شناسایی انواع بدافزارها با موتور ایرانی آنتی‌ویروس پادویش/ اجرای پایلوت در مرکز تحقیقات مخابرات و صاایران

گروه علمی «خبرگزاری دانشجو»- مریم آقائی؛  امروزه داشتن یک آنتی ویروس مطمئن از اهمیت زیادی برخوردار است. هر روز بر تعداد ویروس‌های رایانه‌ای افزوده می‌شود و امنیت کاربران رایانه را در معرض خطر قرار می‌دهد.

 

از این رو شرکت‌های سازنده نرم‌افزار‌های آنتی ویروس دائماً فایل‌های آپدیت جدیدی ارائه می‌کنند تا امنیت کاربران خود را بالا ببرند. برای اینکه آنتی ویروس بتواند جدیدترین ویروس‌ها و تروجان‌ها را شناسایی کند لازم است همواره به‌روز باشد تا ناخواسته مورد سو‌ءاستفاده مخفیانه مهاجمان واقع نشود.

 

علاوه بر اهمیت موضوع آنتی ویروس، داشتن آنتی ویروس بومی یکی از نیازهای اصلی کشور است که در همین راستا در میزگردی با حضور مهدی حسینی، مدیرعامل و سجاد نفیسی، معاون فنی شرکت نرم‌افزاری امن پرداز برگزار شد و درباره‌ آنتی ویروس بومی پادویش به بحث و گفتگو پرداختیم.

 

«خبرگزاری دانشجو» - لطفا در ابتدا بفرمایید که چه می‌شود که ما به ضد بدافزار‌ها نیاز پیدا می‌کنیم؟

 

حسینی: بدافزارها حکم ویروس را دارند و ما نیاز داریم با آنها مقابله کنیم، از همین رو ما به افزارهایی برای مقابله با بدافزارها نیاز داریم و در واقع هر نرم‌افزاری که کارهای غیر معمول انجام دهد را با نام بدافزار می‌شناسیم.

 

«خبرگزاری دانشجو» - چه تعداد بدافزار تاکنون شناخته شده است؟

 

حسینی: ده‌ها برابر نرم‌افزارهایی که در دنیا وجود دارد بدافزار داریم؛ چرا که در یک سال تنها تعداد نمونه‌های بدافزاری که یکی از شرکت‌های بزرگ اعلام کرده است بیش از 400 میلیون بوده است و من بعید می‌دانم در کل دنیا این تعداد نرم افزار وجود داشته باشد.

 

یکی از دلایل بالا بودن تعداد بدافزارها این است که بدافزارها بشدت خود را تکثیر می‌کنند و این تکثیر به شکل‌های مختلف است؛ این که بفهمیم منشأ 100 هزار فایل بدافزار، یک بدافزار است، خود دانش بالایی می‌طلبد و از منظر عموم و از لحاظ تخریب و خسارتی که وارد می‌کنند، این بدافزارها همان 100 هزارتایی هستند که تکثیر شده‌اند.

 

به طور کلی رشد بدافزارها سیر تاریخی دارد یعنی در ابتدا بد‌افزارها برای اثبات نظریه‌های علمی و تئوری‌ها ایجاد می‌شدند، اما بسرعت به دست افرادی می‌افتادند که با مقاصد خاص از این بدافزارها سوءاستفاده می‌کردند؛ هر چه تکنولوژی بیشتر پیشرفت می‌کند توقع کسانی که نگاهی تبهکارانه به بدافزارها دارند نیز بیشتر می شود، در نتیجه بدافزارها پیشرفته‌تر می گردند.

 

 

 

«خبرگزاری دانشجو» - وظیفه اصلی ضدبدافزارها چیست؟

 

حسینی: به طور کلی در هر مکانی که ناامنی وجود دارد، نیاز است تا امنیت آن حوزه تأمین شود و در واقع اصلی‌ترین وظیفه ضد بدافزار تأمین امنیت فضای کار نرم افزارها است؛ چرا که نرم افزارها در بسترهای مختلف می‌توانند اجرا شوند و بزودی دنیا شاهد این خواهد بود که هر ابزاری قرار است از فناوری بهره‌مند شود باید قابلیت نرم افزاری داشته باشد.

 

بنابراین هر فضایی که از نرم افزار استفاده می‌کند قابلیت اجرای بدافزار را هم دارد، پس امنیت لازم است و برای تأمین امنیت در فضایی که نرم افزار وجود دارد، ضد بدافزار یک الزام است و جزو پایه‌های فضای سایبر محسوب می‌شود.

 

«خبرگزاری دانشجو» - به صورت کلی بدافزارها به چه شکلی در سیستم‌ها و نرم‌افزارها ظاهر می‌شوند و چند دسته هستند؟

 

نفیسی: بدافزار‌ها را به شیوه‌های مختلفی می‌توان دسته‌بندی کرد، یکی از شیوه‌ها، دسته بندی براساس انتشار است که در آن صورت بدافزار سه دسته کلی دارد؛ ویروس یکی از دسته‌های بدافزارها هستند که خود هویت مستقل ندارند. همان‌طور که ویروس‌های بیولوژیکی وارد سلول می‌شوند تا بتوانند زندگی کنند، ویروس‌های کامپیوتری نیز وارد نرم افزارهای سالم می‌شوند تا بتوانند به زندگی خود ادامه دهند؛ ضمن آنکه راه انتشار آنها نیز همین است.

 

دسته بعدی بدافزارها کرم‌ها هستند که همانند باکتری‌ها خود را تکثیر می‌کنند و دسته آخر بدافزارها اسب تروا هستند که این دسته اصلاً خود را منتشر نمی‌کنند و شیوه انتشار آنها به این طریق بوده که یا ممکن است از طریق بدافزار دیگری انتشار یابند یا خود را به عنوان نرم افزار مفید نشان دهند و یا از طریق عامل انسانی در کامپیوتر‌ها منتشر شوند.

 

در دسته‌بندی دیگر بدافزارها، می‌توان آنها را از لحاظ تخریب یا عملیاتی که در سیستم انجام می‌دهند، دسته‌بندی کرد. جاسوس افزار‌ها در این دسته قرار دارند که کارشان سرقت اطلاعات است و نسبت به بدافزارهایی که اطلاعات را به طور کلی از بین می‌برند از تخریب کمتری برخوردار هستند؛ همانند ویروس استاکس نت که دستگاه‌های صنعتی را هدف قرار می‌دهد تا بتواند اطلاعات آنها را سرقت کند.

 

«خبرگزاری دانشجو» - نرم‌افزار پادویش را معرفی کنید و بگویید از چه زمانی طرح تولید این آنتی ویروس کلید خورد؟

 

حسینی: آنتی ویروس پادویش به عنوان ایده تولید یک ضد بدافزار بومی، از سال 86 شکل گرفت. زمانی که این شرکت در مرکز رشد دانشگاه شهید بهشتی تأسیس شد، من مدیر فنی شبکه دانشگاه شهید بهشتی بودم.

 

در آن مدتی که مدیریت شبکه را برعهده داشتم برای من مشخص شده بود بخش قابل توجهی از مسائل امنیتی که شبکه‌های کامپیوتری با آن مواجهند با ابزارهای موجود در بازار قابل رصد نیست، از همین رو تیم‌هایی از دانشجویان تشکیل دادیم که به رفع این مخاطرات کمک می‌کردند.

 

در آن زمان ویروس‌هایی به نام «اسلمر» وجود داشتند که برخی از این ویروس‌ها به طور کلی شبکه‌های دنیا را رصد می‌کردند و هنگامی که تیم‌ها تشکیل شد و توانستیم بخشی از نیازهای خود را تأمین کنیم، به این نتیجه رسیدیم که لازم است ابزارهای بومی مختص به خود را داشته باشیم.

 

به طور کلی آنتی ویروس‌ها اکنون به تنهایی پاسخگو نیستند و دانش و فناوری لازم برای مقابله با برخی حملات باید در کشور موجود باشد تا وقتی حمله‌ به شرکت یا دستگاهی می‌شود یک هوش انسانی بتواند به مقابله با هوش انسانی برود.

 

از سال 86 به بعد مصمم شدیم در حوزه تولید ضد بدافزار وارد شویم و در سال 87 بود که فراخوان تولید ضد بدافزار بومی توسط سازمان پدافند غیر عامل اعلام شد، در آن انتخاب شدیم.

 

زمانی که اولین آنتی‌ویروس‌های بومی از سوی برخی از تیم‌ها ارائه شد برخی بر این باور بودند که ایران نمی‌تواند در این عرصه فعالیت کند ولی تیم پادویش در سال 89 تولید آنتی ویروس پادویش را عملی کرد.

 

«خبرگزاری دانشجو» - چالش اصلی شما برای تولید آنتی ویروس چه بود؟

 

حسینی: چالش اصلی نیروی انسانی بود. نیروی انسانی در حوزه‌های فناوری خصوصا فناوری اطلاعات و بحث امنیت اطلاعات جرو چالش‌هاس اصلی است؛ چرا که نیروهای خوب در این حوزه  معمولا جذب کشورهای خاص می‌شوند.

 

«خبرگزاری دانشجو» - برای جذب نیروی انسانی متخصص چه اقداماتی انجام دادید؟

 

حسینی: اواخر سال 90 توسط مرکز تحقیقات مخابرات توانستیم حمایتی را جذب کنیم تا بتوانیم هزینه‌های تولید این آنتی ویروس را تامین کنیم. تیم ما در آن زمان حدود 15 نفر بود و از ابتدای سال 91 با مرکز تحقیقات مخابرات توانستیم همکاری خود را ادامه دهیم و تعداد نیروها را به 70 نفر افزایش دهیم. با تکمیل نیروی انسانی و ادامه پروژه کار از حالت نیمه صنعتی به حالت صنعتی ارتقا پیدا کرد و ما توانستیم تمام ابعاد پروژه را پوشش دهیم.

 

 

«خبرگزاری دانشجو» - نام پادویش از کجا آمد؟

 

نفیسی: ضد ویروس پادویش قبل از این که به نام پادویش خوانده شود ضد ویروس امن پرداز بود اما اواخر سال 89 محصولی تحت عنوان ضدویروس امن پرداز ارایه شد که بعد از شروع همکاری با مرکز تحقیقات مخابرات و بزرگ‌تر شدن تیم و پروژه، به فراخور مقتضیات و به دلیل ایرانی بودن محصول نام فارسی پادویش برای این آنتی ویروس انتخاب شد که «پاد» به معنای ضد و «ویش» به معنای ویروس است.

 

«خبرگزاری دانشجو» - آنتی ویروس پادویش در چه سالی به صورت عمومی منتشر شد؟

 

حسینی: ارائه عمومی محصول از آذر ماه سال 92 شروع و از اواخر سال 91 به صورت آزمایشی در مرکز تحقیقات مخابرات و صاایران این ضدویروس نصب شد.

 

«خبرگزاری دانشجو» - آنتی ویروس پادویش در چه نسخه‌هایی منتشر شده است؟

 

حسینی: ضدویروس پادویش نسخه‌های مختلف دارد، یکی از نسخه‌ها، نسخه رایگان است و متناسب با آن یک نسخه تجاری که نسخه سازمانی است نیز وجود دارد؛ ویژگی‌های معمول هر ضد ویروس را که کنار بگذاریم، ویژگی متمایزی که آنتی ویروس پادویش نسبت به آنتی ویروس‌های دیگر دارد این است که از انتقال ویروس‌های فلش جلوگیری می‌کند و این ویژگی مهمی است چرا که طبق بررسی‌های صورت گرفته انتشار بسیاری از ویروس ها از طریق فلش انجام می‌شود.

 

فایل‌های اجرایی در فلش توسط پادویش اجرا نمی‌شود و این امر یک ویژگی متمایز ضد ویروس پادویش است. در واقع چه ویروس‌هایی که عموم مردم می‌شناسند و چه ویروس‌های خاص که برای کشورها نوشته شده است توسط پادویش از طریق فلش قابل انتشار نیست.

 

برای نمونه، ویروس استاکس نت از راه فلش قابل انتقال بود و از آنجایی که بسیاری از دستگاه‌های ما ملزم شده‌اند شبکه کاری خود را از شبکه اینترنت مجزا کنند در نتیجه بسیاری از ویروس‌ها از بیرون نمی‌توانند نفوذ کنند مگر این که از طریق فلش وارد دستگاه‌های مربوط شوند.

 

«خبرگزاری دانشجو» - در نسخه سازمانی این ضد ویروس چه تمایزی وجود دارد؟

 

نفیسی: اصلی‌ترین تفاوت نسخه خانگی با نسخه سازمانی این است که نسخه سازمانی از طریق مدیر سازمان قابل کنترل است و به عبارتی مدیر سیستم از یک محل مشخص می‌تواند ضد ویروس را بر روی کامپیوترهای سازمان خود نصب و آپدیت کند و تنظیمات بر روی آن اعمال و گزارشات مربوط را جمع‌آوری کند.

 

 

«خبرگزاری دانشجو» - از آنجایی که موتور جزو مهمترین و پیچیده‌ترین قسمت‌های آنتی ویروس‌ها است، لطفا کمی در مورد موتور پادویش توضیح دهید.

 

نفیسی: 90 درصد قسمت کاری یک آنتی ویروس طراحی موتور آن است. آنتی ویروس‌هایی هستند که به نام «ایران» شناخته می‌شوند ولیکن از موتور خارجی استفاده می‌کنند و این در حالی است که کل عملکرد آنتی ویروس از تشخیص، جلوگیری و پاکسازی توسط موتور آنتی ویروس صورت می‌گیرد.

 

موتور ایرانی که پادویش از آن استفاده می‌کند موتوری است که 100 درصد در شرکت امن پرداز توسعه پیدا کرده و این امر نیز یکی از تفاوت‌های پادویش با سایر آنتی ویروس‌های بومی است.

 

حسینی: همه ما وقتی از یک محصول ایرانی حمایت می‌کنیم، انتظار داریم نقطه تمایز آن محصول این باشد که اگر روزی تحریم شدیم دچار خسران نشویم. همچنین وقتی بحث امنیت می‌شود این مساله چند برابر اهمیت پیدا می‌کند؛ چرا که آنتی ویروس تنها نرم افزار امنیت است که با محتوای اطلاعات کاربران سروکار دارد اما در سایر محصولات حوزه فناوری اطلاعات در ارتباطات فضای سایبری وقتی بحث امنیت را دنبال می‌کنید، ابزار را داخل شبکه نصب می‌کنید اما آنتی ویروس‌ها روی کامپیوتر نصب می‌شوند یعنی جایی‌که فایل‌ها، عکس ها و اطلاعات محرمانه قرار دارند.

 

 

 

«خبرگزاری دانشجو» - اهمیت و پیچیدگی طراحی موتور آنتی ویروس‌ها در کدام قسمت است؟

 

حسینی: آنتی ویروس‌ها براساس سکویی که کاربر از آن استفاده می‌کند طراحی می شوند؛ سکویی که در دنیا شیوع بیشتری دارد محصول شرکت مایکروسافت متعلق به کشور آمریکا است که به نام ویندوز شناخته می‌شود و وقتی قرار است بر روی سکوی طراحی شده توسط یک شرکت خارجی با فرض این که آن شرکت رابطه‌ خوبی با ما داشته باشد، بخواهیم در حوزه امنیت آن سکو وارد شویم نیاز داریم تمام اطلاعات مربوط به آن سکو را داشته باشیم.

 

معمولا هر متخصصی وقتی وارد بحث امنیت در هر حوزه‌ای می‌شود ابتدا باید کامل آن حوزه را بشناسد؛ به عبارتی متخصص‌ترین افراد، در بحث امنیت یک حوزه کار می‌کنند. بنابراین اولین چالش این است که باید بر روی سکویی کار شود که هیچ اطلاعاتی درباره آن به ما نمی‌دهند و دریافت اطلاعات برای ما ممنوع است و اساسا نیروی آموزش دیده و مطلعی وجود ندارد.

 

در طراحی موتور آنتی ویروس پادویش شروع کار با ویندوز اکس پی بود چرا که هنوز ویندوز 7 به بازار ایران نیامده بود.

 

تیم طراحی با سکوی اکس‌پی شروع کرد و از آنجایی که ویندوز اکس پی شرکت مایکروسافت انواع مختلف دارد، آنتی ویروس تولید شده می‌بایست کلیه نسخه‌های ویندوز را پوشش می‌داد و تمام این ویندوز‌ها را ساپورت می‌کرد که این موضوع پیچیدگی‌های کار را دو چندان می‌کرد.

 

تک‌تک این ویندوزها با معماری متفاوتی ارائه شده بود و هر روز مایکروسافت پک جدیدی از ویندوز ارایه می‌داد که به ‌این‌ترتیب موتور سیستم عامل ویندوز مرتب آپدیت و ارتقا داده می‌شد که می‌بایست همزمان با این آپدیت موتور آنتی ویروس هم به‌روز رسانی می‌شد و این موضوع از دیگر چالش‌های تولید موتور ایرانی بود.

 

همچنین دستیابی‌ به فناوری‌های مربوط به سکویی که قرار بود بر روی آن کار شود از دیگر چالش‌های پیش‌رو بود چرا که سیستم عامل ویندوز به طور کلی دو سطح دارد؛ سطح اول هسته سیستم عامل و سطح دوم آن لایه ایست که کاربران با آن کار می‌کنند و آنتی‌ویروس از نظر فناوری باید در لایه هسته سیستم عامل کار کند چرا که در سیستم نمی‌توان در لایه کاربر قرار گرفت در حالی که بسیاری از ویروس‌ها در هسته قرار می‌گیرند و فناوری قرار گرفتن در هسته سیستم عامل جزء فناوری‌هایی است که در ایران وجود ندارد.

 

«خبرگزاری دانشجو» - آیا شرکت‌های دیگری به فناوری قرار گرفتن در هسته سیستم عامل دست پیدا کرده‌اند؟

 

حسینی: از کل مجموعه شرکت‌هایی که در ایران در حال فعالیت هستند بعید می‌دانم 10 شرکت به طور تخصصی در بحث هسته سیستم عامل کار کنند چرا که بازاری در ایران در این زمینه وجود ندارد و در حوزه‌های حساس اصولا از محصولات خارجی استفاده می‌کنیم و شرکت‌های ایرانی به دلیل نداشتن بازار سراغ تولید این محصولات نمی روند و دولت در سیاست های خود سیاست‌هایی مبنی بر تشویق شرکت ها ندارند و این درحالی است که در دنیا هم این محصولات با حمایت دولت شکل گرفته است.

 

«خبرگزاری دانشجو» - دستیابی به فناوری‌های نوین مستلزم چه امکاناتی است؟

 

حسینی: دستیابی به بحث‌های روز فناوری موضوع بسیار دقیقی است و نیازمند برنامه‌ای حداقل 5 ساله است و شرکتی مانند کاسپراسکای که در ایران بازاری این چنینی دارد، با حمایت 100 درصدی پوتین، رییس جمهور روسیه به اینجا رسیده است چرا که وی حمایت ویژه‌ای برای ارتقای این شرکت انجام داده است.

 

اکنون شرکت کاسپراسکای با حمایت‌های جدی دولت روسیه جزء سرمایه‌های ملی آن کشور شده است و در معادلات بین‌المللی دولت به عنوان اهرم از آن استفاده می‌کند.

 

«خبرگزاری دانشجو» - لطفا بفرمایید که موتور آنتی ویروس دقیقا چه کاری انجام می‌دهد؟

 

حسینی: آنتی ویروس باید بتواند تمام فعالیت‌هایی که در یک سیستم عامل انجام می شود را کنترل و نظارت کند و فعالیت‌هایی که در سیستم عامل ایجاد می‌شود به طور کلی در حوزه دیسک، حافظه و پردازه‌ها طبقه بندی می‌شوند و تمام این فعالیت ها توسط هسته سیستم عامل پیاده سازی شده و خدمت آن به کاربر ارائه می‌شود.

 

بنابراین باید بتوان در سطح هسته سیستم عامل کنترل ها را انجام داد؛ اگر قرار باشد شما تغییری در موتور یک ماشین انجام دهید چاره‌ایی ندارید غیر این که موتور را باز کنید؛ نمی‌توانید وقتی موتور بسته باشد بر روی فعالیت‌های داخل موتور تغییری ایجاد کرد؛ باز کردن موتور به معنای بر هم زدن تمام تنظیمات داخل موتور است.

 

اگر کوچکترین نقصی در کاری که در هسته انجام می‌دهید، وجود داشته باشد باعث می‌شود کلا موتور از کار بیفتد و  این نشان‌دهنده حساسیت کار بر روی هسته سیستم عامل است.

 

ویروس‌ها یا بدافزارها باید با دانش افرادی که کاملا بر حوزه سکو مسل هستند توسعه پیدا کنند. به عبارتی باید بتوان ابزارها را شناسایی کرد و آنتی ویروس باید توانایی مقابله با بدافزارها را داشته باشد. نه تنها باید برنامه‌ای نوشته شود که بفهمید چه کارهایی در هسته سیستم عامل انجام می‌شود، بلکه باید بدانید اصولا چه کارهایی مفید و چه کارهایی غیر مفید هستند چرا که، تمام بدافزارها کارهای غیر مفید را لابلای کارهای مفید انجام می دهند. بنابراین باید توانایی تمیز دادن این موارد در موتور آنتی ویروس گنجانده شود که این امر خود جزو فناوری‌های پیچیده است که ما در سال 89 از این مرحله عبور کردیم و این همه پیچیدگی 20 درصد کار هم نیست.

 

در اواخر سال 89 تمامی ابزارهای لازم برای این که در سطح هسته سیستم عامل قرار بگیریم و تمامی کارهایی که لازم است انجام دهیم تا سیستم عامل امن باشد، را فراهم کردیم و از سال 89 تاکنون بر افزایش و ارتقا کیفیت محصول کار شده است.

 

«خبرگزاری دانشجو» - پس از مرحله قرار گیری در هسته سیستم‌عامل چه کاری باید انجام شود؟

 

حسینی: بعد از مرحله قرار گیری در هسته سیستم عامل باید به خود بدافزار بپردازیم که در این مرحله باید سیستمی ایجاد شود که بتواند بدافزارها را تحلیل، اطلاعات آن ها را کشف و کاری که بدافزارها انجام می‌دهند را شناسایی کرده و روش های مبارزه با آن را تولید و در نهایت بسته‌های به روز رسانی را به کاربر دهد.

 

ادامه دارد...