هل انتهت أيام برامج مكافحة الفيروسات؟

تغيرت كثيرا طبيعة فيروسات الكمبيوتر والبرامج الضارة لكن برامج مكافحة الفيروسات لا تزال تستخدم ذات التقنية القديمة التي أصبح عمرها 20 عاما والتي تعتمد على مسح كل ملفات كمبيوترك التي يفوق عددها الملايين أحيانا بحثا عن بضعة ملفات خبيثة وقد تجد بعضها لإزالتها قبل أن تضر بالنظام.

هل يكفي برنامج واحد لحمايتك أم ستلزمك مجموعة أدوات لمختلف جوانب الحماية من جدار نارية وأداة مكافحة برامج التجسس وأخرى للبريد غير المرغوب؟ أم ما رأيك بطقم موحد يجمع ترسانة الحماية بكل جوانبها؟ هذه هي التساؤلات التي قمنا بإثارتها أمام شركات برامج الحماية مثل سيمانتيك ومكافي وكاسبرسكي وغيرها.

تعتمد تقنية برامج الحماية على مقارنة كل الملفات بنمط عمل معين  Pattern matching لكشف تماثلها مع تعريفات وأنماط عمل الفيروسات والبرامج الضارة، لكن هذه المقارنة أصبحت عملية طويلة ومملة. وعندما يفوق عدد الفيروسات مليون فيروس، سيلزمك تحميل قاعدة بيانات لمليون بصمة أو توقيع لهذه الفيروسات - signature file databases- ليتم كشفها ببرامج مكافحة الفيروسات، وهو أمر مزعج جدا.

لا غرابة إذا في حديث شركات برامج حماية الكمبيوتر ومكافحة الفيروسات عن أسلوب جديد يستغني عن القائمة السوداء تلك التي تضم الفيروسات لصالح قائمة بيضاء! وهي عكس الأسلوب التقليدي القديم.

  فبدلا من البحث استنادا لقائمة من ملايين الملفات الخبيثة أو الفيروسات سيقتصر البحث استنادا إلى قائمة أصغر هي الملفات "الحميدة" أو المسموح بها وتسمى العملية  "تشكيل قائمة بيضاء" whitelisting لتسمح هذه العملية بأنواع محددة من الملفات في كمبيوترك. سبق استخدام هذا الأسلوب ذاته ولكن في مكافحة البريد الإعلاني المزعج spam وبدأت التقنيات المتوفرة في المنتجات المخصصة للشركات الكبيرة بالتسرب نحو الكمبيوتر المكتبي والاستخدام الشخصي.

وعلى سبيل المثال، قامت مؤخرا شركة أمريكية اسمها بت ناين Bit9 بتطوير ما يشبه قاعدة بيانات اسمها GSR  أي سجل البرامج العالمي Global Software Registry وتدرج فيها كل البرامج والملفات السليمة وكل الملفات والبرامج الضارة مع تقنية متطورة للتحقق من صحة أسماء وأنساق الملفات والبرامج مقارنة مع محتواها الفعلي. واتفقت هذه الشركة مع كاسبرسكي لاستخدام هذه التقنية في برامج الأخيرة. وبالطبع هناك تقنيات مشابهة من شركات عديدة أخرى مثل سيمانتيك وسيكيور ويف وحتى كل من غوغل ومايكروسوفت.

يعيد هذا التوجه بدوره إثارة التساؤل الأولي وهو أنه إذا كان تحميل مليون توقيع للفيروسات أمرا مزعجا فكم عدد الملفات والبرامج النظيفة بكل إصداراتها وما تولده من ملفات مختلفة؟ يبدو أن ما يعاب على القائمة السوداء وهو عدد الفيروسات الهائل، هو ذاته بل أكبر في حال القائمة البيضاء فعدد الملفات والبرامج السليمة يفوق عدد تلك الضارة.

وتورد شركة بت ديفندر، الشركة المطورة لبرنامج BitDefender Antivirus 2008 أن ملفات الفيروسات المتحورة و أخطاء التعرف على الفيروسات تبقي نصف برامج الحماية خارج القائمة، وتشير إلى أن برنامجها المذكور نجح في اكتشاف 100% من الفيروسات الموجودة في قائمة الاختبار، وبذلك يعتبر بت ديفندر احد أفضل البرامج التي تم اختبارها على نظام تشغيل ويندوز 2000 بواسطة مختبر فايروس بولتين  Virus Bulletin

 تعتبر شهادة مختبر فايروس بولتين إحدى أهم الشهادات الخاصة بعالم الحماية الأمنية و الحماية من الفيروسات خصيصاً. وتقوم منظمة WildList بجمع تقارير الفيروسات شهرياً من خبراء معروفين في جميع أنحاء العالم  (www.wildlist.com). هذه المعلومات تقوم بتوفير قاعدة بيانات بالفيروسات التي تقوم بالانتشار حالياً بواسطة شبكة الانترنت عن طريق المستخدمين.

تتم إضافة هذه الفيروسات إلى القائمة بمجرد القيام بالتبليغ عنه بواسطة مراسلين اثنين على الأقل. تقوم مجلة Virus Bulletin باختبار برامج مكافحة الفيروسات المختلفة باختبارها و قائمة الفيروسات الموجودة بشكل طليق على شبكة الانترنت. البرامج التي تنجح في التعرف على جميع انواع الفيروسات تحصل على جائزة المختبر.

تستجيب تريند ماكرو على هذا التحدي باستخدام وتوزيع عدة أنظمة خادم حول العالم  لتقديم برامج الحماية كخدمة عند الطلب (Software-as-a-service واختصارها ساس SaaS  ) عبر الإنترنت للشركات الكبيرة وللمستخدم الفردي أي في الكمبيوتر المكتبي الذي سيستغني عن تحميل كل قائمة البرامج والملفات الحميدة بالاستفسار عبر الإنترنت عن الملفات التي تهمه فقط.

وتقول الشركة إنه عند التحقق من الملفات بالزمن الفوري عبر الإنترنت أصبح بإمكانها توليد توقيع أي فيروس غير معروف خلال 15 دقيقة من تلقي عينة عنه. يستغرق الأمر وقتا مشابها مع سيمانتيك التي تقول إن 15 ثانية هو ما يلزم لمنتجات نورتن 2009، التي تتميز بصغر حجمها وسرعتها بسبب تخلصها من نسخ قواعد بيانات بصمات الفيروسات في الإصدارات السابقة.