أخبرني عن مفهومك حول برنامج أدوبي فلاش وسأخبرك إذا ما كنت تعمل في مجال حماية الإنترنت (الأمن السيبراني). بالنسبة لمعظم الأشخاص، يُعد فلاش أحد البرامج التي يطلب منك المتصفح تحديثه قبل تشغيل فيديو مُصاب بفيروس ما. ويصاب الأشخاص المولعون بالذكاء التقني بثورة غضب بمجرد الإحساس بانعدام الأمن في النظام البرامجي؛ حيث يتيح هذا للفيروسات الفرصة لتعيث فساداً في النظام.
وفي الواقع، احتل برنامج أدوبي فلاش قائمة البرامج الأكثر قابلية للاختراق لعام 2015. وسترى بعض الأسماء الأخرى الشائعة القريبة من رأس القائمة مثل برامج جافا وأدوبي ريدر ومايكروسوفت أوفيس وسيلفر لايت، ولكن تصدر برنامج أدوبي فلاش هذه القائمة بسبب الشعبية الجارفة التي يتمتع بها، كما أنه شديد التأثر بمواطن الضعف ولا يتم تحديثه دورياً بواسطة المستخدمين كما ينبغي أن يكون.
مع وضع هذه النقطة في الاعتبار، يُسعدنا للغاية الإعلان أن شركة كاسبرسكي لاب قد حصلت على براءة اختراع إحدى التقنيات التي تُعد ذات أهمية استثنائية في المساعدة في مقاومة الفيروسات الضارة المؤثرة في مستخدمي برنامج فلاش بصفة خاصة.
BadUSB: problem solved -> https://t.co/Qx890SNJfw pic.twitter.com/MdJ8e1Q4ij
— Eugene Kaspersky (@e_kaspersky) July 8, 2016
ما طبيعة اختلاف الفيروسات الضارة المؤثرة في برنامج فلاش؟
نود أن نعرب عن سعادتنا بتوجيه هذا السؤال. للإجابة ببساطة عن هذا السؤال، يتعين علينا استدعاء إحدى صفحات الماضي. في المقام الأول، قد يُصاب جهاز الكمبيوتر الشخصي بطريقتين فقط. تتطلب الطريقة الأولى تدخلك بشكل مباشر من خلال تحميل وتشغيل ملف قابل للتشغيل، أو فتح مستند به ملفات ماكرو خبيثة، أو النقر على رابط أو موقع به برمجيات خبيثة وما إلى ذلك.
ولا تتطلب الطريقة الثانية أي تدخُّل منك على الإطلاق، ففي هذا السيناريو، يعثر مجرمو الإنترنت على أحد مواطن الضعف في نظام التشغيل الخاص بك، أو في أحد البرامج التي قمت بتثبيتها أو استخدامها ومن ثم يقومون باستغلالها. إذا كان المتصفح به نقطة ضعف مثلاً، يكفي في هذه الحالة فتح صفحة ويب خبيثة لإصابة الجهاز (لن يشعر قرّاء كاسبرسكي دايلي بالدهشة من الوفرة الهائلة في أعداد المواقع الإلكترونية الخبيثة).
ويُعد الإنترنت الوسيلة الأكثر سهولة لإصابة أجهزة الكمبيوتر الشخصية؛ لذا تُعد الفيروسات الضارة عبر الإنترنت الأكثر شيوعاً بين مجرمي الإنترنت. لا تستغل هذه الفيروسات بالضرورة مواطن الضعف في متصفح الإنترنت، بل إنها عادة ما تتسلل إلى عناصر برنامج جافا أو أدوبي فلاش بلاير المسؤولة عن إعادة تشغيل الوسائط المتعددة على المواقع الإلكترونية.
فكّر في لقطات الفيديو التي تعمل عبر برنامج فلاش ليس بصفتها ملفات تُفتح في برنامج، بل بصفتها برامج قائمة بذاتها. إذ يجري تحميلها مع العناصر الأخرى لأحد المواقع الإلكترونية، ولكنها تعمل بعد ذلك بصورة منفصلة بمساعدة عناصر برنامج أدوبي فلاش المُثبتة في النظام الخاص بك. وعلى الرغم من ذلك، تُعد العملية أكثر تعقيداً مما يبدو؛ فلكي يتم تشغيل هذه البرامج بشكل آمن يتولى أدوبي فلاش تشغيلها من خلال بيئتها الافتراضية الخاصة – بمعنى أن هذه البرامج يجري تشغيلها على جهاز كمبيوتر يعمل بالمحاكاة داخل جهاز الكمبيوتر الحقيقي الخاص بك.
لذا، هل هذا الجهاز الافتراضي يجعل برنامج فلاش آمناً؟
سؤال رائع! إن برنامج فلاش يشغّل الملفات في بيئة افتراضية؛ لأن تشغيل الرموز والأكواد الواردة من كل حدب وصوب من الإنترنت أمر غاية في الخطورة. إن تشغيل جميع الرموز والأكواد من خلال جهاز افتراضي يعني أنه في حال إصابة أي كود أو رمز مُحمل من الإنترنت جهاز الكمبيوتر بأي أذى، فلن يستطيع الوصول بأي حال إلى ملفاتك ومستنداتك أو إلى العناصر المهمة في نظام التشغيل الخاص بك. هذا الأمر صحيح نظرياً فقط أما في الواقع، فتستطيع هذه الفيروسات الضارة تجاوز الاحتياطات الأمنية لبرنامج فلاش (مثل المحاكاة الافتراضية) وذلك من خلال استغلال مواطن الضعف في برنامج أدوبي فلاش.
وهناك مشكلة أخرى تكمن في أن طبيعة الملف وطبيعة الآلة الافتراضية لبرنامج فلاش تجعلهما بيئة مريحة للغاية لإخفاء نوايا عناصر التهديد عن نظام التشغيل. بل إن قراصنة الإنترنت قد يلجؤون لإيجاد ملف مستقل بذاته لكل ضحية.
وهذا يمثل مشكلة كبيرة للبرامج التقليدية المضادة للفيروسات التي تعتمد على عدد لا حصر له من الملفات لاكتشاف البرمجيات الخبيثة. تعمل هذه الملايين من الفيروسات الضارة بالطريقة نفسها، ولكن بالنسبة للحل الأمني، فإن هذه الفيروسات تبدو مختلفة. علاوة على ذلك، يمكن كتابة برامج فلاش أدوبي بإحدى لغات البرمجة الثلاثة، وتضفي تلك النقطة تعقيداً إضافياً على النظام المسؤول عن استكشاف المحتوى الخبيث وسط محتويات برنامج فلاش السليمة.
إذا لم يكن بوسعك الاعتماد على أسماء الملفات إضافة إلى أن البيئة الافتراضية ليست آمنة، فما الذي يمكنك فعله؟
كان ذلك أحد الأسئلة التي أرّقت العاملين في مجتمع أمن الإنترنت لفترة ليست بالقصيرة. فقد كنا بحاجة إلى طريقة للتعرف على الطبيعة الخبيثة للكود قبل التعامل معه. كنا نستطيع نظرياً تشغيل البرنامج في آلتنا الافتراضية قبل ترحيل الكود إلى برنامج أدوبي فلاش، ولكن تلك الطريقة مُعقدة للغاية، وتتطلب موارد كثيرة للاستخدام العملي اليومي. فحتى لو استغرق الأمر جزءاً من الثانية، فقد اعتاد الناس على الولوج الفوري إلى الإنترنت بدون عوائق.
إذاَ كان الأمر يبدو كأنه أحد الفيروسات الضارة….
وهذا ما تسعى إليه التقنية الجديدة لشركة كاسبرسكي لاب. تتميز الوسيلة الجديدة التي ابتكرها أنتون إيفانوف وألكساندر ليسكين والقائمة على مضاهاة الكود المشكوك فيه لأنها تستغرق وقتاً أقل لتحليل عدد هائل من العناصر المتشابهة ذات الاختلافات الضئيلة فيما بينها. وقد استخدم مطورو هذه الوسيلة منهجية آلة الرصّ الافتراضية التي لا تتمثل مهمتها في تشغيل الكود، بل تقوم بتجميع المعلومات عنه.
ومثلما اتضح لاحقاً، ليس هناك حاجة لتشغيل العناصر الخبيثة في برنامج فلاش لاكتشاف طبيعتها الحقيقية. حتى أن التعديلات التي يضيفها مطورو البرمجيات الخبيثة إلى كل نموذج من الأكواد لا يمكنها إخفاء النيات الخبيثة للبرنامج، حتى ولو طبقنا هذه الوسيلة.
في النهاية، طالما أدركنا إحدى وسائل اختراق فلاش بفيروسات خبيثة، يمكننا تلقائياً حجب جميع الفيروسات التي تستخدم الوسيلة نفسها. وبمجرد دمج هذه التقنية في برنامجي كاسبرسكي انترنت سيكيوريتي وكاسبرسكي توتال سيكيوريتي, فإن معدل الكشف عن هذه التهديدات يتضاعف.
كلمة أخيرة للتاريخ للتأمل فيها: تبذل جميع شركات مكافحة الفيروسات الخبيثة قصارى جهدها وتسعى بكل ما أوتيت من قوة لزيادة معدلات الكشف بأجزاء من المائة؛ لذا فإن مضاعفة هذا المعدل يعد شيئاً مذهلاً في الواقع.