ایتنا- سنجای کتکار ، مدیر ارشد فنی، طراح و عضو هیات مدیره شرکت تکنولوژیهای کوییک هیل میباشد. برای روشن شدن بعضی از مسائل در مورد این شرکت امنیتی و بالاخص مباحث فنی در زمینه ویروس و ضد ویروس جلسه مصاحبه ای با او برگزار کردیم.
کوییک هیل، تولیدکننده پیشروی آنتیویروس و ابزار امنیت اینترنتی است. از زمان پایهگذاری شرکت در سال ۱۹۹۳ کوییک هیل پیوسته درگیر تحقیق و توسعه حوزه فناوری آنتیویروس میباشد.
به همین جهت، در گفتوگویی اختصاصی با آقای سنجای کاتکار، مدیر ارشد فنی و عضو هیئت مدیره شرکت کوییکهیل تکنولوژی، تاریخچه شکلگیری و برنامههای این شرکت را بررسی کردهایم که در ادامه میخوانید. از همکاری و هماهنگی نمایندگی کوییکهیل در ایران نیز سپاسگزاریم.
شما یکی از بنیانگذاران و مدیر ارشد تکنولوژی شرکت کوییک هیل هستید؛ لطفا درمورد حرفه خود بیشتر برای ما توضیح دهید. کار ما ردیابی آخرین تهدیدهای اینترنتی، بدافزارهای جدید و تکنولوژیهایی است که هکرها و مجرمین شبکه از آنها برای نفوذ به سیستم و ضربه زدن به آن استفاده میکنند. در واقع کار من کمک به کاربران کامپیوتر برای محافظت از سیستمهایشان و اطلاعات ذخیره شده در آنها با استفاده از آخرین تکنولوژیهای مربوط به امنیت IT میباشد. همچنین تحقیقات در رابطه با میزان آسیبپذیری پایگاههای جدید از دیدگاه امنیتی بر عهده من است.
کوییک هیل چطور راهاندازی شد؟ چرا تصمیم گرفتید روی یک نرمافزار آنتی ویروس کار کنید؟
در زمان فارغالتحصیلی و فعالیتهای مربوط به آن، من علاقهمند به تحقیق در رابطه با آنتیویروس و تحلیل ویروسها شدم. در طی مطالعات پس از تحصیل، به نتایجی رسیدم که بتوانم از کامپیوتر خود در برابر ویروسهای آن زمان محافظت کنم. برادر بزرگ من کایلاش در آن زمان در زمینه نصب و تعمیر کامپیوتر فعالیت میکرد. او از من خواست نتایج بدست آمده خود را در قالب یک محصول ارائه دهم. اینچنین بود که اولین نسخه کوییکهیل متولد شد. پس از تکمیل مطالعاتم کوشش کردم ویژگیهای این نرمافزار را توسعه دهم که منجر به Quick Heal Anti-Virus ۳.۰ در سالهای ۱۹۹۴-۹۵ شد.
لطفا در مورد نحوه عملکرد تکنیکی یک نرمافزار آنتیویروس کمی بیشتر توضیح دهید؟
پاسخ به این سوال میتواند طولانی، فنی و خارج از حوصله خوانندگان شما باشد. من سعی میکنم با فهرستبندی اینکه هریک از اجزای آنتیویروس چطور کار میکند، در مورد آن یک بررسی کلی انجام دهم. یک نرم افزار آنتیویروس کامل شامل چندین واحد مهم مانند اکسنر، اسکن حافظه، محافظ از ایمیل، محافظ بلادرنگ (Real Time) و غیره میباشد. ترکیب این واحدها محافظت کاملی به سیستم می بخشد. در هسته همه این بخشها موتور آنتیویروس است که هدف اسکن ویروس را دنبال میکند. این یک موتور قدرتمند چندرشتهای (multi-threaded) و چندوظیفهای(multi-tasking) است که میتواند فایل/فولدر/ بافر را به صورت کارآمد برای هرنوع بدافزار و تهدید اسکن کند. هریک از این واحدها از نظر کاربرد و یکپارچه شدن با سیستم، جهت تامین محافظت کاملا پیچیده هستند.مثلا Real Time Protection بر مبنای درایور فایل سیستم که درهسته قرار دارد عمل میکند. این واحد در همه فعالیتهای پدید آمده در سیستم نفوذ میکند تا اطمینان پیدا کند دسترسی به فایلها بدون آلودگی هستند. Email protection بر مبنای درایور کارت شبکه عمل میکند و همه ایمیلهای دریافتی و ارسالی را به صورت پیشگیرانه بررسی و اسکن مینماید.
مهمترین جزء موتور آنتیویروس شامل بخشهای مختلفی مانند شناسایی و تجزیه فرمت، از حالت آرشیوی و بستهبندی درآوردن، اسکنر امضاء، نمونهساز و غیره استُ. به عبارت سادهتر کار اصلی موتور آنتیویروس اسکن فایل از ویروس و حضور سایر بدافزارها از طریق اسکن اولیه تعاریف ویروس(امضاء) میباشد. پس از آن موتور ویروسیاب اسکنهای مختلفی را برحسب نوع فایل و محتوای فایل به کار میگیرد. مانند موتور شناسایی ویروس چندریختی، شناسایی نشانههای عمومی بدافزار و غیره. همچنین ابزاری در بیشتر موتورهای آنتیویروس به نام اسکنر اکتشافی وجود دارد که برای شناسایی مالویرهای ناشناخته جدید به کار میرود.
امیدوارم پاسخم به اندازه کافی در رابطه با تکنولوژی محصولات آنتیویروس شفاف بوده و خوانندگان را راضی کرده باشد.
به نظر شما یک مهندس باید چه دانش فنی داشته باشد تا بتواند در زمینه تکنولوژی آنتیویروس فعالیت کند؟ آیا نیاز به داشتن دانش عمیق در زمینه سیستمهای عامل می باشد؟ تکنولوژی آنتیویروس در طی زمان تغییرات بسیاری کرده و شکل بزرگی از سیستم امنیتی شامل جنبههای متفاوت امنیت را به خود گرفته است. از آنجا که هرروز تهدیدهای امنیتی تازهای کشف میشود، حوزه سیستم امنیتی نرمافزارهای ضدویروس در همه زمینهها رشد کردهاند. برای مقابله با همه این تهدیدها شخص نیاز به داشتن دانش عمیق در زمینه سیستم مورد نظر دارد. بسیار دشوار است که یک شخص به تنهایی بتواند دانش عمیقی در زمینه همه سیستم عاملها با تکنولوژیهای متفاوت را در عصر حاضر داشته باشد. بنابراین فضا برای همه کسانی که دانش عمیقی درباره هر یک از جنبههای سیستمهای عامل یا شبکه دارند وجود دارد. این حوزه میتواند سیستم فایل، شبکه، فرمت فایل، مدیریت حافظه ،مهندسی معکوس، تحلیل بدافزار، آنالیز آسیبپذیری، پیامگذاری و غیره باشد.
شما درست میگویید، یک مهندس بیش از ۹۰% به اطلاعات کامل در زمینه مفاهیم سیستم عامل و به طور خاص بخشی که روی آن کار می کند نیاز دارد. مثلا مهندسی که در زمینه سیستم فایل اطلاعات دارد ممکن است در مورد مهندسی معکوس وارد نباشد.
بدترین نوع ویروس، تروجان یا کرم رایانهای که در کوییکهیل با آن مواجه شدید چه بود؟ چطور تیم مهندسی شما به این تهدیدها پاسخ میدهد؟ امروزه بیشتر بدافزارها برای ما حکم بدترین را دارند، از آنجا که مجرمین شبکه از طریق Hack کردن امرار معاش میکنند، کوشش میکنند برای مدت طولانی ناشناس باقی بمانند. آنها با استفاده یا استقرار بهترین ابزارها و بدافزارها کار خود را به بهترین وجه انجام میدهند. بنابراین جدیدترین بدافزارها بهترین بستهبندی، رمزنگاری و قابلیت نفوذ را دارند که شناسایی آنها را دشوار میکند.
اگر شما به دنبال اسامی خاصی از ویروس/تروجان/کرم اینترنتی هستید، اجازه بدهید بگویم پیچیدهترین تکنیکهایی که مالویرها استفاده میکنند غیرمعروفترین آنهاست؛ در حالیکه سادهترین ویروسها مشهور شده و رو به گسترشند. بنابراین اسامی که من ذکر میکنم ممکن است به نظر آشنا نیایند چون معروف نیستند اما بدترین انواع بدافزار به شمار میآیند. دستههای چندریختی و دگرگون شده مالور بدترین انواع آنها هستند و چند نوع از آنها که فروشندگان آنتیویروسها را به دردسر انداخته شامل موارد زیر میباشد:
One Half, Natas در سیستم عامل MS-DOS
W۳۲/Marburg, W۳۲/CTX, W۳۲/Crypto, W۳۲/Zmist, W۳۲/Etap در سیستمعامل ویندوز
جهت اجرای شناسایی دقیق و به موقع در مورد چنین مالویرهایی، تحلیلگران مالویر ما از تکنیکهای نوین و بدیع مهندسی معکوس استفاده میکنند. در بسیاری از مواقع این امر تلاش جمعی گروهی از مهندسان را برمیانگیزاند تا مالور را قسمت به قسمت شناسایی کنند تا به راه حلی برسند. هرگاه چنین موقعیتی ایجاد شد تیم فنی کوییکهیل بصورت شبانهروز کار میکنند تا به راه حل منطقی شناسایی مالور برسد و آنرا به صورت آپدیت برای کاربران ارائه دهند.
کوییک هیل برای عبور از رقبای خود چه برنامهای دارد؟ همه همکاران در کوییک هیل از منشی دفتر گرفته تا مدیریت ارشد به صورت یک تیم کار میکنند و نهایت کوشش خود را به کار میگیرند. تمرکز ما بر روی رضایت مشتریانمان است که آن را به طور مداوم مد نظر قرار میدهیم تا از چگونگی خواستههای دقیق مشتریانمان اطمینان حاصل کنیم و نهایت کوشش خود را به عنوان عرضهکننده محصولات امنیتی برای جلب رضایت مشتریانمان به کار میبندیم. در این روند ما هرگز توجه چندانی به رقابت نداشتهایم.
کوییک هیل راه حلهای آنتیویروس را برای انواع سیستم عاملهای UNIX ارائه میدهد. نوع ویروسهایی که بر روی سیستمعاملهای مبتنی بر یونیکس اثر میگذارند چیست؟ ویروسهایی بر سیستمعاملهای UNIX و یونیکس-مانند اثر میگذارند که به طور کلی از فرمت فایل اجرایی ELF استفاده کنند. یونیکس انواع متفاوتی از بدافزارها را به خود دیده مانند ویروسهای برمبنای shell-code، ویروسهای اسکریپتی، ویروسهای فایلهای ELF آلوده به ویروسها، کرمهای منتشر شده از طریق ایمیل و root-kitها. به علاوه پلتفرمهای مشهور UNIX نیز مکان مناسبی برای ورود مالورهای مرسوم بر مبنای ویندوز می باشند.
ضمن سپاس از شما، آیا برای خوانندگان ایرانی پیامی دارید؟
توصیه من به تمام مهندسین نرمافزار این است که عرصه جرایم شبکه به معنای واقعی درحال گسترش است و به گونه بیحد و حصر اهداف منفی خود را میجوید. همه آنهایی که در زمینه فعالیتهای تجاری و تکنولوژی کار میکنند، لطفا مراقبت امنیتی را به طور دقیق در هر سطح مهندسی نرم افزار رعایت کنند. از مرحله طراحی تا مرحله آزمایش باید جنبههای امنیتی در فرایند لحاظ شود. به خصوص در مرحله آزمایش لطفاً مهندسان تقاضاها را از دیدگاه امنیتی مورد بررسی قرار دهند. برای اطلاعات بیشتر در این زمینه به کتابی از مایکروسافت تحت عنوان The Security Development Life Cycle (چرخه حضور توسعه امنیت) تالیف Michael Howard & Steve Lipner مراجعه کنید. این کتاب جالبی برای آغاز به تفکر در این مسیر میباشد. با چنین فعالیتی اگر نتوانیم جلوی هک شدن را بگیریم حداقل فعالیتهای مضر و خرابکارانه را محدودتر و انجام آنها را دشوارتر میسازیم.
بسیار متشکرم که مرا برای این مصاحبه دعوت کردید. امیدوارم پاسخهای من برای خوانندگان مفید بوده باشد. اگر پرسشها و تردیدهای بیشتری دارید میتوانید از طریق ادرس ایمیل اسم کوچکم در کوییک هیل دات کام با من در میان بگذارید تا پاسخ دهم.