Когда новый вирус или червь ударяется, это предельно допустимо, что многие пользователи и системные администраторы попадают в неожиданность. Даже те, кто прилежно относится к безопасности, могут только обновить свой вредоносный код, который начинает распространяться, и когда поставщики антивирусных программ действительно выпускают обновление для его обнаружения.
Но приемлемо ли для пользователей или системных администраторов продолжать «удивляться» той же угрозой через год? Два года? Допустимо ли, что хороший кусок полосы пропускания в Интернете и на вашем интернет-провайдере разжевывается вирусом и червями, которые легко предотвратить?
На данный момент отложите внимание на то, что самые последние крупные вирусы и черви капитализировались на уязвимости, у которых были исправления, доступные за несколько месяцев до этого, и что если пользователи будут исправлять своевременно, вирус не будет представлять угрозы в первую очередь. Забыв об этом, по-прежнему представляется разумным, что, когда обнаружена новая угроза, и поставщики антивирусов и операционных систем выпускают исправления и обновления для устранения уязвимостей, а также обнаруживают и блокируют угрозу, которую все пользователи должны применять необходимые обновления, чтобы защитить себя и остальные из нас, которые обмениваются с ними интернет-сообществом.
Если пользователь по незнанию или выбору не применяет необходимые исправления и обновления и продолжает распространять инфекцию, имеет ли сообщество право на ответ? Многие считают это морально и этически ошибочным. Это просто бдительность. Те, кто находится на этой стороне забора, будут утверждать, что взятие дел в свои руки, чтобы как-то отреагировать или автоматически отреагировать на угрозу, сделают вас не лучше первоначальной угрозы с юридической точки зрения.
Недавно червь W32 / Fizzer @ MM быстро распространялся по Интернету. Одним из аспектов червя было подключение к определенному каналу IRC для поиска обновлений кода червя. Этот канал IRC был отключен, поэтому червь не смог обновить себя. Некоторые операторы IRC взяли на себя обязательство написать код, который автоматически отключил бы червь и разместил его с этого канала IRC. Таким образом, любая зараженная машина, которая пыталась подключиться для обновлений к червю, автоматически отключила бы червь. Код впоследствии был удален, пока не будет проведено дополнительное исследование относительно законности такой стратегии.
Должен ли он быть законным? Почему бы и нет? В этом конкретном случае практически нет шансов повлиять на неинфицированную машину. Они не ответили, передав собственный анти-червь. Они отправили код «вакцинации» на сайт, который червь ищет. Вероятно, только те устройства, которые были инфицированы, имели бы какие-либо причины для подключения к сайту и, следовательно, очевидно, нуждались бы в вакцине. Если владельцы этих устройств либо не знали, либо не заботились о том, чтобы их машина была заражена, не следует ли считать эту услугу, которую эти операторы сделали, чтобы попытаться их очистить?
В некоторых случаях устройства обнаружения вторжений (IDS) пытались реализовать метод блокировки атак под названием «shunning». Если было обнаружено несколько несанкционированных пакетов, которые превысили некоторые установленные пороговые значения, устройство автоматически создало правило для блокирования будущих пакетов с этого адреса. Проблема с подобной техникой заключается в том, что злоумышленники могут обманывать исходный адрес в IP-пакетах. В принципе, создавая заголовки пакетов, как IP-адрес источника, это IP-адрес устройства IDS, он блокирует свой собственный IP-адрес и фактически отключает датчик IDS.
Аналогичная проблема возникает при попытке ответить на электронные вирусы. Многие из новых вирусов, как правило, обманывают исходный адрес электронной почты. Поэтому любая автоматическая попытка ответить на источник, чтобы сообщить им, что они инфицированы, будет ошибочной.
Согласно Закону Закона о Черном, самозащита определяется как «эта степень силы, которая не является чрезмерной и уместна для защиты себя или своего имущества. Когда такая сила используется, человек оправдан и не несет уголовной ответственности или не несет ответственности в деликта ». Исходя из этого определения, кажется, что« разумный »ответ является оправданным и законным.
Однако одно различие заключается в том, что с вирусами и червями мы обычно говорим о пользователях, которые не знают, что они инфицированы. Таким образом, это не так, как ответный с разумной силой грабитель, который нападает на вас. Лучшим примером может быть человек, который припарковывает свой автомобиль на холме и не устанавливает стояночный тормоз. Когда они уходят от своей машины и начинают катиться по холму к вашему дому, вы в пределах своих прав, чтобы вскочить и остановить его или отвлечь его любым «разумным» способом, который вы можете? Будете ли вы привлечены к уголовной ответственности за грандиозный кражи авто за то, чтобы попасть в машину или умышленное уничтожение имущества, если вы каким-то образом отвлекли машину, чтобы врезаться во что-то еще? Это сомнительно.
Когда мы говорим о том, что Nimda продолжает активно путешествовать по интернету, заражая незащищенных пользователей, это затрагивает все сообщество. Пользователь может иметь суверенитет над своим компьютером, но они не имеют или не должны иметь суверенитет в Интернете. Они могут делать то, что хотят со своим компьютером, в своем собственном мире, но как только они подключаются к Интернету и влияют на сообщество, они должны поддаваться определенным ожиданиям и рекомендациям для участия в сообществе.
Это не является хорошей идеей для отдельных пользователей, чтобы принимать ответные меры, так же как отдельные граждане не должны выследить преступников.К сожалению, у нас есть полицейские и другие правоохранительные органы, которые отвечают за охоту на преступников в реальном мире, но у нас нет интернет-эквивалента. Нет ни одной группы или агентства, уполномоченного полицией в Интернете и выговора или наказания тех, кто нарушает руководящие принципы сообщества. Попытка создать такую организацию будет сложной из-за глобального характера Интернета. Правило, применяемое в Соединенных Штатах, может не применяться в Бразилии или Сингапуре.
Даже без «полиции», обладающей полномочиями по соблюдению правил или руководящих принципов в Интернете, должна ли существовать организация или организации, обладающие полномочиями создавать контр-черви или вирусные вакцины, которые будут активно искать зараженные компьютеры и пытаться их очистить? Этично ли вторжение в компьютер с намерением очистить его лучше, чем вирус или червь, которые вторглись в компьютер в первую очередь?
Сейчас есть больше вопросов, чем ответов, и это скорее скользкий наклон, чтобы начать. Контратаки, похоже, попадают в большую серость между разумной самообороной и сутулостью до уровня первоначального разработчика вредоносного кода. Серая область должна быть исследована, хотя необходимо определить направление работы с членами интернет-сообщества, которые по-прежнему уязвимы и / или распространяют угрозы, для которых исправления легко и доступно.
