当新的病毒或蠕虫袭来时,许多用户和系统管理员都会感到意外,这是可以接受的。即使是那些勤于安全的人也可能只会更新他们开始传播的恶意代码以及防病毒供应商实际发布更新以检测它。
但是,用户或系统管理员是否可以继续被一年后同样的威胁“惊讶地”抓住?两年?可以接受的是,互联网和ISP上的大部分带宽被病毒和蠕虫流量所摧毁,这是很容易预防的吗?
暂时搁置一下,最近的主要病毒和蠕虫利用了几个月前可用补丁的漏洞,如果用户及时修补,病毒首先就不会构成威胁。忘记这一事实,一旦检测到新威胁并且防病毒和操作系统供应商发布补丁和更新以修复漏洞并检测并阻止所有用户应该应用必要更新以保护自己和威胁的威胁,这似乎仍然是合理的。我们其余的人与他们分享互联网社区。
如果用户通过无知或选择不应用必要的补丁和更新并继续传播感染,社区是否有权回复?许多人认为它在道德和道德上都是错误的。这是一种简单的警惕。围栏那边的那些人会争辩说,自己动手以某种方式报复或自动应对威胁,从法律角度来看,你不会比原来的威胁更好。
最近,W32 / Fizzer @ MM蠕虫在互联网上迅速传播。蠕虫的一个方面是连接到特定的IRC通道以查找蠕虫代码的更新。 IRC频道被关闭,因此蠕虫无法自我更新。一些IRC运营商自己编写代码,自动禁用蠕虫并从该IRC频道托管它。这样,任何试图连接以获取蠕虫代码更新的受感染计算机都会自动禁用该蠕虫。随后删除了该代码,直到可以对此类策略的合法性进行进一步调查。
它应该合法吗?为什么不?在这种特殊情况下,几乎没有机会影响未受感染的机器。他们没有通过广播他们自己的反蠕虫进行报复。他们在蠕虫寻找的网站上发布了“疫苗接种”代码。可以说,只有被感染的设备才有任何理由连接到该网站,因此显然需要接种疫苗。如果这些设备的所有者不知道或不关心他们的机器是否被感染,那么这些运营商是否应该尝试将其清理干净?
入侵检测(IDS)设备曾尝试实施一种阻止称为“回避”的攻击的方法。如果检测到多个未经授权的分组超过某些已建立的阈值,则设备将自动创建规则以阻止来自该地址的未来分组。这种技术的问题在于攻击者可能欺骗IP数据包上的源地址。基本上,通过伪造数据包标头看起来像源IP是IDS设备的IP地址,它将阻止自己的IP地址并实际上关闭IDS传感器。
在尝试回应电子邮件传播的病毒时,类似的问题也会发挥作用。许多较新的病毒倾向于欺骗源电子邮件地址。因此,任何回复源的自动尝试都会让他们知道自己被感染了。
根据布莱克法律词典,自卫被定义为“那种不过度且适合保护自己或者财产的力度。当使用这种力量时,一个人是合理的,不承担刑事责任,也不承担责任。侵犯。“基于这个定义,似乎有必要采取”合理“的回应,并且是合法的。
然而,一个区别是,对于病毒和蠕虫,我们通常会谈论不知道自己被感染的用户。因此,对于一个正在攻击你的抢劫者来说,并不是那么合理地报复。一个更好的例子是将车停在山上并且没有设置停车制动器的人。当他们离开他们的汽车并开始沿着山坡向你的房子滚动时,你是否有权进入并停止它或用任何“合理”的方法转移它?如果你以某种方式将汽车改装成其他东西,你会因为上车或故意破坏财产而被起诉吗?这是值得怀疑的。
当我们谈论Nimda仍在积极浏览互联网感染未受保护的用户这一事实时,它会影响到整个社区。用户可能对其计算机拥有主权,但他们不会或不应该在互联网上拥有主权。他们可以在他们自己的世界中用他们的计算机做他们想要的事情,但是一旦他们连接到互联网并影响社区,他们就应该受到参与社区的某些期望和指导。
个人用户采取报复行动并不是一个好主意,就像个别公民不应该追捕犯罪分子一样。不幸的是,我们有警察和其他执法机构负责追捕现实世界中的罪犯,但我们没有互联网等价物。没有任何团体或机构有权监管互联网并谴责或惩罚违反社区准则的人。由于互联网的全球性,试图建立这样一个组织将是艰巨的。适用于美国的规则可能不适用于巴西或新加坡。
即使没有“警察部队”有权在互联网上执行规则或指南,是否应该有一个或多个组织有权创建反蠕虫或病毒疫苗,以便主动寻找受感染的计算机并试图清理它们?从道德上讲,入侵计算机的目的是为了清理它,是否比首先入侵计算机的病毒或蠕虫更好?
现在问题多于答案,而且从一开始就有点滑坡。反攻似乎落入了合理的自我防御和屈服于原始恶意代码开发者之间的大灰色区域。需要对灰色区域进行调查,并且需要就如何处理互联网社区的成员提供一些方向,这些成员仍然容易受到攻击和/或传播威胁,这些威胁可以随时免费获得。
