار مي کنند و نهايت کوشش خود را به کار مي گيرند. تمرکز ما بر روي رضايت مشتريانمان است که آن را به طور مداوم مد نظر قرار مي دهيم تا از چگونگي خواسته هاي دقيق مشتريانمان اطمينان حاصل کنيم و نهايت کوشش خود را به عنوان عرضه كننده محصولات امنيتي براي جلب رضايت مشتريانمان به کار مي بنديم. در اين روند ما هرگز توجه چنداني به رقابت نداشته ايم.

کوييک هيل راه حل هاي آنتي ويروس را براي انواع سيستم عامل هاي UNIX ارائه مي دهد. نوع ويروس هايي که بر روي سيستم عامل هاي مبتني بر يونيكس اثر مي گذارند چيست؟
ويروس هايي بر سيستم عامل هاي UNIX و يونيكس-مانند اثر مي گذارند که به طور کلي از فرمت فايل اجرايي ELF استفاده کنند. يونيكس انواع متفاوتي از بدافزارها را به خود ديده مانند ويروس هاي برمبناي shell-code، ويروس هاي اسكريپتي، ويروس هاي فايل هاي ELF آلوده به ويروس ها، كرم هاي منتشر شده از طريق ايميل و root-kitها. به علاوه پلتفرم هاي مشهور UNIX نيز مکان مناسبي براي ورود مالورهاي مرسوم بر مبناي ويندوز مي باشند.

ضمن سپاس از شما، آيا براي خوانندگان ايراني پيامي داريد؟
توصيه من به تمام مهندسين نرم افزار اين است که عرصه جرايم شبکه به معناي واقعي درحال گسترش است و به گونه بي حد و حصر اهداف منفي خود را مي جويد. همه آنهايي که در زمينه فعاليت هاي تجاري و تکنولوژي کار مي کنند، لطفا مراقبت امنيتي را به طور دقيق در هر سطح مهندسي نرم افزار رعايت کنند. از مرحله طراحي تا مرحله آزمايش بايد جنبه هاي امنيتي در فرايند لحاظ شود. به خصوص در مرحله آزمايش لطفاً مهندسان تقاضاها را از ديدگاه امنيتي مورد بررسي قرار دهند. براي اطلاعات بيشتر در اين زمينه به کتابي از مايکروسافت تحت عنوان The Security Development Life Cycle (چرخه حضور توسعه امنيت) تاليف Michael Howard & Steve Lipner مراجعه کنيد. اين کتاب جالبي براي آغاز به تفکر در اين مسير مي باشد. با چنين فعاليتي اگر نتوانيم جلوي هک شدن را بگيريم حداقل فعاليت هاي مضر و خرابکارانه را محدودتر و انجام آنها را دشوارتر مي سازيم.
بسيار متشکرم که مرا براي اين مصاحبه دعوت کرديد. اميدوارم پاسخ هاي من براي خوانندگان مفيد بوده باشد. اگر پرسش ها و ترديدهاي بيشتري داريد مي توانيد از طريق ادرس ايميل اسم کوچکم در کوييک هيل دات کام با من در ميان بگذاريد تا پاسخ دهم.