كيف يتعرف Windows Defender (Beta 2) على برامج التجسس
تاريخ النشر: 2006-02-13
كيف يتعرف Windows Defender (Beta 2) على برامج التجسس
يُعتبر التعرف على برامج التجسس وتحليلها تحدياً معقداً. هناك أشكال جديدة من برامج التجسس قيد التطوير بشكل مستمر، وتظهر التكنولوجيا نفسها التي يمكنها إنشاء برامج التجسس الخبيثة وغير المطلوبة، تظهر أيضاً في البرامج التي يرغب المستخدمون في الحفاظ عليها واستخدامها على الكمبيوتر، مثل برامج مكافحة الفيروسات. فمن غير الممكن دوماً للبرامج تحديد ما إذا كان البرنامج هو شيء يرغب العميل في الاحتفاظ به أو إزالته.
تقوم استراتيجية Microsoft بمعالجة هذا التحدي بطريقتين:
1.
العمل مع رواد آخرين في الصناعة بهدف المشاركة في أفضل الممارسات حول كيفية التعرف على برامج التجسس وتحليلها.
2.
المساعدة على ضمان حصول عملاء Microsoft على المعلومات والأدوات التي يحتاجون إليها لتقرير ما هي البرامج التي يسمحون بتحميلها وتثبيتها على أجهزة الكمبيوتر لديهم.
يشير التعبير برامج خبيثة إلى البرامج التي تظهر تصرفاً غير قانوني، أو يشير إلى وجود فيروس، أو مخادعاً، أو خبيثاً. ويساعد Windows Defender (Beta 2) على التعرف على برامج التجسس الخبيثة المعروفة وحظرها. وهو يسألك أن تختار ما إذا كنت تريد تثبيت البرامج التي يتعرف عليها كشرعية، ويوصي بعدم تثبيت البرامج التي لم يتم بعد تحليلها وتعريفها.
كما يمكنك المشاركة في الشبكة العالمية التي أنشأتها Microsoft لكي يقدم المستخدمون برامج تجسس جديدة مشبوهة أو برامج غير مطلوبة لكي يقوم الباحثون في Microsoft بتحليلها. هذا الأمر يساعد Microsoft على التعرف على البرامج الخبيثة التي يجب إضافتها إلى قائمة تعريفات Windows Defender (Beta 2).
البرنامج الذي يتم تحليله وتحديده على أنه برنامج خبيث يضاف إلى مكتبة تعريفات Microsoft لبرامج التجسس. وتحتوي مكتبة التعريفات هذه على قاعدة بيانات كبيرة جداً تتضمن ملفات وإعدادات التهديد. وعندما يتعرف باحثو Microsoft على تهديدات جديدة، يقومون بإنشاء تعريفات جديدة ويضيفونها إلى المكتبة. وتصدر Microsoft للمستخدمين بشكل منتظم تحديثات للتعريفات بهدف المساعدة على توفير الحماية لأجهزة الكمبيوتر والمعلومات الشخصية.
انظر الرسم التوضيحي للدورة الزمنية لبرنامج مكافحة التجسس Windows Defender (Beta 2)
أعلى الصفحة
كيف يقوم الباحثون في Microsoft بتحليل البرامج
يقوم الباحثون في Microsoft بفحص البرامج من عدة أبعاد:
• سياق البرنامج، وهدفه، ومصدره.
• التصرفات التي يظهرها البرنامج.
• تقييم مقابل المعايير التي تتراوح بين رأي المستهلك وتأثير البرنامج على أداء الكمبيوتر، وأمان المستخدم، والخصوصية.
(أشكال جديدة من برامج التجسس وبرامج أخرى غير مطلوبة يتم تطويرها وتوزيعها بسرعة. ونتيجة لذلك، تحتفظ Microsoft بحق ضبط معاييرها، وتوسيعها، وتحديثها من أجل التحليل دون إشعار أو إعلان مسبق.)
سياق البرنامج وهدفه
العديد من التصرفات التي تقترن ببرامج التجسس تُستخدم أيضاً لأغراض شرعية. فتشغيل برامج التجسس مثلاً يبدأ عادة بشكل تلقائي. ولكن الشيء نفسه يصح بالنسبة إلى برامج مكافحة الفيروسات وجدران الحماية. فيمكن تعيين نوعي البرامج بحيث يبدأ تشغيلهما تلقائياً عند التحميل (ميزة مسماة "بدء تشغيل تلقائي") ويمكنهما توفير التحديث التلقائي وفق ما يكون ملائماً للمستخدم. ولكن، هناك اختلاف هام بين برامج التجسس والبرامج الشرعية وهو أنه يترتب على البرامج الشرعية توفير طريق واضح لإيقاف تشغيل هذه الإعدادات أو تشغيلها، أو لتغييرها.
مصدر البرنامج
تقوم Microsoft أيضاً بمراجعة تصرفات البرامج المثبتة بواسطة بائعي برامج معينين والشركات التابعة لهم من جهات خارجية. ويحدد الباحثون ما إذا كان يجب تضمين البائعين و/أو الشركات التابعة نفسها في مكتبة التعريفات.
تصرفات البرنامج
يتم تصنيف تصرفات البرنامج حسب قدرتها على إحداث الضرر والمقاطعة. فتصرف البرامج الدودية أو الفيروسات المتنقلة، مثلاً، مصنف كخطير جداً. تصرفات العناصر المنبثقة ("برامج الإعلانات المتسللة") تتميز بأنها أقل قدرة على إحداث الضرر، ولكن لديها القدرة على إلهاء المستخدم وإزعاجه.
أعلى الصفحة
خمسة معايير للتقييم
يستخدم الباحثون في Microsoft الفئات التالية لتحديد ما إذا كان يجب إضافة برنامج إلى مكتبة التعريف للكشف عنه، وما يجب إعطاؤه من حيث نوع التصنيف، ومستوى الخطر، والتوصية.
• تصرفات مضللة. تشغيل عمليات أو برامج على كمبيوتر المستخدم دون إعلام المستخدم والحصول على موافقته. منع المستخدمين من مراقبة الإجراءات التي يتخذها البرنامج أثناء تشغيله على الكمبيوتر. منع المستخدمين من تثبيت البرنامج أو إزالته.
• الخصوصية. تجميع، أو استخدام، أو توصيل المعلومات الشخصية للمستخدم وتصرفاته (مثل عادات استعراض ويب) دون موافقته الواضحة.
• الأمان. محاولة إفشال ميزات الأمان على كمبيوتر المستخدم أو تعطيلها، أو تعريض أمان الكمبيوتر للخطر.
• الأداء. إضعاف أداء، ووثوقية، وجودة تجربة استخدام الكمبيوتر لدى المستخدم بواسطة سرعة بطيئة للكمبيوتر، أو إنتاجية منخفضة، أو تلف نظام التشغيل.
• رأي الصناعة والمستهلكين. يأخذ الإدخال من صناعة البرامج والمستخدمين الفرديين كعامل رئيسي للمساعدة على التعرف على التصرفات والبرامج الجديدة التي قد تشكل مخاطر بالنسبة إلى تجربة المستخدم في استخدام الكمبيوتر.
أعلى الصفحة
التصرفات المضللة: غياب الإشعار والموافقة
يجب أن يتم إعلام المستخدمين بما يجري على أجهزة الكمبيوتر لديهم، وهذا يشمل ما يقوم به البرنامج وما إذا كان نشطاً.
البرنامج الذي يُظهر إشعاراً ضعيفاً:
• يفشل في توفير المعلومات حول ناشره، أو موقعه الأصلي على ويب، أو معلومات مماثلة.
• يفشل في تقديم اتفاقية الترخيص للمستخدم في سياق تجربة استخدام الكمبيوتر لدى المستخدم العادي.
• يفشل في توفير إشعار جلي حول تصرف البرنامج وغرضه وهدفه.
• يفشل في الإشارة بوضوح إلى متى يكون نشطاً، بما في ذلك محاولات إخفاء وجوده أو جعله متخفياً.
البرنامج الذي يُظهر موافقة ضعيفة:
• يقوم بتثبيت، أو إعادة تثبيت، أو إزالة البرنامج بدون إذن المستخدم، أو بدون التفاعل معه، أو بدون موافقته. وهذا يشمل إجراءات تقوم بها شركات تابعة من جهات خارجية لبائع البرنامج.
• يبدأ اتصالاً صادراً (مودم، وإنترنت، وغير ذلك) بدون موافقة المستخدم.
• يقوم بتثبيت برامج أخرى دون إشارة واضحة إلى علاقته بالبرنامج الأساسي.
• يستعيد مفاتيح التسجيل أو إدخالات الملفات التي قام المستخدم بإزالتها.
• يفشل في توفير الاختيارات الواضحة لمجموعة المعلومات الخاصة بالمستخدم (أبعد من نشر أحكام الترخيص). إعلام المستخدم بوجود أحكام ترخيص لا يعتبر وسيلة كافية لأخذ موافقته بالنسبة إلى الوظائف المضمنة في البرنامج.
أعلى الصفحة
التصرفات المضللة: غياب التحكم
يجب أن يكون المستخدمون قادرين على التحكم بالبرامج على الكمبيوتر. فيجب أن يكونوا قادرين على بدء تشغيل برنامج ما، وإيقافه، وبمعنىً آخر إلغاء تصريحه.
البرنامج الذي يُظهر غياب التحكم:
• يقاوم محاولات المستخدم لإغلاق البرنامج أو إزالته.
• يفتح إطارات المستعرض دون تخويل.
• يبدأ تنفيذ عمليات لا يمكن إنهاؤها يدوياً بواسطة المستخدم.
• يعيد توجيه عمليات بحث، أو استعلامات، أو عناوين URL تم إدخالها بواسطة المستخدم، أو الوصول إلى مواقع أخرى، أو يحظرها دون إعلام واضح وبدون موافقة المستخدم.
• يبدأ تصرف بدء التشغيل التلقائي أو التحديث التلقائي دون موافقة المستخدم.
بدء التشغيل التلقائي والتحديث التلقائي
باستطاعة هذه الوظائف إبعاد التحكم عن المستخدمين وإعطاء تحكم أكبر للبرنامج. هذا التصرف لا يعتبر بالضرورة خبيثاً أو خاطئاً، ولكنه قد ينطوي على مشاكل. بالإضافة إلى ذلك، فإن هذه البرامج تفتقد عادة إلى واجهة المستخدم، وبالتالي فمن المحتمل ألا يكون المستخدمون على علم بأن البرنامج هو قيد التشغيل، أو كيفية إيقاف تشغيله، أو حتى ما إذا يمكن إيقاف تشغيله.
ومع تحليل سياق البرنامج وهدفه، تأخذ Microsoft بعين الاعتبار ليس فقط درجة معرفة المستخدمين بأن هذه البرامج قيد التشغيل، بل كذلك قدرتهم على المحافظة على مستوى تحكم مقبول بهذه الوظائف.
العناصر المنبثقة والبرامج التي تقدم الإعلانات
العناصر المنبثقة والبرامج الأخرى التي تقوم بالترويج لخدمة أو منتج لأغراض تجارية تعتبر أشكالاً شائعة من البرامج التي تتداخل مع تجربة المستخدم في استخدام الكمبيوتر.
العناصر المنبثقة وبرامج الإعلانات الأخرى:
• تظهر مستقلة، خارج سياق البرنامج، أو موقع ويب، أو مصدر آخر تقوم هذه العناصر المنبثقة بالترويج له.
• تفشل في تقديم المصدر المنسوبة إليه.
• تحتوي على محتوى خاطئ أو مضلل.
• توفر ضوابط محدودة للمستخدم أو لا توفر ضوابط، مما يجعل إغلاق البرنامج أو حذفه من قبل المستخدم أمراً صعباً.
يقوم Windows Defender (Beta 2) بتنبيه المستخدم إلى وجود إعلان منبثق تلقائي يظهر خارج سياق البرنامج الذي يستخدمه حالياً، بغض النظر عما إذا كان الإعلان المنبثق يوفر نسباً معيناً. كما يتم إعلام المستخدمين بالبرامج التي تنشئ عناصر منبثقة لا يمكنها أن تتحكم بها بشكل واضح.
أعلى الصفحة
التصرفات المضللة: التثبيت والإزالة
يجب أن يكون المستخدمون قادرين على بدء تشغيل برنامج ما، وإيقافه، وبمعنىً آخر إبطاله. ويجب على البرامج الحصول على موافقة المستخدمين المناسبة قبل تثبيتها. ويجب أن يوفر البرنامج طريقة واضحة وصريحة لكي يقوم المستخدم بتثبيته، أو إزالة تثبيته، أو تعطيله.
البرنامج الذي يُظهر تجربة تثبيت ضعيفة:
• يستخدم تسمية يمكن أن يتم خلطها مع برامج أخرى خطأ أو أن تكون بمعنىً آخر مخادعة أو مضللة.
• يتم تثبيته في دليل غير واضح.
• يقوم بتثبيت عنصر تحكم ActiveX دون تجربة إعداد جلية.
• يستخدم مطالبات مضللة لإغراء المستخدمين وحملهم على تحميل البرنامج أو تثبيته.
• يخفي أو يفشل في تعريف برامج إضافية تكون مضمنة في حزمة البرنامج المنوي تحميله.
البرنامج الذي يُظهر تجربة إزالة ضعيفة:
• يفشل في توفير معلومات التعليمات المتعلقة بإزالة تثبيت البرنامج.
• يفشل في استخدام ميزات تثبيت/إزالة تثبيت قياسية، مثل إضافة/إزالة البرامج.
• يحتاج إلى تحميل برنامج إزالة تثبيت مستقل من موقع ويب، أو الاتصال بالإنترنت لإزالة التثبيت.
• يقدم عدداً كبيراً من المطالبات أو العناصر المنبثقة المربكة/المضللة عند محاولة إزالة تثبيت البرنامج.
• يفشل في إزالة برنامج أو تعطيله بناء لطلب المستخدم.
• يزيل الأداة "استعادة النظام"، أو لوحة التحكم، أو عناصر من هذه الميزات، أو يخفي هذه الميزات من أمام المستخدم.
• يزيل أو يعطل برامج أخرى دون إعلام المستخدم أو موافقته.
البرامج المضمنة في حزمة
هناك بعض البرامج التي تكون "مضمنة في حزمة" مع برامج إضافية، يمكنها أن تحتوي على ميزات إضافية تتعلق بالبرامج أو توفر وظائف ليست ذات صلة. ويحب أن تتم مناقشة الأحكام المتعلقة بكل البرامج الموجودة في الحزمة في اتفاقية الترخيص. على البرامج أن تذكر البرامج المضمنة في الحزمة والمطلوب أن يتم تشغيلها في الوقت نفسه لكي يعمل البرنامج، وكذلك المعاني المتضمنة الأخرى لاتفاقية الترخيص.
وباستطاعة البرامج المضمنة في حزمة أن تشير إلى وجود برامج خبيثة إذا لم يتم توضيح العلاقة بينها إلى المستخدم. على سبيل المثال:
• يجب أن يعلم المستخدم ما إذا كانت البرامج X، وY، وZ هي مكونات مضمنة للبرنامج A. وإلا، فلن يعلم المستخدم سبب وجودها على الكمبيوتر (قد يعلم المستخدم بتثبيت البرنامج A فقط على الكمبيوتر).
• يجب أن يتوفر لدى المستخدم خيار إزالة البرامج X، وY، وZ عند إزالة البرنامج A.
• يجب أن يتم إعلام المستخدم قبل تثبيت البرنامج A إذا كان هذا البرنامج لن يعمل دون تثبيت البرامج X، وY، وZ أيضاً على الكمبيوتر.
السبت 03 أغسطس 2013, 4:27 pm من طرف reem--2015
اليومية
