نقشه ساخت آنتی ویروس در مصاحبه سنجای کتکار با ایتنا

ایتنا- سنجای کتکار ، مدیر ارشد فنی، طراح و عضو هیات مدیره شرکت تکنولوژی‌های کوییک هیل می‌باشد. برای روشن شدن بعضی از مسائل در مورد این شرکت امنیتی و بالاخص مباحث فنی در زمینه ویروس و ضد ویروس جلسه مصاحبه ای با او برگزار کردیم.

کوییک هیل، تولیدکننده پیشروی آنتی‌ویروس و ابزار امنیت اینترنتی است. از زمان پایه‌گذاری شرکت در سال ۱۹۹۳ کوییک هیل پیوسته درگیر تحقیق و توسعه حوزه فناوری آنتی‌ویروس می‌باشد. 

به همین جهت، در گفت‌وگویی اختصاصی با آقای سنجای کاتکار، مدیر ارشد فنی و عضو هیئت مدیره شرکت کوییک‌هیل تکنولوژی، تاریخچه شکل‌گیری و برنامه‌های این شرکت را بررسی کرده‌ایم که در ادامه می‌خوانید. از همکاری و هماهنگی نمایندگی کوییک‌هیل در ایران نیز سپاسگزاریم. 

شما یکی از بنیانگذاران و مدیر ارشد تکنولوژی شرکت کوییک هیل هستید؛ لطفا درمورد حرفه خود بیشتر برای ما توضیح دهید. کار ما ردیابی آخرین تهدیدهای اینترنتی، بدافزارهای جدید و تکنولوژی‌هایی است که هکرها و مجرمین شبکه از آنها برای نفوذ به سیستم و ضربه زدن به آن استفاده می‌کنند. در واقع کار من کمک به کاربران کامپیوتر برای محافظت از سیستم‌هایشان و اطلاعات ذخیره شده در آنها با استفاده از آخرین تکنولوژی‌های مربوط به امنیت IT می‌باشد. همچنین تحقیقات در رابطه با میزان آسیب‌پذیری پایگاه‌های جدید از دیدگاه امنیتی بر عهده من است. 

کوییک هیل چطور راه‌اندازی شد؟ چرا تصمیم گرفتید روی یک نرم‌افزار آنتی ویروس کار کنید؟ 
در زمان فارغ‌التحصیلی و فعالیت‌های مربوط به آن، من علاقه‌مند به تحقیق در رابطه با آنتی‌ویروس و تحلیل ویروس‌ها شدم. در طی مطالعات پس از تحصیل، به نتایجی رسیدم که بتوانم از کامپیوتر خود در برابر ویروس‌های آن زمان محافظت کنم. برادر بزرگ من کایلاش در آن زمان در زمینه نصب و تعمیر کامپیوتر فعالیت می‌کرد. او از من خواست نتایج بدست آمده خود را در قالب یک محصول ارائه دهم. اینچنین بود که اولین نسخه کوییک‌هیل متولد شد. پس از تکمیل مطالعاتم کوشش کردم ویژگی‌های این نرم‌افزار را توسعه دهم که منجر به Quick Heal Anti-Virus ۳.۰ در سال‌های ۱۹۹۴-۹۵ شد. 

لطفا در مورد نحوه عملکرد تکنیکی یک نرم‌افزار آنتی‌ویروس کمی بیشتر توضیح دهید؟ 
پاسخ به این سوال می‌تواند طولانی، فنی و خارج از حوصله خوانندگان شما باشد. من سعی می‌کنم با فهرست‌بندی اینکه هریک از اجزای آنتی‌ویروس چطور کار می‌کند، در مورد آن یک بررسی کلی انجام دهم. یک نرم افزار آنتی‌ویروس کامل شامل چندین واحد مهم مانند اکسنر، اسکن حافظه، محافظ از ایمیل، محافظ بلادرنگ (Real Time) و غیره می‌باشد. ترکیب این واحدها محافظت کاملی به سیستم می بخشد. در هسته همه این بخش‌ها موتور آنتی‌ویروس است که هدف اسکن ویروس را دنبال می‌کند. این یک موتور قدرتمند چندرشته‌ای (multi-threaded) و چندوظیفه‌ای(multi-tasking) است که می‌تواند فایل/فولدر/ بافر را به صورت کارآمد برای هرنوع بدافزار و تهدید اسکن کند. هریک از این واحدها از نظر کاربرد و یکپارچه شدن با سیستم، جهت تامین محافظت کاملا پیچیده هستند.مثلا Real Time Protection بر مبنای درایور فایل سیستم که درهسته قرار دارد عمل می‌کند. این واحد در همه فعالیت‌های پدید آمده در سیستم نفوذ می‌کند تا اطمینان پیدا کند دسترسی به فایل‌ها بدون آلودگی هستند. Email protection بر مبنای درایور کارت شبکه عمل می‌کند و همه ایمیل‌های دریافتی و ارسالی را به صورت پیشگیرانه بررسی و اسکن می‌نماید. 
مهم‌ترین جزء موتور آنتی‌ویروس شامل بخش‌های مختلفی مانند شناسایی و تجزیه فرمت، از حالت آرشیوی و بسته‌بندی درآوردن، اسکنر امضاء، نمونه‌ساز و غیره استُ. به عبارت ساده‌تر کار اصلی موتور آنتی‌ویروس اسکن فایل از ویروس و حضور سایر بدافزارها از طریق اسکن اولیه تعاریف ویروس(امضاء) می‌باشد. پس از آن موتور ویروس‌یاب اسکن‌های مختلفی را برحسب نوع فایل و محتوای فایل به کار می‌گیرد. مانند موتور شناسایی ویروس چندریختی، شناسایی نشانه‌های عمومی بدافزار و غیره. همچنین ابزاری در بیشتر موتورهای آنتی‌ویروس به نام اسکنر اکتشافی وجود دارد که برای شناسایی مالویرهای ناشناخته جدید به کار می‌رود. 
امیدوارم پاسخم به اندازه کافی در رابطه با تکنولوژی محصولات آنتی‌ویروس شفاف بوده و خوانندگان را راضی کرده باشد. 

به نظر شما یک مهندس باید چه دانش فنی داشته باشد تا بتواند در زمینه تکنولوژی آنتی‌ویروس فعالیت کند؟ آیا نیاز به داشتن دانش عمیق در زمینه سیستم‌های عامل می باشد؟ تکنولوژی آنتی‌ویروس در طی زمان تغییرات بسیاری کرده و شکل بزرگی از سیستم امنیتی شامل جنبه‌های متفاوت امنیت را به خود گرفته است. از آنجا که هرروز تهدیدهای امنیتی تازه‌ای کشف می‌شود، حوزه سیستم امنیتی نرم‌افزارهای ضدویروس در همه زمینه‌ها رشد کرده‌اند. برای مقابله با همه این تهدیدها شخص نیاز به داشتن دانش عمیق در زمینه سیستم مورد نظر دارد. بسیار دشوار است که یک شخص به تنهایی بتواند دانش عمیقی در زمینه همه سیستم عامل‌ها با تکنولوژی‌های متفاوت را در عصر حاضر داشته باشد. بنابراین فضا برای همه کسانی که دانش عمیقی درباره هر یک از جنبه‌های سیستم‌های عامل یا شبکه دارند وجود دارد. این حوزه می‌تواند سیستم فایل، شبکه، فرمت فایل، مدیریت حافظه ،مهندسی معکوس، تحلیل بدافزار، آنالیز آسیب‌پذیری، پیامگذاری و غیره باشد. 
شما درست می‌گویید، یک مهندس بیش از ۹۰% به اطلاعات کامل در زمینه مفاهیم سیستم عامل و به طور خاص بخشی که روی آن کار می کند نیاز دارد. مثلا مهندسی که در زمینه سیستم فایل اطلاعات دارد ممکن است در مورد مهندسی معکوس وارد نباشد. 

بدترین نوع ویروس، تروجان یا کرم رایانه‌ای که در کوییک‌هیل با آن مواجه شدید چه بود؟ چطور تیم مهندسی شما به این تهدیدها پاسخ می‌دهد؟ امروزه بیشتر بدافزارها برای ما حکم بدترین را دارند، از آنجا که مجرمین شبکه از طریق Hack کردن امرار معاش می‌کنند، کوشش می‌کنند برای مدت طولانی ناشناس باقی بمانند. آنها با استفاده یا استقرار بهترین ابزارها و بدافزارها کار خود را به بهترین وجه انجام می‌دهند. بنابراین جدیدترین بدافزارها بهترین بسته‌بندی، رمزنگاری و قابلیت نفوذ را دارند که شناسایی آنها را دشوار می‌کند. 
اگر شما به دنبال اسامی خاصی از ویروس/تروجان/کرم اینترنتی هستید، اجازه بدهید بگویم پیچیده‌ترین تکنیک‌هایی که مالویرها استفاده می‌کنند غیرمعروف‌ترین آنهاست؛ در حالی‌که ساده‌ترین ویروس‌ها مشهور شده و رو به گسترشند. بنابراین اسامی که من ذکر می‌کنم ممکن است به نظر آشنا نیایند چون معروف نیستند اما بدترین انواع بدافزار به شمار می‌آیند. دسته‌های چندریختی و دگرگون شده مالور بدترین انواع آنها هستند و چند نوع از آنها که فروشندگان آنتی‌ویروس‌ها را به دردسر انداخته شامل موارد زیر می‌باشد: 
One Half, Natas در سیستم عامل MS-DOS 
W۳۲/Marburg, W۳۲/CTX, W۳۲/Crypto, W۳۲/Zmist, W۳۲/Etap در سیستم‌عامل ویندوز 
جهت اجرای شناسایی دقیق و به موقع در مورد چنین مالویرهایی، تحلیلگران مالویر ما از تکنیک‌های نوین و بدیع مهندسی معکوس استفاده می‌کنند. در بسیاری از مواقع این امر تلاش جمعی گروهی از مهندسان را برمی‌انگیزاند تا مالور را قسمت به قسمت شناسایی کنند تا به راه حلی برسند. هرگاه چنین موقعیتی ایجاد شد تیم فنی کوییک‌هیل بصورت شبانه‌روز کار می‌کنند تا به راه حل منطقی شناسایی مالور برسد و آنرا به صورت آپدیت برای کاربران ارائه دهند. 

کوییک هیل برای عبور از رقبای خود چه برنامه‌ای دارد؟ همه همکاران در کوییک هیل از منشی دفتر گرفته تا مدیریت ارشد به صورت یک تیم کار می‌کنند و نهایت کوشش خود را به کار می‌گیرند. تمرکز ما بر روی رضایت مشتریانمان است که آن را به طور مداوم مد نظر قرار می‌دهیم تا از چگونگی خواسته‌های دقیق مشتریانمان اطمینان حاصل کنیم و نهایت کوشش خود را به عنوان عرضه‌کننده محصولات امنیتی برای جلب رضایت مشتریانمان به کار می‌بندیم. در این روند ما هرگز توجه چندانی به رقابت نداشته‌ایم. 

کوییک هیل راه حل‌های آنتی‌ویروس را برای انواع سیستم عامل‌های UNIX ارائه می‌دهد. نوع ویروس‌هایی که بر روی سیستم‌عامل‌های مبتنی بر یونیکس اثر می‌گذارند چیست؟ ویروس‌هایی بر سیستم‌عامل‌های UNIX و یونیکس-مانند اثر می‌گذارند که به طور کلی از فرمت فایل اجرایی ELF استفاده کنند. یونیکس انواع متفاوتی از بدافزارها را به خود دیده مانند ویروس‌های برمبنای shell-code، ویروس‌های اسکریپتی، ویروس‌های فایل‌های ELF آلوده به ویروس‌ها، کرم‌های منتشر شده از طریق ایمیل و root-kitها. به علاوه پلتفرم‌های مشهور UNIX نیز مکان مناسبی برای ورود مالورهای مرسوم بر مبنای ویندوز می باشند. 

ضمن سپاس از شما، آیا برای خوانندگان ایرانی پیامی دارید؟ 
توصیه من به تمام مهندسین نرم‌افزار این است که عرصه جرایم شبکه به معنای واقعی درحال گسترش است و به گونه بی‌حد و حصر اهداف منفی خود را می‌جوید. همه آنهایی که در زمینه فعالیت‌های تجاری و تکنولوژی کار می‌کنند، لطفا مراقبت امنیتی را به طور دقیق در هر سطح مهندسی نرم افزار رعایت کنند. از مرحله طراحی تا مرحله آزمایش باید جنبه‌های امنیتی در فرایند لحاظ شود. به خصوص در مرحله آزمایش لطفاً مهندسان تقاضاها را از دیدگاه امنیتی مورد بررسی قرار دهند. برای اطلاعات بیشتر در این زمینه به کتابی از مایکروسافت تحت عنوان The Security Development Life Cycle (چرخه حضور توسعه امنیت) تالیف Michael Howard & Steve Lipner مراجعه کنید. این کتاب جالبی برای آغاز به تفکر در این مسیر می‌باشد. با چنین فعالیتی اگر نتوانیم جلوی هک شدن را بگیریم حداقل فعالیت‌های مضر و خرابکارانه را محدودتر و انجام آنها را دشوارتر می‌سازیم. 
بسیار متشکرم که مرا برای این مصاحبه دعوت کردید. امیدوارم پاسخ‌های من برای خوانندگان مفید بوده باشد. اگر پرسش‌ها و تردیدهای بیشتری دارید می‌توانید از طریق ادرس ایمیل اسم کوچکم در کوییک هیل دات کام با من در میان بگذارید تا پاسخ دهم.