محرك مكافحة الفيروسات: كيف يعمل ولماذا نحتاج إليه

شرع بول أ. غانيوك في إصلاح هذا الخطأ الواضح. وهو أستاذ المعلوماتية الحيوية ولغات البرمجة في جامعة بوليتنيكا في بوخارست، وكان مهتمًا بالفيروسات وبرامج مكافحة الفيروسات منذ أن كان طفلاً. في كتابه محركات مكافحة الفيروسات: من الأساليب إلى الابتكارات والتصميم والتطبيقات، الذي تم نشره في أكتوبر الماضي، وهو يتعمق في التفاصيل الفنية للبرامج الضارة وكيفية مكافحتها، وكل ذلك مدفوعًا بتجربته الخاصة في تصميم محرك مكافحة الفيروسات – وهو برنامج يحمي الكمبيوتر من البرامج الضارة—من الصفر في منتصف العقد الأول من القرن الحادي والعشرين.

IEEE الطيف تحدث مع Gagniuc حول تجربته كمستخدم كمبيوتر مدى الحياة، وأساسيات مكافحة الفيروسات وأفضل الممارسات، ووجهة نظره حول كيفية تغير عالم البرامج الضارة وبرامج مكافحة الفيروسات على مدار العقود الماضية، وتأثيرات العملات المشفرة، ورأيه بشأن ما ستستمر المشكلات المتعلقة بمكافحة البرامج الضارة.

كيف أصبحت مهتمًا ببرامج مكافحة الفيروسات؟

بول جانيوك: نشأ الأفراد في عمري مع الإنترنت. عندما كنت أكبر، كان الغرب المتوحش، وكان هناك الكثير من المشاكل الأمنية. والمجال الأمني ​​كان في بدايته، إذ لم يكن هناك شيء مسيطر عليه حينها. حتى الأطفال الصغار تمكنوا من الوصول إلى أجزاء معقدة جدًا من البرامج مفتوحة المصدر. لقد وفرت المعرفة بالبرامج الضارة الكثير من القوة للشاب في ذلك الوقت، لذلك بدأت في فهم الرموز التي كانت متاحة بدءًا من سن 12 عامًا أو نحو ذلك. وكان هناك الكثير من الرموز المتاحة.

لقد كتبت الكثير من الإصدارات من الفيروسات المختلفة، وتمكنت من صنع بعضها بنفسي، ولكن ليس بقصد إلحاق الأذى، ولكن للدفاع عن النفس. في عام 2002 تقريبًا، بدأت أفكر في استراتيجيات مختلفة لاكتشاف البرامج الضارة. وبين عامي 2006 و2008، بدأت في تطوير محرك مضاد للفيروسات يسمى Scut Antivirus.

لقد حاولت إنشاء عمل تجاري يعتمد على برنامج مكافحة الفيروسات هذا، ومع ذلك، فإن الجانب التجاري وجانب البرمجة هما شيئان منفصلان. كنت المبرمج. لقد كنت الرجل الذي صنع الإطار البرمجي، لكن الجانب التجاري لم يكن رائعًا، لأنني لم أكن أعرف شيئًا عن الأعمال.

ما الذي كان مختلفًا في Scut Antivirus عن الحل الحالي من منظور تقني؟

جانيوك: السرعة وكمية الموارد التي استهلكتها. لقد كان غير مرئي تقريبًا للمستخدم، على عكس برامج مكافحة الفيروسات في ذلك الوقت. بدأ العديد من المستخدمين في وقت ما في تجنب برامج مكافحة الفيروسات لهذا السبب، لأنه في وقت ما، استهلك برنامج مكافحة الفيروسات الكثير من الموارد بحيث لم يتمكن المستخدم من القيام بعمله.

كيف يعمل برنامج مكافحة الفيروسات؟

جانيوك: كيف يمكننا اكتشاف فيروس معين؟ حسنًا، نأخذ جزءًا صغيرًا من كود ذلك الفيروس، ونضعه داخل قاعدة بيانات مكافحة الفيروسات.

ولكن ماذا نفعل عندما يكون لدينا مليون أو 2 مليون ملف ضار مختلف، وكلها مختلفة؟ إذن ما يحدث هو أن البرامج الضارة منذ عامين أو ثلاثة أعوام، على سبيل المثال، تمت إزالتها من قاعدة البيانات، لأن تلك الملفات لم تعد تشكل خطرًا على المجتمع بعد الآن، وما يتم الاحتفاظ به في قاعدة البيانات هو مجرد تهديدات جديدة.

وهناك خوارزمية موصوفة في كتابي تسمى خوارزمية Aho-Corasick. إنها خوارزمية خاصة جدًا تسمح للشخص بالتحقق من ملايين التوقيعات من الفيروسات مقابل ملف واحد مشتبه به. تم صنعه في السبعينيات، وهو سريع للغاية.

“بمجرد ظهور عملة البيتكوين، تحول كل نوع من البرامج الضارة الموجودة إلى نفسه إلى برنامج فدية.” —بول غانيوك، جامعة بوليتكنيكا في بوخارست

هذا هو أساس برامج مكافحة الفيروسات الكلاسيكية. الآن، يستخدم الناس الذكاء الاصطناعي لمعرفة مدى فائدته، وأنا متأكد من أنه يمكن أن يكون كذلك، لأن المشكلة الأساسية هي التعرف على الأنماط.

ولكن هناك أيضًا ملفات ضارة يمكنها تغيير التعليمات البرمجية الخاصة بها، تسمى البرامج الضارة متعددة الأشكال، والتي يصعب اكتشافها.

من أين يمكنك الحصول على قاعدة بيانات للفيروسات للتحقق منها؟

جانيوك: عندما كنت أعمل على Scut Antivirus، حصلت على بعض المساعدة من بعض المتسللين من أوكرانيا، الذين سمحوا لي بالحصول على قاعدة بيانات كبيرة، وبنك كبير للبرامج الضارة. إنه أرشيف يحتوي على عدة ملايين من الملفات المصابة بأنواع مختلفة من البرامج الضارة.

في ذلك الوقت، أصبح VirusTotal معروفًا أكثر فأكثر في عالم الأمان. قبل أن يتم شراؤها من قبل جوجل [in 2012]كان VirusTotal هو المكان الذي بدأت فيه جميع شركات الأمان بالتحقق من الملفات. لذا، إذا كان لدينا ملف مشتبه به، قمنا بتحميله إلى VirusTotal.

“أنا خائف من فقدان المعرفة، ليس فقط في مجال مكافحة الفيروسات، ولكن في مجال التكنولوجيا بشكل عام.” —بول غانيوك، جامعة بوليتكنيكا في بوخارست

لقد كان هذا نظامًا مثيرًا للاهتمام للغاية، لأنه سمح بالتحقق السريع من الملف المشبوه. ولكن كان لهذا أيضًا بعض العواقب. ما حدث هو أن كل شركة أمنية بدأت تصدق ما تراه في نتائج VirusTotal. وقد أدى ذلك إلى فقدان التنوع في المختبرات المختلفة، من كاسبيرسكي إلى نورتون.

كيف تغيرت البرامج الضارة خلال فترة مشاركتك في هذا المجال؟

جانيوك: هناك فترتان مختلفتان، وهما الفترة حتى عام 2009، والفترة التي تليها. ينقسم عالم الأمن عندما تظهر عملة البيتكوين.

قبل البيتكوين، كان لدينا فيروسات، وكان لدينا أحصنة طروادة، وكان لدينا ديدان، وكان لدينا أنواع مختلفة من سجلات المفاتيح الحلزونية. كان لدينا كل شيء. وكان التنوع مرتفعا. وكان لكل نوع من هذه الأنواع من البرامج الضارة غرض محدد، ولكن لم يكن هناك أي شيء مرتبط بالحياة الحقيقية. كانت برامج الفدية موجودة، لكنها كانت في ذلك الوقت مرحة بشكل أساسي. لماذا؟ لأنه لكي يكون لديك برنامج فدية، يجب أن تكون قادرًا على إلزام المستخدم بالدفع لك، ومن أجل الدفع، عليك الاتصال بالبنك. وعندما تقوم بالاتصال بالبنك، يجب أن يكون لديك بطاقة هوية.

بمجرد ظهور البيتكوين، تحول كل نوع من البرامج الضارة الموجودة إلى نفسه إلى برامج فدية. بمجرد أن يتمكن المستخدم من الدفع باستخدام البيتكوين أو أي عملة مشفرة أخرى، فلن يكون لديك أي سيطرة على هوية المتسلل.

إلى أين ترى مستقبل مضادات الفيروسات؟

جانيوك: من الصعب أن نقول ما سيأتي به المستقبل، ولكن لا غنى عنه. لا يمكنك العيش بدون نظام أمني. برامج مكافحة الفيروسات موجودة لتبقى. وبطبيعة الحال، سيتم إجراء الكثير من التجارب باستخدام الذكاء الاصطناعي.

لكنني خائف من فقدان المعرفة، ليس فقط في مجال مكافحة الفيروسات، ولكن في مجال التكنولوجيا بشكل عام. من وجهة نظري، حدث شيء ما في تعليم الشباب حوالي عام 2008، حيث أصبحوا أقل استعدادًا للعمل مع المجمع. اليوم، في جامعتي في بوخارست، أرى أن كل طالب هندسة يعرف شيئًا واحدًا وشيئًا واحدًا فقط: بايثون. وتستخدم بايثون آلة افتراضية، مثل Java، وهي عبارة عن مزيج بين ما كان يُسمى في الماضي لغة البرمجة النصية ولغة البرمجة. لا يمكنك أن تفعل بها ما يمكنك فعله باستخدام C++، على سبيل المثال.

لذا، على المستوى العالمي، كان هناك تراجع عن الاحتراف لدى الشباب، بينما في الماضي، في زمني، كان الجميع متقدمين. لا يمكنك العمل مع جهاز كمبيوتر دون أن تكون متقدمًا جدًا. يجب على كبار قادة شركاتنا في هذا النظام المعولم أن يأخذوا في الاعتبار إمكانية فقدان المعرفة.

هل كتبت الكتاب جزئيًا كمحاولة لإصلاح هذا النقص في المعرفة؟

جانيوك: نعم. في الأساس، يمكن تجنب فقدان المعرفة هذا إذا جلب كل شخص خبرته الخاصة إلى عالم النشر. لأنه حتى لو لم أكتب هذا الكتاب للبشر، على الرغم من أنني متأكد من أن الكثير من البشر مهتمون بالكتاب، على الأقل سيعرفه الذكاء الاصطناعي. هذا هو الواقع.