home *** CD-ROM | disk | FTP | other *** search
/ Forum of Incident Response & Security Teams / Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso / teaminfo / nist / csl08_90.txt < prev    next >
Text File  |  1994-07-02  |  17KB  |  336 lines
  1.                             NCSL BULLETIN
  2.              Advising users on computer systems technology
  3.                               August 1990
  4.  
  5. NCSL Bulletins are published by the National Computer Systems Laboratory
  6. (NCSL) of the National Institute of Standards and Technology (NIST).  Each
  7. bulletin presents an in-depth discussion of a single topic of significant
  8. interest to the information systems community.  Bulletins are issued on an
  9. as-needed basis and are available from NCSL Publications, National
  10. Institute of Standards and Technology, B151, Technology Building,
  11. Gaithersburg, MD  20899, telephone (301) 975-2821 or FTS 879-2821.  If you
  12. wish to be placed on a mailing list to receive future bulletins, send your
  13. name, organization, and address to this office.
  14.  
  15. The following bulletins are available:
  16.  
  17.       Data Encryption Standard, June 1990
  18.  
  19.       Guidance to Federal Agencies on the Use of Trusted Systems                 
  20.        Technology, July 1990
  21.  
  22.  
  23. Acknowledgements
  24. John P. Wack, NIST, and Stanley A. Kurzban, IBM, are the principal authors
  25. of this bulletin.  NIST appreciates the contribution of Mr. Kurzban, of
  26. IBM's System Research Education Center, whose paper, "Computer Viruses and
  27. Other Self-Copying Programs," is the basis for this bulletin.  Mr.
  28. Kurzban's paper was based on an earlier, longer article [1].
  29.  
  30. This paper was developed in cooperation with the Computer and
  31. Telecommunications Security Council, a technical group sponsored by NIST
  32. to help identify and develop key issues affecting the computer security
  33. community in both government and industry.  NIST acknowledges in
  34. particular the efforts of William J. Murray and Donn Parker, who
  35. contributed to earlier drafts of this paper.
  36.  
  37.  
  38.  
  39. COMPUTER VIRUS ATTACKS
  40.  
  41. by John P. Wack and Stanley A. Kurzban
  42.  
  43. INTRODUCTION
  44.  
  45. This paper discusses computer viruses and other related threats and their
  46. impact on computing.  Much has already been written about computer viruses
  47. and how to deal with them; this paper attempts to highlight some of the
  48. issues surrounding the computer virus phenomenon that have been at times
  49. overshadowed by the extensive media attention and reactive mode forced
  50. upon many security professionals.  The main issue that this paper brings
  51. forth is that despite current advice and controls, computer viruses may
  52. continue to be a serious problem.  Larger, more complex issues regarding
  53. computer security may have to be addressed if the situation is to get
  54. better.
  55.  
  56. This paper is intended for management and those who need basic information
  57. about computer viruses and related threats.  "Statement of the Problem" is
  58. a brief overview of computer viruses and related threats, dealing mainly
  59. with terminology.  "What Can Be Done Now" describes current
  60. recommendations for preventing computer viruses.  "Problem Extent and
  61. Future Impact" focuses on the extent to which viruses have affected
  62. computing and whether current recommendations for dealing with viruses
  63. will be adequate in the future.
  64.  
  65.  
  66. STATEMENT OF THE PROBLEM
  67.  
  68. Computer viruses are program segments that copy versions of themselves
  69. into programs (targets) and thereby convert the targets into vehicles for
  70. further propagation.  Viruses usually spread from program to program
  71. within a single system by thus reproducing every time any infected program
  72. runs.  Moreover, they can spread from system to system whenever an
  73. infected program is introduced into another system.
  74.  
  75. As society now employs an increasing number of microcomputers to perform
  76. many complex and sensitive operations, it is interesting to note that all
  77. computer viruses found outside of controlled experiments have run only on
  78. microcomputers.  Several factors may be relevant:
  79.  
  80.            Computer viruses are attractive vehicles of malice or
  81.             profitless harm, and many malicious people may be presumed to
  82.             have more access to microcomputers than larger systems.
  83.  
  84.            The uses for microcomputers have become more varied and
  85.             sensitive, yet their system architectures (and absence of
  86.             security mechanisms) have not changed appreciably.  However,
  87.             security measures have continued to evolve on larger systems,
  88.             which are far more likely to be shared by many people.
  89.  
  90.            Users of microcomputers often view the need for measures that
  91.             prevent or deter such things as viruses from program
  92.             modification as unnecessary or inconvenient on single-user
  93.             systems, whereas similar measures are usually embedded in
  94.             larger systems.
  95.  
  96.            Microcomputers are often shared and serially reused in many
  97.             environments without effective safeguards against viral
  98.             infection.
  99.  
  100.            Sharing of program-containing media is far more common on
  101.             microcomputers than on larger systems.
  102.  
  103. It should not be assumed that larger systems are immune to computer
  104. viruses and related threats.  Rather, whatever actions a virus may effect
  105. on a microcomputer could be possible on a larger system.
  106.  
  107. The term, "computer virus," has often been used imprecisely to refer to
  108. Trojan horses, worms, and logic bombs.  More precise definitions of these
  109. terms are:
  110.  
  111. A Trojan horse [2] is a program that conceals harmful code.  A Trojan
  112. horse usually resembles an attractive or useful program that a user would
  113. wish to execute.
  114.  
  115. A logic bomb [16] is code that checks for a certain set of conditions to
  116. be present.  If these conditions are met, it may cause sudden and
  117. widespread damage.  A time bomb is a logic bomb that is triggered by a
  118. certain date or time.  Since a logic bomb is presumably something that a
  119. person would not wish to execute, it is likely to be concealed, that is,
  120. in a Trojan horse.
  121.  
  122. A worm [3] is a self-contained program that copies versions of itself
  123. across electronically connected nodes.  The Internet worm [4] and the
  124. CHRISTMA EXEC [5] are two examples of worms, not computer viruses
  125. (however, the CHRISTMA EXEC required some user interaction to spread and
  126. possessed aspects of a Trojan horse).
  127.  
  128. A virus [7] is code that plants a version of itself in any program it can
  129. modify.  The virus may append or otherwise attach itself such that the
  130. program executes after the virus code, making it appear as if the program
  131. were functioning as usual, or the virus may overwrite the program such
  132. that only the virus will function.  A Trojan horse program could initiate
  133. the spread of a virus, as could a worm.
  134.  
  135. In addition to propagation mechanisms, viruses and worms have "missions,"
  136. for example, to cause harm via a logic bomb.  Note that the existence of a
  137. mission does not necessarily connote harm [6].  In theory, it could be
  138. beneficial (the concept of a worm was introduced [3] in the context of a
  139. useful application).  Since we deal here with "attacks," however, we
  140. assume that every virus and every worm is harmful.
  141.  
  142. Note that the potential for harm from a computer virus is great because:
  143.  
  144.            Viruses can spread from program to program within systems and
  145.             from system to system without limit.  (Worms can do the latter
  146.             as well.)
  147.  
  148.            It is extremely difficult, if not impossible, to trace a virus
  149.             back to its creator, so fear of punishment is unlikely to
  150.             restrain anyone who looses a virus.
  151.  
  152.            A virus or worm or Trojan horse can contain virtually any type
  153.             of harmful code, and such code can be extremely difficult to
  154.             identify in advance as harmful.
  155.  
  156.            The only foolproof defense against them is to use no software
  157.             with any function that is not thoroughly understood by the
  158.             user.  However, that is not practical; use of programs whose
  159.             working is not thoroughly understood is the very cornerstone
  160.             of computers' value. 
  161.  
  162.  
  163. WHAT CAN BE DONE NOW
  164.  
  165. The most important defense against any harm that software might do is
  166. prudent acquisition and use of software.  Unfortunately, in the case of
  167. computer viruses, one cannot fault most victims, as they simply trusted
  168. that the software they used did not contain harmful code (unfortunately,
  169. victims bear the onus of having been sloppy with regard to security, which
  170. is not true in all cases).  As a consequence, the threat of viruses now
  171. makes it prudent to avoid placing any degree of trust in software unless
  172. one has been reasonably careful in acquiring it from a reliable source. 
  173. At the same time, viruses have been found in shrink-wrapped diskettes and
  174. the size or reputation of a software house is not a guarantee of
  175. protection.
  176.  
  177. Anti-viral software may be of significant assistance in verifying whether
  178. software is safe to use and preventing viruses and related threats from
  179. causing damage.  There are three types [12] [13]:
  180.  
  181.       1.    Preventive software may prevent viruses from spreading within
  182.             systems by placing barriers in the path of program
  183.             modification.  The barriers might be controls such as common
  184.             access control or encryption of programs or unbypassable
  185.             messages to users whenever program modification is attempted.
  186.  
  187.       2.    Detective software monitors events in a computer and reports
  188.             suspect ones to the user.  While program modification is one
  189.             such event, so too are many others, like modification of
  190.             system control blocks, that have been used by known viruses.
  191.  
  192.       3.    Virus-specific, or scanning software simply tests for the
  193.             occurrence of signatures of known viruses (a signature being a
  194.             string of bits known to occur in a virus and to be relatively
  195.             unlikely to occur elsewhere by chance).
  196.  
  197. Some drawbacks associated with anti-viral software are (1) virus-specific
  198. software may fail to detect viruses more recent than the software and (2)
  199. detective software may fail to detect some viruses that are already
  200. resident in memory when the software is loaded.  However, known viruses
  201. have survived for many years and have infected systems in very widely
  202. distributed systems; most damage that has been done to date has been done
  203. by viruses that had first been detected and studied long before the damage
  204. in question was done.  Thus, anti-viral software can protect systems from
  205. this large body of known viruses, while at the same time providing a level
  206. of deterrence against newer viruses.
  207.  
  208. The next step in defense lies in protection against damage that might be
  209. caused by harmful code carried within viruses.  In its most simple form
  210. this means regular backups of data; in more evolved forms it includes
  211. system maintenance, physical security, risk analysis, contingency plans,
  212. and teams of experts who can respond quickly to virus attacks.  Depending
  213. on the environment, these measures can be employed in varying degrees,
  214. with backup being the most important.
  215.  
  216. What is clear about viruses is that they have not so much created new
  217. vulnerabilities as they have exposed and exploited long-standing ones,
  218. with the arguable exception being modification of programs on personal
  219. computers [14].  Thus, prudence in acquiring software combined with
  220. measures such as described here can provide a significant level of
  221. deterrence and thus protection from viruses and related threats.
  222.  
  223.  
  224. PROBLEM EXTENT AND FUTURE IMPACT
  225.  
  226. While current measures for dealing with computer viruses have proven to be
  227. effective, one should not be left with the impression that the problem of
  228. viruses has been solved or that by using these measures one can eliminate
  229. viruses.  Evidence shows that the numbers of new viruses and virus
  230. incidents are increasing each year and that viruses are becoming more
  231. sophisticated and malicious.  Moreover, most victims continue to be hit by
  232. "older" viruses that are well understood and for which detectors and
  233. vaccines have been developed.  Governmental and commercial organizations,
  234. academia, and users have all responded in some form to the problem [8],
  235. [9], [10], [11], however, specialized defenses are still in their infancy
  236. [15].  This situation, combined with the factors of increased dependence
  237. on computers and more variety and complexity in software (making its
  238. quality and trustability more difficult to ascertain), could result in
  239. well-orchestrated incidents of harmful software's wreaking havoc.
  240.  
  241. An unfortunate aspect of computer viruses is that they cannot be assumed
  242. to have been eradicated until there are no suitable remaining "hosts"
  243. (computers) for the software to infect.  The microcomputers in widespread
  244. use do not contain built-in security measures such as those on larger
  245. systems, thus the preventive measures for viruses and related threats
  246. depend on users' willingness to purchase, install, and use them. 
  247. Moreover, the process of educating users and helping them to be more aware
  248. of the problem is slow, and people are, as in other things, prone to
  249. lapses of good judgment where computer security is concerned. 
  250. Consequently, there is no reason to assume that current defenses against
  251. viruses will be generally more effective in the future than they are at
  252. present.
  253.  
  254. Perhaps as part of the effort to develop better defense measures, we need
  255. to change our attitudes towards the use and abuse of computer systems.  We
  256. need to understand that computer crime is no different from theft, damage
  257. to property, or fraud.  We need to understand that viruses alone are not
  258. the problem, but rather the authors of viruses.  These individuals have
  259. caused significant damage to systems and data, but they have possibly
  260. caused more damage to the fabric of society's trust in the usefulness of
  261. computing.  If people are unable to use programs without fear that those
  262. programs may do more harm than good, then the entire foundation of useful
  263. computing is undermined.  People who write viruses are doing a vast
  264. disservice to the computing profession; they are not computer
  265. professionals, hackers, or "whiz kids," they are at best criminals and
  266. vandals.  We need to instill that message into the rest of society.
  267.  
  268. At the same time, computer users should continue to learn more about
  269. viruses and how to prevent them.  We need to promote the use of current
  270. defense methods and measures as applicable, and support efforts for
  271. systems and measures that offer better security and integrity.  We need to
  272. understand that the solution to the computer virus problem is complex,
  273. involving many issues that fall under the broad category of computer
  274. security.  With this attitude, we need to continue our use of computing
  275. systems, given reasonable safeguards and protection, to accomplish
  276. purposeful and useful aims.
  277.  
  278.  
  279. REFERENCES
  280.  
  281. [1] Kurzban, Stanley A., "Viruses and Worms--What Can You Do?," ACM SIG
  282. Security, Audit, & Control, Volume 7 Number 1, Spring 1989.
  283.  
  284. [2] Anderson, James P., "Computer Security Technology Planning Study,"
  285. ESD-TR-73-51, Volumes I and II, USAF Electronic  Systems  Division,
  286. Bedford,  Massachusetts, October 1972.
  287.  
  288. [3] Shoch, John F., and Jon A. Hupp, "The Worm Programs--Early Experience
  289. with a Distributed Computation," Communications of the ACM Volume 25,
  290. Number 3 (March 1982), Pages 172-180.
  291.  
  292. [4] Spafford, Eugene H., "The Internet Worm: An Analysis," Purdue
  293. Technical Report CSD-TR-823, November 28, 1988.
  294.  
  295. [5] McLellan, Vin, "Computer Systems Under Siege," The New York Times,
  296. January 17, 1988.
  297.  
  298. [6] Murray, William H., "Epidemiology Application to Computer Viruses,"
  299. Computers and Security, Volume 7, Number 2, April 1988.
  300.  
  301. [7] Cohen, Fred, "Computer Viruses," Proceedings of the 7th DoD/NBS
  302. Computer  Security Conference 1984, Pages 240-263.
  303.  
  304. [8] International Business Machines Corporation, "IBM Systems Security,"
  305. Programming Announcement 289-581, October 24, 1989.
  306.  
  307. [9] White, Steve R., David M. Chess, and Chengi Jimmy Kuo, "Coping with
  308. Computer Viruses and Related Problems," Research Report Number RC 14405,
  309. International Business Machines Corporation, Yorktown Heights, New York,
  310. 1989; adapted and distributed as "Coping with Computer Viruses and Related
  311. Problems," Form G320-9913, International Business Machines Corporation,
  312. September 1989.
  313.  
  314. [10] National Computer Security Center, "Proceedings of the Virus
  315. Post-Mortem Meeting," Fort George G. Meade, Maryland, November 8, 1988.
  316.  
  317. [11] Wack, John P., and Lisa J. Carnahan, "Computer Viruses and Related
  318. Threats: A Management Guide,"  NIST Special Publication 500-166,  National
  319. Institute of Standards and Technology, August, 1989.
  320.  
  321. [12] McAfee, John, "The Virus Cure," Datamation, Volume 35, Number 4,
  322. February 15, 1989, Pages 29ff.
  323.  
  324. [13] Marc Adler, "Infection Protection: Antivirus Software" PC Magazine,
  325. April 25, 1989, Pages 193ff.
  326.  
  327. [14] Denning, Peter J., "Computer Viruses," American Scientist, Volume 766
  328. (May-June 1988), Pages 236-238.
  329.  
  330. [15] Pozzo, Maria M., and Terence E. Gray, "An Approach to Containing
  331. Computer Viruses," Computers and Security, Volume 6, Number 4, August
  332. 1987.
  333.  
  334. [16] Spafford, Eugene H., Kathleen A. Heaphy, and David J. Ferbrache,
  335. "Computer Viruses - Dealing with Electronic Vandalism and Programmed
  336. Threats," ADAPSO Software Industry Division Report, 1989, Page 8.