Οι σημερινοί ιοί είναι σχεδιασμένοι να επιτίθενται σε ένα είδος πλατφόρμας (single platform). Με τον όρο single platform ορίζουμε τον συνδυασμό του hardware με το πιο σύνηθες λειτουργικό σύστημα για αυτό το hardware. Για παράδειγμα, ένας ιός μπορεί να ονομάζεται IBM-PC ιός, που αναφέρεται στο hardware, ή DOS ιός, που αναφέρεται στο λειτουργικό σύστημα. Επίσης, οι ιοί χωρίζονται σε δύο κατηγορίες: research ή “in the wild”. Research ιός είναι αυτός που γράφτηκε για ερευνητικούς ή σπουδαστικούς σκοπούς και δεν έχει διανεμηθεί σχεδόν καθόλου στο κοινό. Από την άλλη, οι ιοί που έχουν γίνει γνωστοί στο κοινό ονομάζονται “in the wild”. [THR92]

Οι ιοί λογισμικού είναι το πιο πρόσφατο φαινόμενο υπολογιστών που έχει γίνει ευρέως γνωστό. Σπάνια περνά μια μέρα χωρίς αναφορές σε νέους ιούς ή χτυπήματα από επιθέσεις ιών που έχουν σαν αποτέλεσμα την καταστροφή δεδομένων και το σταμάτημα λειτουργίας δικτύων. Μέχρι σήμερα έχουν βρεθεί ιοί στις εξής πλατφόρμες: Apple II, IBM PC, Macintosh, Atari, Amiga. [THR92]

Εντούτοις, η βασική ιδέα ενός ιού δεν είναι εντελώς καινούργια. Ο προάγγελός του –το worm– δημιουργήθηκε στις αρχές της δεκαετίας του 80, όταν οι επιστήμονες υπολογιστών John Shoch και Jon Hupp εφεύραν ένα πρόγραμμα που θα διαδιδόταν από μηχανή σε μηχανή, καταλαμβάνοντας σταθερά τους αδρανής πόρους του δικτύου του κέντρου έρευνας Xerox Palo Alto. Αυτά τα πρώτα worms ήταν σαφώς αβλαβή και παρουσιάζονταν μόνο την νύχτα όπου η κίνηση στο δίκτυο ήταν ελάχιστη και τα μηχανήματα ήταν απίθανο να χρησιμοποιούνται σε οποιαδήποτε περίπτωση. Οποιαδήποτε μοχθηρία είχαν αυτά τα προγράμματα τύπου worm αποδίδεται στην τάση τους να καταναλώνουν πόρους –κυρίως μνήμη– μέχρι ένα σύστημα ή δίκτυο να καταρρεύσει. Παρ’ όλα αυτά, οι ελιγμοί σχεδόν ποτέ δεν προκάλεσαν οποιαδήποτε μόνιμη καταστροφή. Για να απαλλάξει κάποιος ένα μηχάνημα ή ένα δίκτυο από ένα wοrm, το μόνο που έχει να κάνει είναι να επανεκκινήσει το μηχάνημα ή το δίκτυο.

Τα worms παρουσιάστηκαν για πρώτη φορά ως ενδεχόμενη απειλή για την ασφάλεια των υπολογιστών όταν το Christmas Tree Exec επιτέθηκε στα IBM mainframe τον Δεκέμβριο του 1987. To worm αυτό σταμάτησε τη λειτουργία του δικτύου, παγκοσμίου εύρους, της IBM και του BITNET. Το Christmas Tree Exec δεν ήταν ακριβώς worm αλλά ένα trojan horse με ένα μηχανισμό αναπαραγωγής. Ο χρήστης λάμβανε μέσω e-mail μια χριστουγεννιάτικη κάρτα που περιελάμβανε εκτελέσιμο (REXX) κώδικα. Αν εκτελούνταν, το πρόγραμμα υποτίθεται ότι σχεδίαζε ένα χριστουγεννιάτικο δέντρο στην οθόνη. Αυτό δεν ήταν όλη η αλήθεια, αλλά έστελνε επίσης ένα αντίγραφο σε όσους ήταν γραμμένοι στην λίστα διευθύνσεων του χρήστη. [DEN90].

Το Internet Worm ήταν ένα πραγματικό worm. Παρουσιάστηκε στις 2 Νοεμβρίου του 1988. Επιτέθηκε σε Sun και DEC συστήματα UNIX συνδεδεμένα στο δίκτυο (συμπεριλάμβανε δύο σετ από δυαδικά αρχεία, ένα για το κάθε σύστημα). Εκμεταλλεύτηκε το TCP/IP πρωτόκολλο, πρωτόκολλα επιπέδου κοινών εφαρμογών, bugs του λειτουργικού συστήματος, και διάφορα ελαττώματα του συστήματος διαχείρισης για να διαδοθεί. Διάφορα προβλήματα με την διαχείριση των worms είχαν σαν αποτέλεσμα την εξαιρετικά χαμηλή απόδοση των συστημάτων και την άρνηση δικτυακών υπηρεσιών [SPA89].

Η αντίληψη και ανάπτυξη των ιών είχε μια μεγαλύτερη περίοδο αναγέννησης. Αλλοι προάγγελοι των ιών περιλάμβαναν έναν αριθμό πειραματικών παιχνιδιών υπολογιστή, συμπεριλαμβανομένου και του παιχνιδιού που ήταν γνωστό σαν Core Wars. Αυτό το παιχνίδι λειτουργεί θέτοντας ένα τμήμα της μνήμης (το οποίο τις πρώτες μέρες της χρήσης των υπολογιστών ονομαζόταν συχνά core, δηλ. πυρήνας) σαν πεδίο μάχης για τα προγράμματα έτσι ώστε αυτά να συναγωνίζονται για κάποια περιοχή (μνήμης) και να προσπαθούν να καταστρέψουν το ένα το άλλο. Για να καταλάβουμε πως δουλεύει το Core Wars και τη σχέση του με την έννοια του ιού, πρέπει να καταλάβουμε κάποια πράγματα για τη δομή και τη φύση της μνήμης ενός υπολογιστή καθώς και τα ίδια τα Core Wars.

Πρώτα απ’ όλα, η μνήμη ενός υπολογιστή μπορεί να θεωρηθεί σαν μια σειρά από θυρίδες ή κουτιά στα οποία μπορεί να τοποθετηθεί μία εντολή, μερικά δεδομένα, ή μία άλλη διεύθυνση μνήμης. Τα επόμενα σχήματα παριστάνουν μια τυπική “μάχη” του Core Wars:

Τα γράμματα Α και Β προσδιορίζουν τη θέση των δύο “μαχόμενων”. Τα περιεχόμενα της θέσης 2 στο προηγούμενο σχήμα προσδιορίζουν μία εντολή κώδικα μηχανής την οποία ένα Core Wars αποκαλεί IMP. Η διεύθυνση 5 περιέχει επίσης ένα IMP πρόγραμμα –τον εχθρό του πρώτου IMP. (Υπάρχουν πολλά προγράμματα του Core Wars. Το IMP είναι το πιο απλό, αλλά και ένα από τα πιο ισχυρά). Η “μάχη” ξεκινάει ως εξής: είναι η σειρά του IMP του Α και το πρόγραμμα του εκτελείται. MV01 (το IMP πρόγραμμα) σημαίνει “μετακίνησε τα περιεχόμενα της διεύθυνσης που βρίσκεται μηδέν θέσεις μακριά (δηλαδή, της παρούσας διεύθυνσης, διεύθυνση 2) σε μια διεύθυνση που βρίσκεται 1 θέση μακριά (δηλαδή, στην διεύθυνση 3). Βασικά αυτή η εντολή αντιγράφει τα περιεχόμενα της διεύθυνσης 2 (το IMP πρόγραμμα) στην διεύθυνση 3. Με άλλα λόγια, το IMP Α αντέγραψε τον εαυτό του.

Όταν γίνει αυτό και είναι η σειρά του IMP του Β, το IMP του Α έχει αντιγράψει τον εαυτό του στην διεύθυνση 3 και το IMP του Β μετακινείται στη διεύθυνση 4 (εκτελώντας το δικό του πρόγραμμα). Αυτή η κατάσταση παριστάνεται παρακάτω:

Όταν είναι η σειρά του IMP του Α ξανά, ήδη καταλαμβάνει τη διεύθυνση 3 (καθώς επίσης και την προηγούμενη της), ενώ το IMP του Β καταλαμβάνει τις διευθύνσεις 4 και 5. Όταν έρθει η σειρά του IMP του Α για δεύτερη φορά (το οποίο δεν χρειάζεται να δείξουμε εδώ), αντιγράφει τον εαυτό του στη διεύθυνση 4 (και πάλι εκτελώντας την εντολή MV01) στην οποία βρίσκεται το τρέχον IMP του Β. Επομένως, διαγράφοντας το IMP του Β, το IMP του Α κέρδισε αυτή τη μάχη.

Ο τρόπος λειτουργίας των Core Wars προγραμμάτων (και “μαχών”) δεν είναι τόσο απλός. Πολλά από τα πιο πολύπλοκα προγράμματα έχουν τη δυνατότητα να διορθώνουν τους εαυτούς τους, να επανατοποθετούν τους εαυτούς τους στη μνήμη (δηλ., να αποφεύγουν εχθρικά προγράμματα), και μπορούν ακόμα και να ανιχνεύσουν το “πλησίασμα” άλλων προγραμμάτων έχοντας “φρουρούς”. Το πιο σημαντικό, όμως, σχετικά με το Core Wars και φυσικά με όλο αυτό το είδος παιχνιδιών, όπως τα παιχνίδια LIFE και Wa-Tor (δύο παιχνίδια που επιδεικνύουν την εξέλιξη των “τύπων ζωής” σ’ ένα περιβάλλον κατασκευασμένο από υπολογιστές), είναι η κοινή τους έννοια για αναπαραγωγή σ’ ένα σύστημα βασισμένο σε υπολογιστή.

Αυτή η ιδέα του να αναπαραγάγει ένα σύστημα τον εαυτό του ξεκίνησε να γοητεύει πολλούς ανθρώπους και, συγκεκριμένα, η ιδέα ότι ένα πρόγραμμα θα μπορούσε να επεκτείνει τον εαυτό του παρά τους περιορισμούς ενός απλού μηχανήματος ή δικτύου προκάλεσε ένα αυξανόμενο ενδιαφέρον. Οι δημιουργοί της έννοιας των ιών ήταν ο Fred Cohen και ο Len Adleman (ο οποίος είχε την ιδέα του όρου ιός – virus). Σ’ ένα συνέδριο για την ασφάλεια των υπολογιστών με σπόνσορα την Διεθνή Ομοσπονδία Επεξεργασίας Πληροφοριών (International Federation of Information Processing – IFIP) το 1984, ανακοίνωσαν δημόσια τα αποτελέσματα μιας σειράς πειραμάτων που διεξήγαγαν χρησιμοποιώντας ιούς για να μολύνουν μια σειρά από διαφορετικά δίκτυα και host machines. Αν και τότε θεωρείτο ότι ήταν εξαιρετικά δύσκολο να γράψεις έναν ιό για συστήματα πολλών χρηστών, ο Fred Cohen χρειάστηκε μόνο 8 ώρες εργασίας για να φτιάξει έναν ιό που μπορούσε να εισχωρήσει σε ένα UNIX σύστημα [HOF90]. Ένας από τους πιο σημαντικούς λόγους για τους οποίους οι ιοί δεν παρατηρούνται σε συστήματα πολλών χρηστών είναι ότι οι διαχειριστές τέτοιων συστημάτων συνήθως ανταλλάσσουν πηγαίο κώδικα αντί για εκτελέσιμα αρχεία. Συνήθως είναι προσεκτικοί με τα copyrighted προγράμματα, οπότε ανταλλάσσουν προγράμματα που αναπτύσσουν οι ίδιοι ή κοινής χρήσης προγράμματα. Είναι πιο βολικό για αυτούς να ανταλλάζουν πηγαίο κώδικα, εφόσον οι διαφορές στην αρχιτεκτονική του hardware εμποδίζει τη συναλλαγή εκτελέσιμων αρχείων [THR92]. Τα πειράματα τους έδειξαν πόσο εύκολα απομονωμένα μηχανήματα και ακόμα και ολόκληρα δίκτυα μπορούσαν να υποκύψουν σε απλά είδη ιών. Στην πραγματικότητα τα πειράματα τους ήταν τόσο επιτυχή ώστε συχνά τους απαγορεύθηκε από τους διαχειριστές των διαφόρων συστημάτων να φέρουν σε πέρας ακόμα περισσότερα πειράματα. Εν τούτοις, παρά τις δημόσιες προειδοποιήσεις για την μελλοντική απειλή από τους software ιούς, η πρώτη επιδημία από ιούς εξέπληξε πολλούς από τον κόσμο των υπολογιστών.

Κατά πολύ ο πιο προφανής (και κοινός) τρόπος για να μολύνεις με ιό ένα σύστημα είναι να προσθέσεις έναν ιό σε γνήσια προγράμματα έτσι ώστε να μπορεί να μεταφερθεί σε μέσα αποθήκευσης όπως ταινίες (tapes), δισκέτες, και σκληρούς δίσκους. Επιπλέον, ένας ιός μπορεί να μεταφερθεί μέσω των links στο δίκτυο και της ηλεκτρονικής αλληλογραφίας. Για όσο διάστημα ο ιός είτε εμφανίζεται να είναι ένα γνήσιο πρόγραμμα είτε έχει τη δυνατότητα να προσκολλήσει τον εαυτό του σε γνήσια προγράμματα (όπως το λειτουργικό σύστημα), η εξάπλωση του σε άλλα συστήματα χρηστών και χωρών είναι σχεδόν εγγυημένη. Θα έπρεπε να σημειωθεί, ωστόσο, ότι αν και οι περισσότερες από τις πιο πρόσφατες συλλογές ιών είναι μοχθηρά καταστροφικές, ένας αριθμός ιών έχει παρουσιαστεί οι οποίοι είναι σχεδόν αβλαβείς. Αυτοί συνήθως πληροφορούν το χρήστη ότι ο ιός καταλαμβάνει μερικά byte στο δίσκο. Οι πιο κοινοί ιοί σβήνουν όλα τα περιεχόμενα του σκληρού δίσκου ενός χρήστη ή αλλάζουν προγράμματα και δεδομένα σε βαθμό που να είναι ανεπανόρθωτα κατεστραμμένα και εντελώς άχρηστα.

Ίσως η πιο εκτενώς αναφερθείσα επίθεση από ιό εμφανίστηκε τον Οκτώβριο του 1987, όπου ένας μεγάλος αριθμός χρηστών μικροϋπολογιστών στις Ηνωμένες Πολιτείες άρχισε να αναφέρει προβλήματα με τους δίσκους δεδομένων τους. Μια γρήγορη επιθεώρηση των volume labels αυτών των δίσκων (ένα volume label είναι ένα προσδιορισμένο από το χρήστη όνομα για τον δίσκο – όπως “cash flow figures”) έδειξε ότι όλοι είχαν το ίδιο volume label: “© Brain”. Γι’ αυτούς τους λόγους, αυτός ο ιός αναφέρεται συχνά σαν Brain virus ή σαν Pakistani Brain virus λόγω της Πακιστανικής καταγωγής του συγγραφέα, η οποία παρουσιάζεται αν ο boot sector του δίσκου ελεγχθεί. Αν και αυτός ο ιός προκάλεσε κάποια απώλεια, έγιναν σύντομα διαδικασίες που απομάκρυναν αποτελεσματικά τον ιό. Αυτές περιελάμβαναν χρήση μόνο δίσκων συστήματος οι οποίοι ήταν write-protected έτσι ώστε ο ιός δεν μπορούσε να αντιγράψει τον εαυτό του από ένα δίσκο συστήματος σε έναν άλλο, καθώς επίσης και προγράμματα που αναγνώριζαν ένα μολυσμένο δίσκο και έγραφαν ξανά τον boot sector έτσι ώστε να καταστραφεί ο ιός.

Λίγο πριν την Ημέρα των Ευχαριστιών το 1987, ένας ακόμα ιός ανακαλύφθηκε στο Lehigh University στην Bethlehem, Pasadena (και γι’ αυτό ονομάζεται Lehigh virus). Αυτός ο ιός εμφανίστηκε να είναι ιδιαίτερα μοχθηρός αφού κατέστρεφε ολοκληρωτικά τα περιεχόμενα ενός δίσκου εφόσον ο δίσκος είχε αντιγραφεί 4 φορές. Αντίθετα με τον ιό Brain, που εξαπλωνόταν όταν ένας μολυσμένος δίσκος αντιγραφόταν εξ ολοκλήρου, ήταν πολύ πιο ισχυρός και έξυπνος. Εφόσον είχε μολύνει κάποιο δίσκο, ο ιός έλεγχε και όλους τους υπόλοιπους δίσκους που υπήρχαν στο μηχάνημα. Αν ήταν bootable (δηλ., αν είχαν πάνω τους ένα αντίγραφο του λειτουργικού συστήματος), τότε ο ιός έλεγχε αν ο δίσκος ήταν ήδη μολυσμένος. Αν δεν ήταν, ο ιός αντέγραφε τον εαυτό του στον καινούριο δίσκο. Ευτυχώς, τα ίδια είδη μέτρων που ήταν αποτελεσματικά κατά του ιού Brain ήταν επίσης αποτελεσματικά κατά του ιού Lehigh, και τώρα φαίνεται να έχει καταπολεμηθεί.

Και σε ακόμα ένα περιστατικό, τα ισραηλινά PCs έδειχναν σημάδια μόλυνσης από ιό τον Δεκέμβριο του 1987, όπου προγράμματα που είχαν τρέξει χιλιάδες φορές χωρίς πρόβλημα ξαφνικά έγιναν πολύ μεγάλα για να χωρέσουν στη διαθέσιμη μνήμη. Αυτός ο ιός, ο οποίος αποσυναρμολογήθηκε από επιστήμονες υπολογιστών στο Hebrew University της Ιερουσαλήμ, παρουσίασε έναν κατά κάποιο τρόπο διαφορετικό τρόπο λειτουργίας. Εμφανιζόταν να δουλεύει αντιγράφοντας τον εαυτό του στη μνήμη και μετά προσκολλώντας τον εαυτό του σε οποιοδήποτε πρόγραμμα που ο χρήστης ίσως ακολούθως εκτελούσε. Ο συγγραφέας αυτού του ιού υπήρξε επίσης αρκετά έξυπνος ώστε να προγραμματίσει τον ιό να παρουσιάζει διαφορετικά αποτελέσματα μετά από μερικούς μήνες (σχεδόν ένα είδος time bomb). Το 1988 ο ιός θα περίμενε 30 λεπτά μετά την εκκίνηση του μηχανήματος, μετά θα μείωνε την ταχύτητα του μηχανήματος κατά έναν παράγοντα γύρω στο 5, και κομμάτια της οθόνης θα μετατοπίζονταν ανεξέλεγκτα. Το πιο σημαντικό, ωστόσο, ήταν ότι αν η ημερομηνία ήταν Παρασκευή και 13 (οποιαδήποτε Παρασκευή και 13 μετά το 1987), οποιοδήποτε πρόγραμμα εκτελούνταν διαγραφόταν από το δίσκο. Σύντομα ανακαλύφθηκε ότι ο ιός είχε εξαπλωθεί σε μεγάλο βαθμό στις περιοχές και της Ιερουσαλήμ και της Χάιφα, με μια εκτιμώμενη μόλυνση μεταξύ 10.000 και 20.000 δίσκων. Αλλά, για άλλη μία φορά, γράφτηκε λογισμικό κατά των ιών για να αναγνωρίζει μολυσμένα αρχεία και να σκοτώνει τον ιό, ενώ άλλο ένα πρόγραμμα γράφτηκε για να δρα σαν φρουρός, προειδοποιώντας τους χρήστες αν είχε γίνει μια προσπάθεια να μολυνθούν οι δίσκοι τους.

Στον ελληνικό χώρο το 1987 ένας νέος ιός εμφανίστηκε. Είχε δημιουργηθεί από το ελληνικό περιοδικό υπολογιστών Pixel που είχε προσφέρει αμοιβή σε έναν προγραμματιστή ονομαζόμενο Νίκο Νασούφη, για να γράψει έναν. Το περιοδικό δημοσίευσε τον ιό σαν μια λίστα εντολών της γλώσσας BASIC στο τεύχος του Απριλίου του 1987. Οι αναγνώστες που πληκτρολογούσαν τις εντολές βρίσκονταν με έναν πλήρως λειτουργικό ιό στους υπολογιστές τους. Δεν έκανε και πολλά εκτός από το να αναπαράγεται, αλλά κατά καιρούς εμφάνιζε ένα μήνυμα γραμμένο στα αγγλικά στην οθόνη του υπολογιστή: “Program sick error. Call doctor or buy Pixel for cure description”. Τρεις μήνες αργότερα το Pixel δημοσίευσε οδηγίες για την εξόντωσή του [CLM92].

To 1989 εμφανίστηκε ο πρώτος κρυπτογραφημένος ιός με το όνομα 1260. Επίσης, το ίδιο έτος πρωτοεμφανίστηκαν και οι Stealth ιοί οι οποίοι χρησιμοποιούν διάφορες τεχνικές για να αποφεύγουν την ανίχνευση. Σ’ αυτή την ομάδα ιών ανήκουν και οι Zero Bug, Dark Avenger and Frodo (4096 or 4K). Το 1990 παρουσιάστηκαν αυτό-τροποποιούμενοι ιοί όπως ο ιός Whale. Το 1991 έφερε τον ιό GP1 ο οποίος είναι “network-sensitive” και προσπαθεί να κλέψει password του Novel Netware. [THR92]

Μέχρι τα τέλη της δεκαετίας του ’80 εκατοντάδες ιοί δημιουργήθηκαν και προκάλεσαν ποικίλου μεγέθους καταστροφές σε όλο τον κόσμο. Το 1990 αναφέρθηκε ακόμη ότι το 10 % των υπολογιστών της Κίνας είχαν μολυνθεί από μόνο 3 είδη ιών. Τώρα ο διεθνώς αναγνωρισμένος ειδικός σχετικά με ιούς John McAfee έχει υπολογίσει τον αριθμό των διαφορετικών ιών σε περισσότερους από 1.200, με 10 μέχρι 15 καινούρια είδη να ανακαλύπτονται κάθε εβδομάδα. Και ίσως οι χειρότεροι παραβάτες είναι πρώην προγραμματιστές του Ανατολικού Μπλοκ. Μερικοί Ρώσοι ειδικοί υπολογίζουν ότι υπάρχουν 300 - 400 Ρώσικα μόνο είδη. Πολλοί από αυτούς τους ιούς είναι παραλλαγές ενός θέματος με την έννοια ότι βασίζονται σε καλά κατανοημένες τεχνικές για να μεταδίδουν τους εαυτούς τους και να μολύνουν συστήματα. Ωστόσο, νέες τεχνικές κατά των ιών αναπτύσσονται συνεχώς, και η βιομηχανία ανάπτυξης vaccines γίνεται όλο και πιο προσοδοφόρα κάθε χρόνο καθώς τα προϊόντα λογισμικού τους επιχειρούν να διασφαλίσουν τα συστήματα από την πιο μεγάλης κλίμακας απώλεια δεδομένων μέχρι τα ενοχλητικά ρεφρέν του Barry Manilow. Ναι, ο ιός του Barry Manilow παίζει ασταμάτητα τα “Mandy” και “Copacabana” εναλλάξ!

Δυστυχώς, δεν είναι όλα τα αυτόνομα αναπαραγόμενα προγράμματα τόσο αβλαβή. Τον Νοέμβριο του 1988, ένας εικοσιτριάχρονος φοιτητής της επιστήμης υπολογιστών στο Cornell University, ο Robert Morris, επινόησε ένα εξελιγμένο πρόγραμμα το οποίο παρέλυσε τη σύνδεση με το δίκτυο των ΜΙΤ, RAND Corporation, NASA’s Ames Research Center, και άλλων αμερικάνικων πανεπιστημίων. Αυτός ο ιός λέγεται ότι εξαπλώθηκε σε 6000 μηχανήματα πριν ανιχνευθεί. Τον Ιούνιο του 1989 ο Morris αποβλήθηκε από το κολέγιο αφού θεωρήθηκε ένοχος για την παραβίαση του κώδικα του πανεπιστημίου ακαδημαϊκής ακεραιότητας. Το FBI έκανε επίσης μια εξάμηνη έρευνα γι’ αυτή την αξιοσημείωτη επίθεση από ιό, και ο Morris αργότερα χρεώθηκε, υπό την Computer Fraud and Abuse Act το 1986, την μη εξουσιοδοτημένη πρόσβαση σε υπολογιστές της κυβέρνησης. Βασικά, ο Morris, καταδικάστηκε σε 400 ώρες εξυπηρέτησης της πολιτείας και επίσης πλήρωσε αποζημίωση 10.000$. Όμως παρά την τιμωρία του Morris, και άλλοι φοιτητές του Cornell από τότε έχουν κατηγορηθεί για πρόκληση ζημιάς με χρήση ιών υπολογιστών. Για παράδειγμα, τον Φεβρουάριο του 1992 οι δευτεροετείς φοιτητές David Blumental και Mark Pilgrim κατηγορήθηκαν για την εμφύτευση μολυσμένων παιχνιδιών σε αρχείο δημόσιου υπολογιστή του πανεπιστημίου του Stanford.

Γύρω στο 1989 άρχισε και η Βουλγαρία να παίζει εξέχων ρόλο στους ιούς. Ένας μεγάλος αριθμός από ιούς δημιουργήθηκαν στη Βουλγαρία, πράγμα το οποίο μπορεί να εκπλήξει μερικούς. Κάποτε ο Πρόεδρος της Βουλγαρίας ήθελε η χώρα του να γίνει πρωτοπόρος στην τεχνολογία. Προώθησε την έρευνα για το hardware των υπολογιστών και χρησιμοποίησε την επιρροή του για να πετύχει την πρόοδο που επιθυμούσε. Κάτι τέτοιο θα εξαντλούσε οικονομικούς πόρους. Οι επιστήμονες των υπολογιστών άρχισαν να ερευνούν το λογισμικό για να επαναστατήσουν ενάντια στην παράλογη απόφαση. Οι ειδικοί πάνω σε τέτοια θέματα, όπως ο Dark Avenger, άρχισαν να γράφουν ιούς. Αυτός όχι μόνο βάζει το ψευδώνυμό του στους ιούς του, αλλά επίσης αναφέρει και το που γράφτηκαν – Σόφια πρωτεύουσα της Βουλγαρίας. Οι ιοί του Dark Avenger άρχισαν να διεισδύουν στη δύση το 1989. Είναι όλοι ιδιαίτερα επιδημικοί και καταστροφικοί. Του αποδίδονται οι ιοί Eddie, Number of the Beast, Nomenklatura – που επιτέθηκε στη βιβλιοθήκη της βρετανικής βουλής κι άλλοι. Από το 1988 η “βουλγαρική βιομηχανία ιών” έχει παράγει περίπου 200 νέους ιούς [CLM92]. Ίσως κανένας αναρωτηθεί για το ηθικό κίνητρο πίσω από μια τέτοια ενέργεια. Ίσως επειδή ακριβώς αυτό το γεγονός ότι η Βουλγαρία δεν είχε καθόλου software. Ενώ τα εργοστάσια συνέχιζαν να κατασκευάζουν προσωπικούς υπολογιστές, η βασικότερη ανάγκη, τα προγράμματα που θα τους έκαναν να λειτουργούν, προέρχονταν αποκλειστικά από πειρατικά αντίγραφα. Έτσι οι Βούλγαροι άρχισαν να αντιγράφουν δυτικά προγράμματα, παραβιάζοντας τις μεθόδους προστασίας αντιγραφής που τους εμπόδιζαν, και αποκτούσαν όλο και περισσότερες ικανότητες στο hacking – με την κλασική έννοια της λέξης. Μπορούσαν να βρουν προγραμματιστικές λύσεις για κάθε πρόβλημα. Έμαθαν όλες τις λεπτομέρειες και τα κρυφά σημεία των λειτουργικών συστημάτων της IBM και της Apple. Έγιναν ικανότατοι τεχνικοί υπολογιστών, καθώς προσπαθούσαν να διατηρήσουν τους αναξιόπιστους και κακής κατασκευής υπολογιστές τους σε λειτουργία. Με λίγα λόγια, αποκτούσαν όλες εκείνες τις ικανότητες που χρειαζόταν κάποιος για να γίνει πρώτης τάξεως συγγραφέας ιών [CLM92]. Οι ιοί εξαπλώθηκαν επίσης στον κόσμο των υπολογιστών όταν εμφανίστηκαν οι “πίνακες ανακοινώσεων” δικτύου για ανταλλαγή ιών. Σ’ αυτούς τους πίνακες, οι συγγραφείς των ιών μπορούσαν να ανταλλάξουν ιδέες και τεχνικές. Μέσω αυτών των μεθόδων οι ιοί έχουν καταφέρει να επηρεάσουν τη ζωή των ανθρώπων, όσο αφορά τους υπολογιστές, με την παρουσία τους.

Μιλώντας εννοιολογικά, είναι πιθανό για ιούς και worms να πετύχουν πολύ πιο πολύπλοκη διάρρηξη από τις περιπτώσεις που αναφέρθηκαν μέχρι τώρα, και είναι σχεδόν σίγουρο ότι η επόμενη γενιά ιών λογισμικού θα παρουσιάσει ένα κβαντικό πήδημα σε ευφυία και καταστροφικότητα. Για παράδειγμα, είναι ίσως δυνατό να αναπτυχθεί ένας ιός που να προσβάλλει μόνο έναν συγκεκριμένο χρήστη σ’ ένα συγκεκριμένο δίκτυο. Με άλλα λόγια, με δεδομένη την επαρκή τεχνική εμπειρία, αντί για να προσβάλλει όλους τους χρήστες, ο ιός θα μπορούσε να περιμένει μέχρι ένα συγκεκριμένο user ID να εκτελέσει ένα μολυσμένο πρόγραμμα. Τότε ο ιός θα μπορούσε να αντιγράφει τον εαυτό του στην περιοχή δίσκου αυτού του χρήστη και να αρχίσει την καταστροφή.

Εναλλακτικά, οι ιοί μπορεί να έχουν ένα εύρος συνεπειών τις οποίες επιτελούν σε ένα τυχαίο χρονοδιάγραμμα, όπως η επιβράδυνση ενός συστήματος, η διαγραφή της ηλεκτρονικής αλληλογραφίας, το θάμπωμα της οθόνης (το οποίο σχεδόν πάντα αποδίδεται σε πρόβλημα hardware), και η κρυπτογράφηση αρχείων με ένα τυχαία επιλεγμένο κλειδί κρυπτογράφησης (αυτό θα απέτρεπε αποτελεσματικά την πρόσβαση των χρηστών στα δικά τους αρχεία μέχρι την εύρεση του κλειδιού – μια σχεδόν απίθανη διαδικασία). Τέτοιες στρατηγικές θα καθυστερούσαν την αναγνώριση μιας μόλυνσης από ιό για ένα μεγάλο διάστημα, αφού το σύνολο των συμπτωμάτων θα ήταν μεγάλο και εξαιρετικά μεταβαλλόμενο.

Τουλάχιστον ένας πρόσφατος ιός φαίνεται να χρησιμοποιεί μια τέτοια στρατηγική. Ο ιός Twelve Nasty Tricks παράγει έναν τυχαίο αριθμό για να προσδιορίσει ποια από τις 12 διαφορετικές ενέργειες να κάνει. Το ρεπερτόριο του περιλαμβάνει ένα low-level format του σκληρού δίσκου ενός PC, αντιστρέφοντας τους κεφαλαίους και μικρούς χαρακτήρες στην έξοδο εκτύπωσης, αφαιρώντας τους χαρακτήρες τέλους γραμμής από τους εκτυπωτές, σβήνοντας την οθόνη, και επηρεάζοντας το ρολόι του υπολογιστή.

Ακόμα πιο ανησυχητικό είναι το γεγονός ότι εμπορικά διανεμημένο λογισμικό έχει μολυνθεί από ιούς. Σε μία περίπτωση που είδε το φως της δημοσιότητας, ο εκδοτικός οίκος Aldus διένειμε αρκετές χιλιάδες συσκευασμένους δίσκους οι οποίοι είχαν μολυνθεί από τον ιό Peace. Το ενδιαφέρον που δημιουργήθηκε από την άφιξη των όλο και πιο πολύπλοκων και πανίσχυρων ιών παρακίνησε μερικά διακεκριμένα μέλη της κοινότητας των υπολογιστών να απαιτήσουν τον εφοδιασμό των καινούριων υπολογιστών με προστασία κατά των ιών (και στο software και στο hardware) σαν στάνταρ χαρακτηριστικό.

Η επόμενη γενιά ιών θα είναι προφανώς πολύ πιο επιλεκτική, όχι μόνο όσο αφορά το σε ποιον δρουν και τι ενέργειες εκτελούν, αλλά και στους αντικειμενικούς στόχους τους. Αυτή η πρόβλεψη γεννά έναν αριθμό ενδιαφερουσών ερωτήσεων και υποθετικών σεναρίων. Για παράδειγμα, θα μπορούσαν οι ιοί να χρησιμοποιηθούν για κατασκοπευτικούς σκοπούς, όχι μόνο διεισδύοντας στα μηχανήματα ενός εχθρού και σβήνοντας τα αρχεία τους αλλά και μαζεύοντας πληροφορίες οι οποίες θα μπορούσαν να ταχυδρομηθούν (ηλεκτρονικά) ή τελικά να μαζευτούν σαν εκδόσεις του ιού πίσω στους συγγραφείς του ιού; Θα μπορούσαν οι ιοί να γίνουν άλλη μια πλευρά των δυνατοτήτων του στρατού με τον ίδιο τρόπο που είναι τώρα η έρευνα για την κρυπτογραφία; (Ένα βιβλίο επιστημονικής φαντασίας έχει αναφερθεί σε αυτό το θέμα. Softwar: La Guerre Douce από τους γάλλους συγγραφείς Thierry Breton και Denis Beneich περιγράφει αυτό το σενάριο στις μέρες πριν το Glasnost). Με δεδομένη την αξιοσημείωτη ταχύτητα με την οποία φαίνεται να εξαπλώνονται οι καινούριοι ιοί σε όλο τον κόσμο, η ενδεχόμενη χρήση τους σαν όπλο δεν θα έπρεπε να υποτιμηθεί.

Ένας τέτοιος συλλογισμός φαίνεται να έχει μερικά θεμέλια από αναφορές προερχόμενες από τον πόλεμο του Κόλπου. Αναφερόμενος σε ένα νέο βιβλίο, Triumph without Victory: of the Persian Gulf War, U.S. News and World Report ο συγγραφέας Philip R. Karn ισχυρίστηκε ότι κατάσκοποι τοποθέτησαν ιό σε ένα από τα μικροτσίπ που χρησιμοποιούνται σε ένα μοντέλο εκτυπωτή και το μετέφεραν στην Βαγδάτη μέσω Αμμάν –προφανώς με καταστρεπτικά αποτελέσματα. Αλλες αναφορές δείχνουν ότι ο στρατός των Ηνωμένων Πολιτειών ενδιαφέρεται πολύ για τις δυνατότητες των ιών των υπολογιστών και έχει μάλιστα χορηγήσει μία προκαταρκτική μελέτη πενήντα χιλιάδων δολαρίων σε μία εταιρία γνωστή σαν Software and Electrical Engineering.

Κάποιες άλλες πρόσφατες εξελίξεις επίσης υπαινίσσονται ότι ο πόλεμος των ιών δεν είναι μόνο συλλογισμός. Ήδη, η αναλογία ενός υπολογιστικού συστήματος σαν οργανισμού και ενός ιού σαν μόλυνση έχει επεκταθεί στην ανάπτυξη προγραμμάτων που σκοτώνουν ιούς τα οποία ονομάζονται vaccines. Αυτά τα προγράμματα κοιτάνε για ίχνη ιών και ειδοποιούν τους χρήστες ότι τα συστήματα τους έχουν μολυνθεί. Μερικά από τα καλύτερα vaccines βρίσκουν τον ιό και τον σκοτώνουν διορθώνοντας τα μολυσμένα αρχεία. Επιπλέον, ακριβώς όπως θα περιμέναμε να εξαλειφθεί ένας ιός στους ανθρώπους με τη χρήση διαδικασιών απομόνωσης, όταν έχουμε να κάνουμε με μολυσμένα συστήματα αυτές οι διαδικασίες δουλεύουν εξ ίσου καλά.

Ένα από τα πρώτα anti-virus προγράμματα για υπολογιστές τύπου IBM-PC ήταν η εργασία ενός προγραμματιστή που δρούσε στη Νέα Υόρκη, του Ross Greenberg. Είπε ότι παρακολουθούσε την απειλή των ιών να πλησιάζει επί χρόνια. Το πρόγραμμά του έφερε τον τίτλο “Flu Shot”(αντίδοτο γρίπης) [CLM92].

Τα “Scanners” και τα “Disinfectors”, τα πιο δημοφιλή είδη antivirus, βασίζονται στην πολύ καλή γνώση του κώδικα των ιών. Τα “scanners” ψάχνουν για “signature strings” (δηλ. για συγκεκριμένα strings που χαρακτηρίζουν τον κώδικα του ιού) ή χρησιμοποιούν αλγοριθμικές μεθόδους ανίχνευσης για να αναγνωρίσουν γνωστούς ιούς. Τα “Disinfectors” βασίζονται σε υπαρκτές πληροφορίες, που αφορούν το μέγεθος ενός ιού και το είδος της τροποποίησης, για να επαναφέρουν τα περιεχόμενα ενός μολυσμένου αρχείου [THR92].

Αλλά για πολλές επιθέσεις ιών η μόνη λύση –υπό τον όρο ότι ένα vaccine δεν φέρνει αποτελέσματα– είναι το άδειασμα του σκληρού δίσκου καθώς επίσης και οποιωνδήποτε άλλων μέσων (ταινίες, δισκέτες) που μπορεί να έχουν έρθει σε επαφή με τους ιούς (σχεδόν όπως burning linen και άλλα πιθανώς μολυσμένα αντικείμενα). Στη συνέχεια, καθαρά αντίγραφα του συστήματος και εφεδρικοί δίσκοι (backup disks) ξαναφορτώνονται στο σκληρό δίσκο. Μέχρι να γίνει αυτό, ο υπολογιστής δεν θα έπρεπε να χρησιμοποιείται για κανένα άλλο σκοπό και η ανταλλαγή μέσων αποθήκευσης είναι εξαιρετικά ανόητη.

Εν τούτοις ίσως ο καλύτερος τρόπος άμυνας κατά των ιών είναι να τους επιτρέπεται πολύ πιο δύσκολα να γράφονται. Μερικοί ειδικοί ισχυρίζονται ότι ο τρόπος για να γίνει αυτό είναι να τοποθετηθεί το λειτουργικό σύστημα σε έναν δίσκο ανάγνωσης-μόνο ή σε μία ROM (μνήμη ανάγνωσης-μόνο που αποτελείται από chips, τα οποία δεν μπορούν να μετατραπούν και επομένως να μολυνθούν). Αλλες διαδικασίες περιλαμβάνουν την εκτέλεση ελέγχων ισοτιμίας στο λογισμικό (βασικά ένας αριθμητικός υπολογισμός, όπως μία πρόσθεση, σε ένα αρχείο· αν ο υπολογισμός αποφέρει το σωστό αποτέλεσμα, είναι απίθανο το αρχείο να έχει τροποποιηθεί)· φτιάχνοντας κάθε αντίγραφο ενός λειτουργικού συστήματος διαφορετικό στη φυσική του διάταξη (δηλαδή την μορφή της αποθήκευσης του στο δίσκο)· και οποτεδήποτε κάποιος χρησιμοποιεί έναν δίσκο για πρώτη φορά, να σιγουρεύεται πρώτα ότι το λειτουργικό σύστημα στον δίσκο ταιριάζει με αυτό που είναι στη μνήμη.

Εξαιτίας του ρίσκου ότι οι επιθέσεις των ιών στοχεύουν στην γνώση του ενεργητικού μεγάλων εταιριών και συνεταιρισμών, και εξαιτίας της έλλειψης εμπειρίας σχετικά με την αντιμετώπιση τους, ένας αριθμός από εταιρίες ασφάλειας και συμβουλευτικές εταιρίες έχουν εμφανιστεί για να εκμεταλλευθούν αυτήν την προσοδοφόρα κατάσταση. Επιπλέον, η ανάπτυξη hardware μορφής ιών έχει αυξήσει τη ζήτηση τέτοιων εταιριών, ιδίως μετά την ανακάλυψη της συσκευής που είναι γνωστή σαν Big Red. Αυτό το μικρό ηλεκτρονικό μηχάνημα εγκαθίσταται κρυφά σε μια υπολογιστική εγκατάσταση από έναν εσωτερικό ή εμπορικό σαμποτέρ. Όπως οι software ιοί, αυτή η συσκευή είναι παρασιτική στο ότι διασυνδέεται με το λειτουργικό σύστημα του υπολογιστή και μετατρέπει τα κρυπτογραφημένα αρχεία σε “αόρατα” που μπορούν να ελεγχθούν εύκολα από άλλους χρήστες, αν ξέρουν που βρίσκονται τα αρχεία και τι να ψάξουν. Τουλάχιστο πενήντα Big Reds έχουν βρεθεί στις Ηνωμένες Πολιτείες, στο Ηνωμένο Βασίλειο, και στην Αυστραλία σε τραπεζικά και χειρισμού-συναλλαγών συστήματα.

Δυστυχώς, όπως στις διεισδύσεις σε συστήματα και στα υπολογιστικά εγκλήματα, είναι συχνά δύσκολο να συλλέξεις δεδομένα για τα επεισόδια των επιθέσεων από ιούς επειδή αυτά ίσως έχουν σημαντικές συνέπειες στις κοινές τιμές και στην σιγουριά των επενδυτών. Ωστόσο, μια πρόσφατη έρευνα εξακοσίων εταιριών και κυβερνητικών αντιπροσωπειών των Ηνωμένων Πολιτειών και του Καναδά αποκάλυψε ότι το 63 τις εκατό από αυτές υπέφερε από έναν τουλάχιστο ιό το 1991, εν συγκρίσει με μόνο το 25 τις εκατό το 1990. Επιπροσθέτως, το 40 τις εκατό αυτών των ιδρυμάτων είχε τουλάχιστον ένα περιστατικό με ιούς τους τελευταίους μήνες του 1991, με τα δίκτυα να είναι η πιο κοινή μορφή διάδοσης. Αλλες ανεξάρτητες έρευνες από τους Coopers & Lybrand Deloitte υπαινίσσονται ότι από τις 500 κορυφαίες εταιρίες του Ηνωμένου Βασιλείου, το 24 τις εκατό υπέφερε από μία επίθεση από ιό στα τελευταία τρία χρόνια. Το εθνικό πρακτορείο ασφάλειας των Ηνωμένων Πολιτειών αποκάλυψε ότι τα δύο-τρίτα των εταιριών που ερεύνησαν έχει αναφέρει τουλάχιστο έναν ιό στους υπολογιστές τους και ότι το 10 τις εκατό από τις 600 κυβερνητικές αντιπροσωπείες και επιχειρήσεις που κατέγραψε, δέχθηκε επίθεση επαρκή για να κλείσει είκοσι-πέντε ή περισσότερους υπολογιστές.

Αλλά ίσως ακόμα πιο ανησυχητική είναι η επίδραση που μπορεί να έχουν οι ιοί σε μεγάλα, εξαιρετικά πολύπλοκα, και ενδεχομένως επικίνδυνα συστήματα, όπως αυτά που διαχειρίζονται συστήματα ελέγχου εναέριας κυκλοφορίας, υδροηλεκτρικά φράγματα, και πυρηνικά εργοστάσια. Ήδη τουλάχιστον ένα εργοστάσιο πυρηνικής ενέργειας έχει προσβληθεί από την εισαγωγή ενός ιού υπολογιστή. Στις αρχές του 1992 ένας υπάλληλος του εργοστασίου ατομικής ενέργειας στην Ignalia, Lithuania, μόλυνε το σύστημα του με την ελπίδα ότι θα πληρωνόταν γενναιόδωρα για να επισκευάσει τη ζημιά. Σαν αποτέλεσμα αυτού του συμβάντος, σταμάτησε η λειτουργία και των δύο αντιδραστήρων και η κυβέρνηση της Σουηδίας ανακοίνωσε ότι θα πλήρωνε για να διορθωθούν τα είκοσι “μικρά προβλήματα” που παρουσιάστηκαν.

Αλλες ενδεχομένως απειλητικές για τη ζωή επιθέσεις από ιούς περιλαμβάνουν τη μόλυνση τριών νοσοκομείων του Michigan που καθυστέρησαν τη διάγνωση των ασθενών και απείλησαν με απώλεια δεδομένων και ακόμα και μπέρδεμα των εγγραφών των ασθενών. Και όπως κάθε ισχυρή τεχνολογία, οι ιοί έχουν χρησιμοποιηθεί από τους διανοητικά ανισόρροπους για να προκαλέσουν πελώρια ζημιά. Ίσως η πιο σοβαρή περίπτωση περιλαμβάνει τον Dr. Joseph Popp, έναν ερευνητή του AIDS, που είχε δουλέψει στην Αφρική για δέκα χρόνια, ο οποίος διένειμε 20.000 μολυσμένες δισκέτες υπολογιστή με την ετικέτα “Πληροφορίες για το AIDS” σε οργανισμούς τους οποίους αποκόμισε από μία mailing list σχετικά με το AIDS. Ο Popp ήταν ο πρώτος άνθρωπος που εκδόθηκε ποτέ για έγκλημα με υπολογιστή και ο πρώτος που πέρασε δίκη στην Αγγλία για τη συγγραφή κάποιου επικίνδυνου προγράμματος [CLM92]. Δυστυχώς, η διανοητική κατάσταση του Popp επιδεινώθηκε σε τέτοιο βαθμό ώστε του ήταν αδύνατο να δικαστεί για τα παραπτώματα του. Αυτά και άλλα περιστατικά παρουσίασαν την ανάγκη για προληπτικά μέτρα και για υψηλής ανταπόκρισης ομάδες επείγουσας ανάγκης οι οποίες μπορούν να δράσουν γρήγορα για να περιορίσουν την προερχόμενη από ιό καταστροφή που προκλήθηκε σε ευαίσθητα συστήματα. Ένα τέτοιο παράδειγμα είναι η πρωτοβουλία του τμήματος άμυνας των Ηνωμένων Πολιτειών (U.S. Defense Department) στη δημιουργία Ομάδων Ανταπόκρισης Επειγόντων περιστατικών Υπολογιστών (Computer Emergency Response Teams – CERTs) για την καταπολέμηση ιών και άλλων απειλών κατά της ασφάλειας των υπολογιστών.

Μερικές από τις ηθικές δυσκολίες συσχετιζόμενες με το hacking και τους ιούς είναι ήδη αρκετά γνωστές, ενώ άλλες, περισσότερο υποθετικές, δεν έχουν ακόμα εμφανιστεί στο προσκήνιο. Αναγνωρίζοντας την αξία του hacking ή της διείσδυσης σε κάποιο σύστημα, η νομική θέση στις διάφορες χώρες είναι μπερδεμένη και μερικές φορές αντιφατική. Αλλά τα κεντρικά θέματα που σχετίζονται με hacking παραμένουν σχεδόν παγκόσμια.

Όταν ένας hacker αποκτά πρόσβαση σε ένα σύστημα και ψάχνει στα αρχεία μιας εταιρείας χωρίς να μεταβάλλει τίποτα, τι ζημιά έχει προκληθεί; Έκλεψε ο hacker απλά ηλεκτρισμό αξίας λίγων δραχμών; Στην πραγματικότητα, αν ο hacker πληροφορήσει την εταιρεία για τις χαλαρές διαδικασίες ασφάλειας της, προκαλεί αυτός ή αυτή ένα δημόσιο όφελος εκτελώντας μία εξυπηρέτηση για την οποία θα έπρεπε διαφορετικά να πληρώσει η εταιρεία; Σε μερικές χώρες, όπως ο Καναδάς, δεν είναι παράπτωμα να μπεις σε κάποιου το σπίτι, να ρίξεις μια ματιά, και να φύγεις, εφόσον τίποτα δεν έχει πειραχθεί ή καταστραφεί. Μπορεί ο “περίπατος” ενός hacker να θεωρηθεί υπό παρόμοιους όρους;

Δυστυχώς, η νομική βάση που εφαρμόζεται για εισβολή σε κάποιο σύστημα συσχετίζεται με τα μαύρα χρόνια των πραγματικών κλειδαριών και πορτών και των φυσικών μορφών πληροφορίας όπως τα σχέδια και τα συμβόλαια. Εξ ίσου, ο νόμος όπως εφαρμόζεται στην παραβίαση και την εισβολή –καταστροφή φυσικών κλειδαριών– και η κλοπή πληροφοριών σε μορφή χαρτιού είναι ένας ανεπαρκής παραλληλισμός όταν εφαρμόζεται σε ηλεκτρονικές κλειδαριές που προβάλλουν τα modem και τα συστήματα password και οι αρκετά ευμετάβλητες μορφές πληροφορίας που παρουσιάζουν τα αρχεία υπολογιστών. Μετά απ’ όλα αυτά, όταν κάποιος εισβάλλει σε ένα σύστημα, τίποτα δεν έχει παραβιαστεί: γι’ αυτό το λόγο, δεν υπάρχει προφανής σκοπός για πρόκληση ζημιάς. Όταν ένα αρχείο έχει ανοιχθεί ή επιλεκτικά διαβαστεί, τι έχει κλαπεί; Οι πληροφορίες είναι ακόμα εκεί. Και αν συμβεί κάποιος να δοκιμάσει μερικά προγράμματα ενόσω “τριγυρνάει” σε ένα σύστημα, είναι αυτό σχεδόν παρόμοιο με το να δεις κάποιου το ποδήλατο, να κάνεις μια βόλτα με αυτό για λίγο, και να το επιστρέψεις πίσω; Και πάλι, τι ζημιά προκλήθηκε, τι έγκλημα διαπράχθηκε; Κατά την άποψη πολλών hacker, μόνο με την πιο επιπόλαια έννοια θα μπορούσε αυτό το είδος χρήσης να θεωρηθεί παράνομο.

Απ’ την άλλη μεριά, όπου λαμβάνει χώρα κακόβουλη καταστροφή πληροφορίας (όπως η καταστροφή των εγγραφών των ασθενών σ’ ένα σύστημα διαχείρισης υγείας), τότε είναι ξεκάθαρο ότι ένα είδος εγκληματικής ενέργειας έχει παρουσιαστεί. Το πρόβλημα βρίσκεται στην εξακρίβωση του μεγέθους της καταστροφής και το βαθμό στον οποίο η ενέργεια ήταν προμελετημένη. Δυστυχώς, σε ένα πολύπλοκο και ίσως ελάχιστα κατανοητό υπολογιστικό σύστημα, είναι αρκετά εύκολο να προκληθεί ακούσια καταστροφή, αλλά είναι εξαιρετικά δύσκολο να εξακριβωθεί ο βαθμός στον οποίο η ενέργεια ήταν κακόβουλα προσχεδιασμένη. Επιπροσθέτως, για εκείνους οι οποίοι χρησιμοποιούν για πρώτη φορά ένα σύστημα, είναι δύσκολο να αποτιμήσουν τις συνέπειες μερικών ενεργειών ή το βαθμό στον οποίο μπορεί μια σειρά εντολών να μεταβάλλει τη λειτουργικότητα ενός συστήματος. Είναι αυτό ένα παράδειγμα άγνοιας του νόμου και είναι εξ ίσου απαράδεκτο σαν υπεράσπιση;

Ίσως αυτό που είναι βασικό στην ηθική διαφωνία που αναφέρεται στην συμπεριφορά ενός hacker είναι οι διαφορετικές αντιλήψεις των συστημάτων από τους ιδιοκτήτες τους και από τους επίδοξους hacker. Για τους ιδιοκτήτες συστημάτων, το σύστημα είναι η ιδιοκτησία τους (όπως υποδηλώνεται στα πλαίσια του νόμου) –φυσικών, με υλική υπόσταση συλλογών από κεντρικούς επεξεργαστές και disk drives– που αγόρασαν, πλήρωσαν και συντηρούν για τη χρήση από εξουσιοδοτημένα άτομα για να φέρουν σε πέρας εξουσιοδοτημένες λειτουργίες προς όφελος της εταιρίας. Οποιοδήποτε μη εξουσιοδοτημένο άτομο ή ακόμα και ένα εξουσιοδοτημένο άτομο που χρησιμοποιεί το σύστημα για μη εξουσιοδοτημένους σκοπούς είναι επομένως ένοχος για κάποιου είδους παράνομη χρήση –μια εγκληματική ενέργεια στα μάτια των ιδιοκτητών. Για τους hacker, όμως, ένα σύστημα είναι μια πηγή πληροφοριών στο τέλος μίας τηλεφωνικής γραμμής. Είναι κάτι ενδιαφέρον, ένα εργαλείο που μπορούν να δανειστούν για λίγο και μετά να το επιστρέψουν, πιθανώς χωρίς να γίνει καμία ζημιά και χωρίς να το μάθει κανένας.

Μπαίνουμε σε ένα διαφορετικό πεδίο, όμως, όταν αντιμετωπίζουμε ενέργειες κλοπής και εκ προθέσεως καταστροφής. Είναι ξεκάθαρο ότι η κλοπή αριθμών πιστωτικών καρτών και η κυκλοφορία τους σε άλλους hacker είναι εγκληματικές ενέργειες, όπως είναι και η χρήση τους για επίτευξη δωρεάν τηλεφωνημάτων ή για αγορά άλλων αγαθών και υπηρεσιών. Η καταστροφή πληροφοριών ή η σκόπιμη αλλαγή τους σ’ ένα υπολογιστικό σύστημα μπορεί να θεωρηθεί υπό τους ίδιους όρους. Εν τούτοις, για να επιστρέψουμε σ’ αυτό που αναφέραμε νωρίτερα, θα έπρεπε να θεωρήσουμε το ψάξιμο σε ένα σύστημα σαν εγκληματική ενέργεια; Ίσως η απάντηση εξαρτάται από τη φύση των πληροφοριών και από το σε ποιον ανήκουν. Αναμφισβήτητα, οι χειριστές μιας στρατιωτικής εγκατάστασης θα καταδίωκαν μέχρι τέλους οποιαδήποτε μη εξουσιοδοτημένη πρόσβαση, ακόμα και αν το σύστημα αφορούσε τον έλεγχο των πλυντηρίων του στρατού. Η κυβέρνηση και ο στρατός έχουν το δικαίωμα να αρνηθούν την πρόσβαση σε συγκεκριμένες πληροφορίες αν πιστεύουν ότι αυτό είναι βασικό για την άμυνα ή για το επακόλουθο καλό της κυβέρνησης. Εν τούτοις, είναι η υπηρεσία πλυντηρίων βασική για την εθνική ασφάλεια ή το καλό της κυβέρνησης; Για ακόμα μία φορά, αντιμετωπίζουμε ένα πολύ συνηθισμένο δίλημμα: ποιος είναι ο κάτοχος αυτής της πληροφορίας και ποιος θα έπρεπε ή δεν θα έπρεπε να έχει πρόσβαση σε αυτήν; Η ειρωνεία είναι ότι οι ενέργειες των hackers οδηγούν σε μια κατάσταση που μπορεί να γίνει κρίσιμη. Οι υπεύθυνοι ασφαλείας έχουν μια σαφή υποχρέωση να προστατεύουν τα συστήματά τους από την ηλεκτρονική διείσδυση μη εξουσιοδοτημένων χρηστών. Καθώς οι hackers γίνονται ικανότεροι, ο κλοιός ασφαλείας σφίγγει, απειλώντας αυτή την ίδια την ‘‘ελευθερία της πληροφορίας’’ που υποτίθεται ότι προασπίζουν οι hackers, στην αγνή μορφή της δηλωθείσας φιλοσοφίας τους [CLM92].

Στον ιδιωτικό τομέα, θα μπορούσαμε να ρωτήσουμε, τι δικαιώματα έχει μια εταιρεία να κρατάει προσωπικές πληροφορίες και τι δικαιώματα έχει να αρνείται σε διάφορα άτομα την πρόσβαση σε αυτές τις πληροφορίες; Για παράδειγμα, μερικές εμπορικές υπηρεσίες έχουν πρόσβαση σε βάσεις δεδομένων που περιέχουν πληροφορίες πιστωτικών συναλλαγών εκατοντάδων χιλιάδων ανθρώπων. Οι χορηγοί αυτών των βάσεων δεδομένων έχουν συλλέξει αυτές τις πληροφορίες από ένα μεγάλο εύρος πηγών και τις έχουν οργανώσει έτσι ώστε να σχηματίζουν μία ιστορία και μια αποτίμηση της αξιοπιστίας μας σαν οφειλέτες. Ποιος έδωσε το δικαίωμα σε αυτές τις εταιρίες να συλλέγουν τέτοιες πληροφορίες; Ποιος τους έδωσε το δικαίωμα να τις πουλάνε (πράγμα το οποίο κάνουν, μαζί με υπογεγραμμένες λίστες, ονόματα, και διευθύνσεις); Τι όρια υπάρχουν στην κοινωνική σπουδαιότητα αυτών των πληροφοριών για την ποιότητα της ζωής μας; Τι δικαιώματα θα έπρεπε να έχουμε για να βεβαιωθούμε ότι οι προσωπικές μας πληροφορίες είναι σωστές; Ας υποθέσουμε ότι ένας hacker διεισδύει σε ένα σύστημα για να διορθώσει τις ανακριβείς εγγραφές αυτών που δεν τους επιτράπηκε να διορθώσουν τα λανθασμένα δεδομένα. Ποια από αυτές τις οντότητες –ο ιδιοκτήτης της βάσης δεδομένων ή ο hacker– έχουν διαπράξει το μεγαλύτερο ηθικό λάθος; Ή είναι και οι δύο εξ ίσου ένοχοι;

Ίσως το τελευταίο θέμα είναι αυτό σχετικά με την ιδιοκτησία πληροφοριών: Δεν θα έπρεπε πληροφορίες για εμένα να ανήκουν σε εμένα; Ή θα έπρεπε εγώ, σαν χειριστής της βάσης δεδομένων, να είμαι ιδιοκτήτης οποιασδήποτε πληροφορίας για την οποία πλήρωσα για να την μαζέψω και να την αποθηκεύσω; Απ’ την άλλη μεριά δεδομένου ότι η αποθήκευση πληροφοριών επικρατεί παντού και η λειτουργικότητα της μοντέρνας κοινωνίας μας βασίζεται σε αποθήκευση δεδομένων με χρήση υπολογιστών, έχει το κοινό το δικαίωμα να απαιτεί απόλυτη ασφάλεια σ’ αυτά τα συστήματα; Τέλος, θα έπρεπε μερικοί hackers να θεωρηθούν οι ανεπίσημοι δημοσιογράφοι μας για έρευνα –ανακαλύπτοντας ποιος κρατάει τι πληροφορίες για ποιον και με τι σκοπό, ελέγχοντας αν οι συνεταιρισμοί υπακούουν στους νόμους προστασίας των δεδομένων, και ξεσκεπάζοντας στυγερές εξαπατήσεις τις οποίες η κυβέρνηση δεν μπορεί, ή δεν θα, τερματίσει;

Πολλοί οργανισμοί στην μοντέρνα κοινωνία διεκδικούν να κατέχουν τα δικαιώματα για τη συλλογή και διατήρηση πληροφοριών και την χρήση τους με τη μορφή συστημάτων πληροφοριών βασισμένων σε υπολογιστή. Επιπλέον, εκτός από τους κινδύνους της συγκέντρωσης της δύναμης και του κύρους της κυβέρνησης, η συγκέντρωση πληροφοριών σε ισχυρά υπολογιστικά συστήματα αυξάνει την επιρροή τους στο να μετατρέψουν την κοινωνία μας, και στη συνέχεια, να κάνουν εμάς περισσότερο εξαρτημένους από αυτούς, και έτσι να αυξήσουν την επιρροή τους περισσότερο. Εν τούτοις, όπως με τους συνεταιρισμούς και τα ιδρύματα, οι hackers αντιδρούν, διεκδικούν επίσης ιδιαίτερα δικαιώματα όσον αφορά την πρόσβαση και την κατοχή πληροφοριών.

Η νέα τεχνολογία απαιτεί νέους τρόπους προσέγγισης. Οι αντιδράσεις των αρχών στον υπόκοσμο των υπολογιστών δείχνουν μια εξάρτηση σε πεπαλαιωμένες ιδέες. Το hacking γίνεται παραβίαση και διείσδυση. Τα παιχνίδια όπου οι χρήστες υποδύονται κάποιο ρόλο γίνονται συνωμοσίες. Η εξερεύνηση γίνεται κατασκοπία. Η πεπαλαιωμένη ορολογία εξαφανίζει τον διαχωρισμό μεταξύ ‘‘κακών’’ και ‘‘καλών’’ hackers. Και υπάρχει πραγματικά μια διαφορά μεταξύ τους. Η κοινωνία μπορεί να ανεχτεί κάποιες δραστηριότητες του υποκόσμου των υπολογιστών. Οι hackers είναι ως επί το πλείστον εξερευνητές, που παρακινούνται από περιέργεια και δίψα για μάθηση. Αναπόφευκτα, θα διεισδύσουν σε υπολογιστές και μπορεί να προκαλέσουν μικροζημιές ή να απορροφήσουν τον χρόνο κάποιου συστήματος και πιθανότατα θα εξαπατήσουν κατά κάποιο τρόπο το σύστημα τηλεπικοινωνιών στη προσπάθειά τους αυτή. Αλλά οι σκοποί τους, στις περισσότερες περιπτώσεις δεν είναι κακοί. Από την άλλη πλευρά, οι σκοτεινές τέχνες της συγγραφής ιών και του hacking για κλοπή χρημάτων είναι αδικαιολόγητες. Οι συγγραφείς ιών είναι ηλεκτρονικοί βάνδαλοι. Οι hackers που κλέβουν είναι υψηλής τεχνολογίας ληστές. Η διαφορά μεταξύ του καλού του κακού συγχέεται συχνά. Ο διαχωρισμός βασίζεται στο κίνητρο: Οι κακόβουλοι ή εγκληματίες θα πρέπει να αντιμετωπίζονται διαφορετικά από τους απλά έξυπνους ή περίεργους [CLM92].

Για πολλούς σχολιαστές, αυτά τα θέματα θα έπρεπε να λυθούν στον νομικό τομέα εξακριβώνοντας τα δικαιώματα και τις ευθύνες των κατόχων πληροφοριών και τη νομική κατάσταση των πληροφοριών και των συστημάτων πληροφοριών. Αλλά μια τέτοια προσέγγιση ίσως να είναι πολύ περιορισμένη. Οι ενέργειες των hacker μπορούν να αποτραπούν όχι μόνο με σκληρή νομοθεσία αλλά και κάνοντας τα συστήματα ασφαλή πρώτα απ’ όλα. Αυτό σημαίνει, κάνοντας τα ασφαλή στη σχεδίαση τους, στην τεχνολογική υλοποίηση τους, και στις διαδικασίες και τεχνικές που χρησιμοποιούνται κατά τη χρήση τους. Και, διαδοχικά, αυτή η προστασία συνεπάγεται επίσης ότι στους υπαλλήλους και τους διαχειριστές των συστημάτων πρέπει να καλλιεργήσουμε ένα αίσθημα ευθύνης όσο αφορά την ασφάλεια.

Υπάρχει ένας σημαντικός ρόλος της ηθικής μόρφωσης σε καθαρά μη ηθικές πρακτικές και σε περιοχές ηθικής σύγκρουσης. Δυστυχώς, η δυσκολονόητη φύση των υπολογιστών συχνά απομακρύνει από τις πραγματικές συνέπειες, και αυτό που φαίνεται σε μερικούς να είναι αθώα ενέργεια, μπορεί να προκαλέσει ανυπολόγιστη ζημιά αν πάει στραβά. Αυξάνοντας την ευαισθησία των καθηγητών και φοιτητών της πληροφορικής για τις ηθικές συνέπειες της συμπεριφοράς τους, το ποσοστό του hacking ίσως μειωθεί. Αυτή η τρίπλευρη προσέγγιση αναθεώρησης των υπαρχόντων νόμων, η δημιουργία και η χρήση περισσότερο ασφαλών συστημάτων, και η ευαισθητοποίηση των ατόμων σε ηθικά θέματα έχουν συνηγορήσει σε πιο πρόσφατα συγγράμματα από τον Peter Denning και άλλες αυθεντίες. Ακόμα και αντιπρόσωποι της IBM έχουν μιλήσει για τους περιορισμούς των τεχνικών μέτρων κατά του hacking και των ιών και υπαινίχθησαν ότι το μεγαλύτερο κέρδος θα μπορούσε να επιτευχθεί απλά πείθοντας τους ανθρώπους ότι οι υψηλής πιστότητας εφευρέσεις είναι λάθος.

1. [THR92] Threat Assessment of Malicious Code and Human Threats, Lawrence E. Bassham and W. Timothy Polk, National Institute of Standards and Technology, Computer Security Division, October 1992.
2. [HOF90] Lance Hoffman. Rogue Programs: Viruses, Worms, and Trojan Horses, Van Norstrand Reinhold, 1990.
3. [DEN90] Peter Denning. Computers Under Attack: Intruders, Worms, and Viruses. ACM Press, 1990.
4. [SPA89] Eugene Spafford. The internet worm program: An analysis. Computer Communication Review, 19(1), January 1989.
5. [CLM92] Approaching Zero: Data Crime and the Computer Underworld, Paul Mungo, Bryan Clough, 1992