home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / VIRUSL3 / VIRUSL3.01 < prev    next >
Encoding:
Text File  |  1994-07-17  |  26.5 KB  |  649 lines
  1. VIRUS-L Digest   Tuesday,  2 Jan 1990    Volume 3 : Issue 1
  2.  
  3. Today's Topics:
  4.  
  5. Re: WDEF / Apology to Mainstay Software (Mac)
  6. Tracking Infections
  7. Re: AIDS TROJAN RESEARCH
  8. Call for Papers --- 13th National Computer Security Conference
  9. Questions re VIRUS-L
  10. Re: DES Availability
  11. Re: Virus trends
  12. Comments Attributed to SWE
  13. AIDS Program (PC)
  14. Ascii 255
  15. "Do not use this Diskette"
  16. Spafford's Theorems
  17. Re: Virus Trends
  18.  
  19. VIRUS-L is a moderated, digested mail forum for discussing computer
  20. virus issues; comp.virus is a non-digested Usenet counterpart.
  21. Discussions are not limited to any one hardware/software platform -
  22. diversity is welcomed.  Contributions should be relevant, concise,
  23. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  24. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  25. anti-virus, document, and back-issue archives is distributed
  26. periodically on the list.  Administrative mail (comments, suggestions,
  27. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  28.  - Ken van Wyk
  29.  
  30. ---------------------------------------------------------------------------
  31.  
  32. Date:    Fri, 22 Dec 89 16:17:00 -0500
  33. From:    LUBKT@vax1.cc.lehigh.edu
  34. Subject: Re: WDEF / Apology to Mainstay Software (Mac)
  35.  
  36. jln@acns.nwu.edu writes:
  37.  
  38. > 1st Aid Software deserves a great deal of credit for having the only
  39. > virus prevention tool that was capable of catching WDEF.  Everybody
  40. > else failed, including Symantec's SAM, HJC's Virex, Gatekeeper, and
  41. > Vaccine.  I don't know about MainStay's AntiToxin - I don't have a
  42. > copy of that either (yet).
  43.  
  44. Disinfectant 1.5 can also catch/remove WDEF virus.
  45.  
  46.  Binod Taterway, User Consultant, Lehigh University Computing Center
  47.  Lehigh University, Bethlehem, PA 18015.         Tel: (215) 758-3984
  48.  E-mail: LUBKT@vax1.cc.lehigh.EDU (Internet),     BT00@lehigh.BITNET
  49.  
  50. ------------------------------
  51.  
  52. Date:    Fri, 22 Dec 89 16:07:21 -0600
  53. From:    "McMahon,Brian D" <MCMAHON@GRIN1.BITNET>
  54. Subject: Tracking Infections
  55.  
  56. The current flurry of WDEF infection reports has reawakened a long-standing
  57. interest of mine in tracking the propagation of nasties (term intended to
  58. include both virus and Trojan horse).  I know people will occasionally post
  59. messages to this list along the lines of, "If anyone's keeping track of
  60. infection reports...", but this seems to be rather sporadic and haphazard.
  61.  
  62. Question:  Who is collecting such information, and in what form?  I would
  63. certainly be willing to offer my assistance in the collection effort, but
  64. how much of this wheel has already been invented, and what remains to be
  65. done?
  66.  
  67. Going one step further, what if we were to formalize the procedure of
  68. reporting, at least for the academic sites, by enlisting "spotters" at
  69. various institutions, who would then file a brief report on any infections
  70. at their location?  Microcomputer coordinators and user-support staffers
  71. would be likely candidates.  This is a suggestion for discussion, so I'd
  72. welcome any feedback, positive or negative.
  73.  
  74. Brian McMahon  <MCMAHON@GRIN1.BITNET>
  75. Academic Programmer
  76. Grinnell College
  77. Grinnell, Iowa 50112
  78. (515) 269-4901
  79.  
  80. Standard disclaimer ... my opinions only. <mumble>
  81.  
  82. ------------------------------
  83.  
  84. Date:    Fri, 22 Dec 00 19:89:01 +0000
  85. From:    microsoft!alonzo@uunet.uu.net
  86. Subject: Re: AIDS TROJAN RESEARCH
  87.  
  88. >              AIDS "TROJAN" DISK UPDATE - DECEMBER 17, 1989
  89. >
  90. > First, let us say for the record that everything reported so far by
  91. > Mr. McAfee is correct. Our tests bear out the results he has obtained.
  92. >
  93. > A form of public key encryption is then used to perform the actual
  94. > encryption. This was determined by the brute force decryption method.
  95. > SWE has several 80486's and access to a VAX and they were put to work
  96. > decrypting the files. It was made easier by the fact that the original
  97. > contents of the test disk were known. One nasty little trick the AIDS
  98. > "trojan" uses is that after each file is encrypted the encryption key
  99. > is modified slightly.
  100.  
  101. Can either of you shed some light on the above message?  It contains
  102. serious contradictions with both itself and the statements of Mr.
  103. McAfee with whom it purports to agree.
  104.  
  105. The comments about DES and public key encryption contained in the
  106. above message are extremely confused.  All indication is that the AIDS
  107. trojan does simple substitutions on file names.  The above message
  108. claims that the entire disk is encrypted with a public key encryption
  109. scheme.
  110.  
  111. My conclusion is that this message was not posted in good faith.  The
  112. last thing anyone needs is this kind of purposeful misinformation.
  113. This conclusion is supported by the claim that the so-called SWE
  114. company has moved and "returned" their sample disks to the owners.
  115.  
  116. By associating yourselves with this nonsense, you have seriously impaired
  117. your reputations.
  118.  
  119. sincerely,
  120.  
  121. Alonzo Gariepy
  122. alonzo@microsoft
  123.  
  124. ------------------------------
  125.  
  126. Date:    Sat, 23 Dec 89 08:59:00 -0500
  127. From:    Jack Holleran <Holleran@DOCKMASTER.ARPA>
  128. Subject: Call for Papers --- 13th National Computer Security Conference
  129.  
  130. CALL  FOR  PAPERS:
  131.  
  132.            13th NATIONAL COMPUTER  SECURITY CONFERENCE
  133.                           Sponsored by
  134.             the National Computer Security Center
  135.                                and
  136.        the National Institute of Standards and Technology
  137.  
  138. Theme:    Information Systems Security:  Standards - The Key to the Future
  139.  
  140. Date:                   OCTOBER 1-4, 1990
  141.  
  142. Location:                WASHINGTON, D.C.
  143.  
  144. This conference provides a forum for the Government and the private sector to
  145. share current information that is useful and of general interest to the
  146. conference participants on technologies, present and future, that are designed
  147. to meet the ever-growing challenge of telecommunications and automated
  148. information systems security.  The conference will offer multiple tracks for
  149. the needs of users, vendors, and the research and development communities.
  150. The focus of the conference will be on: Systems Application Guidance,
  151. Awareness, Training, and Education, Ethics and Issues, Evaluation and
  152. Certification, Innovations and New Products, Management and Administration,
  153. and Disaster Prevention and Recovery.  We encourage submission of papers on
  154. the following topics of high interest:
  155.  
  156. Systems Application Guidance
  157.     -    Access Control Strategies
  158.     -    Achieving Network Security
  159.     -    Building on Trusted Computing Bases
  160.     -    Integrating INFOSEC into Systems
  161.     -    Preparing Security Plans
  162.     -    Secure Architectures
  163.     -    Securing Heterogeneous Networks
  164.     -    Small Systems Security
  165.  
  166. Innovations and New Products
  167.     -    Approved/Endorsed Products
  168.     -    Audit Reduction Tools and Techniques
  169.     -    Biometric Authentication
  170.     -    Data Base Security
  171.     -    Personal Identification and Authentication
  172.     -    Smart Card Applications
  173.     -    Tools and Technology
  174.  
  175. Awareness, Training and Education
  176.     -    Building Security Awareness
  177.     -    Compusec Training:  Curricula, Effectiveness, Media
  178.     -    Curriculum for Differing Levels of Users
  179.     -    Keeping Security In Step With Technology
  180.     -    Policies, Standards, and Guidelines
  181.     -    Understanding the Threat
  182.  
  183. Evaluation and Certification
  184.     -    Assurance and Analytic Techniques
  185.     -    Conducting Security Evaluations
  186.     -    Covert Channel Analysis
  187.     -    Experiences in Applying Verification
  188.     -    Formal Policy Models
  189.     -    Techniques
  190.  
  191. Management and Administration
  192.     -    Accrediting Information Systems and Networks
  193.     -    Defining and Specifying Computer Security Requirements
  194.     -    Life Cycle Management
  195.     -    Managing Risk
  196.     -    Role of Standards
  197.     -    Security Requirements
  198.  
  199. Disaster Prevention and Recovery
  200.     -    Assurance of Service
  201.     -    Computer Viruses
  202.     -    Contingency Planning
  203.     -    Disaster Recovery
  204.     -    Malicious Code
  205.     -    Survivability
  206.  
  207. Ethics and Issues
  208.     -    Computer Abuse/Misuse
  209.     -    Ethics in the Workplace
  210.     -    Individual Rights
  211.     -    Laws
  212.     -    Relationship of Ethics to Technology
  213.     -    Standards of Ethics in Information Technology
  214.  
  215.  
  216. BY FEBRUARY 16, 1990:  Send eight copies of your draft paper* or panel
  217. suggestions to one of the following addresses.  Include the topical category
  218. of your submission, author name(s), address, and telephone number on the cover
  219. sheet only.
  220.  
  221.     1.  FOR PAPERS SENT VIA        National Computer Security Conference
  222.           U.S. or Foreign             ATTN:  NCS Conference Secretary
  223.          Government  MAIL             National Computer Security Center
  224.               ONLY:                   Fort George G. Meade, MD 20755-6000
  225.  
  226.     2.   FOR PAPERS SENT VIA       National Computer Security Conference
  227.          COMMERCIAL COURIER           c/o NCS Conference Secretary
  228.        SERVICES (e.g.-FEDERAL         National Computer Security Center
  229.          EXPRESS, EMERY, UPS,         911 Elkridge Landing Road
  230.               etc.):                  Linthicum, MD  21090
  231.  
  232.     3.  FOR Electronic Mail:  NCS_Conference@DOCKMASTER.NCSC.MIL   (1 copy)
  233.  
  234. BY MAY 4, 1990: Speakers selected to participate in the conference will be
  235. notified.
  236.  
  237. BY JUNE 22, 1990:  Final, camera-ready papers are due.
  238.  
  239.  * Government employees or those under Government sponsorship must so identify
  240. their papers.
  241.  
  242. For additional information on submissions, please call (301) 850-0272.
  243.  
  244.      To assist the Technical Review Committee, the following is required for
  245. all submissions:
  246.  
  247.         Page 1:     Title of paper or submission
  248.                            Topical Category & keywords
  249.                            Author(s)
  250.                            Organization(s)
  251.                            Phone number(s)
  252.                            Net address(es), if available
  253.                            Point of Contact
  254.      Additionally, submissions sponsored by the U.S. Government must provide
  255. the following information:
  256.                         U.S. Government Program Sponsor or Procuring Element
  257.                         Contract number (if applicable)
  258.                         U.S. Government Publication Release Authority
  259.                            (Note:  Responsibility for U.S. Government
  260.                             pre-publication review lies with the author(s).)
  261.  
  262.       Page 2:      Title of the paper or submission
  263.         -last       abstract
  264.                     The paper   (Suggested length:  6 pages, double columns)
  265.  
  266.      A Technical Review Committee, composed of U.S. Government and Industry
  267. Computer Security experts, will referee submissions only for technical merit
  268. for publication and presentation at the National Computer Security (NCS)
  269. Conference.  No classified submissions will be accepted for review.
  270.  
  271.      Papers drafted as part of the author's official U.S. Government duties
  272. may not be subject to copyright.  Papers submitted that are subject to
  273. copyright must be accompanied by a written assignment to the NCS Conference
  274. Committee or written authorization to publish and release the paper at the
  275. Committee's discretion.  Papers selected for presentation at the NCS
  276. Conference requiring U.S. Government pre-publication review must include,
  277. with the submission of the final paper no later than June 22, 1990 to the
  278. committee, a written release from the U.S. Government Department or Agency
  279. responsible for pre-publication review.  Failure to comply may result in
  280. rescinding selection for publication and for presentation at the 13th NCS
  281. Conference.
  282.  
  283.      Technical questions can be addressed to the NCS Conference Committee
  284. through the following means:
  285.  
  286.             Phone:                   (301) 850-0CSC  [0272]
  287.  
  288.             Electronic Mail:         NCS_Conference@DOCKMASTER.NCSC.MIL
  289.  
  290.             Government Mail:         National Computer Security Conference
  291.                                        National Computer Security Center
  292.                                        Fort George G. Meade, MD 20755-6000
  293.  
  294.             Commercial Carriers:     National Computer Security Conference
  295.                                        c/o NCS Conference Secretary
  296.                                        National Computer Security Center
  297.                                        911 Elkridge Landing Road
  298.                                        Linthicum, MD  21090
  299.  
  300. ------------------------------
  301.  
  302. Date:    Sat, 23 Dec 89 21:38:00 -0500
  303. From:    "Peter S. Graham" <GRAHAM@pisces.rutgers.edu>
  304. Subject: Questions re VIRUS-L
  305.  
  306. I have two questions which the digest has probably dealt with but for
  307. newcomers might be worth responding to again:
  308.  
  309. 1.  Does the Digest provide a way to query the effectiveness of commercial
  310. antivirus programs against known viruses? --e.g., a kind of table with
  311. commercial (or other published programs) across the top and known viruses
  312. down the side and an X at the intersection if the program handles it.  This
  313. would be a real service.
  314.  
  315. 2.  Does this Digest have a formal feedback mechanism to commercial and other
  316. antivirus program developers, so that they get a sense of what needs to be
  317. done and pronto?  Or do we know that they are all members of the listserv and
  318. we leave it at that, depending on laissez-faire economics?
  319.  
  320. As a new reader I appreciate the service and the effort that goes into it.
  321.  
  322. Peter Graham
  323. Associate Vice President for Information Services
  324. Rutgers University / New Jersey
  325.  
  326. [Ed. To answer 1., there have been various informal product reviews
  327. sent in to the VIRUS-L digest by various readers (perhaps someone out
  328. there has put them together in one doc?) as well as pointers to other
  329. reviews (e.g., PC Mag).
  330.  
  331. The digest does not offer a formal feedback mechanism.  However,
  332. numerous shareware and commercial anti-virus product vendors to
  333. monitor and (in some cases) contribute to the digest.  Feedback sent
  334. to the digest does reach them.]
  335.  
  336. ------------------------------
  337.  
  338. Date:    Sun, 24 Dec 89 16:49:07 +0200
  339. From:    kiravuo@kampi.hut.fi (Timo Kiravuo)
  340. Subject: Re: DES Availability
  341.  
  342. >>For those not aware, the U.S. Government guards the DES formula,
  343.  
  344. >   Please correct me if I'm wrong, but isn't DES or DES-like
  345. >encryption algorithms readily available?
  346.  
  347. As far as I understand, the DES formula is public, but exporting
  348. impelemntations is prohibited in the USA. However there is
  349. nothing preventing one to make a DES implementation outside the
  350. USA and distributing it. Here in Helsinki University of
  351. Technology Antti Louko has written one, it is available by
  352. anonymous ftp from kampi.hut.fi (130.233.224.2), file is
  353. alo/des-dist.tar.Z.
  354.  
  355. It was also posted to USENET comp.sources.??? group a while ago,
  356. the posting was dove via a moderator in Australia, since
  357. importing DES to the is legal by the US law. (Please note that
  358. whatever the US government has to say about DES does not apply to
  359. us outside the US territory, the most USA can do is to contact
  360. our government or send a spy killer or invade Finland like they
  361. did invade Panama.)
  362.  
  363. As to what this has to do with viruses, I don't know, but I think
  364. that a public DES implementation might be interesting enough to
  365. many people in the virus field, so maybe the moderator will be
  366. nice and let this pass.
  367. - --
  368. Timo Kiravuo
  369. Helsinki University of Technology, Computing Center
  370. work: 90-451 4328, home: 90-676 076
  371. kiravuo@hut.fi  sorvi::kiravuo  kiravuo%hut.fi@uunet.uu.net
  372.  
  373. ------------------------------
  374.  
  375. Date:    Tue, 26 Dec 89 08:17:52 -0500
  376. From:    dmg@retina.mitre.org (David Gursky)
  377. Subject: Re: Virus trends
  378.  
  379. > To: dmg@retina.mitre.org
  380. > Date: Fri, 22 Dec 89 19:13:24 -0500
  381. > From: denbeste@BBN.COM
  382. >
  383. > One of the best-known and best researched anti-viral programs for the Amiga
  384. > is VirusX by Steve Tibbetts. A few months ago a new version of this program
  385. > began appearing which was really a trojan. It got rather wide distribution
  386. > before anyone noticed that Tibbetts hadn't really written it. Since that
  387. > time, Tibbetts no longer publishes his source code when he releases a new
  388. > version.
  389. >
  390. > In other words: The prediction you didn't like was really true; it already
  391. > came about!
  392.  
  393. Oops!  Minor omission on my part.  I neglected to include in my
  394. comment about the authors being well known that they should be easily
  395. and widely reachable!
  396.  
  397. There is also the underlying presumption in my message that a new
  398. release is confirmed from the author before publication of the
  399. application
  400.  
  401. ------------------------------
  402.  
  403. Date:    Thu, 21 Dec 89 10:22:00 -0500
  404. From:    WHMurray@DOCKMASTER.ARPA
  405. Subject: Comments Attributed to SWE
  406.  
  407. The following comments indicated by ">" were attributed to SWE in
  408. VIRUS-L 1234.
  409.  
  410. >SWE first suspected and tested for the public key encryption method
  411. >for several reasons. The major reason was the lack of access people
  412. >outside of the United States would have to the DES encryption formula.
  413.  
  414. [The DEA is an encryption algorithm developed and licensed by IBM. The
  415. DES is a U. S. Government standard for the implementation of that
  416. algorithm.]
  417.  
  418. The DES is published and available from The Superintendent of
  419. Documents, U.S.  Government Printing Office Washington, D.C.  It
  420. can be implemented in software without much difficulty.  It is
  421. widely available outside the U.  S.
  422.  
  423. >For those not aware, the U.S. Government guards the DES formula, and
  424. >software which makes use of this formula may not be exported out of
  425. >the United States. Should it turn out that the DES formula was also
  426. >used, the authors of the AIDS "trojan", could possibly be prosecuted
  427. >under United States statutes pertaining to national security.
  428.  
  429. While export of any munitions, including cryptography, from the U.S.
  430. msut be licensed, possession or use of the DES or DES outside the U. S.
  431. is not a crime.
  432.  
  433. >The second reason deals with the DES encryption method. Students of
  434. >cryptology are well aware that the DES formula has been considered
  435. >vulnerable for some time now.
  436.  
  437. Students of cryptology are aware of an untruth.  While there have
  438. been flawed implementations of the DEA, the cheapest know attack
  439. against the DES is an exhaustive attack against the key.
  440. Such an attack is measured in centuries of 3090 time.
  441.  
  442. >It is also a well know fact that DES
  443. >specific processors have been produced, which make "cracking" a DES
  444. >encrypted file much easier than the public key method. The DES method
  445. >also limits to a greater degree the length of the encryption key.
  446.  
  447. Have you seen one?  Do you even know anyone that has seen one?        (Of
  448. course everyone knows someone who knows someone who has seen one, but
  449. that is true of UFO's too.
  450.  
  451. As to the relative strength of the two method, each is, in part a
  452. function of the key length chosen.  However, in general, public
  453. key lengths of 8 to 10 times as long are required to achieve
  454. comparable security with the DEA.
  455.  
  456. While the DES limits the length of the key to 56 bits, choice of
  457. key length in an implementation is arbitrary.  IBM sells an
  458. implementation that employs a 112 bit key, if only to protect other
  459. keys.
  460.  
  461. >Combining these two reasons along with the extraordinary expense the
  462. >authors of the AIDS "trojan" went to, we guessed that they would also
  463. >use a "first class" encryption method.
  464.  
  465. Very naive analysis.  John McAfee writes:
  466.  
  467. >    A comparison of the encrypted and unencrypted entries
  468. >indicates that some form of linear character mapping was used
  469. >i.e.     # = I, } = A, 8 = E, @ = D, etc.)
  470.  
  471. In other words, "first class" equates to a Captain Midnight decoder
  472. ring.  So much for this writer's expert analysis.
  473.  
  474. William Hugh Murray, Fellow, Information System Security, Ernst & Young
  475. 2000 National City Center Cleveland, Ohio 44114
  476. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
  477.  
  478. ------------------------------
  479.  
  480. Date:    Thu, 21 Dec 89 15:15:00 -0500
  481. From:    WHMurray@DOCKMASTER.ARPA
  482. Subject: AIDS Program (PC)
  483.  
  484. Does the AIDS program do what it purports to do?  Is that something that
  485. the recipients were interested in having done?  Was it worth $.50 a day?
  486.  
  487. It is necessary to understand the answers to these questions in order to
  488. know whether we are dealing with:
  489.  
  490. 1) Attempted extortion;
  491.  
  492. 2) A very expensive, obscurely motivated, and otherwise gratuitous
  493. attack;
  494.  
  495. 3) Or, a peculiarly inept attempt to market a program.
  496.  
  497. William Hugh Murray, Fellow, Information System Security, Ernst & Young
  498. 2000 National City Center Cleveland, Ohio 44114
  499. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
  500.  
  501. ------------------------------
  502.  
  503. Date:    Thu, 21 Dec 89 15:21:00 -0500
  504. From:    WHMurray@DOCKMASTER.ARPA
  505. Subject: Ascii 255
  506.  
  507. I like the idea of using a non-displayable character to conceal the
  508. presence of a directory.  I also like the idea of using it on the end of
  509. a file name in order to make it hard to establish addressability to the
  510. file.
  511.  
  512. I like it now almost as much as I did when I first read the idea in the
  513. readers' contributions to PC Magazine.
  514.  
  515. William Hugh Murray, Fellow, Information System Security, Ernst & Young
  516. 2000 National City Center Cleveland, Ohio 44114
  517. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
  518.  
  519. ------------------------------
  520.  
  521. Date:    Thu, 21 Dec 89 15:26:00 -0500
  522. From:    WHMurray@DOCKMASTER.ARPA
  523. Subject: "Do not use this Diskette"
  524.  
  525. This advice published in association with the AIDS program is good
  526. advice.
  527.  
  528. It is a special case of the advice that says use only programs or
  529. diskettes that you expect from trusted sources.
  530.  
  531. This is a special case of the advice that says do not open mail that has
  532. no return address, is not expected, or is otherwise suspicious.  In a
  533. small number of cases it may be very dangerous to do so.
  534.  
  535. ____________________________________________________________________
  536. William Hugh Murray                     216-861-5000
  537. Fellow,                                 203-966-4769
  538. Information System Security             203-964-7348 (CELLULAR)
  539.                                         ARPA: WHMurray@DOCKMASTER
  540. Ernst & Young                           MCI-Mail: 315-8580
  541. 2000 National City Center               TELEX: 6503158580
  542. Cleveland, Ohio 44114                   FAX: 203-966-8612
  543.                                         Compu-Serve: 75126,1722
  544.                                         INET: WH.MURRAY/EWINET.USA
  545. 21 Locust Avenue, Suite 2D              DASnet: [DCM1WM]WMURRAY
  546. New Canaan, Connecticut 06840           PRODIGY: DXBM57A
  547. - --------------------------------------------------------------------
  548.  
  549. ------------------------------
  550.  
  551. Date:    Fri, 22 Dec 89 12:28:00 -0500
  552. From:    WHMurray@DOCKMASTER.ARPA
  553. Subject: Spafford's Theorems
  554.  
  555. In general, I agree with theorems 1, 2, and 3.  I think that those that
  556. deal with the future, are speculative.  However, in the same spirit and
  557. along the same lines, I offer the following:
  558.  
  559. 1. The amount of damage to data and availability done by viruses to date
  560. has been less than users do to themselves by error every day.
  561.  
  562. 2. The press speculation about the DATACRIME virus was much more
  563. damaging than the virus.
  564.  
  565. 3. The amount of damage that has been done to trust within the community
  566. is orders of magnitude worse.
  567.  
  568. 4. Viruses and rumors of viruses have the potential to destroy society's
  569. already fragile trust in our ability to get computers to do that which
  570. we intend while avoiding unintended adverse consequences.
  571.  
  572. 5. We learn from the biological analogy that viruses are self-limiting.
  573.  
  574. Clinically, if you catch a cold, you will either get over it, or you
  575. will die.  Epidemiologically, a virus in a limited population
  576. will either make its hosts immune, or destroy the population.  Even in
  577. open population, a virus must have a long incubation period and slow
  578. replication in order to be successful (that is, replicate and spread).
  579.  
  580. 6. The current vector for viruses is floppy disks and diskettes, not
  581. programs.  That is to say, it is the media, rather than the programs,
  582. that are moving and being shared.
  583.  
  584. A virus that is stored on such media will be very persistent.  One
  585. infected diskette pulled from a drawer may began a new cycle.
  586.  
  587. On the other hand, diskettes as media have a limited life expectancy.
  588. Punched paper lasted just a century; 8.5" floppies only a decade.  The
  589. life of such media is a function of a number of complex factors.  The
  590. success of the current technology augers for a long life, while the pace
  591. of technology suggests that it will be short.
  592.  
  593. 7. AIDS not withstanding, terrorists have more effective and efficient
  594. mechanisms at hand.  Amateurs have a very high vested interest in a
  595. community in which programs can be relied upon to do only what they
  596. advertise.  It is to be hoped that they can be socialized not "to soil
  597. their own sandpiles."
  598.  
  599. Season's Greetings.
  600.  
  601. William Hugh Murray, Fellow, Information System Security, Ernst & Young
  602. 2000 National City Center Cleveland, Ohio 44114
  603. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
  604.  
  605. ------------------------------
  606.  
  607. Date:    Mon, 25 Dec 89 19:45:47 -0800
  608. From:    Nagle@cup.portal.com
  609. Subject: Re: Virus Trends
  610.  
  611.      Back in the 1970s, when I was working on secure operating systems,
  612. I never dreamed that the day would come when there would be twenty five
  613. million computers in the world running without memory protection.
  614.  
  615.      And it's going to get worse.  New and interesting programmatic objects
  616. are coming into being.  Attacks need not be through object programs.
  617. Already, there have been attacks via mail, and via text files editable by
  618. GNU EMACS.  But this is just the beginning.
  619.  
  620.      - PostScript is a programming language.  Trojan horses could be
  621.        embedded in PostScript files.  While attacking a printer isn't
  622.        all that productive, Display PostScript offers more tempting
  623.        targets.
  624.  
  625.      - A FAX message is a bitstream interpreted by an interpreter at
  626.        the receving end.  Could it be induced to do something interesting
  627.        through the use of illegal bit patterns?  Group III is probably too
  628.        simple to be attacked, but group IV?  Imagine a message which
  629.        causes a FAX machine to send an extra copy of transmitted documents
  630.        to another location.
  631.  
  632.      - Network transmittable C++ objects are being developed.  Security
  633.        doesn't seem to be mentioned.  This has promise.
  634.  
  635.      - Multi-media electronic mail offers new avenues of attack.
  636.  
  637. The basic problem is that the transmission of programmatic objects is
  638. on the increase, and anything interpreted at the receiving end is
  639. potentially a means of attack.  I predict that this will grow to a
  640. moderately serious problem in the 1990s.
  641.  
  642.                                         John Nagle
  643.  
  644. ------------------------------
  645.  
  646. End of VIRUS-L Digest
  647. *********************
  648. Downloaded From P-80 International Information Systems 304-744-2253
  649.