Wanneer een nieuw virus of worm toeslaat is het marginaal acceptabel dat veel gebruikers en systeembeheerders verrast worden. Zelfs degenen die ijverig zijn met beveiliging, kunnen hun kwaadwillende code alleen maar updaten zodra ze zich verspreiden en wanneer de antivirus-leveranciers de update daadwerkelijk vrijgeven om deze te detecteren.
Maar is het acceptabel dat gebruikers of systeembeheerders een jaar later "verrast" blijven door dezelfde dreiging? Twee jaar? Is het acceptabel dat een groot deel van de bandbreedte op internet en op uw ISP wordt gekauwd door virus- en wormverkeer dat gemakkelijk kan worden voorkomen?
Houd rekening met het moment dat de meest recente grote virussen en wormen hebben gekapitaliseerd op kwetsbaarheden met patches die maanden van tevoren beschikbaar waren en dat als gebruikers tijdig zouden patchen, het virus in de eerste plaats geen bedreiging zou vormen. Vergeten dat feit, lijkt het nog steeds redelijk dat zodra een nieuwe bedreiging wordt gedetecteerd en de leveranciers van antivirus- en besturingssysteemversies patches en updates vrijgeven om de kwetsbaarheden te verhelpen en de dreiging te detecteren en blokkeren dat alle gebruikers de nodige updates moeten toepassen om zichzelf en de voor de rest van ons die de internetgemeenschap met hen delen.
Als een gebruiker, door onwetendheid of keuze, de benodigde patches en updates niet toepast en doorgaat met het verspreiden van de infectie, heeft de community dan het recht om te reageren? Velen beschouwen het moreel en ethisch verkeerd. Het is eenvoudig waakzaam. Degenen aan die kant van het hek zouden beweren dat als je het heft in eigen handen neemt om op de een of andere manier wraak te nemen of automatisch op de dreiging reageert, je niet beter bent dan de oorspronkelijke dreiging vanuit een juridisch standpunt.
Onlangs verspreidde de W32 / Fizzer @ MM-worm zich snel over het internet. Een van de facetten van de worm was om verbinding te maken met een specifiek IRC-kanaal om te zoeken naar updates voor de wormcode. Dat IRC-kanaal was uitgeschakeld, dus de worm kon zichzelf niet updaten. Sommige IRC-operators hebben het op zich genomen om code te schrijven die de worm automatisch uitschakelt en host vanaf dat IRC-kanaal. Op deze manier zou een geïnfecteerde computer die verbinding probeerde te maken voor updates van de wormcode de worm automatisch uitschakelen. De code werd vervolgens verwijderd totdat nader onderzoek kon worden gedaan naar de wettigheid van een dergelijke strategie.
Moet het legaal zijn? Waarom niet? In dit specifieke geval lijkt er weinig of geen kans te zijn om een niet-geïnfecteerde machine te beïnvloeden. Ze hebben geen wraak genomen door hun eigen anti-worm uit te zenden. Ze plaatsten "vaccinatie" code op een site die de worm zoekt. Wellicht hebben alleen die apparaten die zijn geïnfecteerd enige reden om verbinding te maken met de site en daarom zou het vaccin duidelijk nodig zijn. Als de eigenaars van die apparaten niet wisten of zich er niet druk om maakten dat hun machine was geïnfecteerd, moet dit dan niet worden beschouwd als een service die deze operators hebben geprobeerd om ze op te ruimen?
Intrusion Detection (IDS) -apparaten probeerden op een gegeven moment een methode te implementeren om aanvallen te blokkeren die "mijden" worden genoemd. Als een aantal ongeautoriseerde pakketten werd gedetecteerd die een aantal vastgestelde drempelwaarden overschreden, zou het apparaat automatisch een regel maken om toekomstige pakketten van dat adres te blokkeren. Het probleem met een dergelijke techniek is dat de aanvallers het bronadres op de IP-pakketten kunnen vervalsen. Kortom, door de pakketkoppen te vervalsen om eruit te zien als het bron-IP-adres was het IP-adres van het IDS-apparaat dat het zijn eigen IP-adres zou blokkeren en in feite de IDS-sensor zou uitschakelen.
Een soortgelijk probleem speelt een rol bij het reageren op door e-mail verspreide virussen. Veel van de nieuwere virussen hebben de neiging om het e-mailadres van de bron te vervalsen. Daarom zou elke geautomatiseerde poging om de bron te beantwoorden om hen te laten weten dat ze zijn geïnfecteerd, misleidend zijn.
Volgens Black's Law Dictionary wordt zelfverdediging gedefinieerd als "die mate van kracht die niet buitensporig is en geschikt is om zichzelf of iemands eigendom te beschermen." Wanneer een dergelijk geweld wordt gebruikt, is een persoon gerechtvaardigd en niet strafrechtelijk aansprakelijk, noch aansprakelijk in een onrechtmatige daad. "Op basis van deze definitie lijkt een" redelijk "antwoord gerechtvaardigd en gerechtvaardigd.
Een onderscheid is echter dat we met virussen en wormen over het algemeen praten over gebruikers die niet weten dat ze zijn geïnfecteerd. Dus het is niet zozeer als wraak nemen met redelijke kracht op een overvaller die je aanvalt. Een beter voorbeeld is iemand die zijn auto op een heuvel parkeert en de parkeerrem niet inschakelt. Wanneer ze weglopen van hun auto en het begint de heuvel af te rennen richting je huis, ben je dan binnen je recht om erin te springen en het te stoppen of het om te leiden met welke "redelijke" methode dan ook? Zou je vervolgd worden voor diefstalautomaten voor het in de auto stappen of opzettelijke vernieling van eigendom als je de auto op de een of andere manier hebt omgeleid om ergens anders in te crashen? Het is twijfelachtig.
Als we het hebben over het feit dat Nimda nog steeds actief rondreist over het internet dat niet-beschermde gebruikers infecteert, beïnvloedt het de hele gemeenschap. De gebruiker heeft mogelijk de soevereiniteit over hun computer, maar zij hebben geen soevereiniteit op het internet of zouden dit niet moeten doen. Ze kunnen doen wat ze willen met hun computer in hun eigen wereld, maar zodra ze verbinding maken met internet en invloed hebben op de gemeenschap, moeten ze onderworpen zijn aan bepaalde verwachtingen en richtlijnen voor deelname aan de gemeenschap.
Het is geen goed idee voor individuele gebruikers om wraak te nemen, net zoals individuele burgers criminelen niet zouden moeten opsporen.Helaas hebben we politie en andere wetshandhavingsinstanties die verantwoordelijk zijn voor het opsporen van criminelen in de echte wereld, maar we hebben geen internetequivalent. Er is geen groep of instantie met de autoriteit om het internet te controleren en berisping of straffen degenen die de richtlijnen van de gemeenschap schenden. Het zou heel moeilijk zijn om zo'n organisatie op te zetten vanwege het wereldwijde karakter van internet. Een regel die van toepassing is in de Verenigde Staten is mogelijk niet van toepassing in Brazilië of Singapore.
Zelfs zonder een "politiemacht" met de autoriteit om regels of richtlijnen op het internet af te dwingen, moet er een organisatie of organisaties zijn met de autoriteit om tegenwormen of virusvaccins te maken die op proactieve wijze geïnfecteerde computers opzoeken en proberen ze op te ruimen? Ethisch gezien, zou een computer binnenvallen met de bedoeling om het op te schonen beter zijn dan het virus of de worm die de computer binnenviel?
Er zijn nu meer vragen dan antwoorden en het is een beetje een gladde helling om op te starten. Tegenaanvallen lijkt te vallen in een groot grijs gebied tussen redelijke zelfverdediging en bukken tot het niveau van de oorspronkelijke ontwikkelaar van kwaadwillende code. Het grijze gebied moet echter worden onderzocht en er moet enige richting worden gegeven aan hoe om te gaan met leden van de internetgemeenschap die nog steeds kwetsbaar zijn voor en / of bedreigingen propageren waarvoor fixes gemakkelijk en vrij verkrijgbaar zijn.
