مكافحة ڤيروسات الحواسيب
مكافحة ڤيروسات الحواسيب
إن بعض السيرورات البيولوجية تمكننا من فهم العديد من الجوانب المتعلقة
بڤيروسات الحواسيب، وبالتالي يساعدنا على مكافحة هذه الڤيروسات.
<O.J. كيفارت> ـ <B.G. سوركين> ـ <M.D. تشيس> ـ <R.S. وايت>
تتواجد ڤيروسات الحواسيب في أكثر من 000 10سلالة، وقد نجح بضع مئات منها في الانتشار بشكل واسع. وصور الشاشات التي ترى على هذه الصفحات تتعلق بڤيروسات نشيطة لكنها غير ناجحة: ڤيروسات تشاد Chad، الووكر(السيّار) Walker، رِسكيو(الإنقاذ) Rescue. |
إن الحديث عن ڤيروسات الحواسيب انتشر في أوساط الثقافة الشعبية بنجاح يعادل، على الأقل، انتشارها في مجتمع الحواسيب في العالم. وإذا استفدنا من ذلك الافتتان المرعب لأشكال الحياة التي ابتدعها الإنسان والتي اقتبست منها الكاتبة الروائية <M. شيلي> شخصية فرانكشتاين، فسنجد أن ڤيروسات الحاسوب صارت موضوعا للخدع والأساطير المنتشرة والبرامج التلفزيونية والأفلام السينمائية الشعبية. ولكنها حتى الآن لم تحظ بقدر كاف من التدقيق العلمي.
إن معظم الحضور الشعبي للڤيروسات يمكن أن يُعزى إلى تناظر وظيفي بيولوجي واضح، لكنه عميق؛ حيث تُضاعِف ڤيروسات الحاسوب أعدادها عن طريق التصاقها بمضيف (كبرنامج أو حاسوب بدلا من خلية بيولوجية) واشتراكها في استغلال موارده لعمل نسخ عنها. ويمكن أن تتراوح أعراض ظهور يروسات الحاسوب بين أعراض غير سارة أو مدمِّرة، كما أنها تنتشر من برنامج إلى آخر ومن حاسوب إلى آخر مثلما تنتشر الڤيروسات البيولوجية في الأفراد وفيما بينهم في مجتمع ما. وثمة مُمْرضات pathogens أخرى تصيب الحواسيب، مثل «اللوالب» warms التي تُبْتلى بها الشبكات الحاسوبية، وأحصنة طروادةTrojan horses التي تضع وجوها ودودة زائفة على برامج حاسوبية خبيثة، إلا أن الڤيروسات هي المرض الحاسوبي الأكثر شيوعا إلى حد كبير.
لقد وجدنا، مع زملائنا في مركز <J.T. واطسون> للأبحاث التابع للشركة IBM، أن التناظر الوظيفي البيولوجي سيكون مفيدا في فهم أسباب انتشار ڤيروسات الحاسوب على مستوى العالم بأسره، وملهما لنا في تطوير الدفاعات ضدها. فاستنادا إلى عقود من الأبحاث التي أجراها الرياضياتيون المختصون في علم الأوبئة، اكتسبنا قدرا من المعرفة عن العوامل التي تحكم سرعة انتشار الڤيروسات. والجهود التي بذلناها في إيجاد أساليب فعّالة للتحري عن الڤيروسات والعلاقات بينها تدين بالكثير إلى تقنيات الملاءمة النمطية pattern-matching التي طورها خبراء الحوسبة في علم البيولوجيا. إضافة إلى ذلك، فقد استوحينا الإلهام عند تطوير الدفاعات ضد البرمجيات المُمْرضة من نظام المناعة عند الفقاريات وقدرته المذهلة على طرد الكائنات المسببة للأمراض أو تدميرها.
ويعود فضل اكتشاف ڤيروسات الحاسوب إلى الدراسات التي أجراها <J. ڤون نيومان>، في الأربعينات من هذا القرن، على ذاتيات الحركة الرياضياتية المستنسخة self-replicating mathematical automata. وعلى الرغم من أن تاريخ الفكرة القائلة إن البرمجيات يمكن أن تسبب الأمراض للحواسيب يعود إلى السبعينات، فإن أول حالة انتشار لڤيروس حاسوب تم توثيقها كانت في الشهر 10/1987، وذلك عندما ظهر جزء من كود يعرف بڤيروس الدماغ brain في بضع عشرات من الأقراص المرنة بجامعة ديلاوير الأمريكية. وفي الوقت الحاضر تصيب الڤيروسات مليون حاسوب على الأقل كل عام. كما ينفق المستخدمون مئات الملايين من الدولارات سنويا على الخدمات والمنتجات المضادة للڤيروسات، ويزداد نمو هذا الرقم بشكل سريع.
تهاجم معظم الڤيروسات الحواسيب الشخصية. فقد ظهر حتى الآن أكثر من 000 10 ڤيروس؛ حيث يعمل المبرمجون المجردون من المبادئ الخلقية على توليد ستة ڤيروسات إضافية تقريبا كل يوم. ولحسن الحظ، فإن عددا ضئيلا منها يتم رصده بعيدا عن موطنه.
ثمة ثلاث مراتب رئيسية من ڤيروسات الحواسيب الشخصية (وهناك أصناف مشابهة من ڤيروسات النظم الحاسوبية الأخرى): الڤيروسات المُعْدِية للملفات (مُعْديات الملفات) file infectors وڤيروسات قطاع التحميل boot-sector والڤيروسات الماكروية (الكبرية) macro viruses. وتعمل 85% من الڤيروسات على إصابة ملفات تحوي تطبيقات مثل برامج الصحيفة الجدولية spreadsheet أو الألعاب. فعندما يشغل المستخدم تطبيقا مصابا بالڤيروس، فإن كود الڤيروسات سيُنفّذ أولا وينصِّب نفسه بشكل مستقل في ذاكرة الحاسوب؛ ليتمكن من نسخ نفسه في التطبيقات التي يشغلها المستخدم لاحقا. وحالما يأخذ الڤيروس مكانه فإنه يعيد التحكم إلى التطبيق المصاب، وبالتالي يظل المستخدم غير مدرك لوجود الڤيروس. وفي المآل سيشق البرنامج الملوث طريقه إلى حاسوب آخر عن طريق تبادل قرص مرن أو عبر شبكة حاسوبية فتبدأ دائرة العدوى من جديد.
تستوطن ڤيروسات قطاع التحميل، التي تشكل 5% من سلالات ڤيروسات الحواسيب الشخصية المعروفة، في جزء خاص من القرص المرن أو الصلب تنقل محتوياته إلى الذاكرة فور تشغيل الحاسوب؛ حيث يحوي قطاع التحميل عادة كود البرنامج اللازم لتحميل سائر نظام تشغيل الحاسوب (من هنا جاءت التسمية: قطاع التحميل، كأن يتمكن المرء من حمل نفسه برباط حذائه!). عندما يتم تحميل نظام التشغيل، يستطيع ڤيروس قطاع التحميل إصابة أي قرص مرن موجود داخل السواقة بالعدوى. كما أنه يصيب القرص الصلب، وبالتالي يجري تحميل الڤيروس ونقله إلى الذاكرة كلما أُعيد تشغيل الجهاز. تعتبر ڤيروسات قطاع التحميل فعالة للغاية؛ وعلى الرغم من أن سلالاتها أقل، فإنها كانت في وقت من الأوقات أكثر انتشارا من ڤيروسات الملفات.
والڤيروسات الماكروية، أي النوع الثالث، تكون مستقلة عن أنظمة التشغيل وتصيب الملفات التي تحوي عادة بيانات بدلا من تلك التي تحوي برامج تنفيذية. فالعديد من الصحائف الجدولية وقواعد البيانات ومعالجات الكلمات يمكنها تنفيذ نصوص scripts ـ متتاليات من الأعمال المحدَّدة سلفا ـ مبيتة في وثيقة معينة. تُسْتخدم مثل هذه النصوص في أتمتة أعمال تتراوح بين طباعة كلمات طويلة وتنفيذ متتاليات معقَّدة من الحسابات. ويكتب مبرمجو الڤيروسات نصوصا تُدْخِل نسخا من الڤيروسات ضمن وثائق أخرى. كما تستطيع الڤيروسات الماكروية أن تنتشر بسرعة أكبر من سرعة انتشار النوعين الآخرين من الڤيروسات؛ لأن العديد من الأشخاص يتبادلون بحرية ملفات «البيانات» ـ مثال ذلك، قيام عدد من الأشخاص بتبادل مسودات لتقرير أسهموا جميعا في كتابتها. إن أول ڤيروس تمت ملاحظته ـ المسمى كونسپت (مفهوم) Conceptـ كان في أواخر عام 1995 في وثيقة أعدت بوساطة برنامج معالج النصوص وورد (كلمة) word، وهو اليوم أحد أكثر الڤيروسات انتشارا (10 في المئة من الإصابات الڤيروسية.) ويبلغ عدد الڤيروسات الماكروية المعروفة حتى الآن أكثر من 1000 ڤيروس.
إضافة إلى كود النسخ الأساسي، يستطيع الڤيروس أن يحوي أيضا أي كود آخر يختاره مبرمج الڤيروسات، فبعض محتويات البرنامج الڤيروسي قد تهدف ببساطة إلى طباعة رسالة أو إظهار صورة، ولكن بعضها الآخر قد يفسد البرامج والبيانات. حتى إن تلك الڤيروسات التي ليس لها أية نوايا خبيثة، يمكن أن تسبب الأذى للنظم الحاسوبية التي تختلف سماتها عما قد يتوقعه مصمم برنامج الڤيروس. فعلى سبيل المثال، يختص الڤيروس فورم (هيئة) Form، الذي يصدر عادة صوت طقطقة خفيفة مرة في الشهر، بالكتابة فوق محتويات قطاع واحد من دليل القرص بطريقة غير مؤذية للأنواع القديمة من الحواسيب الشخصية، ولكنها مدمرة للأنواع الجديدة التي ترتب المعلومات على القرص بطريقة مختلفة عن سابقتها.
تقانة مضادة للڤيروسات
ظهرت البرمجيات المضادة للڤيروسات بعد فترة وجيزة من ظهور ڤيروسات الحاسوب لأول مرة. فالبرامج النوعية للتحري عن الڤيروسات(2) تستطيع أن تراقب النظام الحاسوبي بحثًا عن سلوك يماثل سلوك الڤيروس (مثل حدوث تعديل في ملفات حساسة أو في أجزاء من ذاكرة الحاسوب الرئيسية)، وأن تقوم بفحص البرامج بشكل دوري للكشف عن التعديلات المريبة، كما تستطيع مثل هذه البرمجيات كشف الڤيروسات غير المعروفة حتى الآن، لكنها قد تكون أيضا عرضة لإصدار إنذارات خاطئة؛ لأن بعض النشاطات المشروعة تماثل نشاطات الڤيروسات.
وفي المقابل، فإن برامج المسح scanning تستطيع البحث في الملفات وسجلات التحميل والذاكرة عن أنماط محدَّدة من البايتات الدالة على ڤيروسات معروفة. وحتى تظل هذه البرامج مواكبةً للتطور، فإنه يجب تحديثها حال ظهور سلالات جديدة من الڤيروسات، كما أنه من النادر أن يصدر عنها إنذارات خاطئة. والشارات (العلامات الإرشادية) signatures الڤيروسية التي تتعرّفها هذه البرامج وتدل على وجودها تكون قصيرة للغاية: نمطيا من 16 إلى 300 بايتا من بين آلاف البايتات التي يتكون منها ڤيروس كامل. (بشكل مشابه، فإن مُسْتقبلات المناعة البيولوجية تكون مرتبطة بمتتاليات تتألف من 8 إلى 15 حمضا أمينيا من بين آلاف الأحماض الأمينية الموجودة في البروتين الڤيروسي). ويعتبر تعرّف جزء صغير أكثر فاعلية من التأكد من وجود ڤيروس كامل، فقد تكون شارة واحدة مشتركة لدى عدة ڤيروسات مختلفة. وتستخدم معظم برامج المسح خوارزميات الملاءمة النمطية التي يمكنها مسح عدة شارات متباينة في وقت واحد؛ حيث يستطيع أفضلها اختبار 10000 شارة موجودة في 000 10 برنامج بأقل من 10 دقائق.
ينسخ الڤيروس نفسه في جزء من الذاكرة العشوائية بمعزل عن البرنامج المصاب لكي يستطيع أن يتابع نشاطه حتى لو بدأ المستخدم بتشغيل برمجيات أخرى.
يبدأ الكود المعدي العمل أولاً، في حين يظل البرنامج المصاب ساكنًا عندما يشغل المستخدم برنامجًا مصابًا بالعدوى، فإن الحاسوب يبدأ بنسخ البرنامج من القرص، أي من حيث يكون مخزنًا وغير نشيط، إلى الذاكرة العشوائية RAM، أي إلى حيث يمكن أن ينفذ. يقحم الڤيروس نسخة منه في البرمجيات غير المصابة من قبل، بحيث تستطيع دورة العدوى أن تتكرر. عندما يشغل المستخدم برنامجًا آخر، فإن الڤيروس المسبت ينشط من جديد. بعد أن ينجز الڤيروس عمله الابتدائي، فإنه يعيد التحكم إلى البرنامج المصاب. |
عندما يُكْتَشف الڤيروس، فإن إزالته تصبح ضرورية. وإحدى الطرائق التقنية المؤلمة، وإن كانت فعالة، هي حذف وإلغاء البرنامج المصاب بالعدوى، تماما مثلما تقوم به أنواع معينة من الخلايا المناعية من تدمير للخلية المصابة. ولكن من السهل عموما استبدال خلايا الجسم، في حين أن الوثائق وبرامج الحاسوب غير قابلة للاستبدال بالسهولة نفسها. لذا فإن البرامج المضادة للڤيروسات تعمل جاهدة على إصلاح الملفات المصابة بدلا من إتلافها. (إذ تستفيد هذه البرامج عند أدائها مهمتها من حقيقة أن ڤيروسات الحاسوب تحاول أساسا الحفاظ على البرنامج المضيف لها سليما حتى تظل غير مكتشفة وبالتالي تستطيع أن تتضاعف.)
إذا اكتشف برنامج مَسْح خاص بڤيروس معين وجود ملف مصاب، فإن هذا البرنامج يتبع عادة وصفة مفصلة، أعدها المبرمجون، لإزالة الكود الڤيروسي وإعادة تجميع نسخة سليمة من الملف الأصلي. وهناك أيضا تقنيات نوعية للتطهير disinfecting تصلح لإزالة الڤيروسات المعروفة وغير المعروفة بفعالية مماثلة. إحدى الطرائق التي طورناها تقوم بأخذ بصمة fingerprint رياضياتية لكل برنامج مخزَّنٍ في النظام. فإذا أصيب ملف بڤيروس فيما بعد، فإن طريقتنا تستطيع إعادة تشكيل نسخة سليمة من البرنامج الأصلي.
إن الطرائق التقنية المعنية بتحديد نوع الڤيروس وإزالته تتطلب تحليلا مفصلا لكل ڤيروس جديد يتم اكتشافه. إذ يجب على الخبراء أن يتعرفوا متتاليات غير اعتيادية من التعليمات التي تظهر في الكود الڤيروسي ولا تظهر في البرامج التقليدية ـ وهي سيرورة تعتمد على حدسٍ ومعرفةٍ متطورين للغاية. وعليهم أيضا أن يطوِّروا وصفة لتحديد نوع الڤيروس وإزالته من أي مضيف مصاب. ولمواكبة تدفق نصف دستة من الڤيروسات الجديدة كل يوم، قام التقانيون المختصون بمكافحة الڤيروسات بتطوير أدوات وإجراءات مؤتمتة لمساعدة خبراء الڤيروس من البشر أو حتى الاستعاضة عنهم.
لقد قمنا بتطوير طريقة تقنية إحصائية ذات قوة فيزيائية brute-forceلاستخلاص شارات عالية الجودة بشكل سريع جدا. إذ بدأنا بقياس تردداتfrequencies متتاليات مكونة من بايتات قصيرة في مجموعة كبيرة من البرامج السليمة. وعندما يظهر ڤيروس جديد، فإن برمجياتنا تجد المتتالية المكونة من البايتات الڤيروسية التي يبدو إحصائيا أن ظهورها في برنامج سليم هو أمر مستبعد. تعتبر هذه الطريقة أسرع بكثير من التحليل اليدوي، كما تشير الاختبارات أيضا إلى أنها تنتج شارات أقل عرضة لإصدار إنذارات خاطئة من تلك التي ينتجها الخبراء البشر. إن طريقتنا في استخلاص الشارات تناظر إلى حدٍّ ما نظرية «المعيرة» template القديمة لنظام المناعة، والتي تصوغ وفقها الأجسام المضادة شكلها تبعا للجسم الغريب المهاجم. فشاراتنا تُصمم تبعا لكل ڤيروس جديد نواجهه.
وقد طورت <S. فورست> (من جامعة نيو مكسيكو) مع زملائها العاملين في مختبر لوس ألاموس القومي طريقة بديلة أكثر تطابقا مع النظرية المقبولة حاليا في مجال نظام المناعة وهي الاصطفاء الاستنساخي clonal selection، والتي تقول إن الجسم يولّد أولا مجالا واسعا من خلايا المناعة، ثم يولد بعد ذلك كميات كبيرة من تلك الخلايا التي يتضح أن بمقدورها تعرّف الكائن المُمْرِض. وتعمل طريقتهم على توليد شارات الكود بشكل عشوائي، من دون الاستناد إلى أي ڤيروس معين؛ حيث تقارن كل شارة بكود موجود في النظام، فإذا لم تتطابق مع شيء فإنها تحفظ في قاعدة بيانات ضخمة. أما إذا وجدت إحدى هذه الشارات في برنامج ما، فهذا يدل بشكل لا لبس فيه على أن البرنامج قد عُدِّل على الرغم من أن تحليلا إضافيا يكون مطلوبا لتحديد ما إذا كان ڤيروسٌ ما هو المتسبب في هذا التعديل.
تؤوي ساحة المعركة الرقمية في آن واحد كلا من البرامج المُعْدية والبرمجيات المتخصصة في البحث عنها لإصلاح الضرر الذي تحدثه. وتوجد ڤيروسات الحاسوب بأنواع عديدة يمكن تعرّفها من خلال أدائها والأنماط الفريدة لكود البرنامج الذي تكتنفه. وتستطيع البرامج المضادة للڤيروسات أيضا أن تحمي ببساطة البرمجيات العادية، وذلك بأخذ لقطات فوتوغرافية لها وتحذير المستخدم في حال حدوث تغييرات فيها. |
وفي تطور آخر غير متوقَّع في الساحة البيولوجية، تعلَّم صائدو الڤيروسات أن يستفيدوا من حقيقة أن المبرمجين يولدون ڤيروسات حاسوب جديدة من أجزاء رئيسية من ڤيروسات موجودة. إذ إن هذه الجينات (المورّثات) الڤيروسية تمكِّننا من تتبع المراحل التاريخية لنشوء وتطور ڤيروسات الحاسوب، بالطريقة نفسها التي يحدد بها البيولوجيون (علماء الأحياء) المخططات التطورية للكائنات ذات الصلة. وبمعالجة مجموعات كبيرة متنوعة من الكود الڤيروسي، نستطيع تلقائيا استنباط مجموعة من الشارات الأُسَرية التي تمسك بتلابيب جميع الأفراد المختلفين في أسرة ڤيروسية واحدة بما فيها أشكال متباينة لم تكن معروفة من قبل. إن هذه التقنية تخفض متطلبات تخزين الشارات إلى حد كبير: فشارة أُسرية مكونة من 20 بايتا تستطيع تعرف العشرات من ڤيروسات الحاسوب المختلفة.
وقد طورنا أيضا نظام شبكة عصبية neural-network لتعرّف ڤيروسات الحاسوب بالبحث عن أنماط عديدة، قصيرة للغاية، يتراوح طول كل منها ما بين 3 و 5 بايتات؛ حيث تمثل هذه الأجزاء القصيرة تعليمات حاسوبية لتنفيذ مهام معينة وذلك بحسب نوع العدوى الڤيروسية. وعلى الرغم من أن البرمجيات التقليدية قد تحوي أحيانا واحدًا من هذه الأجزاء، فإن وجود العديد منها يكون سمة ڤيروسية شبه مؤكدة. وتستطيع البرمجيات المضادة للعدوى البحث عن متتاليات قصيرة كتلك بسرعة كبيرة؛ والأهم من هذا، ولأن هذه الأنماط من البيانات تكون مرتبطة بشكل مباشر بوظيفة الڤيروس، فإننا نستطيع حاليا تعرف أنواع كثيرة من الڤيروسات لم نصادفها من قبل بتاتا.
مطاردة الڤيروسات الحاسوبية
عندما يكون انتشارها غير محدد
منذ عام 1990 ونحن نقوم بعمل إحصائيات عن الڤيروسات من مجموعة مكونة من مئات آلاف الحواسيب الشخصية لدى زبائن شركتنا؛ حيث ندوّن ـ إلى جانب عدد الحواسيب والأقراص المصابة بڤيروس ونوع هذا الڤيروس ـ مكان كل حادثة وتاريخها. إن هذه الإحصائيات أتاحت لنا الفرصة لأن نستدل على قدر كبير من سلوك الڤيروسات الحاسوبية عندما يكون انتشارها غير محدد. بما في ذلك حقيقة أن نسبة ضئيلة من المشكلات التي تسببها الڤيروسات تكون صعبة الحل. وقد بلغت نسبة الڤيروسات المعروفة داخل المجموعة التي درسناها 5%، كما أن العديد منها لاحظناه مرة واحدة فقط. في حين أن الڤيروسات العشرة الأكثر شيوعا تشكل تقريبا ثلثي مجمل حالات الإصابة المدروسة. إضافة إلى ذلك، يبدو أن أسلوب تفشي هذه الڤيروسات يتبع نمطا شائعا: ينتشر الڤيروس على مدار العام أو ما شابه ذلك، ثم يضاعف عدده بشكل خطي تقريبا حتى يبلغ عتبة، ليستمر بعدها بالظهور في الحواسيب بمستوى ثابت تقريبا، على الرغم من أن عدده ينخفض أحيانا ليقترب من حد الانعدام.
وفي محاولة منا لفهم هذه الخواص، اقتبسنا من النماذج الرياضياتية الحيوية ما احتجنا إليه؛ حيث تخبرنا أبسط هذه النماذج عن سلوك مرض ما من خلال عدد قليل من الوسطاء parameters ـ من أهمها، معدل الولادات birth rateالذي يُعدي وفقه الأفراد المرضى غيرهم، ومعدل الوفيات death rate الذي يموت وفقه الفرد المصاب أو يشفى. فإذا كانت النسبة بين هذين المعدلين أقل من قيمة حرجة، فإن أي عدوى ستزول بسرعة. وكلما زادت النسبة زاد احتمال انتشار الوباء، وكذلك عدد الأفراد الذين يمكن أن يصابوا بالعدوى في وقت واحد، إذا لم تكن لديهم مناعة.
توحي مشاهداتنا بأن مثل هذه الرؤية المبسطة ليست مناسبة. فما لم تكن النسبة بين معدلي الولادات والوفيات قريبة من القيمة الحرجة، نرى أن الڤيروس إما أن يفنى كليا أو أن يصبح انتشاره أسيّا exponential فيظهر في كل مكان تقريبا. وعوضا عن ذلك يقاوم العديد من الڤيروسات بثبات في مواقع تشكل جزءا صغيرا من المجتمع الكلي المدروس. ويبدو أن في هذا النموذج البسيط خطأ حاسما واحدا يتمثل في افتراض وجود فرص متساوية لحدوث اتصال بين كلٍّ من أفراد المجموعة المعرضين للإصابة. والنماذج الأكثر تطورا تأخذ بعين الاعتبار الحالات غير الاعتيادية للأنماط النموذجية لتبادل البرمجيات؛ إذ إن كل شخص يتبادل، وسطيا، البرمجيات والبيانات مع عدد قليل فقط من الأشخاص، كما أن معظم التبادل يحدث بين مجموعات من الأشخاص. فإذا تبادلت ليلى البرمجيات مع أحمد وتبادل أحمد البرمجيات مع قيس فإن من المحتمل جدا أن يتبادل قيس البرمجيات مع ليلى.
لقد أظهرت المحاكاة باستخدام الحاسوب أن موضعية (محلية) الاتصال تبطئ النمو الأولي للڤيروس بطريقة منسجمة نوعيا مع مشاهداتنا. كما أن التبادل المتفرق يقلل من فرص انتشار الوباء ويخفض عتبته، ولكن ليس بما يكفي لشرح البيانات.
يوقف البرنامج النوعي المضاد للعدوى جميع النشاطات، كالتعديل في مواقع رئيسية بالذاكرة العشوائية RAM أو ملفات معينة على القرص، التي قد تحدث على الأرجح بفعل ڤيروس. ووقف هذه النشاطات غير المشروعة لا يقضي على الڤيروس وإنما يمكن أن يمنع الڤيروس من الانتقال إلى برامج أخرى أو التشويش على الأداء الطبيعي للحاسوب. |
تقوم ماسحة الشارات بتفتيش أقراص الحاسوب بحثا عن أجزاء من كود برنامج تظهر عادة بفعل ڤيروسات معروفة. |
تأخذ اللقطات الفوتوغرافية المضادة للعدوى «بصمات» رياضياتية للبرامج والبيانات الحاسمة. فالتغييرات التي تحدث لاحقا تدل بقوة على حصول عدوى ڤيروسية، وبالتالي تستطيع خوارزميات متطورة أن تستخدم البصمات الأصلية لإعادة البرنامج المصاب إلى وضعه السليم انطلاقا من النسخة المعدَّلة بفعل الڤيروس. |
سيرورة تدريجية مستمرة
مثلما أن للعوامل الخارجية، كالجفاف وتعزيز الصحة والنظافة والهجرة، تأثيرًا كبيرًا في الأوبئة الحيوية، كذلك فإن التغيرات في بيئة الحوسبة تكون مسؤولة عن وجود حقب متميزة عديدة للإصابة بالعدوى الڤيروسية. فحتى عام 1992، كان التبليغ عن ملاحظة ڤيروسات الملفات وڤيروسات قطاع التحميل يتم بنسب متساوية تقريبا (ومتزايدة باطراد). وبدأت بعد ذلك نسبة ملاحظة ڤيروسات الملفات بالانخفاض بشكل مفاجئ، في حين أن نسبة ملاحظة ڤيروسات قطاع التحميل استمرت في الارتفاع. فقد سادت ڤيروسات قطاع التحميل خلال الفترة الواقعة بين أواخر عامي 1992 و 1995. ولكن لماذا أضحت ڤيروسات الملفات خاملة؟
نعتقد أن السبب في ذلك يرجع إلى القبول الواسع الذي حظي به الإصدار 3.1 من برنامج النوافذ Windows، وهو تعديل محسَّن لنظام التشغيل MS-DOSالمستخدم في معظم الحواسيب، والذي أصبح شائعا في عام 19922. ولكن برنامج النوافذ ينهار بسهولة عند ظهور ڤيروسات نمطية معدية للملفات، وبالتالي فإن الحاجة تدعو المستخدمين المُبْتَلِين إلى القضاء على الڤيروس في أنظمتهم الحاسوبية بطريقة أو بأخرى (ربما بمحو جميع البرمجيات الموجودة على القرص الصلب وإعادة تسجيلها من جديد)، بصرف النظر عمّا إذا كانوا يعلمون أن الأعراض قد نتجت بفعل ڤيروس. بالمقابل، فإن ڤيروسات قطاع التحميل تميل إلى التعايش بسلام مع برنامج النوافذ 3.1؛ إذ إنها لا تقضي على مُضيفها قبل أن تتاح للعدوى فرصة لإحداث الفوضى.
وقد أدى الاستخدام الواسع لبرنامج النوافذ 95، أحد أنظمة التشغيل الجديدة، إلى انخفاض حاد في انتشار ڤيروسات قطاع التحميل؛ حيث يحذر برنامج النوافذ 95 المُستخدِم بشأن معظم التغييرات التي تطرأ على قطاع التحميل، من ضمنها العديد من التغييرات التي تحدث بفعل الڤيروسات، كما أن معظم ڤيروسات قطاع التحميل لا تستطيع الانتشار في بيئة برنامج النوافذ 95. وقد تم بالفعل توثيق عدد محدود من الڤيروسات المصممة خصيصا لبرنامج النوافذ 95 ونظم تشغيل أخرى تعمل بتقانة 32 بتة، وذلك بصرف النظر عن أن انتشار مثل هذه الڤيروسات بكثرة هو أمر غير مرجح.
نحن الآن في عصر الڤيروسات الماكروية. وبما أن المستخدمين يميلون إلى تبادل الوثائق وملفات البيانات الأخرى القادرة على إيواء الڤيروسات الماكروية بتواتر أكبر من تبادل البرامج، فإن هذا النوع من الڤيروسات يتمتع بمعدل ولادات أعلى وبالتالي ينتشر بسرعة أكبر من انتشار ڤيروسات قطاع التحميل أو ڤيروسات الملفات التقليدية؛ حيث تسمح حاليا وسائل نقل الملفات والبريد الإلكتروني المتطورة للمستخدمين بتبادل الوثائق أو البرامج بسرعة أكبر وبطريقة أسهل من ذي قبل، مما يزيد من حدة المشكلة.
وتعتبر الڤيروسات الماكروية أولى الڤيروسات التي استفادت من الاتجاه المتنامي للتشغيل المتبادل بين الحواسيب؛ فنرى مثلا أن ڤيروس الملف المُعدي لنظام DOS لا يمكنه أبدا أن يُعدي حاسوبا من نوع ماكينتوش، ولكن ڤيروسا ماكرويا يستطيع أن يعدي أي حاسوب يقبل تشغيل برنامج تطبيقي قابل للإصابة بهذا الڤيروس. وبما أن برنامج مايكروسوفت وورد يشتغل على أنواع مختلفة من الحواسيب فإن هذا يساعد الڤيروس «كونسپت» وڤيروسات ماكروية أخرى على الانتقال خارج حدود نُظُم التشغيل التقليدية.
مخطط عمل نظام مناعة رقمي للسايبرسبيس: يستحث ڤيروسٌ غير معروف حاسوبَ عميل على إرسال عينة إلى حاسوب إداري (administrative (1 ، الذي يرسل بدوره عينة معمّاة encripted إلى حاسوب مركزي لتحليل الڤيروس (2). يعمل الحاسوب المركزي على استنساخ الڤيروس في «وعاء پتري» بهدف تحليل سلوكه وبنيته (3). ترسل الوصفة الناتجة إلى الحاسوب الإداري (4)، ليرسلها أولا إلى الحاسوب العميل المصاب (5)، ثم إلى حواسيب أخرى ضمن الشبكة المحلية (6). يتلقى المشتركون حول العالم تحديثات نظامية مضادة للڤيروسات تقيهم أخطار الڤيروس الجديد. |
نظام مناعة رقمي
في الوقت الحاضر تنتقل الڤيروسات من حاسوب إلى آخر بشكل رئيسي عبر تبادلٍ واعٍ غير آلي للبرامج، وزمن استجابة الإنسان في التعامل معها كاف بشكل عام؛ إذ يحتاج ڤيروس جديد ناجح عادة إلى شهور أو ربما سنوات حتى يكتسب موطئ قدم. وفي عالم الغد، عالم الاتصال الكثيف، ربما تصبح الڤيروسات قادرة على الانتشار بسرعة أكبر. ففي عام 1988، أطلق <T.R. موريس>ـ ما صار يسمى فيما بعد «لولب الإنترنت» Internet Wormـ برنامجا استغل الثغرات الموجودة في نظام أمن الشبكة فغزا مئات الحواسيب في مختلف أنحاء العالم بأقل من يوم واحد.
والتقانات الجديدة (مثل مُستعرضات الويب Web browsers التي تستخدم تقانة مايكروسوفت القياسية(3) Active X لتحميل ونسخ البرمجيات والبيانات من الإنترنت إلى حاسوب المستخدم تجعل المسألة أكثر إلحاحا؛ إذ تسمح حاليا برامج البريد الإلكتروني الحديثة بإرسال الوثائق النصية أو الصحائف الجدولية ببساطة كملحقات ضمن البريد الإلكتروني. وفتح الوثيقة الملحقة يمكن أن يتسبب بتشغيل التطبيق المناسب بصورة آلية، مما يؤدي إلى تنفيذ أي برنامج ڤيروسات ضخمة موجود ضمن الوثيقة الملحقة، وربما تسند قريبا إلى القوى البرمجية العاملة مهمة إرسال البريد المحتوي على ملحقات وفتحه بصفة روتينية. وبما أن العنصر البشري لم يعد يشارك في حلقة النسخ، فقد تصبح الڤيروسات حرة الانتشار بسرعة أكبر بعدة مراتب مما تفعله حاليا.
إن هذه التغييرات في نظام التبيؤ الرقمي digital ecosystem توحي لنا بالحاجة إلى قدر أكبر من الاستجابة الآلية لدى مكافحة ڤيروسات الحاسوب، استجابة غير محددة بأوقات الاستجابة البشرية، أو المعدل الزمني الذي يستطيع البشر خلاله تشريح dissect الڤيروسات الجديدة بدقة. وتعدّ الشركات IBM و سيمانتكSymantec وماك آفي McAfee من بين الشركات التي تعمل على تطوير تقانة تساعد على الاستجابة بسرعة وبشكل آلي فور ظهور ڤيروسات جديدة.
وفي الشركة IBM نعمل على إنشاء ما يمكن أن يقال عنه نظام مناعة للسايبرسبيس. فمثلما أن نظام المناعة في الفقاريات يبني خلايا مناعة قادرة على مكافحة الكائنات الممرضة الجديدة خلال أيام قليلة من الإصابة، فإن نظام مناعة الحاسوب يشتق القواعد اللازمة لتعرّف الڤيروسات المكتشفة حديثا وإزالتها خلال دقائق. ففي نموذج أولي حديث، تكون الحواسيب الشخصية التي تشغل برنامجا مضادا للڤيروسات من تصميم الشركة IBM متصلة، عبر شبكة، بحاسوب مركزي مهمته تحليل الڤيروسات. ويقوم برنامج للرصد موجود في كل حاسوب شخصي باستعمال مجموعة متنوعة من أدوات التحري المساعدة المبني على أساس أداء الحاسوب والتغييرات المريبة التي تطرأ على البرامج، أو الشارات الأُسَرية، حتى يُستدل على وجود الڤيروس أو عدمه. كما يعد برنامج الرصد نسخة عن أي برنامج يعتقد أنه مصاب بالعدوى ثم يرسلها عبر الشبكة إلى حاسوب تحليل الڤيروسات.
وعند تسلّمه العينة التي يعتقد أنها مصابة، يقوم حاسوب التحليل بإرسالها إلى حاسوب آخر يعمل كوعاء پتري petri dish المختبري لزرع البكتيريا. ثم تغوي برمجيات موجودة في حاسوب التحليل الڤيروس لإصابة برامج مصممة خصيصا كشرك (طُعم) decoy له وذلك عبر تنفيذ هذه الأشراك والكتابة فيها ونسخها، وفي جانب آخر أيضا منابلة (مناورة) هذه الأشراك. وحتى يستنسخ الڤيروس بنجاح، عليه أن يُعدي برامج تستخدم كثيرا، أي إن نشاط الشرك يُخْرِج كود الڤيروس من مخبئه. كما يمكن خلال هذا الطور أيضا الاستدلال على الخواص السلوكية الأخرى للڤيروس.
والأشراك التي تصاب بالعدوى يمكن تحليلها الآن بوساطة عناصر أخرى من نظام المناعة، التي ستَسْتخلص الشارات الڤيروسية وتعد الوصفات اللازمة للتحقق من وجود الڤيروس والقضاء عليه. ويستغرق محلل الڤيروس نمطيا أقل من خمس دقائق في إعداد مثل هذه الوصفات من عينة مصابة. ويرسل حاسوب التحليل هذه المعلومات إلى الحاسوب الشخصي العميل المصاب ليضيفها إلى قاعدة بيانات دائمة للمداواة cures خاصة بالڤيروسات المعروفة. ويُوجَّه الحاسوب الشخصي بعد ذلك لتحديد أمكنة وجود الڤيروسات والتخلص منها ثم يُحصَّن بشكل دائم ضد العدوى التي قد تحدث فيما بعد.
إذا كان الحاسوب الشخصي المصاب متصلا بحواسيب أخرى عبر شبكة محلية LAN، فمن المحتمل جدا أن يصيب الڤيروس بعضا منها أيضا. وفي النموذج الأولي الذي صمَّمناه، ترسل الوصفة الجديدة آليا إلى الحواسيب المجاورة في الشبكة ويبدأ كل منها بفحص نفسه فورا. وبما أن ڤيروسات الحاسوب تستطيع استغلال الشبكة جيدا في مضاعفة أعدادها، فإن من المناسب أن يتبع الترياق antidote خطة مماثلة لينتقل إلى الحواسيب التي هي في حاجة إليه. ولو سُمِح لأحدث الوصفات بالانتقال إلى المشتركين الموجودين في مواقع غير مصابة، لأمكن من حيث المبدأ تحصين immunize مجتمع الحواسيب الشخصية كله بسرعة كبيرة ضد الڤيروسات الناشئة.
بصرف النظر عن مستوى التطور الذي قد تبلغه تقانة التصدي للڤيروسات، فإن ڤيروسات الحاسوب ستظل للأبد في تعايش غير يسيرٍ معنا ومع حواسيبنا. وستتعاظم بعض مصادر التوتر الفردية فترة ثم تخبو، ولكن ڤيروسات الحاسوب وتقانة التصدي لها، ككل، ستتطوران جنبا إلى جنب مثلما هي حال الطفيليات الحيوية مع مضيفاتها. واستجابة للتغيرات التي تطرأ على بيئة الحوسبة فإنهما سترتقيان أيضا كوسائل برمجية جوالة ـ وهذه يجب أن تحظى بالحماية من الإفساد الذي يصيبها من النظم الحاسوبية التي تعبرها حتى أثناء قيام هذه النظم بحماية نفسها من خبث عميل. وربما تكون ڤيروسات الحاسوب ونظام مناعة الحاسوب هي مجرد بشائر لنظام تبيؤ غني محتوم لأشكال حياة صنعية ستحيا وتموت وتتعاون ويفترس أحدها الآخر في السايبرسبيس.
المؤلفون
J. O. Kephart – G. B. Sorkin – D. M. Chess – S. R. Whit
يعملون حاليا في مركز <J.T. واطسون> للأبحاث التابع للشركة IBM ومقره في يورك تاون هايتس بولاية نيويورك الأمريكية؛ حيث اتجهوا لدراسة ڤيروسات الحاسوب بخلفيات علمية متباينة. درس كيفارت الهندسة الكهربائية والفيزياء في جامعتي برينستون وستانفورد. وبعد حصوله على الدكتوراه، اهتم بالتناظرات بين النظم الحاسوبية الضخمة ونظم التبيؤ والاقتصاد أثناء عمله في مركز پالو آلتو للأبحاث التابع للشركة زيروكس. أما سوركين فقد حصل على البكالوريوس في الرياضيات من جامعة هارڤارد والدكتوراه في علم الحاسوب من جامعة كاليفورنيا بمدينة بيركلي، وهو متخصص في التوافقيات combinatorics والنمذجة modeling الرياضياتية والأَمثَلة (الإمثال) optimization. عالج تشيس مسائل عديدة مرتبطة بضبط أداء الحاسوب والمعالجة التعاونية cooperative وأمن الحواسيب قبل أن يتجه نحو تضمينات implications الكود الذاتي التكرار لنظم الحوسبة الموزعة. وهو حاصل على البكالوريوس في الفلسفة من جامعة برينستون والماجستير في علم الحاسوب من جامعة پيس. حصل وايت على الدكتوراه في الفيزياء النظرية من جامعة كاليفورنيا بمدينة سان دييگو، ووضع التصورات الأولية للمنتجات المضادة للڤيروسات الحاسوبية للشركة IBM، ولايزال مستمرا في قيادة وتطوير الأبحاث حولها.
مراجع للاستزادة
ROGUE PROGRAMS: VIRUSES, WORMS AND TROJAN HORSES. Edited by Lance J. Hoffman. Van Nostrand Reinhold, 1990.
COMPUTERS AND EPIDEMIOLOGY. J. O. Kephart, S. R. White and D. M. Chess in IEEE Spectrum, Vol. 30, No. S, pages 20-26; May 1993.
A SHORT COURSE ON COMPUTER VIRUSES. Second edition. Frederick B. Cohen. John Wiley & Sons, 1994.
ROBERT SLADE’S GUIDE TO COMPUTER VIRUSES. Robert Slade. Springer-Verlag, 1994.
BIOLOGICALLY INSPIRED DEFENSES AGAINST COMPUTER VIRUSES. Jeffrey O. Kephart, Gregory B. Sorkin, William C. Arnold, David M. Chess, Gerald J. Tesauro and Steve R. White in Proceedings of the 14th International joint Conference on Artificial Intelligence, Montreal, August 20-25, 1995. Distributed by Morgan Kaufmann Publishers, Inc. ANTIVIRUS ONLINE. IBM site on virus information is available at http://www.av.ibm.com on the World Wide Web.
Scientific American, November 1997
(1) A Microsoft Standard for computer program building blocks, knoun as “objects”. قياس معياري للشركة مايكروسوفت للَبِنات برنامج حاسوبي يعرف باسم (الأشياء). (التحرير)
(2)generic virus-detection programs
(3)A Microsoft Standard for computer program building blocks, knoun as “objects” قياس معياري للشركة مايكروسوفت للبنات برنامج حاسوبي يعرف باسم (الأشياء). (التحرير)