home *** CD-ROM | disk | FTP | other *** search
/ The Unsorted BBS Collection / thegreatunsorted.tar / thegreatunsorted / bbs_file_lists / i2v.005 < prev    next >
Text File  |  1997-08-02  |  16KB  |  280 lines
  1. NCSA Virus Paper
  2.  
  3.  
  4. The computer virus problem began in the late 1980's when a few computer 
  5. viruses existed both for DOS and Macintosh microcomputers. At that time 
  6. computer viruses were a novelty. Technical users and the computer press 
  7. were full of "what if a virus changed data in a spreadsheet costing the 
  8. organization millions......" and "wouldn't it be terrible if a virus changed 
  9. information in a hospital PC causing people to die...." and speculation that 
  10. a computer virus could damage a computer's monitor or processor or other 
  11. hardware.... and so on.
  12.  
  13. But most of our preconceptions were wrong!
  14. Now, seven years and thousands of virus strains later, we know quite well 
  15. the problems that computer viruses create. Every single Fortune 500 organization 
  16. has experienced computer viruses first hand. Most experience them monthly. 
  17. Corporations with 1000 PCs currently have about one virus incident every month. 
  18. If trends continue, the problem will double again within 18 months.
  19.  
  20. We now know that viruses never physically harm computer hardware, nor is it 
  21. likely that any have changed spreadsheet data or hospital information in a 
  22. way that went un-noticed. In fact, it is rare for computer viruses to actually 
  23. erase or destroy data. Many viruses are capable of destructive activities, but 
  24. most of the damage that viruses cause, day-in and day-out, relate to the simple 
  25. fact that contamination by them must be cleaned-up.  The problem is that unless 
  26. you search through all the personal computers at your site, as well as all the 
  27. diskettes at your site, you can have no assurance that you have found all 
  28. copies of the virus that may have actually infected only four or five PCs. Since viruses 
  29. are essentially "invisible" the engineer must actually go looking for 
  30. them on all 1000 PCs and 35,000 diskettes in an average corporate computer 
  31. site.  And if even a single instance of the virus is missed, then other computers 
  32. will eventually be re-infected and the whole clean-up process must start again.
  33.  
  34. We know that viruses are almost never planted in our organizations intentionally. 
  35. They come to us the same way that human flu virus comes to us -- by normal, 
  36. non-malicious, interaction of working people. We get the flu by shaking people's 
  37. hands who have the virus, but who are not yet sick.  We get computer viruses 
  38. by using the same diskette in our computer that a cohort used in her computer 
  39. though she did not know her computer was incubating a virus either.
  40.  
  41. Virus Costs
  42. The costs of computer viruses to society are astounding. A recent NCSA study 
  43. shows that the world-wide costs of simply detecting and recovering from computer 
  44. virus incidents (from virus contamination alone - not including any costs of data 
  45. loss or disaster recovery) amounts to approximately 1 Billion US Dollars yearly. 
  46. This is an annual cost of about $800 per infected computer per year or an average 
  47. of about $10 for every computer owner per year, whether they suffer an infection or not.
  48.  
  49. If the virus issue has generated anything, it has generated misconceptions. 
  50. Sadly, even most technical computer users and analysts still adhere to many of these. 
  51. The fact that most organizations who experience computer virus problems will not talk 
  52. about them for fear of hurting their public image furthers the problem. The result is 
  53. that most approaches we collectively take to combat the virus problem are based on 
  54. premises which simply are not true.
  55.  
  56. Misconception #1: Computer bulletin board software should be avoided because BBSs 
  57. are a leading source of computer viruses.
  58.  
  59. The fact is that the most common viruses (the boot track type) could not possibly be either 
  60. loaded to or down loaded from a bulletin board by any normal or accidental means. 
  61. Of the computer viruses which could move this way, most simply do not. Bulletin board 
  62. operators and users are actually a very conscientious lot. This means that any policy 
  63. against using modems, bulletin boards, public-domain software or shareware, will have 
  64. no significant benefit in reducing an organization's virus problem.
  65.  
  66. Misconception #2: Software piracy is the leading cause of virus spread. 
  67. Viruses travel more with program diskettes than with data only diskettes.
  68.  
  69. The fact is that boot legged software does contribute to the virus problem, but the 
  70. much more significant contributor is diskettes which contain only data (or even no 
  71. data like blank formatted diskettes). Although it is true that computer viruses cannot 
  72. infect data per-se and survive to reproduce, the most common viruses can and do 
  73. infect the diskettes carrying only data. And when those diskettes are used, the 
  74. virus can infect the next computer's hard drive or files.
  75.  
  76. Misconception #3: Most viruses intentionally cause damage by erasing files, 
  77. formatting disks, etc.
  78.  
  79. The fact is that most viruses do not intentionally cause any explicit damage. 
  80. And even the viruses which are programmed to trigger a damaging activity 
  81. almost never cause harm by this programmed activity. This is because most 
  82. virus instances are discovered before the programmed "trigger date." Once 
  83. discovered, the real costs of computer viruses come into play -- the work in 
  84. trying to find all instances of them in your computer and at your site, and in 
  85. trying to remove them and de-contaminate the computers, disks and programs 
  86. that the viruses have infected.
  87.  
  88. Misconception #4: There are good viruses and bad ones.
  89.  
  90. This is a very common misconception. Those who write and distribute 
  91. computer viruses commonly claim that theirs is a "benign" virus because
  92.  it has no malicious trigger event and does no intentional harm. They are 
  93. duped by the same set of misconceptions that have duped the rest of 
  94. us -- that the problems computer viruses cause are mainly due to the 
  95. trigger events. In fact, because all viruses replicate without the c
  96. omputer user's or owners' knowledge or consent (by definition), the
  97.  very act of replicating is an act of contamination and is itself harmful. 
  98. It is much like cancer. The cancer cells themselves are normally not 
  99. harmful or poisonous, but the fact that they keep growing and cannot 
  100. be easily discerned or separated from the non-cancer cells makes 
  101. finding and getting rid of the invasion particularly difficult.
  102.  
  103. Misconception #5: The virus problem waxes and wanes every few years.
  104.  
  105. Despite the fact that the news about computer viruses comes in waves
  106.  (mainly the Friday the 13th - Columbus day wave in October 1989, and 
  107. the Michelangelo wave in February / March 1992), the computer virus 
  108. problem has grown rather steadily and predictably since it began. 
  109. During the Michelangelo "crisis", 95% of problems that users experienced 
  110. from computer viruses were actually (and predictably) caused by virus 
  111. strains other than Michelangelo!
  112.  
  113. Misconception #6: Computer security is effective against computer viruses
  114.  
  115. One would think that the reason we have so many computer viruses 
  116. is that our computers are not "secure". In fact, traditional computer 
  117. security - that is computer secrecy including access controls and encryption, 
  118. have almost no effect on computer viruses. During Desert Shield, a
  119.  significant part of our own command and control network (a 
  120. quite "secure" network, as you might imagine) was, in fact 
  121. infected by the then most common computer virus. The virus, 
  122. called Jerusalem, works quite well in a system where everything
  123.  is encrypted -- it too becomes encrypted, and only becomes 
  124. un-encrypted when it needs to infect something.
  125.  
  126. Misconception #7: Another common misconception is that the computer 
  127. hardware manufacturers or the computer operating software vendors 
  128. ought to provide us with systems which cannot become infected.
  129.  
  130. The fact is that computer viruses are just computer programs. 
  131. Computers are designed to run computer programs. And there 
  132. is nothing universal about computer viruses that would allow 
  133. them to be distinguished in advance from any other program. 
  134. Then we arrive at the unfortunate truth that -- computers are 
  135. made to run computer viruses! Although it is possible to make 
  136. it more challenging for computer virus creators, it is not possible 
  137. to make a virus-proof computer (unless we do not let that computer
  138.  run any new programs).
  139.  
  140. Win '95, OS/2, DOS and even Windows NT systems are all easily and 
  141. equally infected by the dozen most common computer viruses. It is true 
  142. that some of these operating systems inhibit the replication (spread) of 
  143. some viruses, but many current computer viruses operate "well" in all 
  144. of these systems. The newest versions of DOS and Windows including 
  145. Win '95, DOS 7, and Windows NT do not and will not include any 
  146. anti-virus software or utilities. It will be completely up to the user to 
  147. deal with the computer viruses problem.
  148.  
  149. The virus problem is exceedingly costly
  150.  
  151. Despite the fact that viruses don't often cause the kinds of 
  152. damage we originally feared, they are indeed a very expensive
  153.  and productivity-draining problem which is only getting worse. 
  154. NCSA's "Computer Virus Cost Analysis" shows the average computer 
  155. site (with 1000 PCs) will spend more than $300,000 on computer 
  156. virus clean-up this year! As a group, computer viruses have 
  157. conservatively cost US computer users over a Billion dollars 
  158. in the past two years!
  159.  
  160. The Data Super Highway could make things considerably worse
  161.  
  162. Unless we address the right problems, not the misconceived virus, 
  163. security and system management issues, the increased connectivity 
  164. that a nationwide data path will provide will inevitably spell total 
  165. chaos -- not only with regard to computer viruses, but also from 
  166. other computer security, management and ethical issues. Since 
  167. computers, televisions, radio, telephone, libraries, money, credit 
  168. and a host of other things that we think of today as separate entities 
  169. will soon all converge into the same or co-existing digital systems, 
  170. the chaos may potentially extend to society-crippling proportions.
  171.  
  172. So what are the solutions?
  173.  
  174. If banning bulletin board use and stopping the use of all pirated software 
  175. and invoking pentagon-level computer security won't solve the problem, 
  176. then what will?
  177.  
  178. The most important reason that computer viruses invade and 
  179. grow among microcomputers is that microcomputers are not
  180.  centrally managed. Indeed, microcomputers are inherently 
  181. very difficult to "manage" in the ways we manage mainframes. 
  182. It is unlikely that microcomputers will ever be centrally managed
  183.  in ways sufficient to prevent computer viruses.
  184.  
  185. Use Anti-Virus Software -- Fortunately controls which effectively protect 
  186. against all likely computer viruses do currently exist. All anti-virus 
  187. products which are "NCSA certified" are tested and certified to have 
  188. virus scanners which detect 100% of all computer viruses which are 
  189. known have recently infected any computers worldwide. These anti-virus 
  190. products are generally unobtrusive, easy to use and effective.
  191.  
  192. However, too few people use anti-virus software regularly or properly. 
  193. To be effective, anti-virus software must either be used regularly, or 
  194. installed to offer full-time protection. According to data from NCSA, if 
  195. just half of the computers world-wide made frequent or automatic use 
  196. of anti-virus software, the virus problem would decrease by as much 
  197. as one hundred-fold in less than a year! This means that the problem 
  198. would decrease from a billion dollar problem yearly, to one which 
  199. costs the average computer user less than ten cents in time and 
  200. energy finding and recovering from computer viruses per year!
  201.  
  202. The root of the problem -- computer ethics & lack of education
  203.  
  204. Another thing we learned during our virus experience, is that most 
  205. of those who write and intentionally distribute computer viruses do 
  206. not think that their particular virus is bad or damaging or harmful. 
  207. Most think that they are experimenting -- legitimately, and that they 
  208. are well within their rights to do so. Most are young, and have not 
  209. yet developed a social conscience or a global awareness or a 
  210. world-view. Most find the computer and communications medium 
  211. which insulates them from their "victims" to be intoxicating. (Most 
  212. don't even know that victims exist.)
  213.  
  214. The medium allows for anonymity while being a voyeur. It allows 
  215. one to ignore or even not believe that human beings are the ones 
  216. who are ultimately harmed. It allows one to tempt fate with a 
  217. Pandora's box -- and to have the thrill of creation of a self-sustaining 
  218. organism -- a computer virus. But mostly, it is a medium which 
  219. provides community -- with the same social pressures, social 
  220. acceptance, and the need to "belong" that any community has.
  221.  
  222. Virus exchange bulletin boards
  223.  
  224. There are dozens of "virus exchange bulletin boards" and virus 
  225. exchange sites on the internet in the US alone and more in the rest 
  226. of the world. These are much like the much more pervasive, legitimate 
  227. bulletin boards, in that users can access them to upload and download 
  228. programs and messages through the regular telephone system, but 
  229. the virus exchange BBS system operators knowingly accept and 
  230. provide viruses for general distribution to those who want them. 
  231. And many curious teenagers in the world, who have a need to "belong" want them.
  232.  
  233. These virus BBSs often have a thousands of different viruses available 
  234. for downloading. But most will not allow just anyone to download a virus. 
  235. Instead, many require the authorized user to "belong". In order to 
  236. become part of the "in" group that can share in the viruses, most 
  237. virus BBSs require the user get points -- most often by uploading 
  238. some viruses. So a young adult, who has a natural curiosity, 
  239. and a natural need to belong, and who reads endless message
  240.  "threads" which expound on the "benign" viruses and how 
  241. viruses are not illegal, and therefore are OK, sometimes succumbs.
  242.  But in order to get to the viruses, he must usually provide some. 
  243. The simplest way to provide one is to create one, then upload it. 
  244. There are even programs (the "Virus Creation Lab" is one) which 
  245. allow users to pick various characteristics of their desired virus 
  246. from a group of menu selections, then the program will automatically 
  247. create the virus with the desired characteristics for the user. Poof -- no 
  248. programming needed! Another virus is born.
  249.  
  250. Ethics
  251.  
  252. We are in a unique time. Most computer users do not have parents 
  253. who are also computer users. Therefore, the majority of computer users 
  254. never got the same kind of sand box training for computing ethics and 
  255. etiquette from our parents which guides our social interactions in the non-computing world.
  256.  
  257. In fact, the ethics of computing are no different than the ethics of 
  258. any other social interaction. The problem is that many young computer 
  259. users (and some adult one's too) never quite figure out that networked 
  260. computers are in fact, a community, that this community is composed of 
  261. people, and that wreaking havoc around the community is harmful to those 
  262. same people. 
  263.  
  264. By sponsoring Virus Awareness Day we are acknowledging that education and 
  265. awareness about computer viruses is of paramount importance. The myths 
  266. must be dispelled. Especially myths like: virus writing is "cool" and 
  267. that virus writing and distribution is protected, free speech, and that everyone 
  268. has a right to write computer viruses, just like everyone has a right to an 
  269. obnoxious opinion.
  270.  
  271.  
  272. Copyright 1995,  Peter S. Tippett  NCSA, all  rights reserved. This document  may be 
  273. freely distributed without explicit permission, provided it is distributed in full, and that 
  274. NCSA receives proper attribution. NCSA is the registered trademark of the National 
  275. Computer  Security Association. Other brand and product references herein are registered 
  276. trademarks or trademarks of their respective holders.
  277.  
  278. File date: August 1, 1995
  279.  
  280.