Quando un nuovo virus o worm colpisce, è marginalmente accettabile che molti utenti e amministratori di sistema vengano colti di sorpresa. Anche chi è diligente in fatto di sicurezza può aggiornare il proprio codice malizioso iniziando a diffondersi e quando i produttori di antivirus rilasciano effettivamente l'aggiornamento per rilevarlo.
Ma è accettabile che gli utenti o gli amministratori di sistema continuino a essere "sorpresi" dalla stessa minaccia un anno dopo? Due anni? È accettabile che una buona parte della larghezza di banda su Internet e sul tuo ISP venga masticata dal traffico di virus e worm che è facilmente prevenibile?
Mettiamo da parte per il momento che i virus e i worm più recenti hanno sfruttato le vulnerabilità con patch disponibili mesi prima e che se gli utenti applicassero tempestivamente una patch, il virus non sarebbe una minaccia in primo luogo. Dimenticando questo fatto, sembra ancora ragionevole che, una volta rilevata una nuova minaccia, i produttori di antivirus e sistemi operativi rilascino patch e aggiornamenti per correggere le vulnerabilità e per rilevare e bloccare la minaccia che tutti gli utenti debbano applicare gli aggiornamenti necessari per proteggersi e resto di noi che condividono la comunità di Internet con loro.
Se un utente, per ignoranza o scelta, non applica le patch e gli aggiornamenti necessari e continua a propagare l'infezione, la comunità ha il diritto di rispondere? Molti lo considerano moralmente ed eticamente sbagliato. È semplice vigilantismo. Quelli al di là del recinto sosterrebbero che prendere in mano le cose per vendicarsi in qualche modo o rispondere automaticamente alla minaccia non ti rende migliore della minaccia originale da un punto di vista legale.
Recentemente, il worm W32 / Fizzer @ MM si stava diffondendo rapidamente su Internet. Uno degli aspetti del worm era quello di connettersi a un canale IRC specifico per cercare aggiornamenti al codice del worm. Il canale IRC è stato spento in modo che il worm non potesse aggiornarsi. Alcuni operatori IRC si sono incaricati di scrivere codice che disabilitasse automaticamente il worm e lo ospitasse da quel canale IRC. In questo modo, qualsiasi macchina infetta che ha provato a connettersi per gli aggiornamenti al codice del worm avrebbe automaticamente disabilitato il worm. Il codice è stato successivamente rimosso fino a quando ulteriori indagini potrebbero essere fatte sulla legalità di tale strategia.
Dovrebbe essere legale? Perchè no? In questo caso particolare, sembra che non ci siano possibilità di influenzare una macchina non infetta. Non hanno reagito trasmettendo il proprio anti-worm. Hanno pubblicato il codice "vaccinazione" su un sito che il worm cerca. Probabilmente, solo i dispositivi che sono stati infettati avrebbero avuto motivo di connettersi al sito e quindi avrebbe ovviamente bisogno del vaccino. Se i proprietari di quei dispositivi non sapessero o non si preoccupassero che la loro macchina fosse infetta, non dovrebbe essere considerato un servizio che questi operatori hanno fatto per provare a ripulirli?
I dispositivi di Intrusion Detection (IDS) a un certo punto hanno cercato di implementare un metodo per bloccare gli attacchi chiamati "shunning". Se veniva rilevato un numero di pacchetti non autorizzati che superava alcune soglie stabilite, il dispositivo creava automaticamente una regola per bloccare i pacchetti futuri da quell'indirizzo. Il problema con una tecnica come questa è che gli hacker potrebbero falsificare l'indirizzo sorgente sui pacchetti IP. Fondamentalmente, forgiando le intestazioni dei pacchetti per assomigliare all'IP di origine era l'indirizzo IP del dispositivo IDS che avrebbe bloccato il proprio indirizzo IP e in effetti arrestato il sensore IDS.
Un problema simile entra in gioco quando si tenta di rispondere ai virus trasmessi tramite e-mail. Molti dei nuovi virus tendono a falsificare l'indirizzo email di origine. Pertanto qualsiasi tentativo automatico di rispondere alla fonte per far sapere loro di essere infetto sarebbe fuorviante.
Secondo il dizionario della legge di Black, l'autodifesa è definita come "quel grado di forza che non è eccessivo ed è appropriato per proteggere se stessi o la proprietà di qualcuno." Quando tale forza è usata, una persona è giustificata e non è responsabile in alcun modo tort. "Sulla base di questa definizione, sembra che una risposta" ragionevole "sia giustificata e legale.
Una distinzione, tuttavia, è che con virus e worm stiamo generalmente parlando di utenti che non sanno di essere infetti. Quindi, non è tanto la vendetta con una forza ragionevole a un rapinatore che ti sta attaccando. Un esempio migliore potrebbe essere una persona che parcheggia la propria auto su una collina e non aziona il freno di stazionamento. Quando si allontanano dalla loro auto e inizia a rotolare giù per la collina verso la tua casa, sei nei tuoi diritti di saltare dentro e fermarla o deviarla con qualsiasi metodo "ragionevole" che puoi? Verresti accusato di furto di auto per essere entrato nell'automobile o per aver distrutto intenzionalmente la proprietà se in qualche modo hai deviato la macchina per schiantarsi in qualcos'altro? È dubbio.
Quando parliamo del fatto che Nimda sta ancora viaggiando attivamente per Internet infettando gli utenti non protetti, colpisce l'intera comunità. L'utente può avere la sovranità sul proprio computer, ma non ha o non dovrebbe avere la sovranità su Internet. Possono fare ciò che vogliono con il loro computer nel loro mondo, ma una volta che si collegano a Internet e hanno un impatto sulla comunità, dovrebbero essere soggetti a determinate aspettative e linee guida per partecipare alla comunità.
Non è una buona idea che i singoli utenti prendano a ritorsioni proprio come i singoli cittadini non dovrebbero dare la caccia ai criminali.Sfortunatamente, abbiamo polizia e altre forze dell'ordine che sono responsabili della caccia ai criminali nel mondo reale, ma non abbiamo un equivalente internet. Non esiste alcun gruppo o agenzia con l'autorità per sorvegliare Internet e reprimere o penalizzare coloro che violano le linee guida della comunità. Cercare di stabilire una tale organizzazione sarebbe scoraggiante a causa della natura globale di Internet. Una regola applicabile negli Stati Uniti potrebbe non essere applicabile in Brasile o Singapore.
Anche senza una "forza di polizia" con l'autorità per far rispettare le regole o le linee guida su Internet, dovrebbe esserci un'organizzazione o un'organizzazione con l'autorità per creare contro-worm o vaccini virali che cercano proattivamente i computer infetti e cercano di pulirli? Eticamente, invadere un computer con l'intento di pulirlo sarebbe meglio del virus o del worm che ha invaso il computer in primo luogo?
Ci sono più domande che risposte in questo momento ed è un po 'scivoloso per iniziare. Il contropiede sembra cadere in una grande area grigia tra ragionevole autodifesa e curvarsi al livello dello sviluppatore del codice malevolo originale. L'area grigia deve tuttavia essere analizzata e deve essere data una certa direzione su come gestire i membri della comunità Internet che continuano a essere vulnerabili e / o a propagare le minacce per le quali le correzioni sono prontamente e liberamente disponibili.
