Borna66
03-13-2009, 07:43 PM
امروزه اينترنت به صورت زمينه اي براي فعاليتهاي غيرقانوني در آمده است. كاربران خانگي ، شركتهاي كوچك و متوسط ، بنگاههاي بينالمللي و سازمانهاي دولتي ، همگي از حملات مداوم ويروسها و تروجانها رنج ميبرند. تاكنون در خصوص چرايي شرايط فعلي اينترنت به طور مفصل بحث شده و در آينده نيز ادامه خواهد يافت.
اين موضوع كه اينترنت محيط مناسبي براي بروز جرم است چه مفهومي دارد؟
در حقيقت به معني كسب درآمد نامشروع و گسترش برنامههاي مخرب (Malicious) است كه پيامدهاي زير را دارد:
• سرقت اطلاعات حسابهاي بانكي اشخاص و بنگاهها
• سرقت شمارههاي كارتهاي اعتباري
• بكارگيري برخي محركها و اقدام به حملات از نوع DDOS، و نهايتاً مطالبه پول براي متوقف كردن حملات
• ايجاد شبكه هاي پراكسي سرور بر مبناي تروجانها. اين شبكه ها مي توانند براي فرستادن Spam و رسيدن به عوايد تجاري مورد استفاده قرار گيرند
• به وجود آوردن شبكههاي Zombi كه مي توانند براي مقاصد گوناگون مورد بهرهبرداري قرار گيرند
• ايجاد برنامههايي كه عمليات بارگذاري و نصب نرم افزارهاي تبليغاتي (AdWare) را در ماشين قرباني انجام مي دهند
• نصب تروجانهاي شمارهگير (dialer) كه بطور مداوم به شماره گيري سرويسهاي غير مجاني مي پردازند ]م: چنين سرويسهايي در برخي كشورهاي جهان وجود دارند كه هزينه آن به همراه قبض تلفن به اطلاع كاربر مي رسد و دريافت مي گردد.
به طور يقين بيان اينكه اين فعاليتهاي غيرقانوني تا چه ميزان گسترش يافته اند، مشكل است. به اعتقاد من، شايد تعداد افراد و گروههاي هكر فعال اگر به صدها مورد نرسد، دست كم به چندين دوجين مي رسد. اگر چه هكرهاي گروهي به طور احتمالي حتي به شمار چند هزار هم ميرسند. اين آمار براساس يافتههاي سازمانهاي اجراي قوانين در بسياري از كشورهاي داراي شبكه كامپيوتري، بدست آمده است. در طول چند سال اخير تعداد زيادي از هكرها و گروههاي هكر دستگير شدهاند، به طوري كه اين توقيفها به بيش از صدها مورد ميرسد. هر چند به نظر نميرسد كه اين ميزان، تأثيري عميق روي تعداد ويروسها و تروجانها گذاشته باشد.
زمينه ديگري كه مي توان با حدس و گمان در آن مورد به بحث پرداخت، حجم معاملات و عايدي بازار زير زميني كامپيوتر است. منابع منتشر شده تخمين زدهاند كه بين سالهاي 2004 تا 2005، هكرها صدها ميليون دلار را دزديده اند ويا با طرحهاي زيركانه، از آن خود كرده اند. از آنجا كه تعداد زيادي از مجرمان فضاي سايبر دستگير يا زنداني نشدهاند ميتوان تصور كرد كه حجم عايدي شايد به ميلياردها دلار برسد. اين ميزان به راحتي از ميزان عايدي سالانه شركتهاي سازنده آنتي ويروس فراتر مي رود. اين موضوع در موارد ذيل مشخص شده است:
زيان كلي وارده به اقتصاد جهاني از طريق فعاليت هاي نويسنده هاي ويروس ، هكرها و هرزنامه ها متجاوز از دهها ميليارد دلار در سال بوده و اين ميزان در حال افزايش است. بر اساس پژوهشهاي انجام شده توسط موسسه Computer Economics، كل ضايعات بوجود آمده در سال 2004 نزديك به هیجده ميليارد دلار و با روندي صعودي سالانه 30 تا 40% بوده است.
بياييد نگاهي به بازيگران جهاني عرصه تهديدهاي شبكهاي بيندازيم:
• نويسندگان ويروس و هكرها به دلايل شخصي به توليد و انتشار ويروسها و تروجانها مي پردازند
• ماشینها و شبكه هاي كاربران نهايي تحت تهديد هميشگي حملات هكرها هستند و غالباً قرباني حملات هماهنگ مي شوند
• پليس و سازمانهاي اجراي قانون در سراسر دنيا فقط تا حدي در رسيدگي و تعقيب جرايم سايبر موفق هستند
• شركتهاي سازنده آنتي ويروس نرمافزارهايي به وجود ميآورند كه تهديدات فضاي سايپر را خنثي نمايند
مطالب زيادي درباره ويروسها ، هكرها و آنهايي كه آنها را دنبال ميكنند نوشته و گفته شده است؛ حتي در هاليوود فيلمهايي در رابطه با اين موضوع ساخته شده است. پديد آورندگان و فروشندگان راهكارهاي آنتي ويروس از وب سايتهاي خود بمنظور انتشار دست آوردهاي خود استفاده مي نمايند. اگر چه اطلاعات زيادي درباره مشكلاتي كه صنعت آنتي ويروسها با آن رو در روست در دست نيست، اين مقاله قصد دارد تا اين موضوع را بررسي كند و تا اندازهاي اين ناهماهنگي و عدم توازن را اصلاح نمايد.
مفاهيم مختصري از صنعت امنيتي
براي شروع ، اجاره بدهيد نگاهي به شركتهايي كه راهكارهاي استاندارد براي مقابله با ويروسهاي كامپيوتري ارائه ميكنند بپردازيم (در ادامه مقاله در مورد ابزارها و راهكارهاي ويژه بحث خواهيم كرد). منظور از راهكارهاي استاندارد ، نرم افزارهايي براي كامپيوترهاي روميزي (desktop)، فايل سرورها، سرورهاي پست الكترونيكي ونيز شبكههاي بزرگ است.
بازار كلي براي چنين راهكارهاي استانداردي در سال 2003 معادل 7/2 ميليارد دلار و در سال 2004 معادل 3/3 ميليارد دلار تخمين زده شد و پيش بيني مي شود اين رقم در سال 2005 معادل 8/3 ميليارد دلار باشد. تمام اين اطلاعات از IDC سال 2005 استخراج شده است. مجموعه پديد آورندگان آنتي ويروس به سه گروه دسته بندي مي شوند: پيشروان اين صنعت ، شركتهاي درجه دوم و نهايتاً ديگر شركتها كه تأثير مهمي بر بازار آنتي ويروس ندارند.
پيشروان اين صنعت عبارتند از Symantec، MCAfee (NAI) و Trend Micro كه فعاليتشان تمام بازارها را تحت تأثير قرار ميدهد.
http://www.pnu-club.com/imported/mising.jpg
به استثناي موارد جزيي، اين سه شركت تقريباً پيشتاز همه بازارها هستند (براي نمونه Trend Micro بر بازار ژاپن حكمفرمايي ميكند). شركتهاي Symantec وNAI (McAfee) شركتهاي آمريكاي شمالي هستند. Trend Micro در اصل يك شركت تايواني است كه بازار حال حاضر ژاپن را قبضه كرده است. دفتر مركزي اين شركت هم اينك در آمريكا قرار دارد.
گروه دوم شركتهايي هستند كه حجم معاملات آنها كمتر از سه شركت پيشرو است. اگر چه حجم معاملات شركتهاي ياد شده هم به دهها ميليون دلارمي رسد.
http://www.pnu-club.com/imported/mising.jpg
آزمايشگاه كسپرسكي كه در روسيه تاسيس شده از اين دسته شركتهاست. اگرچه اين شركت اطلاعات مالي را افشا نميكند.
اكثريت شركتهاي وابسته گروه دوم حضور مهمي در بازارهاي داخلي كشورخود دارند. هر چند نقش كوچكي نيز در بازارهاي خارجي دارند. براي مثال ، Sophos موفقترين شركت در انگليس، Panda در اسپانيا و F-Secure در كشورهاي اسكانديناوي و غيره.
گروه سوم دربرگيرنده چندين شركت سازنده آنتي ويروس است. معروفترين آنها عبارتند از:
• Alwil – Awast (جمهوري چك)
• Arcabit – MKS (لهستان)
• Doctor Web – DrWeb (روسيه)
• ESET – NOD32 (اسلواكي)
• Frisk Software – F – Prot (ايسلند)
• GriSoft – AVG (جمهوري چك)
• H+BEDV – AntiVir (آلمان)
• Hauri – Vi Robot (كره جنوبي)
• SoftWin – BitDefender (روماني)
• VirusBuster – VirusBuster (مجارستان)
گروه سوم همچنين شامل شركتهاي UNA و Stop (كه هر دو اوكرايني هستند)، Rising و Kingsoft (چيني) و ديگران است.
اكثر شركتهاي اين گروه هيچ نوع اطلاعات مالي را فاش نميكنند. اگر چه برخي تخمين ها حجم معاملات حدود 10 ميليون دلار را نشان ميدهند.
آنچه در بالا آمده اطلاعاتي است از چگونگي بازار شركتهاي آنتي ويروس. با اين وجود نام شركتهاي توليد كننده محصولات مبتني بر پروانه (license) استفاده به ميان نيامده است. براي مثال شركت آلماني G-Data كه راهكارهاي ضد ويروسي آن براساس توليدات آزمايشگاه Kaspersky و شركت Softwin technologies استوار است، و Microsoft كه راهكار multi-engine آن توسط شركت Sybari طراحي شده است.
راهكارهاي غير استاندارد آنتي ويروس نيز موجودند كه برخي از آنها بندرت مورد بررسي تخصصي قرار گرفته اند. از جمله آنها مي توان به سيستمهايي اشاره نمود كه هرگونه تهديد بالقوه ناشي از نامه هاي الكترونيكي محيط شبكه را با حذف آنها برطرف مي نمايند (كاربر نهايي صرفاً نامه اي بدون فايل اجرايي و يا html ضميمه دريافت خواهد نمود)، و نيز سيستمهايي كه مرورگر وب را از طريق ماشين مجازي (Virtual Machine) اجرا مي نمايند. ضمناً برنامه هايي وجود دارند كه بسيار شبيه آنتي ويروس هستند: برنامه هايي كه در برابر حملات DDoS ايستادگي مي نمايند، نرم افزارهاي مديريت patchها و غيره. به هر حال هيچ يك از اينها را نمي توان به عنوان راه حل كامل آنتي ويروس به شمار آورد.
مشکلات صنعت آنتی ویروس
فارغ از دردسرهايي كه هر توليد كننده محصولات توليدي با آنها روبروست چه مشكلاتي ممكن است متوجه صنعت آنتي ويروس باشد؟ همه ما مي دانيم كه ويروسها و راهكارهاي آنتي ويروس وجود دارند. ممكن است اينگونه به نظر آيد كه راهكارهاي آنتي ويروس براي مصرف كنندگان به صورت استاندارد و يكسان ارائه مي شوند، و هر راهكار به خودي خود با راهكار ديگر متفاوت نيست. كاربران، محصول مورد نياز خود را بر اساس طراحي، مسائل مرتبط با شيوه بازاريابي و ساير انواع دلايل غير فني انتخاب نمايند. بر اين اساس آنتي ويروس به صورت تئوري همانند ساير كالاهاي مصرفي است، همچون پودرهاي لباسشويي، خميرداندان ها و وسايل نقليه.
متاسفانه (و شايد هم خوشبختانه)، مشكل اينجا نيست. كاربران اغلب يك راهكار آنتي ويروس را بواسطه ويژگيهاي فني آن انتخاب ميكنند. كاربران به طور معمول بر اين موضوع متمركز مي شوند كه آيا يك راهكار بخصوص آنتي ويروس در برابر نوع ويژه اي از تهديدات شبكه اي ايستادگي مي نمايد، واينكه سطح عمومي حفاظت آن چگونه است.
يك راه حل ضد ويروسي بايد توانايي پشتیبانی سيستم در مقابل تمام انواع برنامههاي مخرب را داشته باشد. راه حل ضد ويروسي بهتر باعث رضايت كاربران و مديران شبكه خواهد شد. كساني كه تئوري زير را درك نكند به زودي با نتايج عملي آن روبرو ميشوند؛ بدون يك برنامه ضد ويروس خوب، هر كسي ميتواند شروع به دزديدن پول از حساب بانكي كاربر كند و يا ممكن است كامپيوتر به صورت دلخواه شروع به شماره گيري تلفنهايي نمايد كه باعث تعجب كاربر از افزايش ترافيك خروجي خواهد گرديد. با اين اوصاف، كاربران مي بايست در مورد چگونگي حفاظت ارائه شده توسط برنامه هاي ضد ويروس اطلاع داشته باشند كه بتوانند انتخابي آگاهانه انجام دهند.
فرض كنيم كه برنامه ضد ويروس X ، 50 درصد تمام ويروسهاي منتشر شده در اينترنت را شناسايي مي كند، محصول Y، 90 درصد و محصول Z ، 9/99 درصد اين ميزان را. با اين فرض، نتيجه انجام تعداد N حمله، حفظ سلامت كامپيوتر و يا آلودگي سيستم خواهدبود. اگر كامپيوتر 10 بار مورد حمله قرار گيرد، احتمال ناموفق بودن شناسايي برنامه مخرب توسط محصول X تقريباً قطعي است؛ در محصول Y ، امكان عدم شناسايي برنامه مخرب صرفاً در حد احتمال بوده و در مورد محصول Z ، خطر بسيار كم است.
متاسفانه تعداد نسبتاً كمي از محصولات ارائه شده در فروشگاهها يا اينترنت، ميزان حفاظت نزديك به 100% را ارائه مي كنند. اكثر محصولات حتي توانايي تضمين ميزان 90% درصد حفاظت را نيز ندارند و همين، مشكل اساسي و امروزه صنعت ضد ويروس است.
مشكل شماره 1
تعداد و تنوع برنامههاي مخرب هر ساله در حال افزايش است. در نتيجه بسياري از شركتهاي آنتي ويروس به سادگي توانايي حريف شدن با يورشها را نداشته و از دور «مسابقه تسليحاتي با ويروسها» خارج ميشوند. كاربراني كه توليدات چنين شركتهايي را انتخاب ميكنند، در برابر همه برنامههاي مخرب مورد محفاظت قرار نخواهند گرفت. چنين وضعيتي در خصوص كاربران زيادي صادق است؛ در اين شرايط، محصولات متعددي كه با نام آنتي ويروس به فروش مي رسند به هيچ وجه نمي بايست به اين نام خوانده شوند.
در ضمن ، پنچ يا ده سال پيش ، صراحتاً گفته ميشد كه يك برنامه ضد ويروس لزوما نبايد سيستم را در برابر هر ويروس يا تروجان جديد حفاظت كند. علاوه بر اين، اكثريت برنامههاي مخرب جديدي كه در آن زمان پديد مي آمدند به هيچ وجه در كامپيوتر كاربر نفوذ نميكردند. آنها بوسيله خرابكاران نوجوان فضاي سايبر نوشته ميشوند. كساني كه ميخواستند مهارتهاي برنامه نويسي خود را نشان دهند و يا حس كنجكاوي خود را ارضا نمايند. كاربران در واقع فقط نياز به محافظت در برابر برخي از ويروسهايي داشتنند كه بمنظور نفوذ در ماشينهاي قرباني طراحي شده بودند. به هر حال اكنون شرايط تغيير كرده است. بيشتر از 75 درصد برنامههاي مخرب توسط تشكيلات محرمانه مجرمان كامپيوتري، با هدف آلوده سازي تعداد مشخصي از كامپيوترهاي موجود بر روي اينترنت، طراحي و ساخته شده اند. تعداد ويروسها و تروجانهاي جديد، همه روزه به ميزان چند صد عدد افزايش مي يابد - هر روز بين دويست تا سيصد نمونه جديد به دست آزمايشگاه ويروس در شركت كسپرسكي مي رسد.
اين نمونهها از چندين منبع سرچشمه مي گيرند. Honeypotها (ماشينهايي كه اختصاص به جمع آوري كدهاي مخرب موجود بر روي اينترنت دارند) ، كاربران ماشينهاي آلوده، مديران شبكه هاي محلي، ISP ها و ساير شركتهاي ضد ويروس، با اينكه ممكن است مورد اخير عجيب به نظر آيد. با وجود مجزا بودن سهم شركتها در بازار ضد ويروس (موردي كه در هر بازاري بدون استثناء اتفاق ميافتد)، اين شركتها با يكديگر همكاري دارند. در صورت شناسايي worm جديدي توسط يك شركت ضد ويروس، متخصصان به فوريت به شركتهاي رقيب اطلاع داده و يك نمونه از آن را براي اين شركتها ارسال خواهند نمود. اكثر شركتهاي آنتي ويروس، نمونه هاي ويروس را دست كم به طور ماهانه تبادل ميكنند. آنها همچنين اطلاعات حرفهاي جمع آوري شده را تعويض ميكنند. اين اطلاعات در دسترس كساني كه خارج از اين صنعت هستند قرار ندارد. اين عمل يك اخلاق حرفهاي محسوب ميشود. شركتهاي آنتي ويروس اطلاعاتشان را در اختيار ديگر شركتها مي گذارند مگر آنهايي كه با رفتار غيراخلاقيشان باعث آسيب رساندن به جايگاه خود در دنياي آنتي ويروسها شده باشند.
فرض كنيم كه يك ويروس جديد يا تروجان در اينترنت يا يك كامپيوتر آلوده شناسايي شود. اين موضوع چه معنايي دارد؟ اين بدان معني است كه احتمال اينكه يك كامپيوتر خاص بوسيله منشا آلودگي، آلوده شود خيلي زياد است و ممكن است دهها ، صدها و شايد هزاران كامپيوتر كه در حال استفاده از اينترنت هستند پيشتر آلوده شده باشند. بسته به اينكه سرعت انتشار در اينترنت چقدر است، اگر عنصر آلوده كننده از نوع كرم (worm) باشد، شمار قربانيان ممكن است به چندين ميليون نيز برسد. در نتيجه، شركتهاي آنتي ويروس بايد توان انتشار روزآمد سازيهاي (update) آنتي ويروس را كه امكان حفاظت در برابر ويروسها و كرمهاي جديد را دارند، داشته باشند. اين موضوع، ما را با مشكل دوم موجود در صنعت آنتي ويروس مواجه مي نمايد.
مشكل شماره 2
امروزه برنامههاي مخرب آنچنان سريع انتشار مييابند كه شركتهاي آنتي ويروس مجبورند فايلهاي بروزرساني را در اسرع وقت منتشر نمايند تا مقدار زماني كه كاربران با خطر روبرو هستند به كمترين ميران برسد. متاسفانه بسياري از شركتهاي آنتي ويروس توانايي اين كار را ندارد. كاربران اغلب زماني فايلهاي بروزرساني را دريافت مي دارند كه در واقع پيشتر آلوده شدهاند.
فرض كنيم كه ويروسي موفق شده در سيستم قرباني نفوذ كند و برنامه آنتي ويروس نصب شده در سيستم قرباني هيچ فعاليتي مشكوكي را شناسايي نكند (اين ممكن است بخاطر چگونگي و كيفيت راهكار به خودي خود بوده و يا به خاطر بي دقتي كاربر در داونلود فايلهاي بروزرساني و تجهيز سيستم در زمان مناسب باشد). دير يا زود فايلهاي بروزرساني شناسايي كننده ويروس عرضه مي شوند. اين بدان معني است كه اگر چه ممكن است ويروس شناسايي شود ولي از ميان نخواهد رفت.
براي رهايي از ويروس، يك بار و براي هميشه فايلهاي آلوده مي بايست «با دقت» از سيستم قرباني حذف شوند. واژه «دقت» در اينجا واژه اي است كليدي كه ما را با مشكل سوم در رابطه با برنامههاي ضد ويروسي آشنا ميكند.
مشكل شماره 3
مشكل سومي كه صنعت امنيتي با آن روبروست حذف كدهاي مخرب از سيستم قرباني است. در بيشتر موارد، ويروسها و تروجانها (Trojans) به گونه اي نوشته مي شوند كه حضورشان را در سيستم پنهان نمايند و يا آنچنان عيمق در سيستم رسوخ كنند كه پاك كردن آنها به يك جريان پيچيده تبديل شود. متاسفانه برخي برنامههاي ضد ويروسي توانايي پاك كردن كدهاي ويروسي و اصلاح كردن اطلاعاتي كه بوسيله ويروس تغيير كرده است را ندارد.
موضوع ديگر اين كه همه نرمافزارها، منابع سيستم را مورد استفاده قرار مي دهند و برنامههاي آنتي ويروس از اين قاعده مستثني نيستند. به منظور حفاظت از كامپيوتر، برنامه هاي آنتي ويروس مجبورند اعمال معيني را انجام دهند ـ فايلها را باز كنند، اطلاعات داخل آنها را بخوانند، فايلهاي آرشيوي را جهت اسكن شدن باز كنند، و غيره. هر چقدر بررسي فايلها دقيقتر انجام شود، منابع بيشتري مورد نياز برنامه هاي آنتي ويروس خواهد بود و بكار گرفته خواهد شد. در اين روش ، برنامه ضد ويروس شبيه يك درب امنيتي عمل ميكند. هر چه اين درب ضخيمتر باشد، امنيت بيشتري را ارائه مي دهد، گرچه سنگيني آن باعث سخت شدن باز و بسته شدنش ميشود. زماني كه در مورد راهكارهاي ضد ويروس صحبت ميشود، مساله ايجاد تعادل ميان سرعت برنامه و سطح حفاظتي ارائه شده توسط آن است.
مشكل شماره 4
متاسفانه موضوع ميزان استفاده از منابع سيستم تفريباً غير قابل حل است. تجربه نشان ميدهد برنامههاي ضدويروسي كه اسكن سريعي ارائه مي دهند، به طور قابل ملاحظهاي داراي نقصاند و به ويروسها و تروجانها اجازه ميدهند همچون آبي كه از غربال ميگذرد، به سيستم وارد شوند. اگر چه عكس اين حالت نيز لزوماً درست نيست. برنامههاي ضد ويروسي كه به آرامي عمل ميكنند لزوما نميتوانند حفاظت موثرتري ارائه دهند.
به منظور اسكن بلادرنگ و فوري فايلها و فراهم آوردن حفاظت پايدار براي كامپيوتر ، يك راهكار ضد ويروس بايد به طور نسبتاً عميقي در هسته مركزي سيستم عامل نفوذ نمايد. اين نفوذ، همواره به يك ميزان خواهد بود. از ديدگاه فني، يك برنامه آنتي ويروس مي بايست برنامه هاي تصفيه كننده (interceptor) روندهاي سيستم را در عمق سيستم تحت حفاظت نصب نموده و نتايج را جهت اسكن فايلها و بسته ها (packet)ي شبكه و ساير موارد مستعد آلوده شدن، به موتور (Engine) آنتي ويروس ارسال نمايد.
اگر چه نصب كردن دو تصفيه كننده ويروس در سطح مورد نظر هسته سيستم براحتي امكانپذير نبوده و نتيجه آن ناسازگاري بين عمليات آنتي ويروسها است (كه به طور پيوسته عمل ميكنند)، بطوريكه آنتي ويروس دوم توانايي جدا كردن رخدادها(event)ي سيستمي را نخواهد داشت و تلاش براي مضاعف كردن مكانيزمهاي جداسازي، به بهم خوردن سيستم خواهد انجاميد و اين مهمترين قسمت مشكل بعدي صنعت امنيتي كامپيوترها است.
مشكل شماره 5
ناسازگاري بين برنامههاي ضد ويروس، خود موضوعي است قابل بحث. معمولا نصب كردن دو برنامه آنتي ويروس از شركتهاي متفاوت روي يك ماشين (براي افزايش ميزان حفاظت) از لحاظ فني غير ممكن است بطوري كه دو برنامه، عمليات يكديگر را منقطع و خراب ميكنند.
مردم غالباً فكر ميكنند كه شركتهاي آنتي ويروس همانند بچههاي كوچك در پي ربودن اسباببازيهاي يكديگرند و موضوع ناسازگاري به خاطر رقابت نامناسب است و به عمد طرحريزي شده است تا ساير سازندگان از دور خارج شوند. ولي اين موضوع واقعيت ندارد. مشكلي در خصوص ناجوانمردانه يا غير اخلاقي بودن رقابتها وجود ندارد. در مقابل، طراحان و توليد كنندگان آنتي ويروس، هر تلاشي را كه در توان دارند انجام ميدهند تا مطمئن شوند توليدات آنها با نرمافزارهاي شناخته شده تداخل نداشته باشد(اين مورد دربرگيرنده برنامههاي ضد ويروس نيز ميشود).
در بالا سعي كردهام آنچه را كه فكر ميكردم موضوعات بنيادين صنعت آنتي ويروس است جمع بندي نمايم. اكنون چگونه اين صنعت، موضوعات ياد شده را مورد بررسي قرار مي دهد؟ شركتهاي آنتي ويروس در آينده چه نوع حفاظتي را ارائه خواهند كرد؟
فناوريهاي جديد در برابر راهكارهاي قديمي
به طور طبيعي ، هر از چند گاهي، توسعه دهندگان آنتي ويروسها ميخواهند تكنولوژيهاي جديدي اختراع كنند كه مشكلات گفته شده در بالا با يك حركت يا نوعي راهكار همه گير و واحد حل شود. اين سيستم حفاظتي پيشگيرانه (proactive)، شناسايي و حذف ويروس را پيش از ساخته شدن و ظهور آن در اينترنت انجام مي دهد. اين روش ميتواند در تمام موارد پديدار شدن تهديدات ويروسي به كار رود.
متاسفانه ، انجام اين امر به سادگي امكانپذير نيست. يك راهكار همه گير فقط بر عليه تهديداتي موثر است كه منطبق با قوانين استمرار باشند. در حالي كه ويروسهاي كامپيوتري رويدادهايي طبيعي نيستند اما خلق كارهاي پيچيده توسط تفكر هكرها موضوعي نيست كه براساس قوانين ثابتي باشد. ويروسها بوسيله يك سري از قوانين بوجود ميآيند كه به طور مستمر و بر اساس اهداف تشكيلات زير زميني خرابكاري در حوزه كامپيوتر، در حال تغييرهستند.
اجازه بدهيد مثالي از بلوک کننده های رفتار (behavior blocker) داشته باشيم كه رغيبی براي برنامههاي ضد ويروسي محسوب ميشوند و مبتنی بر شناسه های ویروس (virus signatures) هستند. اينها دو شیوه پويش كاملاً متفاوت براي ويروسها هستند كه لزوما هم باهم ناسازگار نيستند. شناسه (signature) ويروس، قطعه كد كوچكي قابل مقايسه با فايلهاست و راهكار آنتي ويروس، اين دو را جهت تعيين همساني، با يكديگر مورد بررسي و مقايسه قرار مي دهد. از ديگر سو، يك بلوك كننده رفتار، رفتار برنامه هاي كاربردي را پس از اجرا، تحت پيگيري قرار داده و در صورت مشاهده رفتار مشكوك يا مخرب از جانب آنها، به برنامه خاتمه مي دهد. هر دو روش مزايا و معايب ويژه خود را دارند.
يك از مزاياي پويش مبتني بر شناسه ويروس آنست كه همه كدهاي مخربي را كه تشخيص مي دهد شناسايي مي نمايد. نكته منفي در مورد اين شيوه، عدم موفقيت در شناسايي كدهاي مخربي است كه پيشتر با آنها برخورد نشده است. ديگر نكته منفي در مورد اين روش، به اندازه بزرگ بانكهاي اطلاعاتي ويروسها و منابع سيستمي مورد استفاده باز مي گردد.بلوك كننده هاي رفتاري از آن جنبه كه توانايي شناسايي برنامه هاي مخرب ناشناخته را دارند، مفيد هستند. جنبه منفي اين شيوه، امكان وقوع نتايج نادرست ميباشد. رفتار ويروسها و تروجانهاي امروزي آنچنان گوناگون است كه تعريف قواعدي كه همه رفتارهاي ممكن آنها را در بر گيرد، به سادگي امكانپذير نيست. اين بدان معني است كه بلوك كننده رفتار، مطمئناً در شناسايي برخي برنامههاي مخرب ناموفق خواهد بود و گهگاه از اجراي برنامه هاي مورد اطمينان جلوگيري به عمل مي آورد.
بلوك كننده هاي رفتار، ذاتاً عيب ديگري دارند؛ اين ابزارها توانايي مبارزه با برنامههاي مخربي را كه از ساختار و مفاهيم جديد بهره مي برند، ندارند. فرض كنيم كه شركت X يك آنتي ويروس رفتاري را به اسم AVX تهيه است كه 100 درصد برنامههاي مخرب كنوني را شناسايي مي نمايد. درچنين حالتي هكرها چه كار خواهند كرد؟ مطمئناً، انواع جديدي از برنامههاي مخرب را ابداع خواهند نمود؛ و به طبع آن ضروري است كه قواعد رفتاري روزآمد شوند؛ و از آنجا كه هكرها به سادگي ميدان را رها نمي كنند، باز هم مجدداً روزآمد شوند. و بعدها هم چندين مرتبه روزآمد گردند. در نهايت، ادامه اين روند، ما را به يك پويش مبتني بر شناسه منتهي مي نمايد، با اين تفاوت كه شناسه ها، از نوع رفتاري هستند نه يك قطعه كد.
چنين استنتاجي قابل تعميم به آناليز اكتشافي، كه شيوه ديگري از حفاظت پيشگيرانه است، مي باشد. به محض اينكه هكرها متوجه شوند كه تكنولوژيهاي ضد ويروس از رسيدن آنها به قربانيانشان ممانعت ميكنند، براي گريز از حفاظت پيشگيرانه تكنولوژيهاي ويروسي جديدي ابداع ميكنند. به محض استفاده گسترده از محصولي كه تكنولوژيهاي «پيشرفته» اكتشافي يا بلوك كننده رفتاري را به خدمت گرفته است، اين تكنولوژيهاي «پيشرفته» ديگر كارايي كافي را نخواهند داشت.
اين بدان معني است كه تكنولوژيهاي پيشگيرانه فقط براي يك مدت زمان كوتاه موثرند. در جايي كه هكرهاي ابتدايي فقط چند هفته يا چند ماه وقت براي گريز از حفاظت پيشگيرانه لازم دارند، اين ميزان براي هكرهاي حرفهاي فقط يك يا دو روز يا در بدترين شرايط چند دقيقه يا چند ساعت است. مفهوم اين حرف آنست كه بلوك كننده هاي رفتاري يا بررسي كننده هاي اكتشافي هر چقدر موثر باشند، نيازمند توسعه و روزآمدسازي مستمر هستند. توجه به اين نكته لازم است كه افزودن شناسه هاي جديد به بانك اطلاعاتي در چند دقيقه انجام مي شود، در حالي كه تكميل و آزمودن روشهاي حفاظت پيشگيرانه به زمان بيشتري نياز دارد. نتيجه اين بحث اينست كه در بيشتر موارد بروزرساني بانك اطلاعاتي شناسه هاي ويروس به مراتب بهتر از راهكارهاي معمول حفاظت پيشگيرانه است. تجربه شيوع برنامه هاي مخرب توسط ايميل و كرمهاي شبكه، برنامه هاي جديد جاسوسي و ساير برنامه هاي مخرب، بيانگر اين موضوع است.
البته اين به معني بي فايده بودن حفاظت پيشگيرانه نيست. اين شيوه حفاظتي در حيطه خاصي خوب عمل مي نمايد و توانايي توقف ميزان محدودي از برنامه هاي مخرب را دارد (برنامههايي كه بوسيله هكرها و نويسندگان كم تجربه ويروس ايجاد شده اند). به همين دليل حفاظت پيشگيرانه ميتوانند بعنوان يك مكمل مفيد براي پويش مبتني بر شناسه ويروس باشد، اما نمي توان براي ارائه و ايجاد يك حفاظت همه جانبه به آن متكي بود.
تستهاي مقايسهاي و ضعفهاي آنها
اين قسمت از مقاله به مشكلاتي كه كاربرها در زمان انتخاب يك راهكار ضد ويروس دارند، اشاره دارد. فرض بر آنست كه كاربران به دنبال محصولي هستند كه حفاظتي واقعي را در برابر كدهاي مخرب ارائه دهد. بر اين اساس، اين افراد از كجا مي توانند اطلاعات لازم را كسب نمايند كه بتوانند بر پايه آن تصميم خود را بگيرند؟
طبيعي ترين كار، مراجعه به نتايج تستهاي مقايسه اي از منابع گوناگون و از جمله انواع حرفه اي آنست. آْيا چنين چيزهايي وجود دارند؟ بله، وجود دارند. اما چندان زياد نيستند. اكثر انتشاراتي هاي حوزه IT، تستهاي مقايسهاي برنامههاي آنتي ويروس را بر مبنايي نسبتاً منظم انجام مي دهند. آنها، راهكارها را كاملاً امتحان كرده و همه چيز را از قيمت توليدات گرفته تا كيفيت پشتيباني فني بررسي و مقايسه مي كنند. اگر چه اين آزمايشها به طور واقعي كيفيت عملكرد آنتي ويروس را بيان نمي كنند. اين قابل فهم است كه آزمايش كنندگان، يك مجموعه مناسب و بزرگ از ويروسها، جايگاه ويژه آزمون و روالهاي خودكار آزمون احتياج دارند كه بتوانند به طور كاملي آنتي ويروسها را مورد بررسي و آزمون قرار دهند. اين به معني در اختيار داشتن يك تيم اختصاصي از افراد است كه صرفاً در زمينه آزمودن راهكارهاي ضد ويروس فعاليت مي كنند و منابع لازم را نياز دارند ـ چيزي كه اكثر انتشارات IT آنها را در اختيارندارند. از اين رو، تستهاي مقايسهاي انجام شده توسط انتشارات حوزه IT چندان قابل اطمينان نخواهند بود و اين انتشاراتي ها نياز به تماس با كارشناساني دارند كه متخصص آزمون محصولات آنتي ويروس باشند.
هم اينك مجرب ترين تست كننده هاي محصولات آنتي ويروس عبارتند از Andreas Marx (از آلمان http://www.av-test.org (http://www.av-test.org/)) و Andreas Clementi (از استراليا http://www.av-comparatives.org (http://www.av-comparatives.org/)). اين آزمايشها، جزئيات كيفيت شناسايي گونه هاي مختلف برنامه هاي مخرب و سرعت واكنش شركتهاي آنتي ويروس را به شيوع ويروسهاي جديد بيان مي نمايد. آزمايشها دقيق و با جزئيات كامل هستند و به خودي خود ميتوانند براي مقايسه خصوصيات برنامههاي ضد ويروس به كار گرفته شوند. متاسفانه اين آزمايشها تنها ميتواند دو خصوصيت را كه در بالا اشاره شد مورد بررسي قرار دهند و نميتوانند اين موضوع را كه برنامههاي ضد ويروس در موقعيتهاي واقعي چگونه عمل ميكنند، نشان دهند؛ مثلا هنگام ترميم يك سيستم آلوده، واكنش راهكار حفاظتي در برابر وب سايتهاي آلوده، ميزان استفاده از منابع و دقت بررسي فايلهاي آرشيوي و برنامه هاي اجرايي چگونه است.
متاسفانه آزمايشهايي كه تصويري درست از چگونگي واكنش توليدات در موقعيتهاي واقعي نشان دهند، به ندرت وجود دارند. يك مورد كه ما ميشناسيم آزمايشگاه تست دانشگاه ايالتي مسكو است كه تستها را در شرايط گسترده و متفاوتي انجام ميدهد. اگر چه روش انجام اين تستها هنوز نياز به اصلاح و كار كردن دارد و آزمايشگاه تست دانشگاه هنوز براي كارهاي عمومي و بزرگ آماده نيست.
همچنين نام بردن از تستهايي كه توسط Virus Bulletin (كه يك انتشارات صنعتي است) انجام مي شوند، ارزشمند است. من مطمئنم كه اگر من از آنها ياد نمي كردم خوانندگان مي پرسيدند كه چرا از تستها و نتايج VB100% نامي برده نشده است. متاسفانه اين تستها چندان كامل نيستند. استانداردهاي تست در ميانه دهه 90 طراحي شده و از آن به بعد بندرت تغيير كردند. محصولات آنتي ويروس توسط يك مجموعه فايلهاي آلوده شده با ويروسهاي ITW تست مي شوند. جوايز بر مبناي نتايج تستها اختصاص مي يابد. اگر چه مجموعه ITW فقط شامل دو تا سه هزار فايل است ـ تعداد به مراتب كمتري نسبت به آنچه در طول يك ماه پديد مي آيند. بنابراين يك جايزه VB100% الزاماً به معناي حفاظت در برابر همه برنامه هاي مخرب نيست بلكه به معناي آنست كه محصول از عهده تستهاي انجام شده توسط مجموعه ITW متعلق به VirusBulletin بر آمده است، نه چيزي بيشتر.
نتيجه
من اميدوارم كساني كه اين مقاله را مطالعه كردهاند درك بهتري از موضوعاتي كه صنعت آنتي ويروس با آنها روبروست بدست آورده باشند و اين به شما در انتخاب يك برنامه آنتي ويروس براي كامپيوتر خانگي يا شبكه شما كمك خواهد كرد. من فكر ميكنم كه يك كامپيوتر متصل به اينترنت ميتواند مصون باشد و يا نباشد. در هر دو حالت، اطلاعات، كليد بقا هستند و ميتوانند شما را از نتيجه ناخوشايند حفاظت كنند.
گذر خوشي در اينترنت داشته باشيد!
نوشته: یوجین کسپرسکی(Eugene Kaspersky)
برگرفته از : بخش تحقيقات ويروس لابراتوار كسپرسكي
:104:
گردآونده:طه-Borna66
اين موضوع كه اينترنت محيط مناسبي براي بروز جرم است چه مفهومي دارد؟
در حقيقت به معني كسب درآمد نامشروع و گسترش برنامههاي مخرب (Malicious) است كه پيامدهاي زير را دارد:
• سرقت اطلاعات حسابهاي بانكي اشخاص و بنگاهها
• سرقت شمارههاي كارتهاي اعتباري
• بكارگيري برخي محركها و اقدام به حملات از نوع DDOS، و نهايتاً مطالبه پول براي متوقف كردن حملات
• ايجاد شبكه هاي پراكسي سرور بر مبناي تروجانها. اين شبكه ها مي توانند براي فرستادن Spam و رسيدن به عوايد تجاري مورد استفاده قرار گيرند
• به وجود آوردن شبكههاي Zombi كه مي توانند براي مقاصد گوناگون مورد بهرهبرداري قرار گيرند
• ايجاد برنامههايي كه عمليات بارگذاري و نصب نرم افزارهاي تبليغاتي (AdWare) را در ماشين قرباني انجام مي دهند
• نصب تروجانهاي شمارهگير (dialer) كه بطور مداوم به شماره گيري سرويسهاي غير مجاني مي پردازند ]م: چنين سرويسهايي در برخي كشورهاي جهان وجود دارند كه هزينه آن به همراه قبض تلفن به اطلاع كاربر مي رسد و دريافت مي گردد.
به طور يقين بيان اينكه اين فعاليتهاي غيرقانوني تا چه ميزان گسترش يافته اند، مشكل است. به اعتقاد من، شايد تعداد افراد و گروههاي هكر فعال اگر به صدها مورد نرسد، دست كم به چندين دوجين مي رسد. اگر چه هكرهاي گروهي به طور احتمالي حتي به شمار چند هزار هم ميرسند. اين آمار براساس يافتههاي سازمانهاي اجراي قوانين در بسياري از كشورهاي داراي شبكه كامپيوتري، بدست آمده است. در طول چند سال اخير تعداد زيادي از هكرها و گروههاي هكر دستگير شدهاند، به طوري كه اين توقيفها به بيش از صدها مورد ميرسد. هر چند به نظر نميرسد كه اين ميزان، تأثيري عميق روي تعداد ويروسها و تروجانها گذاشته باشد.
زمينه ديگري كه مي توان با حدس و گمان در آن مورد به بحث پرداخت، حجم معاملات و عايدي بازار زير زميني كامپيوتر است. منابع منتشر شده تخمين زدهاند كه بين سالهاي 2004 تا 2005، هكرها صدها ميليون دلار را دزديده اند ويا با طرحهاي زيركانه، از آن خود كرده اند. از آنجا كه تعداد زيادي از مجرمان فضاي سايبر دستگير يا زنداني نشدهاند ميتوان تصور كرد كه حجم عايدي شايد به ميلياردها دلار برسد. اين ميزان به راحتي از ميزان عايدي سالانه شركتهاي سازنده آنتي ويروس فراتر مي رود. اين موضوع در موارد ذيل مشخص شده است:
زيان كلي وارده به اقتصاد جهاني از طريق فعاليت هاي نويسنده هاي ويروس ، هكرها و هرزنامه ها متجاوز از دهها ميليارد دلار در سال بوده و اين ميزان در حال افزايش است. بر اساس پژوهشهاي انجام شده توسط موسسه Computer Economics، كل ضايعات بوجود آمده در سال 2004 نزديك به هیجده ميليارد دلار و با روندي صعودي سالانه 30 تا 40% بوده است.
بياييد نگاهي به بازيگران جهاني عرصه تهديدهاي شبكهاي بيندازيم:
• نويسندگان ويروس و هكرها به دلايل شخصي به توليد و انتشار ويروسها و تروجانها مي پردازند
• ماشینها و شبكه هاي كاربران نهايي تحت تهديد هميشگي حملات هكرها هستند و غالباً قرباني حملات هماهنگ مي شوند
• پليس و سازمانهاي اجراي قانون در سراسر دنيا فقط تا حدي در رسيدگي و تعقيب جرايم سايبر موفق هستند
• شركتهاي سازنده آنتي ويروس نرمافزارهايي به وجود ميآورند كه تهديدات فضاي سايپر را خنثي نمايند
مطالب زيادي درباره ويروسها ، هكرها و آنهايي كه آنها را دنبال ميكنند نوشته و گفته شده است؛ حتي در هاليوود فيلمهايي در رابطه با اين موضوع ساخته شده است. پديد آورندگان و فروشندگان راهكارهاي آنتي ويروس از وب سايتهاي خود بمنظور انتشار دست آوردهاي خود استفاده مي نمايند. اگر چه اطلاعات زيادي درباره مشكلاتي كه صنعت آنتي ويروسها با آن رو در روست در دست نيست، اين مقاله قصد دارد تا اين موضوع را بررسي كند و تا اندازهاي اين ناهماهنگي و عدم توازن را اصلاح نمايد.
مفاهيم مختصري از صنعت امنيتي
براي شروع ، اجاره بدهيد نگاهي به شركتهايي كه راهكارهاي استاندارد براي مقابله با ويروسهاي كامپيوتري ارائه ميكنند بپردازيم (در ادامه مقاله در مورد ابزارها و راهكارهاي ويژه بحث خواهيم كرد). منظور از راهكارهاي استاندارد ، نرم افزارهايي براي كامپيوترهاي روميزي (desktop)، فايل سرورها، سرورهاي پست الكترونيكي ونيز شبكههاي بزرگ است.
بازار كلي براي چنين راهكارهاي استانداردي در سال 2003 معادل 7/2 ميليارد دلار و در سال 2004 معادل 3/3 ميليارد دلار تخمين زده شد و پيش بيني مي شود اين رقم در سال 2005 معادل 8/3 ميليارد دلار باشد. تمام اين اطلاعات از IDC سال 2005 استخراج شده است. مجموعه پديد آورندگان آنتي ويروس به سه گروه دسته بندي مي شوند: پيشروان اين صنعت ، شركتهاي درجه دوم و نهايتاً ديگر شركتها كه تأثير مهمي بر بازار آنتي ويروس ندارند.
پيشروان اين صنعت عبارتند از Symantec، MCAfee (NAI) و Trend Micro كه فعاليتشان تمام بازارها را تحت تأثير قرار ميدهد.
http://www.pnu-club.com/imported/mising.jpg
به استثناي موارد جزيي، اين سه شركت تقريباً پيشتاز همه بازارها هستند (براي نمونه Trend Micro بر بازار ژاپن حكمفرمايي ميكند). شركتهاي Symantec وNAI (McAfee) شركتهاي آمريكاي شمالي هستند. Trend Micro در اصل يك شركت تايواني است كه بازار حال حاضر ژاپن را قبضه كرده است. دفتر مركزي اين شركت هم اينك در آمريكا قرار دارد.
گروه دوم شركتهايي هستند كه حجم معاملات آنها كمتر از سه شركت پيشرو است. اگر چه حجم معاملات شركتهاي ياد شده هم به دهها ميليون دلارمي رسد.
http://www.pnu-club.com/imported/mising.jpg
آزمايشگاه كسپرسكي كه در روسيه تاسيس شده از اين دسته شركتهاست. اگرچه اين شركت اطلاعات مالي را افشا نميكند.
اكثريت شركتهاي وابسته گروه دوم حضور مهمي در بازارهاي داخلي كشورخود دارند. هر چند نقش كوچكي نيز در بازارهاي خارجي دارند. براي مثال ، Sophos موفقترين شركت در انگليس، Panda در اسپانيا و F-Secure در كشورهاي اسكانديناوي و غيره.
گروه سوم دربرگيرنده چندين شركت سازنده آنتي ويروس است. معروفترين آنها عبارتند از:
• Alwil – Awast (جمهوري چك)
• Arcabit – MKS (لهستان)
• Doctor Web – DrWeb (روسيه)
• ESET – NOD32 (اسلواكي)
• Frisk Software – F – Prot (ايسلند)
• GriSoft – AVG (جمهوري چك)
• H+BEDV – AntiVir (آلمان)
• Hauri – Vi Robot (كره جنوبي)
• SoftWin – BitDefender (روماني)
• VirusBuster – VirusBuster (مجارستان)
گروه سوم همچنين شامل شركتهاي UNA و Stop (كه هر دو اوكرايني هستند)، Rising و Kingsoft (چيني) و ديگران است.
اكثر شركتهاي اين گروه هيچ نوع اطلاعات مالي را فاش نميكنند. اگر چه برخي تخمين ها حجم معاملات حدود 10 ميليون دلار را نشان ميدهند.
آنچه در بالا آمده اطلاعاتي است از چگونگي بازار شركتهاي آنتي ويروس. با اين وجود نام شركتهاي توليد كننده محصولات مبتني بر پروانه (license) استفاده به ميان نيامده است. براي مثال شركت آلماني G-Data كه راهكارهاي ضد ويروسي آن براساس توليدات آزمايشگاه Kaspersky و شركت Softwin technologies استوار است، و Microsoft كه راهكار multi-engine آن توسط شركت Sybari طراحي شده است.
راهكارهاي غير استاندارد آنتي ويروس نيز موجودند كه برخي از آنها بندرت مورد بررسي تخصصي قرار گرفته اند. از جمله آنها مي توان به سيستمهايي اشاره نمود كه هرگونه تهديد بالقوه ناشي از نامه هاي الكترونيكي محيط شبكه را با حذف آنها برطرف مي نمايند (كاربر نهايي صرفاً نامه اي بدون فايل اجرايي و يا html ضميمه دريافت خواهد نمود)، و نيز سيستمهايي كه مرورگر وب را از طريق ماشين مجازي (Virtual Machine) اجرا مي نمايند. ضمناً برنامه هايي وجود دارند كه بسيار شبيه آنتي ويروس هستند: برنامه هايي كه در برابر حملات DDoS ايستادگي مي نمايند، نرم افزارهاي مديريت patchها و غيره. به هر حال هيچ يك از اينها را نمي توان به عنوان راه حل كامل آنتي ويروس به شمار آورد.
مشکلات صنعت آنتی ویروس
فارغ از دردسرهايي كه هر توليد كننده محصولات توليدي با آنها روبروست چه مشكلاتي ممكن است متوجه صنعت آنتي ويروس باشد؟ همه ما مي دانيم كه ويروسها و راهكارهاي آنتي ويروس وجود دارند. ممكن است اينگونه به نظر آيد كه راهكارهاي آنتي ويروس براي مصرف كنندگان به صورت استاندارد و يكسان ارائه مي شوند، و هر راهكار به خودي خود با راهكار ديگر متفاوت نيست. كاربران، محصول مورد نياز خود را بر اساس طراحي، مسائل مرتبط با شيوه بازاريابي و ساير انواع دلايل غير فني انتخاب نمايند. بر اين اساس آنتي ويروس به صورت تئوري همانند ساير كالاهاي مصرفي است، همچون پودرهاي لباسشويي، خميرداندان ها و وسايل نقليه.
متاسفانه (و شايد هم خوشبختانه)، مشكل اينجا نيست. كاربران اغلب يك راهكار آنتي ويروس را بواسطه ويژگيهاي فني آن انتخاب ميكنند. كاربران به طور معمول بر اين موضوع متمركز مي شوند كه آيا يك راهكار بخصوص آنتي ويروس در برابر نوع ويژه اي از تهديدات شبكه اي ايستادگي مي نمايد، واينكه سطح عمومي حفاظت آن چگونه است.
يك راه حل ضد ويروسي بايد توانايي پشتیبانی سيستم در مقابل تمام انواع برنامههاي مخرب را داشته باشد. راه حل ضد ويروسي بهتر باعث رضايت كاربران و مديران شبكه خواهد شد. كساني كه تئوري زير را درك نكند به زودي با نتايج عملي آن روبرو ميشوند؛ بدون يك برنامه ضد ويروس خوب، هر كسي ميتواند شروع به دزديدن پول از حساب بانكي كاربر كند و يا ممكن است كامپيوتر به صورت دلخواه شروع به شماره گيري تلفنهايي نمايد كه باعث تعجب كاربر از افزايش ترافيك خروجي خواهد گرديد. با اين اوصاف، كاربران مي بايست در مورد چگونگي حفاظت ارائه شده توسط برنامه هاي ضد ويروس اطلاع داشته باشند كه بتوانند انتخابي آگاهانه انجام دهند.
فرض كنيم كه برنامه ضد ويروس X ، 50 درصد تمام ويروسهاي منتشر شده در اينترنت را شناسايي مي كند، محصول Y، 90 درصد و محصول Z ، 9/99 درصد اين ميزان را. با اين فرض، نتيجه انجام تعداد N حمله، حفظ سلامت كامپيوتر و يا آلودگي سيستم خواهدبود. اگر كامپيوتر 10 بار مورد حمله قرار گيرد، احتمال ناموفق بودن شناسايي برنامه مخرب توسط محصول X تقريباً قطعي است؛ در محصول Y ، امكان عدم شناسايي برنامه مخرب صرفاً در حد احتمال بوده و در مورد محصول Z ، خطر بسيار كم است.
متاسفانه تعداد نسبتاً كمي از محصولات ارائه شده در فروشگاهها يا اينترنت، ميزان حفاظت نزديك به 100% را ارائه مي كنند. اكثر محصولات حتي توانايي تضمين ميزان 90% درصد حفاظت را نيز ندارند و همين، مشكل اساسي و امروزه صنعت ضد ويروس است.
مشكل شماره 1
تعداد و تنوع برنامههاي مخرب هر ساله در حال افزايش است. در نتيجه بسياري از شركتهاي آنتي ويروس به سادگي توانايي حريف شدن با يورشها را نداشته و از دور «مسابقه تسليحاتي با ويروسها» خارج ميشوند. كاربراني كه توليدات چنين شركتهايي را انتخاب ميكنند، در برابر همه برنامههاي مخرب مورد محفاظت قرار نخواهند گرفت. چنين وضعيتي در خصوص كاربران زيادي صادق است؛ در اين شرايط، محصولات متعددي كه با نام آنتي ويروس به فروش مي رسند به هيچ وجه نمي بايست به اين نام خوانده شوند.
در ضمن ، پنچ يا ده سال پيش ، صراحتاً گفته ميشد كه يك برنامه ضد ويروس لزوما نبايد سيستم را در برابر هر ويروس يا تروجان جديد حفاظت كند. علاوه بر اين، اكثريت برنامههاي مخرب جديدي كه در آن زمان پديد مي آمدند به هيچ وجه در كامپيوتر كاربر نفوذ نميكردند. آنها بوسيله خرابكاران نوجوان فضاي سايبر نوشته ميشوند. كساني كه ميخواستند مهارتهاي برنامه نويسي خود را نشان دهند و يا حس كنجكاوي خود را ارضا نمايند. كاربران در واقع فقط نياز به محافظت در برابر برخي از ويروسهايي داشتنند كه بمنظور نفوذ در ماشينهاي قرباني طراحي شده بودند. به هر حال اكنون شرايط تغيير كرده است. بيشتر از 75 درصد برنامههاي مخرب توسط تشكيلات محرمانه مجرمان كامپيوتري، با هدف آلوده سازي تعداد مشخصي از كامپيوترهاي موجود بر روي اينترنت، طراحي و ساخته شده اند. تعداد ويروسها و تروجانهاي جديد، همه روزه به ميزان چند صد عدد افزايش مي يابد - هر روز بين دويست تا سيصد نمونه جديد به دست آزمايشگاه ويروس در شركت كسپرسكي مي رسد.
اين نمونهها از چندين منبع سرچشمه مي گيرند. Honeypotها (ماشينهايي كه اختصاص به جمع آوري كدهاي مخرب موجود بر روي اينترنت دارند) ، كاربران ماشينهاي آلوده، مديران شبكه هاي محلي، ISP ها و ساير شركتهاي ضد ويروس، با اينكه ممكن است مورد اخير عجيب به نظر آيد. با وجود مجزا بودن سهم شركتها در بازار ضد ويروس (موردي كه در هر بازاري بدون استثناء اتفاق ميافتد)، اين شركتها با يكديگر همكاري دارند. در صورت شناسايي worm جديدي توسط يك شركت ضد ويروس، متخصصان به فوريت به شركتهاي رقيب اطلاع داده و يك نمونه از آن را براي اين شركتها ارسال خواهند نمود. اكثر شركتهاي آنتي ويروس، نمونه هاي ويروس را دست كم به طور ماهانه تبادل ميكنند. آنها همچنين اطلاعات حرفهاي جمع آوري شده را تعويض ميكنند. اين اطلاعات در دسترس كساني كه خارج از اين صنعت هستند قرار ندارد. اين عمل يك اخلاق حرفهاي محسوب ميشود. شركتهاي آنتي ويروس اطلاعاتشان را در اختيار ديگر شركتها مي گذارند مگر آنهايي كه با رفتار غيراخلاقيشان باعث آسيب رساندن به جايگاه خود در دنياي آنتي ويروسها شده باشند.
فرض كنيم كه يك ويروس جديد يا تروجان در اينترنت يا يك كامپيوتر آلوده شناسايي شود. اين موضوع چه معنايي دارد؟ اين بدان معني است كه احتمال اينكه يك كامپيوتر خاص بوسيله منشا آلودگي، آلوده شود خيلي زياد است و ممكن است دهها ، صدها و شايد هزاران كامپيوتر كه در حال استفاده از اينترنت هستند پيشتر آلوده شده باشند. بسته به اينكه سرعت انتشار در اينترنت چقدر است، اگر عنصر آلوده كننده از نوع كرم (worm) باشد، شمار قربانيان ممكن است به چندين ميليون نيز برسد. در نتيجه، شركتهاي آنتي ويروس بايد توان انتشار روزآمد سازيهاي (update) آنتي ويروس را كه امكان حفاظت در برابر ويروسها و كرمهاي جديد را دارند، داشته باشند. اين موضوع، ما را با مشكل دوم موجود در صنعت آنتي ويروس مواجه مي نمايد.
مشكل شماره 2
امروزه برنامههاي مخرب آنچنان سريع انتشار مييابند كه شركتهاي آنتي ويروس مجبورند فايلهاي بروزرساني را در اسرع وقت منتشر نمايند تا مقدار زماني كه كاربران با خطر روبرو هستند به كمترين ميران برسد. متاسفانه بسياري از شركتهاي آنتي ويروس توانايي اين كار را ندارد. كاربران اغلب زماني فايلهاي بروزرساني را دريافت مي دارند كه در واقع پيشتر آلوده شدهاند.
فرض كنيم كه ويروسي موفق شده در سيستم قرباني نفوذ كند و برنامه آنتي ويروس نصب شده در سيستم قرباني هيچ فعاليتي مشكوكي را شناسايي نكند (اين ممكن است بخاطر چگونگي و كيفيت راهكار به خودي خود بوده و يا به خاطر بي دقتي كاربر در داونلود فايلهاي بروزرساني و تجهيز سيستم در زمان مناسب باشد). دير يا زود فايلهاي بروزرساني شناسايي كننده ويروس عرضه مي شوند. اين بدان معني است كه اگر چه ممكن است ويروس شناسايي شود ولي از ميان نخواهد رفت.
براي رهايي از ويروس، يك بار و براي هميشه فايلهاي آلوده مي بايست «با دقت» از سيستم قرباني حذف شوند. واژه «دقت» در اينجا واژه اي است كليدي كه ما را با مشكل سوم در رابطه با برنامههاي ضد ويروسي آشنا ميكند.
مشكل شماره 3
مشكل سومي كه صنعت امنيتي با آن روبروست حذف كدهاي مخرب از سيستم قرباني است. در بيشتر موارد، ويروسها و تروجانها (Trojans) به گونه اي نوشته مي شوند كه حضورشان را در سيستم پنهان نمايند و يا آنچنان عيمق در سيستم رسوخ كنند كه پاك كردن آنها به يك جريان پيچيده تبديل شود. متاسفانه برخي برنامههاي ضد ويروسي توانايي پاك كردن كدهاي ويروسي و اصلاح كردن اطلاعاتي كه بوسيله ويروس تغيير كرده است را ندارد.
موضوع ديگر اين كه همه نرمافزارها، منابع سيستم را مورد استفاده قرار مي دهند و برنامههاي آنتي ويروس از اين قاعده مستثني نيستند. به منظور حفاظت از كامپيوتر، برنامه هاي آنتي ويروس مجبورند اعمال معيني را انجام دهند ـ فايلها را باز كنند، اطلاعات داخل آنها را بخوانند، فايلهاي آرشيوي را جهت اسكن شدن باز كنند، و غيره. هر چقدر بررسي فايلها دقيقتر انجام شود، منابع بيشتري مورد نياز برنامه هاي آنتي ويروس خواهد بود و بكار گرفته خواهد شد. در اين روش ، برنامه ضد ويروس شبيه يك درب امنيتي عمل ميكند. هر چه اين درب ضخيمتر باشد، امنيت بيشتري را ارائه مي دهد، گرچه سنگيني آن باعث سخت شدن باز و بسته شدنش ميشود. زماني كه در مورد راهكارهاي ضد ويروس صحبت ميشود، مساله ايجاد تعادل ميان سرعت برنامه و سطح حفاظتي ارائه شده توسط آن است.
مشكل شماره 4
متاسفانه موضوع ميزان استفاده از منابع سيستم تفريباً غير قابل حل است. تجربه نشان ميدهد برنامههاي ضدويروسي كه اسكن سريعي ارائه مي دهند، به طور قابل ملاحظهاي داراي نقصاند و به ويروسها و تروجانها اجازه ميدهند همچون آبي كه از غربال ميگذرد، به سيستم وارد شوند. اگر چه عكس اين حالت نيز لزوماً درست نيست. برنامههاي ضد ويروسي كه به آرامي عمل ميكنند لزوما نميتوانند حفاظت موثرتري ارائه دهند.
به منظور اسكن بلادرنگ و فوري فايلها و فراهم آوردن حفاظت پايدار براي كامپيوتر ، يك راهكار ضد ويروس بايد به طور نسبتاً عميقي در هسته مركزي سيستم عامل نفوذ نمايد. اين نفوذ، همواره به يك ميزان خواهد بود. از ديدگاه فني، يك برنامه آنتي ويروس مي بايست برنامه هاي تصفيه كننده (interceptor) روندهاي سيستم را در عمق سيستم تحت حفاظت نصب نموده و نتايج را جهت اسكن فايلها و بسته ها (packet)ي شبكه و ساير موارد مستعد آلوده شدن، به موتور (Engine) آنتي ويروس ارسال نمايد.
اگر چه نصب كردن دو تصفيه كننده ويروس در سطح مورد نظر هسته سيستم براحتي امكانپذير نبوده و نتيجه آن ناسازگاري بين عمليات آنتي ويروسها است (كه به طور پيوسته عمل ميكنند)، بطوريكه آنتي ويروس دوم توانايي جدا كردن رخدادها(event)ي سيستمي را نخواهد داشت و تلاش براي مضاعف كردن مكانيزمهاي جداسازي، به بهم خوردن سيستم خواهد انجاميد و اين مهمترين قسمت مشكل بعدي صنعت امنيتي كامپيوترها است.
مشكل شماره 5
ناسازگاري بين برنامههاي ضد ويروس، خود موضوعي است قابل بحث. معمولا نصب كردن دو برنامه آنتي ويروس از شركتهاي متفاوت روي يك ماشين (براي افزايش ميزان حفاظت) از لحاظ فني غير ممكن است بطوري كه دو برنامه، عمليات يكديگر را منقطع و خراب ميكنند.
مردم غالباً فكر ميكنند كه شركتهاي آنتي ويروس همانند بچههاي كوچك در پي ربودن اسباببازيهاي يكديگرند و موضوع ناسازگاري به خاطر رقابت نامناسب است و به عمد طرحريزي شده است تا ساير سازندگان از دور خارج شوند. ولي اين موضوع واقعيت ندارد. مشكلي در خصوص ناجوانمردانه يا غير اخلاقي بودن رقابتها وجود ندارد. در مقابل، طراحان و توليد كنندگان آنتي ويروس، هر تلاشي را كه در توان دارند انجام ميدهند تا مطمئن شوند توليدات آنها با نرمافزارهاي شناخته شده تداخل نداشته باشد(اين مورد دربرگيرنده برنامههاي ضد ويروس نيز ميشود).
در بالا سعي كردهام آنچه را كه فكر ميكردم موضوعات بنيادين صنعت آنتي ويروس است جمع بندي نمايم. اكنون چگونه اين صنعت، موضوعات ياد شده را مورد بررسي قرار مي دهد؟ شركتهاي آنتي ويروس در آينده چه نوع حفاظتي را ارائه خواهند كرد؟
فناوريهاي جديد در برابر راهكارهاي قديمي
به طور طبيعي ، هر از چند گاهي، توسعه دهندگان آنتي ويروسها ميخواهند تكنولوژيهاي جديدي اختراع كنند كه مشكلات گفته شده در بالا با يك حركت يا نوعي راهكار همه گير و واحد حل شود. اين سيستم حفاظتي پيشگيرانه (proactive)، شناسايي و حذف ويروس را پيش از ساخته شدن و ظهور آن در اينترنت انجام مي دهد. اين روش ميتواند در تمام موارد پديدار شدن تهديدات ويروسي به كار رود.
متاسفانه ، انجام اين امر به سادگي امكانپذير نيست. يك راهكار همه گير فقط بر عليه تهديداتي موثر است كه منطبق با قوانين استمرار باشند. در حالي كه ويروسهاي كامپيوتري رويدادهايي طبيعي نيستند اما خلق كارهاي پيچيده توسط تفكر هكرها موضوعي نيست كه براساس قوانين ثابتي باشد. ويروسها بوسيله يك سري از قوانين بوجود ميآيند كه به طور مستمر و بر اساس اهداف تشكيلات زير زميني خرابكاري در حوزه كامپيوتر، در حال تغييرهستند.
اجازه بدهيد مثالي از بلوک کننده های رفتار (behavior blocker) داشته باشيم كه رغيبی براي برنامههاي ضد ويروسي محسوب ميشوند و مبتنی بر شناسه های ویروس (virus signatures) هستند. اينها دو شیوه پويش كاملاً متفاوت براي ويروسها هستند كه لزوما هم باهم ناسازگار نيستند. شناسه (signature) ويروس، قطعه كد كوچكي قابل مقايسه با فايلهاست و راهكار آنتي ويروس، اين دو را جهت تعيين همساني، با يكديگر مورد بررسي و مقايسه قرار مي دهد. از ديگر سو، يك بلوك كننده رفتار، رفتار برنامه هاي كاربردي را پس از اجرا، تحت پيگيري قرار داده و در صورت مشاهده رفتار مشكوك يا مخرب از جانب آنها، به برنامه خاتمه مي دهد. هر دو روش مزايا و معايب ويژه خود را دارند.
يك از مزاياي پويش مبتني بر شناسه ويروس آنست كه همه كدهاي مخربي را كه تشخيص مي دهد شناسايي مي نمايد. نكته منفي در مورد اين شيوه، عدم موفقيت در شناسايي كدهاي مخربي است كه پيشتر با آنها برخورد نشده است. ديگر نكته منفي در مورد اين روش، به اندازه بزرگ بانكهاي اطلاعاتي ويروسها و منابع سيستمي مورد استفاده باز مي گردد.بلوك كننده هاي رفتاري از آن جنبه كه توانايي شناسايي برنامه هاي مخرب ناشناخته را دارند، مفيد هستند. جنبه منفي اين شيوه، امكان وقوع نتايج نادرست ميباشد. رفتار ويروسها و تروجانهاي امروزي آنچنان گوناگون است كه تعريف قواعدي كه همه رفتارهاي ممكن آنها را در بر گيرد، به سادگي امكانپذير نيست. اين بدان معني است كه بلوك كننده رفتار، مطمئناً در شناسايي برخي برنامههاي مخرب ناموفق خواهد بود و گهگاه از اجراي برنامه هاي مورد اطمينان جلوگيري به عمل مي آورد.
بلوك كننده هاي رفتار، ذاتاً عيب ديگري دارند؛ اين ابزارها توانايي مبارزه با برنامههاي مخربي را كه از ساختار و مفاهيم جديد بهره مي برند، ندارند. فرض كنيم كه شركت X يك آنتي ويروس رفتاري را به اسم AVX تهيه است كه 100 درصد برنامههاي مخرب كنوني را شناسايي مي نمايد. درچنين حالتي هكرها چه كار خواهند كرد؟ مطمئناً، انواع جديدي از برنامههاي مخرب را ابداع خواهند نمود؛ و به طبع آن ضروري است كه قواعد رفتاري روزآمد شوند؛ و از آنجا كه هكرها به سادگي ميدان را رها نمي كنند، باز هم مجدداً روزآمد شوند. و بعدها هم چندين مرتبه روزآمد گردند. در نهايت، ادامه اين روند، ما را به يك پويش مبتني بر شناسه منتهي مي نمايد، با اين تفاوت كه شناسه ها، از نوع رفتاري هستند نه يك قطعه كد.
چنين استنتاجي قابل تعميم به آناليز اكتشافي، كه شيوه ديگري از حفاظت پيشگيرانه است، مي باشد. به محض اينكه هكرها متوجه شوند كه تكنولوژيهاي ضد ويروس از رسيدن آنها به قربانيانشان ممانعت ميكنند، براي گريز از حفاظت پيشگيرانه تكنولوژيهاي ويروسي جديدي ابداع ميكنند. به محض استفاده گسترده از محصولي كه تكنولوژيهاي «پيشرفته» اكتشافي يا بلوك كننده رفتاري را به خدمت گرفته است، اين تكنولوژيهاي «پيشرفته» ديگر كارايي كافي را نخواهند داشت.
اين بدان معني است كه تكنولوژيهاي پيشگيرانه فقط براي يك مدت زمان كوتاه موثرند. در جايي كه هكرهاي ابتدايي فقط چند هفته يا چند ماه وقت براي گريز از حفاظت پيشگيرانه لازم دارند، اين ميزان براي هكرهاي حرفهاي فقط يك يا دو روز يا در بدترين شرايط چند دقيقه يا چند ساعت است. مفهوم اين حرف آنست كه بلوك كننده هاي رفتاري يا بررسي كننده هاي اكتشافي هر چقدر موثر باشند، نيازمند توسعه و روزآمدسازي مستمر هستند. توجه به اين نكته لازم است كه افزودن شناسه هاي جديد به بانك اطلاعاتي در چند دقيقه انجام مي شود، در حالي كه تكميل و آزمودن روشهاي حفاظت پيشگيرانه به زمان بيشتري نياز دارد. نتيجه اين بحث اينست كه در بيشتر موارد بروزرساني بانك اطلاعاتي شناسه هاي ويروس به مراتب بهتر از راهكارهاي معمول حفاظت پيشگيرانه است. تجربه شيوع برنامه هاي مخرب توسط ايميل و كرمهاي شبكه، برنامه هاي جديد جاسوسي و ساير برنامه هاي مخرب، بيانگر اين موضوع است.
البته اين به معني بي فايده بودن حفاظت پيشگيرانه نيست. اين شيوه حفاظتي در حيطه خاصي خوب عمل مي نمايد و توانايي توقف ميزان محدودي از برنامه هاي مخرب را دارد (برنامههايي كه بوسيله هكرها و نويسندگان كم تجربه ويروس ايجاد شده اند). به همين دليل حفاظت پيشگيرانه ميتوانند بعنوان يك مكمل مفيد براي پويش مبتني بر شناسه ويروس باشد، اما نمي توان براي ارائه و ايجاد يك حفاظت همه جانبه به آن متكي بود.
تستهاي مقايسهاي و ضعفهاي آنها
اين قسمت از مقاله به مشكلاتي كه كاربرها در زمان انتخاب يك راهكار ضد ويروس دارند، اشاره دارد. فرض بر آنست كه كاربران به دنبال محصولي هستند كه حفاظتي واقعي را در برابر كدهاي مخرب ارائه دهد. بر اين اساس، اين افراد از كجا مي توانند اطلاعات لازم را كسب نمايند كه بتوانند بر پايه آن تصميم خود را بگيرند؟
طبيعي ترين كار، مراجعه به نتايج تستهاي مقايسه اي از منابع گوناگون و از جمله انواع حرفه اي آنست. آْيا چنين چيزهايي وجود دارند؟ بله، وجود دارند. اما چندان زياد نيستند. اكثر انتشاراتي هاي حوزه IT، تستهاي مقايسهاي برنامههاي آنتي ويروس را بر مبنايي نسبتاً منظم انجام مي دهند. آنها، راهكارها را كاملاً امتحان كرده و همه چيز را از قيمت توليدات گرفته تا كيفيت پشتيباني فني بررسي و مقايسه مي كنند. اگر چه اين آزمايشها به طور واقعي كيفيت عملكرد آنتي ويروس را بيان نمي كنند. اين قابل فهم است كه آزمايش كنندگان، يك مجموعه مناسب و بزرگ از ويروسها، جايگاه ويژه آزمون و روالهاي خودكار آزمون احتياج دارند كه بتوانند به طور كاملي آنتي ويروسها را مورد بررسي و آزمون قرار دهند. اين به معني در اختيار داشتن يك تيم اختصاصي از افراد است كه صرفاً در زمينه آزمودن راهكارهاي ضد ويروس فعاليت مي كنند و منابع لازم را نياز دارند ـ چيزي كه اكثر انتشارات IT آنها را در اختيارندارند. از اين رو، تستهاي مقايسهاي انجام شده توسط انتشارات حوزه IT چندان قابل اطمينان نخواهند بود و اين انتشاراتي ها نياز به تماس با كارشناساني دارند كه متخصص آزمون محصولات آنتي ويروس باشند.
هم اينك مجرب ترين تست كننده هاي محصولات آنتي ويروس عبارتند از Andreas Marx (از آلمان http://www.av-test.org (http://www.av-test.org/)) و Andreas Clementi (از استراليا http://www.av-comparatives.org (http://www.av-comparatives.org/)). اين آزمايشها، جزئيات كيفيت شناسايي گونه هاي مختلف برنامه هاي مخرب و سرعت واكنش شركتهاي آنتي ويروس را به شيوع ويروسهاي جديد بيان مي نمايد. آزمايشها دقيق و با جزئيات كامل هستند و به خودي خود ميتوانند براي مقايسه خصوصيات برنامههاي ضد ويروس به كار گرفته شوند. متاسفانه اين آزمايشها تنها ميتواند دو خصوصيت را كه در بالا اشاره شد مورد بررسي قرار دهند و نميتوانند اين موضوع را كه برنامههاي ضد ويروس در موقعيتهاي واقعي چگونه عمل ميكنند، نشان دهند؛ مثلا هنگام ترميم يك سيستم آلوده، واكنش راهكار حفاظتي در برابر وب سايتهاي آلوده، ميزان استفاده از منابع و دقت بررسي فايلهاي آرشيوي و برنامه هاي اجرايي چگونه است.
متاسفانه آزمايشهايي كه تصويري درست از چگونگي واكنش توليدات در موقعيتهاي واقعي نشان دهند، به ندرت وجود دارند. يك مورد كه ما ميشناسيم آزمايشگاه تست دانشگاه ايالتي مسكو است كه تستها را در شرايط گسترده و متفاوتي انجام ميدهد. اگر چه روش انجام اين تستها هنوز نياز به اصلاح و كار كردن دارد و آزمايشگاه تست دانشگاه هنوز براي كارهاي عمومي و بزرگ آماده نيست.
همچنين نام بردن از تستهايي كه توسط Virus Bulletin (كه يك انتشارات صنعتي است) انجام مي شوند، ارزشمند است. من مطمئنم كه اگر من از آنها ياد نمي كردم خوانندگان مي پرسيدند كه چرا از تستها و نتايج VB100% نامي برده نشده است. متاسفانه اين تستها چندان كامل نيستند. استانداردهاي تست در ميانه دهه 90 طراحي شده و از آن به بعد بندرت تغيير كردند. محصولات آنتي ويروس توسط يك مجموعه فايلهاي آلوده شده با ويروسهاي ITW تست مي شوند. جوايز بر مبناي نتايج تستها اختصاص مي يابد. اگر چه مجموعه ITW فقط شامل دو تا سه هزار فايل است ـ تعداد به مراتب كمتري نسبت به آنچه در طول يك ماه پديد مي آيند. بنابراين يك جايزه VB100% الزاماً به معناي حفاظت در برابر همه برنامه هاي مخرب نيست بلكه به معناي آنست كه محصول از عهده تستهاي انجام شده توسط مجموعه ITW متعلق به VirusBulletin بر آمده است، نه چيزي بيشتر.
نتيجه
من اميدوارم كساني كه اين مقاله را مطالعه كردهاند درك بهتري از موضوعاتي كه صنعت آنتي ويروس با آنها روبروست بدست آورده باشند و اين به شما در انتخاب يك برنامه آنتي ويروس براي كامپيوتر خانگي يا شبكه شما كمك خواهد كرد. من فكر ميكنم كه يك كامپيوتر متصل به اينترنت ميتواند مصون باشد و يا نباشد. در هر دو حالت، اطلاعات، كليد بقا هستند و ميتوانند شما را از نتيجه ناخوشايند حفاظت كنند.
گذر خوشي در اينترنت داشته باشيد!
نوشته: یوجین کسپرسکی(Eugene Kaspersky)
برگرفته از : بخش تحقيقات ويروس لابراتوار كسپرسكي
:104:
گردآونده:طه-Borna66