Cuando un nuevo virus o gusano ataca, es marginalmente aceptable que muchos usuarios y administradores del sistema sean sorprendidos. Incluso aquellos diligentes en materia de seguridad solo pueden actualizar su código malicioso que comienza a propagarse y cuando los proveedores de antivirus realmente liberan la actualización para detectarla.
Pero, ¿es aceptable para los usuarios o administradores de sistemas continuar siendo atrapados "por sorpresa" por la misma amenaza un año después? ¿Dos años? ¿Es aceptable que una buena parte del ancho de banda en Internet y en su ISP esté siendo masticada por el tráfico de virus y gusanos que se puede prevenir fácilmente?
Deje de lado por el momento que los virus y gusanos más recientes han aprovechado las vulnerabilidades que tenían parches disponibles meses antes y que, si los usuarios lo hicieran de manera oportuna, el virus no sería una amenaza en primer lugar. Olvidando ese hecho, todavía parece razonable que una vez que se detecte una nueva amenaza y que los proveedores de antivirus y sistemas operativos publiquen parches y actualizaciones para corregir las vulnerabilidades y para detectar y bloquear la amenaza de que todos los usuarios deben aplicar las actualizaciones necesarias para protegerse y proteger a los usuarios. El resto de nosotros que compartimos la comunidad de internet con ellos.
Si un usuario, por ignorancia o elección, no aplica los parches y actualizaciones necesarios y continúa propagando la infección, ¿tiene la comunidad el derecho de responder? Muchos lo consideran moral y éticamente incorrecto. Es simple vigilantismo. Aquellos en ese lado de la cerca argumentarán que tomar el asunto en sus propias manos para tomar represalias o responder automáticamente a la amenaza no lo hace mejor que la amenaza original desde un punto de vista legal.
Recientemente, el gusano W32 / Fizzer @ MM se estaba propagando rápidamente por Internet. Una de las facetas del gusano era conectarse a un canal IRC específico para buscar actualizaciones del código del gusano. Ese canal IRC se cerró por lo que el gusano no pudo actualizarse. Algunos operadores de IRC se encargaron de escribir código que desactivaría automáticamente el gusano y lo alojaría desde ese canal de IRC. De esta manera, cualquier máquina infectada que intentara conectarse para obtener actualizaciones del código del gusano automáticamente lo desactivaría. Posteriormente, se eliminó el código hasta que se pudiera investigar más sobre las legalidades de dicha estrategia.
¿Debería ser legal? Por qué no? En este caso particular, parece que hay pocas o ninguna posibilidad de afectar a una máquina no infectada. No tomaron represalias emitiendo su propio anti-gusano. Publicaron el código de “vacunación” en un sitio que busca el gusano. Podría decirse que solo aquellos dispositivos que estaban infectados tendrían alguna razón para conectarse al sitio y, por lo tanto, obviamente necesitarían la vacuna. Si los propietarios de esos dispositivos no sabían o no les importaba que su máquina estuviera infectada, ¿no debería considerarse un servicio que estos operadores hicieron para tratar de limpiarlos?
Los dispositivos de detección de intrusos (IDS) en un momento intentaron implementar un método para bloquear ataques llamados "rechazo". Si se detectara una cantidad de paquetes no autorizados que excedían algunos umbrales establecidos, el dispositivo crearía automáticamente una regla para bloquear futuros paquetes desde esa dirección. El problema con una técnica como esta es que los atacantes podrían falsificar la dirección de origen en los paquetes IP. Básicamente, al forjar los encabezados de los paquetes para que se vean como la IP de origen era la dirección IP del dispositivo IDS, bloquearía su propia dirección IP y, en efecto, apagaría el sensor IDS.
Un problema similar entra en juego cuando se trata de responder a virus transmitidos por correo electrónico. Muchos de los virus más nuevos tienden a falsificar la dirección de correo electrónico de origen. Por lo tanto, cualquier intento automatizado de responder a la fuente para informarles que están infectados sería un error.
De acuerdo con el Black Law Law Dictionary, la autodefensa se define como "el grado de fuerza que no es excesivo y es apropiado para protegerse a sí mismo o a la propiedad de uno. Cuando se usa esa fuerza, una persona está justificada y no es criminalmente responsable, ni tampoco responsable en una agravio ”. Según esta definición, parece que una respuesta“ razonable ”está justificada y es legal.
Sin embargo, una distinción es que con los virus y gusanos generalmente hablamos de usuarios que no saben que están infectados. Entonces, no es como tomar represalias con una fuerza razonable contra un asaltante que lo está atacando. Un mejor ejemplo sería una persona que estaciona su automóvil en una colina y no pone el freno de estacionamiento. Cuando se alejan de su automóvil y comienza a rodar cuesta abajo hacia su casa, ¿tiene usted derecho a saltar y pararlo o desviarlo con cualquier método “razonable” que pueda? ¿Sería procesado por robo de automóviles por meterse en el automóvil o por la destrucción deliberada de bienes si de alguna manera desvía el automóvil para estrellarse contra otra cosa? Es dudoso
Cuando hablamos sobre el hecho de que Nimda todavía está viajando activamente por Internet infectando a usuarios no protegidos, esto afecta a toda la comunidad. El usuario puede tener soberanía sobre su computadora, pero no tiene, o no debería, tener soberanía en Internet. Pueden hacer lo que quieran con su computadora en su propio mundo, pero una vez que se conectan a internet e impactan a la comunidad, deben estar sujetos a ciertas expectativas y pautas para participar en la comunidad.
No es una buena idea que los usuarios individuales tomen represalias, así como los ciudadanos individuales no deben cazar a los delincuentes.Desafortunadamente, tenemos policías y otras agencias de cumplimiento de la ley que son responsables de la caza de delincuentes en el mundo real, pero no tenemos un equivalente en Internet. No existe un grupo o agencia con la autoridad para vigilar Internet y reprender o penalizar a quienes violen las pautas de la comunidad. Intentar establecer una organización de este tipo sería desalentador debido a la naturaleza global de Internet. Es posible que una regla que se aplica en los Estados Unidos no se aplique en Brasil o Singapur.
Incluso sin una "fuerza policial" con la autoridad para hacer cumplir las reglas o directrices en Internet, ¿debería haber una organización u organización con la autoridad para crear contra gusanos o vacunas contra el virus que buscarían de manera proactiva las computadoras infectadas y tratar de limpiarlas? Éticamente, ¿invadir una computadora con la intención de limpiarla sería mejor que el virus o gusano que invadió la computadora en primer lugar?
Hay más preguntas que respuestas en este momento y es algo así como una pendiente resbaladiza para comenzar. El contraataque parece caer en una gran área gris entre defensa personal razonable y agacharse al nivel del desarrollador de código malicioso original. Sin embargo, se debe investigar el área gris y se debe dar alguna dirección sobre cómo manejar a los miembros de la comunidad de Internet que continúan siendo vulnerables y / o propagando amenazas para las cuales las soluciones están disponibles de forma fácil y gratuita.
