反攻是否合理?
当一个新的病毒或蠕虫袭击时,很多用户和系统管理员会惊讶地发现它是勉强可以接受的。 即使那些关心安全的人也可能只会更新他们的恶意代码开始传播,以及防病毒供应商实际发布更新以检测它们。
但是,用户或系统管理员在一年之后能否继续被同样的威胁“惊讶”地捕获? 两年? 互联网和互联网 服务提供商的一大部分带宽正在被容易预防的病毒和蠕虫流量所淹没吗?
当前最新的主要病毒和蠕虫已经利用了几个月前已有补丁的 漏洞 ,并且如果用户会及时进行补丁,病毒首先不会成为威胁。 忘记这一事实,一旦检测到新的威胁并且防病毒和操作系统供应商发布修补程序和更新来修复漏洞并检测并阻止所有用户应该应用必要更新来保护自己和我们其他人与他们共享互联网社区。
如果用户通过无知或选择不应用必要的补丁和更新并继续传播感染,社区是否有权作出回应? 许多人认为这在道德和伦理上是错误的。 这是简单的警觉。 篱笆墙上的那些人会争辩说,以某种方式对自己的手中的事情进行报复或自动回应威胁,使得你从法律角度来看并不比原来的威胁更好。
最近W32 / Fizzer @ MM蠕虫在互联网上迅速传播。 该蠕虫的一个方面是连接到特定的IRC频道以查找蠕虫代码的更新。 该IRC频道已关闭,因此蠕虫无法自行更新。 一些IRC操作员自己编写代码来自动禁用蠕虫并将其从IRC通道中托管。 这样,任何试图连接到蠕虫代码更新的受感染机器都会自动禁用蠕虫。 该守则随后被删除,直到对这种策略的合法性进行进一步调查。
它应该合法吗? 为什么不? 在这种特殊情况下,几乎没有机会影响未感染的机器。 他们没有通过播放自己的反蠕虫来进行报复。 他们在蠕虫寻找的网站上发布了“疫苗接种”代码。 可以说,只有那些被感染的设备才有理由连接到该网站,因此显然需要疫苗。 如果这些设备的拥有者不知道或不关心他们的机器受到感染,那么这些设备的所有者是否应该将这些服务器视为一种服务来尝试清理它们?
入侵检测( IDS )设备一度尝试实施一种方法来阻止称为“回避”的攻击。 如果检测到一些未经授权的数据包超过了某些建立的阈值,设备将自动创建一个规则来阻止来自该地址的未来数据包。 像这样的技术的问题是攻击者可能欺骗 IP数据包的源地址。 基本上,通过伪造包头来看起来源IP是IDS设备的IP地址 ,它会阻塞自己的IP地址,并实际上关闭了IDS传感器。
当试图回应电子邮件传播的病毒时,也会出现类似的问题。 许多新病毒往往会欺骗源邮件地址。 因此,任何自动回复源代码以让他们知道自己被感染的尝试都会被误导。
根据布莱克的“法律词典”,自卫的定义是:“这种力度不是过度的,适用于保护自己或财产;当使用这种武力时,一个人是有道理的,不承担刑事责任,也不承担侵权责任“根据这个定义,似乎”合理“的回应是合理的,合法的。
然而,一个区别是,对于病毒和蠕虫,我们通常在谈论不知道自己感染了病毒的用户。 所以,这不像是用合理的力量对一个攻击你的抢劫犯进行报复。 一个更好的例子是将车停在山坡上并且不设置驻车制动器的人。 当他们离开他们的汽车并开始向你的房子滚下山坡时,你有权利跳入并停止它,或者用任何“合理”的方法转移它,你可以? 如果您以某种方式转移汽车撞上其他东西,您是否会因为盗窃汽车进入车内或故意毁坏财产而被起诉? 我对此表示怀疑。
当我们谈论尼姆达仍然在积极旅行因特网感染未受保护的用户这一事实时,它影响到整个社区。 用户可能对他们的计算机拥有主权,但他们没有或不应该拥有互联网上的主权。 他们可以在自己的世界中用计算机做他们想做的事情,但一旦他们连接到互联网并影响社区,他们应该接受参与社区的某些期望和准则。
我认为个人用户不应该像个人公民不应该追捕罪犯一样采取报复措施。 不幸的是,我们有负责在现实世界中追捕罪犯的警察和其他执法机构,但我们没有相应的互联网。 没有任何组织或机构有权对互联网进行监督,并对违反社区准则的人进行谴责或惩罚。 由于互联网的全球性,试图建立这样一个组织将会令人望而生畏。 适用于美国的规则可能不适用于巴西或新加坡。
即使没有一个有权力在互联网上执行规则或准则的“警察部队”,是否应该有一个组织或多个组织有权创建反蠕虫或病毒疫苗,以主动寻找被感染的计算机并尝试清理它们? 从道德上讲,侵入计算机的意图是清除它比任何优于入侵计算机的病毒或蠕虫?
现在有更多的问题比答案要多,并且开始时有些滑坡。 反攻似乎陷入了合理的自卫和屈服于原始恶意代码开发者之间的灰色地带。 需要对灰色地区进行调查,并且需要对如何处理互联网社区的成员给予指导,这些成员仍然容易受到和/或传播威胁,因为这些威胁可以随时随地获得修复。