¿Está xustificado o Counter-Attacking?
Cando chega un novo virus ou gusano , é marxinalmente aceptable que moitos usuarios e administradores do sistema sexan sorprendidos. Incluso os dilixentes sobre a seguridade só poden actualizar o código malicioso que comezan a estenderse e cando os vendedores de antivirus realmente liberan a actualización para detectalo.
Pero, ¿é aceptable que os usuarios ou os administradores do sistema sigan sendo capturados "por sorpresa" por esa mesma ameaza un ano máis tarde? Dous anos? ¿É aceptable que o tráfico de virus e gusano sexa fácilmente prevenible por un bo anaco de banda en Internet e no seu ISP ?
Deixar de lado o momento en que os principais virus e gusanos máis recentes capitalizaron as vulnerabilidades que tiñan parches dispoñibles meses antes e que se os usuarios fixasen o tempo, o virus non sería unha ameaza. Esquecendo este feito, aínda parece razoable que unha vez que se detecte unha nova ameaza e os antivirus e os vendedores do sistema operativo liberen parches e actualizacións para solucionar as vulnerabilidades e para detectar e bloquear a ameaza de que todos os usuarios deben aplicar as actualizacións necesarias para protexerse e resto de nós que compartimos a comunidade de Internet con eles.
Se un usuario, a través da ignorancia ou a elección, non aplica os parches e actualizacións necesarios e continúa propagando a infección, ¿a comunidade ten dereito a responder? Moitos o consideran moral e moralmente incorrecto. É un xordo simple. Os que están por ese lado argumentarían que tomar as cousas nas túas propias mans para responder de algunha maneira ou automaticamente á ameaza non o fai mellor que a ameaza orixinal desde o punto de vista legal.
Recentemente, o worm de W32 / Fizzer @ MM estaba estendendo rapidamente por Internet. Unha das facetas do gusano era conectarse a unha canle IRC específica para buscar actualizacións do código do gusano. Esa canle IRC foi apagada para que o gusano non puidese actualizarse. Algúns operadores de IRC tiveron que escribir un código que desactivaría automaticamente o worm e aloxalo desde esa canle IRC. Deste xeito, calquera máquina infectada que intentase conectarse para actualizacións ao código do worm tería automaticamente o worm inhabilitado. O código foi posteriormente eliminado ata que se poida facer máis investigación sobre as legalidades desta estratexia.
Debería ser legal? Por que non? Neste caso en particular parece haber poucas posibilidades de afectar a unha máquina non infectada. Non tomaron represalias ao transmitir o seu propio anti-gusano. Publicaron un código de "vacinación" nun sitio que busca o gusano. Probablemente, só os dispositivos infectados terían motivos para conectarse ao sitio e, polo tanto, obviamente necesitarían a vacina. Se os propietarios destes dispositivos non sabían ou non se preocupaban de que a súa máquina estivese infectada, non debería considerarse un servizo que estes operadores fixeron para intentar limparlos?
Os dispositivos de detección de intrusión ( IDS ) nun momento intentaron implementar un método para bloquear os ataques chamados "shunning". Se se detectase unha serie de paquetes non autorizados que excederon algúns limiares establecidos, o dispositivo crearía automaticamente unha regra para bloquear paquetes futuros desde ese enderezo. O problema cunha técnica como esta é que os atacantes poderían falsificar o enderezo fonte nos paquetes IP. Basicamente, forxando os encabezados de paquetes para que pareza que a fonte IP era a dirección IP do dispositivo IDS, bloquearía a súa propia dirección IP e de feito desactivaría o sensor IDS.
Comeza un problema semellante ao tentar responder aos virus emitidos por correo electrónico. Moitos dos virus máis novos tenden a falsificar o enderezo de correo electrónico orixinal. Polo tanto, calquera intento automatizado de responder á fonte para avisalos de que están infectados sería incorrecto.
De acordo co dereito de Black's, a autodefensa defínese como "ese grao de forza que non é excesivo e é apropiado para protexerse a si mesmo ou para a propia propiedade. Cando se usa esa forza, unha persoa está xustificada e non é responsable penalmente, "Con base nesta definición, parece que unha resposta" razoable "é xustificada e legal.
Non obstante, unha distinción é que, con virus e gusanos , falamos xeralmente de usuarios que non saben que están infectados. Entón, non se trata de vingar con forza razoable a un mugger que te ataca. Un exemplo mellor sería unha persoa que parques o seu coche nun outeiro e non estableza o freo de estacionamento. Cando se afastan do seu automóbil e comeza a baixar o outeiro cara á súa casa, ¿está dentro dos seus dereitos para saltar e detelo ou desviá-lo con calquera método "razoable" que poida? ¿Serías procesado por un gran auto de roubo por meterse no coche ou por destrución intencionada de bens se de algunha maneira desvía o coche para colapsar noutra cousa? Dúdoo.
Cando falamos sobre o feito de que Nimda aínda está activamente viaxando por Internet infectando usuarios non protexidos, afecta a toda a comunidade. O usuario pode ter soberanía sobre o seu ordenador, pero non teñen ou non teñen soberanía en internet. Poden facer o que desexan co seu ordenador no seu propio mundo, pero unha vez que se conectan a Internet e afectan á comunidade, deberían estar suxeitos a certas expectativas e directrices para participar na comunidade.
Non creo que os usuarios individuais poidan tomar represalias, así como os cidadáns non deben cazar criminais. Desafortunadamente, temos policías e outras axencias policiais que son responsables da caza de criminais no mundo real, pero non temos ningún equivalente en Internet. Non hai ningún grupo ou axencia con autoridade para policizar Internet e reprender ou penalizar aos que violan as pautas da comunidade. Intentar e establecer esa organización sería asustado por mor da natureza global de Internet. Unha regra que se aplica nos Estados Unidos non pode aplicarse en Brasil ou Singapur.
Mesmo sen unha "forza policial" coa autoridade para facer cumprir regras ou directrices en Internet, ¿debería haber unha organización ou organizacións con autoridade para crear contra-gusanos ou vacinas antivirus que buscarían proactivamente computadoras infectadas e tentarán limpar? Ética, invadiría unha computadora coa intención de limpa-lo mellor que o virus ou gusano que invadiu a computadora en primeiro lugar?
Hai máis preguntas que respostas neste momento e é un pouco deslizante para comezar. O ataque contra ataques parece caer nunha gran área gris entre autodefensa razoable e inclinarse ao nivel do desarrollador de código malicioso orixinal. Non obstante, hai que investigar a área gris e hai que dar algunha dirección sobre como manexar os membros da comunidade de Internet que seguen sendo vulnerables e / ou ameazas de propagación para as cales as correccións están dispoñibles de maneira sinxela e gratuíta.