上个月,斯科特·查尼微软的提出那个受感染的计算机被隔离在互联网之外。使用互联网安全的公共卫生模型,其想法是受感染的计算机传播蠕虫和病毒对更大的社区来说是一种风险,因此需要隔离。互联网服务提供商将管理隔离,并将清理和更新用户的计算机,以便他们能够重新加入更大的互联网。
这不是一个新想法。已经有了产品它测试试图加入私有网络的计算机,并且只允许它们访问最新的安全补丁,并且防病毒软件证明它们是干净的。被拒绝访问的计算机有时会被避开到一个有限的可访问子网,在那里,他们所能做的就是下载并安装所需的更新以重新获得访问权限。这种系统在大学和终端用户友好型企业网络中得到了成功的应用。他们很乐意让你登录任何你想要的设备——这是消费化的趋势,只要你的安全性达到极限。
查尼的想法是在更大范围内做到这一点。要实施它,我们必须处理两个问题。面对旨在规避恶意软件的技术问题,隔离工作面临着技术问题,而社会问题则确保人们不会对电脑进行过度隔离。了解这些问题需要我们从总体上了解隔离。
数千年来,隔离区一直被用来控制疾病。总的来说,要使其发挥作用,有几件事需要是正确的。第一,被隔离的东西需要易于识别。如果一种疾病有明显的身体特征:发烧、疖子等,那么隔离它会更容易。如果没有任何明显的身体影响,或者如果这些影响在疾病具有传染性时没有表现出来,那么隔离的效果就会差得多。
同样,如果可以检测到受感染的计算机,隔离它也更容易。正如Charney指出的那样,他的计划只对我们的安全产品识别的蠕虫和病毒有效,而对那些新的和仍然无法检测的蠕虫病毒无效。
第二,分离必须有效。Molokai和Spinalonga上的麻风病人群体都很有效,因为被隔离者很难离开。被隔离的中世纪城市工作得不太好,因为它太容易离开,或者当疾病通过老鼠或蚊子传播时,因为隔离的目标是错误的。
计算机隔离通常是有效的,因为其计算机被隔离的用户不够成熟,无法突破隔离,更容易更新软件并合法重新加入网络。
第三,只有一小部分人口需要隔离。只有当受影响的人群中有少数人患有身体疾病或计算机疾病时,解决方案才有效。如果大多数人受到感染,隔离不会大大降低总体感染率。类似地,试图隔离大部分互联网的隔离措施也行不通。
第四,收益必须大于成本。医疗隔离的维护费用很高,尤其是当人们被违心隔离时。决定隔离谁要么代价高昂(如果隔离措施做得正确),要么武断、权威、容易滥用(如果隔离效果不好)。甚至可能两者兼而有之。对社会的价值必须是值得的。
这是查尼和其他人强调的最后一点。如果互联网蠕虫只会对感染者造成伤害,我们就不需要这样的社会隔离。但它们正在损害互联网上的所有人,传播和感染他人。同时,我们可以实施成本低廉的隔离系统。对社会的价值远远大于成本。
这是有道理的,但一旦你将隔离从孤立的私人网络转移到普通互联网,威胁的性质就会改变。想象一下一种智能的恶意传染病:这就是恶意软件。当前的恶意软件忽视隔离;它们数量很少,距离足够远,不会影响它们的效率。
如果我们试图在全互联网甚至全国范围内实施隔离,蠕虫病毒作者将开始以各种方式打破隔离。因此,与其非技术用户因为不知道如何破除隔离而懒得破除隔离,不如让技术娴熟的病毒编写者尝试破除隔离。在ISP级别实施隔离将有所帮助,如果ISP监视计算机行为,而不仅仅是特定的病毒特征,那么即使面对规避策略,也会有一定的效果。但回避是可能的,我们将陷入另一场计算机安全军备竞赛。这并不是彻底驳回该提案的理由,但这是我们在权衡其潜在效力时需要考虑的问题。
此外,还有一个问题,就是由谁来决定隔离哪些计算机。在公司或大学网络上很容易:网络所有者可以决定。但是互联网没有那种等级控制,没有正当程序拒绝人们访问充满了危险。上诉机制是什么?审计机制?Charney建议由互联网服务提供商管理隔离区,但必须由某个中央当局决定实施隔离所需的感染程度。尽管这是一个完全技术性的解决方案,但这些社会和政治影响是最难确定和最容易滥用的。
一旦我们实现了隔离受感染计算机的机制,我们就有可能在各种其他情况下隔离它们。我们是否应该隔离那些没有最新补丁的计算机,即使它们没有感染?有没有正当理由让某人避免修补他的电脑?政府是否应该对某人在聊天室中所说的话或他所做的一系列搜索查询进行隔离?我相信我们不认为应该这样做,但如果那次聊天和那些询问围绕着恐怖主义呢?线在哪里?
微软当然会隔离它认为没有运行其操作系统或应用程序软件的合法副本的任何计算机。音乐和电影行业将要隔离它决定下载或共享盗版媒体文件的任何人——他们是已经在推动类似的建议.
旨在防止恶意蠕虫在互联网上传播的安全措施可以迅速成为企业商业模式的实施工具。Charney强调了限制这种函数蠕变的必要性,但我认为这不容易预防;这是一种迫切需要使用的执行机制。
一旦你开始考虑实施隔离,各种其他社会问题就会浮现出来。我们该怎么处理那些需要互联网的人呢?也许VoIP是他们唯一的电话服务。也许他们有一个支持互联网的医疗设备。也许他们的业务需要互联网来运作。隔离这些人的影响将是巨大的,甚至可能危及生命。再说一遍,线在哪里?
如果人们觉得自己被不公正地隔离了,我们该怎么办?或者如果他们使用ISP不熟悉的非标准软件?是否有申诉程序?由谁管理?当然不是一家营利性公司。
公共卫生是看待这个问题的正确方法。个人权利和社会权利之间的对话是一种有效的对话,这种解决方案是一种很好的考虑可能性。
有一些适用的相似之处。我们要求驾驶人持有执照并对汽车进行检查,并不是因为我们担心无执照驾驶人和未经检查的汽车对自己的危险,而是因为我们担心它们对其他驾驶人和行人的危险。少数父母没有给孩子接种疫苗,已经在更多的人群中造成了百日咳和麻疹的轻微爆发。当互联网上有人允许他的电脑被感染时,我们都会受到影响。我们需要开始讨论如何平衡这一点与个人维护自己电脑的权利之间的关系。
这篇文章以前出现过在Forbes.com上。
编辑添加(11/15):来自匿名读者:
在您的文章中,您提到要使隔离措施发挥作用,您必须能够检测到受感染的个人。在个人有机会感染其他许多人之前,还必须快速检测到病毒。在一个人感染了他们经常接触的大多数人之后,对其进行隔离几乎没有什么价值。当个人平均感染人数少于另一人时,您必须对其进行隔离。
正如蠕虫写作者会通过投资绕过它们的方法来应对实施隔离的技术机制一样,他们也可能会投资加快隔离速度。如果蠕虫的传播速度很快,即使是最好的隔离机制也可能无法跟上。
隔离机制的另一个担忧是,如果攻击者能够破坏机制本身,他们可能会造成损害。如果该机制要在最终用户的TCB中包含代码来扫描计算机,这一点尤其令人担忧——基本上是一个内置的根工具包。如果终端用户的TCB中没有扫描仪,很难看到如何可靠地检测感染。
发布于2010年11月15日凌晨4:55•查看评论