home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / virstrat.txt < prev    next >
Encoding:
Internet Message Format  |  2003-06-11  |  16.3 KB
  1. Date:  Sun, 17 Mar 91 12:24 EST
  2. From: WHMurray@DOCKMASTER.NCSC.MIL
  3. Subject:  DPMA Talk - "A NEW STRATEGY FOR COMPUTER VIRUSES"
  4.  
  5. A NEW STRATEGY FOR COMPUTER VIRUSES
  6.  
  7.  
  8.  
  9.  
  10.  
  11.                                            William H. Murray
  12.  
  13.                                            Deloitte & Touche
  14.                                          Wilton, Connecticut
  15.  
  16.  
  17.  
  18.  
  19.  
  20.  
  21.  
  22.  
  23.  
  24.  
  25.  
  26.  
  27.  
  28.  
  29.  
  30.  
  31.  
  32.  
  33.  
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41.  
  42.  
  43.  
  44.  
  45.  
  46.  
  47.  
  48.  
  49.  
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58.  
  59.  
  60.  
  61.  
  62.  
  63.  
  64.  
  65.  
  66. A New Strategy for Computer Viruses                        1
  67.  
  68. PREFACE
  69.  
  70.  
  71.  
  72. This  presentation  was prepared  for and  delivered to  the
  73. "DPMA 4th Annual Virus and Security Conference" on March 14,
  74. 1991.
  75.  
  76.  
  77.  
  78.  
  79.  
  80.  
  81.  
  82.  
  83.  
  84.  
  85.  
  86.  
  87.  
  88.  
  89.  
  90.  
  91.  
  92.  
  93.  
  94.  
  95.  
  96.  
  97.  
  98.  
  99.  
  100.  
  101.  
  102.  
  103.  
  104.  
  105.  
  106.  
  107.  
  108.  
  109.  
  110.  
  111.  
  112.  
  113.  
  114.  
  115.  
  116.  
  117.  
  118.  
  119.  
  120.  
  121.  
  122.  
  123.  
  124.  
  125.  
  126.  
  127.  
  128.  
  129. Preface                                                    2
  130.  
  131. ABSTRACT
  132.  
  133.  
  134.  
  135. This presentation argues that it is time for a new  strategy
  136. for dealing with computer viruses.  It  reviews  the present
  137. strategy  and  suggests that it  was adopted before  we knew
  138. whether or not viruses would be successful.  It  points  out
  139. that this strategy is essentially "clinical."  That  is,  it
  140. treats the  symptoms of the virus  without  directly dealing
  141. with its growth and spread.
  142.  
  143. It presents evidence  that  at least  two  computer viruses,
  144. Jerusalem  B and Stoned, are epidemic, that more  copies are
  145. being created than are being killed.  It  argues that simply
  146. the growth of the viruses, without regard to their symptoms,
  147. is a problem.
  148.  
  149. It  argues  that  it  is now  time  for  an  epidemiological
  150. approach to viruses.  A keystone of such an approach will be
  151. the  massive  and pervasive use of  vaccine programs.  These
  152. programs are  characterized  by  being  resident, automatic,
  153. getting  control  early,  and  acting  to  resist  the  very
  154. execution of the virus program.
  155.  
  156. The presentation notes that there is significant  resistance
  157. to  such a  strategy and, specifically, to  the  use of such
  158. programs.  It  addresses  many  of  the  arguments  used  to
  159. justify   this  resistance.  It   concludes   that  we  will
  160. ultimately be forced to such a strategy, but that, given the
  161. growth of  the  viruses and the resistance to  stragtegy, we
  162. will not likely act on a timely basis.
  163.  
  164.  
  165.  
  166.  
  167.  
  168.  
  169.  
  170.  
  171.  
  172.  
  173.  
  174.  
  175.  
  176.  
  177.  
  178.  
  179.  
  180.  
  181.  
  182.  
  183.  
  184.  
  185.  
  186.  
  187.  
  188.  
  189.  
  190.  
  191.  
  192. Abstract                                                   3
  193.  
  194. STRATEGY
  195.  
  196.  
  197. It  is time for a  new  strategy for dealing  with  computer
  198. viruses.  The  present  strategy  recommended   by  computer
  199. manufacturers,  the  National  Institute  of  Standards  and
  200. Technology (NIST), this author,  and others is to:
  201.  
  202. *   Practice good computer hygiene
  203.  
  204. *   Keep clean copies of programs and data
  205.  
  206. *   Scan new programs, all programs periodically
  207.  
  208. *   Watch for symptoms
  209.  
  210. *   Purge when necessary
  211.  
  212. *   Restore programs and data from clean copies as required
  213.  
  214. Because many of us believed that talking about viruses could
  215. only  make the  problem  worse, there was  also a  "silence"
  216. component in the strategy.
  217.  
  218. This strategy  was developed more  than three years ago.  At
  219. that time, the potential for success of computer viruses was
  220. still unknown.  The concern was for the potential for damage
  221. to individual users and systems and, to  a lesser extent, to
  222. the health of the institution.
  223.  
  224. Today there is  no  longer any  doubt  as to  the success of
  225. computer viruses.  There are  more than four hundred viruses
  226. that  have  been identified and  cataloged.  Twenty-five  of
  227. these  are  classified as "common."  That  is,  they are  so
  228. widespread  as to be considered  both successful and out  of
  229. control.  Another sixty-six are  classified as "rare."  What
  230. this really means  is they are  young,  and their success is
  231. not  yet  demonstrated.  However,  there  are  a  sufficient
  232. number of viruses in this class  and copies of each  of them
  233. that the future success of some of them is certain.
  234.  
  235. One  common  virus,  Jerusalem B, is  estimated  to  have  a
  236. hundred  thousand  copies.  Since it  is known  to date from
  237. November 87, its rate of growth suggests that there may well
  238. be sixteen million copies by November 91 [TIPP].
  239.  
  240. Most  large institutions have  now seen one or more viruses.
  241. Many  now  report  several  infections  a  month.  In  some,
  242. infection is now so  routine  that they no  longer bother to
  243. report.  Given  this  success, it  seems  certain  that  all
  244. organizations will suffer from infection.  It is no longer a
  245. question of whether or not, but only of when and how often.
  246.  
  247. While  the  concern remains damage to user systems and data,
  248. this is no  longer appropriate.  The  concern  should be the
  249. epidemic growth,  damage  to  the  community,  and potential
  250. damage to necessary trust.
  251.  
  252. Dealing with viruses is  now a  cost of doing business.  You
  253.  
  254.  
  255. Page     1
  256.  
  257. must  pay.  The  only questions are whether you pay early or
  258. late, with disruption or without.
  259.  
  260. Since viruses have demonstrated such rapid growth, they must
  261. be removed.  If  they are not removed, ultimately they  will
  262. saturate  the space.   The  requirement  to  remove  them is
  263. independent  of the symptoms that they  manifest.  That  is,
  264. even   if  they  did  nothing  other  than  make  copies  of
  265. themselves,  you  would  still  have to  remove them.  Thus,
  266. replication, all by itself, is a problem.  [Some viruses are
  267. self-limiting.]
  268.  
  269. In  other  words, while the  symptoms  of the  virus may  be
  270. problematic,  mere replication  is  THE problem.  Therefore,
  271. the  strategy must  be aimed at preventing  replication  and
  272. spread, not simply at limiting and repairing damage.  In the
  273. face  of  the  epidemic growth,  the  old  strategy  is  the
  274. equivalent  of trying to deal with smallpox  by washing your
  275. hands and treating sores and fever.
  276.  
  277. The old strategy was intended  to  be conservative.  Indeed,
  278. when it was developed, it was conservative.  In the light of
  279. what we  know today, it is  merely  timid.  However, we have
  280. restated  it  so many times that  the  timid  are  unable to
  281. abandon it.
  282.  
  283. We were successful in eliminating  smallpox from the face of
  284. the  earth  only  after we had a cheap,  effective, and safe
  285. vaccine.  However, the  existence  and  availability  of the
  286. vaccine  proved not to have been sufficient; we also had  to
  287. have the will to apply it massively and pervasively.
  288.  
  289. We now have  computer software  that is the equivalent of  a
  290. number   of  broad  spectrum  vaccine.   It  is  capable  of
  291. preventing a  specific  computer from being  infected.  More
  292. important,  it is capable  of preventing the  replication of
  293. the  virus.  It is characterized  by  the fact  that  it  is
  294. resident and  acts early.  Some of it acts  on the basis  of
  295. detection  of  the  signature  of  known  viruses;  some  by
  296. recognizing   trusted   software.   Its   intended   use  is
  297. distinguished from that of earlier scanning software  by the
  298. fact that it  acts  before,  rather  than  after,  the virus
  299. executes  and replicates.  It  is  distinguished  from  some
  300. resident programs  by  its intent to block execution, rather
  301. than to block writing.
  302.  
  303. Some  have  suggested  that  there is  nothing fundamentally
  304. different about this software.  They  assert  that IBM  Scan
  305. can do anything that this software can do.  IBM insists that
  306. their advice for good hygiene includes the  advice  that you
  307. scan all new software BEFORE using.  If you were to do that,
  308. then the effect would be the same as vaccination software.
  309.  
  310. This argument fails  to take into account how the viruses in
  311. question really spread.  It assumes that viruses spread when
  312. people use new software that they know  is new and that they
  313. intend  to  use.  In  reality  viruses  are  spreading  from
  314. machine  to diskette  and  diskette  to  machine without any
  315. conscious  intent  to share software.  The software that  is
  316.  
  317.  
  318. Page     2
  319.  
  320. spreading  the viruses are  things like the  loader  in  the
  321. diskette   boot   sector,   the   operating   system   (e.g.
  322. COMMAND.COM),  TSRs (terminate-and-stay-RESIDENT  programs),
  323. and  the MacIntosh  FINDER.  These  are  programs  that  are
  324. beneath the level  of notice or  intent  of  most users  and
  325. beyond the level of knowledge of many.
  326.  
  327. In a typical scenario, a student enters a  laboratory, picks
  328. a  machine   at  random,  inserts  a  diskette  and  presses
  329. Ctl-Alt-Del.  With  many of the  successful viruses, if  the
  330. diskette is infected, the machine becomes infected.  If  the
  331. machine was  infected, the  diskette becomes infected.  When
  332. the diskette  is inserted in another  machine, that  machine
  333. becomes  infected.  There  was no intent to share  software;
  334. nothing to trigger the use of  IBM-Scan  in the way that IBM
  335. recommends.
  336.  
  337. Use of  IBM-Scan in the manner that IBM recommends, requires
  338. both knowledge and intent on the part of the user.  While it
  339. is sufficient to  protect any particular user or machine, it
  340. has  not been sufficient to resist the  growth and spread of
  341. viruses.
  342.  
  343. Many  have  resisted the  use of  such software on the basis
  344. that  it would not be one hundred  percent effective.  Those
  345. vaccines  that rely  upon  their  ability to  recognize  the
  346. virus,  would not be effective  against  new viruses.  While
  347. this  is  true  in principle, it  does  not  matter much  in
  348. practice.   They  are   effective   against  the  widespread
  349. viruses.  They  can be made effective against new viruses in
  350. less time than those viruses can spread widely, though  this
  351. begs the question of timely distribution and maintenance.
  352.  
  353. Those that  rely  upon  restricting  execution  to  software
  354. trusted by the user,  are  vulnerable  to  the user's  being
  355. duped.  While it  will  always be  possible for a user to be
  356. baited  into executing a  virus,  even  in  the presence  of
  357. software intended to  resist it,  the present success of the
  358. viruses takes place in an environment  in  which there is no
  359. resistance at  all.  It  is  reasonable  to assume  that the
  360. software will be successful in  resisting the  execution  of
  361. the  virus much of the time, perhaps often  enough to retard
  362. the epidemic growth.
  363.  
  364. There are those who resist the use  of vaccines on the basis
  365. that  such  use  would  simply  encourage  new  and  smarter
  366. viruses.  These viruses would take advantage of knowledge of
  367. the  vaccine to  defeat it.  This concern is based, in part,
  368. upon acceptance of the fact  that, at least in theory, there
  369. is no perfect defense against  a  sufficiently  smart virus.
  370. Of course, this is true about  any security measure  and any
  371. threat.  Jake's Law  asserts that  "anything  hit with a big
  372. enough  hammer  will fall to pieces."  However,  a  security
  373. measure need not be one hundred percent effective for us  to
  374. use  it.  We  use  those  that  are  efficient;  those  that
  375. displace sufficient risk or damage to cover their cost.  One
  376. hundred percent  effective security measures  have  infinite
  377. cost.  Therefore,  we  do not attempt to eliminate risk, but
  378. rather to  limit it.  It is not necessary to be one  hundred
  379.  
  380.  
  381. Page     3
  382.  
  383. percent effective against all viruses  all  of  the time  in
  384. order to resist, limit, or even reverse the growth.
  385.  
  386. Those who would  tolerate today's viruses because  resisting
  387. them  might  make  tomorrow's  viruses  worse,  embrace  the
  388. strategy so thoroughly discredited at Munich.  It is  called
  389. "let sleeping  dogs  lie."  Unfortunately  these dogs,  like
  390. those of war, are not sleeping, they are replicating.
  391.  
  392. Some have suggested that we should ignore the dogs and worry
  393. about the dragon, the omniscient puissant virus.  Of course,
  394. no one has  seen  the dragon, but the  dogs are here now and
  395. their numbers are  legion.  "Oh, but" they say,  "if you use
  396. your arrows on the dogs,  you  may  provoke the dragon  into
  397. existence.  The  dragon will be created  to be  specifically
  398. resistant to your arrows.  It  will include  knowledge about
  399. your arrows and be so intelligent as to be able to overwhelm
  400. your compromised defenses."
  401.  
  402. The  intelligence of  the  virus  is an issue only  if it is
  403. successful  in  getting  itself executed.  The  idea  behind
  404. these  vaccines is that they prevent the virus  from getting
  405. control in the first place.
  406.  
  407. Viruses are bad enough; we  should  not  frighten  ourselves
  408. into  inaction with  our  own  fantasies.  While  there  are
  409. limits to the  effectiveness of any defense against viruses,
  410. there are also limits to their  power.  All  of  the hype to
  411. the  contrary  notwithstanding, viruses cannot  do magic.  A
  412. virus must succeed in getting itself executed in order to do
  413. anything.  In no circumstance can it make  your  PC levitate
  414. off the desk and smash against the wall.
  415.  
  416. Part of the resistance  appears  to  be rooted in a  concern
  417. that one vaccine would be so  successful and pervasive as to
  418. become a  target for viruses.  This would be unlikely in any
  419. case.  It is particularly unlikely in the face of the number
  420. of candidates,  the variety of strategies  that they employ,
  421. and the success that each has already achieved.
  422.  
  423. Some managers resist the  use of  this  software  because of
  424. cost.  Most  of these  managers are  responsible  for  large
  425. numbers of systems.  When  multiplied  by  these  numbers of
  426. systems, the cost of the software rapidly escalates into the
  427. thousands of dollars.
  428.  
  429. If there  were some  question  about  whether or  not  their
  430. systems would  be infected, or if there  were a limited cost
  431. to  it, this resistance might make  sense.  As  it is, it is
  432. almost  a  certainty that  they will  be infected.  The only
  433. questions are when  and how often.  The cost of dealing with
  434. viruses is now  a  tax on the use of computers.  Like  other
  435. taxes,  it is inevitable.  You will pay.  You  may pay early
  436. with limited disruption, or late with  unlimited disruption,
  437. but you will pay.
  438.  
  439. The Jerusalem B virus may  infect many  of the  systems on a
  440. LAN in  hours.  The number of copies of Jerusalem B in a LAN
  441. doubles in minutes to hours, depending upon user privileges.
  442.  
  443.  
  444. Page     4
  445.  
  446. If not removed  promptly, it may saturate  the LAN in  days.
  447. It must be removed.  At  a minimum, removing it will require
  448. the scanning and/or  purging of all  the hard disks.  If the
  449. systems  on the LAN are not  immunized before restarting the
  450. file server, then  the LAN  will be reinfected within hours.
  451. A few  managers have purged a  LAN twice.  One  or two  have
  452. even done it three times.  We know of no one  that  has done
  453. it  four  times.  The  cost of  purging a  hard  drive  once
  454. approaches  the  cost of  the  software.  The  cost  is  not
  455. avoidable.
  456.  
  457. We  are in the incipient phase of an epidemic.  The  viruses
  458. are multiplying  at a  significant  rate.  There are tens of
  459. them and  they do not compete until you  begin to run out of
  460. disk  space.  They are successful  in spite of the best that
  461. we can expect from  our  present strategy.  It is the growth
  462. of the virus, rather than its symptoms, that is the problem.
  463. We are rapidly running out of time to cope.
  464.  
  465. We have a number of vaccines that are effective  against all
  466. of the viruses that are patently successful, and most of the
  467. others.  However,  they  must be  applied  to  a  system  to
  468. protect that  system.  They  must  be  applied massively and
  469. pervasively to  be  effective  in  halting  or reversing the
  470. growth.  The earlier the better.  It is urgent that we begin
  471. now.  It is time for a new strategy.
  472.  
  473. The new strategy will continue  to include  good hygiene and
  474. backup copies of programs and other  data.  However, it must
  475. include  rapid, massive,  and  pervasive  vaccination of all
  476. business and academic systems, beginning with those that are
  477. shared by multiple users.  It  must  include  isolation  and
  478. quarantine of unvaccinated systems.
  479.  
  480. No, I am not proposing law or regulation,  or even political
  481. pressure.  I am  proposing responsible behavior  on the part
  482. of influential people.  If  you have  influence over a large
  483. number  of machines,  you should vaccinate them.  I  am also
  484. proposing peer pressure; we must influence  each  other  and
  485. support each other in responsible action.
  486.  
  487. It will require courage.  It is difficult  to go against the
  488. conventional wisdom; it persists long after it  ceases to be
  489. wise.
  490.  
  491. I am certain that we will act;  in  the  long  run, I do not
  492. believe that there is a  choice.  I  am not hopeful that  we
  493. will  act  in  time; the short run is all too short, and the
  494. resistance to change all too high.
  495.  
  496.  
  497.  
  498.  
  499.  
  500.  
  501.  
  502.  
  503.  
  504.  
  505.  
  506.  
  507. Page     5
  508.