反攻是否合理?
當一個新的病毒或蠕蟲襲擊時,很多用戶和系統管理員會驚訝地發現它是勉強可以接受的。 即使那些關心安全的人也可能只會更新他們的惡意代碼開始傳播,以及防病毒供應商實際發布更新以檢測它們。
但是,用戶或系統管理員在一年之後能否繼續被同樣的威脅“驚訝”地捕獲? 兩年? 互聯網和互聯網 服務提供商的一大部分帶寬正在被容易預防的病毒和蠕蟲流量所淹沒嗎?
當前最新的主要病毒和蠕蟲已經利用了幾個月前已有補丁的 漏洞 ,並且如果用戶會及時進行補丁,病毒首先不會成為威脅。 忘記這一事實,一旦檢測到新的威脅並且防病毒和操作系統供應商發布修補程序和更新來修復漏洞並檢測並阻止所有用戶應該應用必要更新來保護自己和我們其他人與他們共享互聯網社區。
如果用戶通過無知或選擇不應用必要的補丁和更新並繼續傳播感染,社區是否有權作出回應? 許多人認為這在道德和倫理上是錯誤的。 這是簡單的警覺。 籬笆牆上的那些人會爭辯說,以某種方式對自己的手中的事情進行報復或自動回應威脅,使得你從法律角度來看並不比原來的威脅更好。
最近W32 / Fizzer @ MM蠕蟲在互聯網上迅速傳播。 該蠕蟲的一個方面是連接到特定的IRC頻道以查找蠕蟲代碼的更新。 該IRC頻道已關閉,因此蠕蟲無法自行更新。 一些IRC操作員自己編寫代碼來自動禁用蠕蟲並將其從IRC通道中託管。 這樣,任何試圖連接到蠕蟲代碼更新的受感染機器都會自動禁用蠕蟲。 該守則隨後被刪除,直到對這種策略的合法性進行進一步調查。
它應該合法嗎? 為什麼不? 在這種特殊情況下,幾乎沒有機會影響未感染的機器。 他們沒有通過播放自己的反蠕蟲來進行報復。 他們在蠕蟲尋找的網站上發布了“疫苗接種”代碼。 可以說,只有那些被感染的設備才有理由連接到該網站,因此顯然需要疫苗。 如果這些設備的擁有者不知道或不關心他們的機器受到感染,那麼這些設備的所有者是否應該將這些服務器視為一種服務來嘗試清理它們?
入侵檢測( IDS )設備一度嘗試實施一種方法來阻止稱為“迴避”的攻擊。 如果檢測到一些未經授權的數據包超過了某些建立的閾值,設備將自動創建一個規則來阻止來自該地址的未來數據包。 像這樣的技術的問題是攻擊者可能欺騙 IP數據包的源地址。 基本上,通過偽造包頭來看起來源IP是IDS設備的IP地址 ,它會阻塞自己的IP地址,並實際上關閉了IDS傳感器。
當試圖回應電子郵件傳播的病毒時,也會出現類似的問題。 許多新病毒往往會欺騙源郵件地址。 因此,任何自動回复源代碼以讓他們知道自己被感染的嘗試都會被誤導。
根據布萊克的“法律詞典”,自衛的定義是:“這種力度不是過度的,適用於保護自己或財產;當使用這種武力時,一個人是有道理的,不承擔刑事責任,也不承擔侵權責任“根據這個定義,似乎”合理“的回應是合理的,合法的。
然而,一個區別是,對於病毒和蠕蟲,我們通常在談論不知道自己感染了病毒的用戶。 所以,這不像是用合理的力量對一個攻擊你的搶劫犯進行報復。 一個更好的例子是將車停在山坡上並且不設置駐車製動器的人。 當他們離開他們的汽車並開始向你的房子滾下山坡時,你有權利跳入並停止它,或者用任何“合理”的方法轉移它,你可以? 如果您以某種方式轉移汽車撞上其他東西,您是否會因為盜竊汽車進入車內或故意毀壞財產而被起訴? 我對此表示懷疑。
當我們談論尼姆達仍然在積極旅行因特網感染未受保護的用戶這一事實時,它影響到整個社區。 用戶可能對他們的計算機擁有主權,但他們沒有或不應該擁有互聯網上的主權。 他們可以在自己的世界中用計算機做他們想做的事情,但一旦他們連接到互聯網並影響社區,他們應該接受參與社區的某些期望和準則。
我認為個人用戶不應該像個人公民不應該追捕罪犯一樣採取報復措施。 不幸的是,我們有負責在現實世界中追捕罪犯的警察和其他執法機構,但我們沒有相應的互聯網。 沒有任何組織或機構有權對互聯網進行監督,並對違反社區準則的人進行譴責或懲罰。 由於互聯網的全球性,試圖建立這樣一個組織將會令人望而生畏。 適用於美國的規則可能不適用於巴西或新加坡。
即使沒有一個有權力在互聯網上執行規則或準則的“警察部隊”,是否應該有一個組織或多個組織有權創建反蠕蟲或病毒疫苗,以主動尋找被感染的計算機並嘗試清理它們? 從道德上講,侵入計算機的意圖是清除它比任何優於入侵計算機的病毒或蠕蟲?
現在有更多的問題比答案要多,並且開始時有些滑坡。 反攻似乎陷入了合理的自衛和屈服於原始惡意代碼開發者之間的灰色地帶。 需要對灰色地區進行調查,並且需要對如何處理互聯網社區的成員給予指導,這些成員仍然容易受到和/或傳播威脅,因為這些威脅可以隨時隨地獲得修復。