home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / computer / virus / mys00452.txt < prev    next >
Encoding:
Text File  |  1994-06-10  |  19.1 KB  |  379 lines
  1. Date: Thu, 16 Mar 89 20:56:18 +0100
  2. From: David Stodolsky <stodol@diku.dk>
  3.  
  4. Net Hormones: Part 1 - 
  5. Infection Control assuming Cooperation among Computers
  6.  
  7. Copyright (c) 1989 David S. Stodolsky, PhD. All rights reserved.
  8.  
  9. 1.   Abstract
  10.  
  11. A new type of infection control mechanism based upon contact tracing is 
  12. introduced. Detection of an infectious agent triggers an alerting 
  13. response that propagates through an affected network. A result of the 
  14. alert is containment of the infectious agent as all hosts at risk 
  15. respond automatically to restrict further transmission of the agent. 
  16. Individually specified diagnostic and treatment methods are then 
  17. activated to identify and destroy the infective agent. The title "Net 
  18. Hormones" was chosen to indicate the systemic nature of this programmed 
  19. response to infection.
  20.  
  21. 2.   Introduction
  22.  
  23. A new type of infection control mechanism that is based upon network-
  24. wide communication and that depends upon cooperation among computer 
  25. systems is presented. Neither diagnosis nor treatment is necessary for 
  26. the operation of the mechanism. The mechanism can automatically trigger 
  27. responses leading to effective containment of an infection. The 
  28. identification and destruction of the infectious agent is determined by 
  29. individual actions or programs. This permits a highly desirable 
  30. heterogeneity in diagnostic and treatment methods.
  31.  
  32. Definition: "Hormone . . . 1: a product of living cells that circulate 
  33. in body fluids or sap and produces a specific effect on the activity of 
  34. cells remote from its point of origin; especially one exerting a 
  35. stimulatory effect on a cellular activity. 2: a synthetic substance 
  36. that acts like a hormone (Webster's new collegiate dictionary, 1976)." 
  37. The analogy here is between each network node or computer system and 
  38. the cell. In biological systems hormones attach to specialized 
  39. receptors on the cell surface resulting in cell activation. In the 
  40. system described here, a match between a code in a system archive and a 
  41. code delivered as part of an alerting message results in activation. 
  42. Alerting messages circulated electronically serve the role of hormones. 
  43.  
  44. Epidemiology has traditionally had three major approaches to the 
  45. control of infectious agents:
  46.  
  47. :1 - Treatment of the sick (e. g., penicillin)
  48.  
  49. :2 - Contact tracing (e. g., social-work notification programs, laws 
  50. forcing the reporting of certain diseases and of contacts of infected 
  51. persons)
  52.  
  53. :3 - Prevention (e. g., vaccination, public information campaigns)
  54.  
  55. In computer system terms:
  56.  
  57. :1 - Treatment of infections (e. g., various programs and manually 
  58. installed patches and fixes)
  59.  
  60. :2 - Contact tracing (e. g., software "recall", and other manual 
  61. operations)
  62.  
  63. :3 - Prevention (e. g., various programs for blocking virus 
  64. replication, alerting users, and for logging suspicious events)
  65.  
  66. Contact tracing has been neglected with computer systems, although it 
  67. could be argued it is much easier with computer systems than with 
  68. biological systems. Currently such tracing depends upon people reading 
  69. reports and determining if their system is subject to infection, 
  70. performing diagnostic tests, determining a treatment method, obtaining 
  71. software, and so on. This is chancy and time consuming, requiring most 
  72. often people with the highest level of expertise. As computers and 
  73. networks speed up, an infectious agent could spread through a network 
  74. in hours or minutes. "Once a virus has infected a large number of 
  75. computers on a network, the number of infected removable media elements 
  76. will begin to skyrocket. Eventually, if the virus continues to go 
  77. undetected, a stage is reached in which the probability of identifying 
  78. and recovering all of the infected media is virtually zero (McAfee, 
  79. 1989)." An automated contact tracing system thus seems essential in the 
  80. future if infectious agents are to be controlled.
  81.  
  82. 3.   Threats
  83.  
  84. "The modification of an existing virus to incorporate a long term delay
  85. (such as 6 months or even a year) coupled with a totally destructive
  86. manipulation task (such as a FAT, Boot sector scribble followed by a
  87. complete format) is a fairly simple task. Such an action would convert
  88. even a crude virus strain such as the Lehigh 1 virus into a
  89. devistating (sic) strain. (Eg the comment by Ken that the modified 
  90. version of the Lehigh virus is now far more dangerous due to 
  91. modification of the delay in activation of its manipulation task) 
  92. (Ferbrache, 1989)."
  93.  
  94. Scott (1989) requested comments on:
  95.  
  96. "A little future speculation here... currently we seem to be fighting a
  97. losing battle against virus detection and as viruses improve it's
  98. unlikely that that will change.  If we want the capability to download
  99. shareware, etc, from bulletin boards, etc, then we must assume that we
  100. cannot check the software for a virus with 100% success before running
  101. it.  In general, you can't know the output of a program given the
  102. input without running it, except in special cases.
  103.  
  104. We can check for *known* viruses; but how long before shape-changing
  105. and mutating viruses hit the scene that defeat all practical
  106. recognition techniques?"
  107.  
  108. An inapparent infection could spread rapidly, with damage noted only 
  109. much later. Consider a worm that is constructed to carry a virus. The 
  110. worm infects a system, installs the virus and then infects other nearby 
  111. systems on the net. Finally, it terminates erasing evidence of its 
  112. existence on the first system. The virus is also inapparent, it waits 
  113. for the right moment writes some bits and then terminates destroying 
  114. evidence of its existence. Later the worm retraces its path reads some 
  115. bits, then writes some bits and exits. The point is that an inapparent 
  116. infection could spread quite widely before it was noticed. It also 
  117. might be so hard to determine whether a system was infected or not, 
  118. that it would not be done until damage was either immanent or apparent. 
  119. This analysis suggests response to network-wide problems would best be 
  120. on a network level. 
  121.  
  122. 4.   Theory of operation
  123.  
  124. Computers generate (in the simplest case) random numbers which are used 
  125. to label transactions. A transaction is defined as an interaction 
  126. capable of transmitting an infectious agent. After each transaction 
  127. both systems therefore have a unique label or code for that 
  128. transaction. In the event that a system is identified as infected, the 
  129. transaction codes which could represent transactions during which the 
  130. agent was transmitted are broadcast to all other computers. If a 
  131. receiving computer has a matching code, then that system is alerted to 
  132. the possibility of the agent's presence, and can broadcast transaction 
  133. codes accumulated after the suspect contact. This iterates the process, 
  134. thus identifying all carriers eventually. The effect is to model the 
  135. epidemiological process, thereby identifying all carriers through 
  136. forward and backward transaction tracking (Stodolsky, 1979a; 1979b; 
  137. 1979c; 1983; 1986). 
  138.  
  139. 5.   The process of infection control
  140.  
  141. The process can be broken down into routine and alerting operations. 
  142. During routine operations, each file transfer is labeled in a way that 
  143. does not identify the systems involved. These labels are time stamped 
  144. (or have time stamps encoded in them). They are written into archives 
  145. on each system, ideally write-once/read-many times devices or some 
  146. other type of storage that could not easily be altered. 
  147.  
  148. Alerting procedures are invoked when an infectious agent is noted or 
  149. when a suspect transaction code is received that matches one in the 
  150. system's archive. The earliest time the agent could have arrived at the 
  151. system and latest time (usually the moment the agent is noted or a 
  152. received suspect transaction code is matched) it could have been 
  153. transmitted from the system are used to delimit suspect transaction 
  154. codes. These codes are broadcast to alert other systems to the 
  155. potential presence of the agent.
  156.  
  157. In the simplest and most common case, if a system gets an alert that 
  158. indicates, "You could have been infected at time one," then the system 
  159. automatically packages the transaction codes between time one and the 
  160. present time to generate a new alert indicating the same thing to other 
  161. systems with which it has had contact. 
  162.  
  163. Another automatic response could be to immediately cut off 
  164. communications in progress, thus reducing the risk of infection. A 
  165. further benefit of such a reaction would be the possibility of 
  166. disrupting the transfer of an infectious agent. Such a disrupted agent 
  167. would be harmless and easily identified and evaluated. Reestablishment 
  168. of communication could occur immediately with new procedures in force 
  169. that could warn new users that an alert was in progress as well as 
  170. limiting the type of transfers that could take place.
  171.  
  172. 5.1.   Practical considerations
  173.  
  174. Direct identification, as opposed to identification through forward 
  175. tracing notification, does not delimit effectively the earliest time 
  176. that an agent could have been present on a system. Thus an alert from 
  177. an originating system could include all transaction codes written prior 
  178. to the identification (or some default value). This could generate 
  179. excessive reaction on the network. This reaction could be controlled if 
  180. another system in a later alert indicated it had originated the 
  181. infection on the system originating the alert. Thus, protection of 
  182. identity which reduces any inhibition about reporting infection is 
  183. important. The type of reaction discussed here might be called a panic 
  184. reaction, because an excessive number of systems might be notified of 
  185. potential infection in the first instance. 
  186.  
  187. A more restricted response could be generated if persons at the alert 
  188. originating system analyzed the causative agent, thereby hopefully 
  189. establishing the earliest time the agent could have been present on 
  190. that system. In this case, the suspect transactions could be delimited 
  191. effectively and all systems that could have been infected would be 
  192. notified, as would the system that had transmitted the agent to the 
  193. system originating the alert (assuming one exists). Ideally, each 
  194. notified system would be able to determine if it had received or 
  195. originated the infection and respond accordingly. 
  196.  
  197. 5.2.   Forward tracing assumption
  198.  
  199. Assume, however, that rapid response is desired. Each notified system 
  200. would then react as if it had been notified of an infection transmitted 
  201. to it. It would package the transaction codes that had been written 
  202. later than the suspect transaction code it had received and issue a 
  203. secondary alert. This forward tracing assumption would lead to quite 
  204. effective control because of the exponential growth in the number of 
  205. infected hosts in epidemics (and exponential growth of alerts resulting 
  206. >From forward tracing). That is, a system can infect many others as a 
  207. result of a single infective agent transmitted to it. Forward tracing 
  208. would alert all systems that the alerting system could have infected. 
  209. These newly alerted systems would also issue forward trace alerts, and 
  210. this would continue until containment was reached under the forward 
  211. tracing assumption.
  212.  
  213. 5.3.   Backward tracing of suspect contacts and diagnosis
  214.  
  215. As a result of this rapid forward tracing response, it is likely that 
  216. more active infections would be identified. The resulting new 
  217. information could be used to more effectively characterize the life 
  218. cycle of the agent, thereby hopefully permitting effectively delimited 
  219. backward tracing. Also as a result of accumulated information, positive 
  220. tests for the agent would become available. Once this stage had been 
  221. reached the focus of action could shift from control of suspect 
  222. transactions to control of transactions known to facilitate the 
  223. transmission of the agent.
  224.  
  225. 6.   Feasibility and Efficiency
  226.  
  227. Both technical and social factors play a key role in the operation of 
  228. the control mechanism. Contact tracing is probably most effective for 
  229. sparsely interacting hosts. The rate of transfer of the infectious 
  230. agent as compared to the rate of transfer of the suspect transaction 
  231. codes is also a critical factor. Recording of transactions can be 
  232. comprehensive on computer networks, however, unregistered transactions 
  233. will be a factor in most cases. Once the infectious agent has been 
  234. identified, the type of transactions capable of transmitting the agent 
  235. can be delimited. This could increase efficiency. 
  236.  
  237. 6.1.   Social organization of alerts
  238.  
  239. Another major efficiency factor is errors in origination of alerts. 
  240. Since protected messages would trigger network-wide alerts, it is 
  241. important that false alarms are controlled effectively. On the other 
  242. hand, failure to report an infection could permit an infectious agent 
  243. to spread in an uncontrolled manner and could increase the number of 
  244. systems unnecessarily alerted. Successful operation of the mechanism 
  245. described above assumes voluntary cooperation among affected systems. 
  246. This assumption could be relaxed by application of an enforcement 
  247. mechanism. It would require substantially greater complexity and 
  248. greater centralization of coordination. In other words, if cooperation 
  249. was not forthcoming "voluntarily", users would likely be treated to a 
  250. complicated, restrictive, and resource intensive mechanism that would 
  251. be developed to enforce it. "Estimates of the damages inflicted by 
  252. November's Internet infection alone ranged upward of $100 million . . . 
  253. (McAfee, 1989)." Costs of this magnitude make it very likely that even 
  254. expensive enforcement mechanisms will be developed if they are made 
  255. necessary.
  256.  
  257. The simplest organizational strategy would assume that protection of 
  258. identity was not needed, but this would also be likely to inhibit 
  259. alerting. True anonymity, however, permits irresponsible behavior to go 
  260. unchecked. A reputation preserving anonymity (pseudonymity) would be 
  261. desirable to ensure both protection and accountability and thereby 
  262. promote cooperation. Pseudonyms would best be the property of persons 
  263. (in association with a computer system). 
  264.  
  265. Even sincere cooperation, however, would not eliminate inefficiencies 
  266. resulting from false alarms or failure to alert. Both inadequate 
  267. training and poor judgement are likely sources of these errors. If 
  268. users realize that there are reputational costs associated with these 
  269. failures, then they are likely to be motivated to minimize them. False 
  270. alarms are already a major problem because of user inexperience and the 
  271. high level of defects in widely used software. A reputational mechanism 
  272. would motivate increased user education and more careful software 
  273. selection, with a corresponding pressure on software publishers to 
  274. produce well behaved and carefully documented products. 
  275.  
  276. 6.2.   Enforcing cooperation
  277.  
  278. Crypto-protocols could be used to ensure that a non-cooperator could 
  279. not communicate freely with others using the infection control 
  280. mechanism. This type of communication limiting could be used routinely 
  281. to ensure that a system requesting connection was not infected. In 
  282. effect, systems would exchange health certificates before file 
  283. exchanges, to ensure that they would not be infected. A system that 
  284. could not show a health certificate could be rejected as a conversation 
  285. partner due to risk of infection. This would no doubt enforce 
  286. cooperation. The mechanism (Stodolsky, 1986) is beyond the scope of 
  287. this note.
  288.  
  289. 6.3.   Non-network transfers
  290.  
  291. While the discussion above has focused on transfers through networks, 
  292. the same principles could be applied to disk or tape transfers. The 
  293. originating system would write a transaction code on the medium with 
  294. each file. Protection of identity would possibly be reduced under this 
  295. type of transfer. Since there is no question about the directionality 
  296. of transmission of an infectious agent in off-line transfers, non-
  297. network transmission is likely to be easier to control. Several other 
  298. factors, such as the rate of spread of the agent, are likely to make 
  299. such infections less troublesome. 
  300.  
  301. 7.   Summary and Benefits 
  302.  
  303. The idea behind Net Hormones is to make immanent danger apparent. More 
  304. precisely Net Hormones permit the visualization of infection risk. 
  305.  
  306. 7.1.   Control of unidentified infectious agents.
  307.  
  308. Net Hormones work by permitting isolation of infectious hosts from 
  309. those at risk. Identification of the infectious agent is not required 
  310. for action. Therefore, new and as yet unidentified agents can be 
  311. effectively controlled.
  312.  
  313. 7.2.   Rapid response
  314.  
  315. Hosts could automatically respond to alerts by determining if they had 
  316. been involved in suspect contacts, and generate new alerts that would 
  317. propagate along the potential route of infection. 
  318.  
  319. 7.3.   Protection of identity
  320.  
  321. The mechanism could function without releasing the identity of an 
  322. infected host. This could be crucial in the case an institution that 
  323. did not wish it to be publicly know that its security system had been 
  324. compromised, or in the case of use of unregistered software. More 
  325. precisely, software obtain by untraceable and anonymous file transfers 
  326. could be protected by this mechanism without release of users' 
  327. identity.
  328.  
  329. 7.4.   Distributed operation
  330.  
  331. Operation is not dependent upon a centralized register or enforcement 
  332. mechanism. Some standardization would be helpful, however, and a way to 
  333. broadcast alerts to all potential hosts would be valuable.
  334.  
  335. 8.   References
  336.  
  337. Ferbrache, David J. (1989, February 10). Wide area network worms. 
  338. VIRUS-L Digest, V. 2 : Issue 44. [<davidf@CS.HW.AC.UK> <Fri, 10 Feb 89 
  339. 11:45:37 GMT>]
  340.  
  341. McAfee, J. D. (1989, February 13). In depth: Managing the virus threat. 
  342. Computerworld, 89-91; 94-96.
  343.  
  344. Scott, Peter. (1989, February 10). Virus detection. VIRUS-L Digest, V. 
  345. 2 : Issue 44. [PJS%naif.JPL.NASA.GOV@Hamlet.Bitnet 
  346. <pjs@grouch.jpl.nasa.gov>. <Fri, 10 Feb 89 10:46:21 PST>]
  347.  
  348. Stodolsky, D. (1979a, April 9). Personal computers for supporting 
  349. health behaviors. Stanford, CA: Department of Psychology, Stanford 
  350. University.  (Preliminary proposal)
  351.  
  352. Stodolsky, D. (1979b, May 21). Social facilitation supporting health 
  353. behaviors. Stanford, CA: Department of Psychology, Stanford University. 
  354. (Preliminary proposal)
  355.  
  356. Stodolsky, D. (1979c, October). Systems approach to the epidemiology 
  357. and control of sexually transmitted diseases. Louisville, KY: System 
  358. Science Institute, University of Louisville. (Preliminary project 
  359. proposal)
  360.  
  361. Stodolsky, D. (1983, June 15). Health promotion with an advanced 
  362. information system. Presented at the Lake Tahoe Life Extension 
  363. Conference. (Summary)
  364.  
  365. Stodolsky, D. (1986, June). Data security and the control of infectious 
  366. agents. (Abstracts of the cross disciplinary symposium at the 
  367. University of Linkoeping, Sweden: Department of Communication Studies). 
  368.  
  369. Webster's new collegiate dictionary. (1976). Springfield, MA: G. & C. 
  370. Merriam
  371.  
  372. -------------------------------------------------------------
  373.  
  374. David Stodolsky                          diku.dk!stodol@uunet.UU.NET
  375. Department of Psychology                       Voice + 45 1 58 48 86
  376. Copenhagen Univ., Njalsg. 88                    Fax. + 45 1 54 32 11
  377. DK-2300 Copenhagen S, Denmark                         stodol@DIKU.DK
  378.