EXKLUZIVNÍ INTERVIEW S BRUCEM P. BURRELLEM


BRUCE P. BURRELL

bpb@umich.edu
Team Leader of AntiVirus Team, University of Michigan,

je Team Leader a technický poradce jejich Virus Busters. Je aktivní v potlačování virusů od roku 1988, je dlouhodobý přispěvatel listů comp.virus/VIRUS-L , alt.comp.virus, a je také přispěvatel do FAQ (Časté otázky) pro obě tyto newsgroups. Nejlépe je asi znám pro své kichotické křížácké tažení proti odstraňování virusů pomocí nedokumentovaného flagu v programu FDISK.EXE (to je zřejmě vtip, pozn. jansan)

Brucovy druhé zájmy zahrnují volleyball, kouzelnictví a ballroomové tance (tj. párové tance, jako waltz, foxtrot a jiné, pozn.jansan).


JANSAN:
Můžeme dostat virus tím, že budeme číst svou poštu?

B.P. BURRELL :
Zde musíme být opatrní při zodpovídání této otázky, neboť "čtení pošty" může pro různé lidi znamenat různé věci. Krátká odpověď je ovšem: NE.

A dlouhá odpověď? Ta je ovšem také NE, ale vyžaduje určité vysvětlení:

1) Především, je nemožné "chytit" virus čtením 7 bitového textu internetové elektronické pošty (v originále e-mail, pozn. jansan).

2) "Je" ale možné zahrnout virus do textu (v originále body, pozn.jansan) 7 bitové pošty, ALE JEN V NEEFEKTIVNÍ FORMĚ. Například, lze jej dostat uuencoded (tj. kódovaný skrze poštovní encoder UUENCODE, pozn. jansan) nebo Bin Hexed (tj zakodovany v hex, pozn. jansan) - ale ten by byl sterilní, dokud nebude dekódovaný a navíc nemůže nic ovlivnit, dokud není dekódovaný A spuštěný (v originále executed, pozn. jansan).

3) Ovšem, je možné udělat e-mailový program (v originále product, pozn. jansan) , který by se díval do textu e-mailu, našel a dekódoval cokoliv by tam našel, ačkoliv by bylo nesmyslné (doslova foolish, pozn. jansan) dovolit nějakému programu, aby to skutečně dělal.

JANSAN:
A co přílohy, attachments?

B.P. BURRELL:
Jaké skvělé navázání ! (v originále segue, výraz z hudby, zde míněno poloironicky, pozn. jansan)

4) Příloha může obsahovat virus, ovšemže. Ale pouhé obdržení pošty, která má attachment, není ještě nebezpečné - POKUD I PŘÍLOHU NEROZBĚHNETE (v originále execute čili run, pozn. jansan).

5) Jako výše v bodě 3, bylo by možné mít poštovní program, který by je rozbíhal a takové programy opravdu existují. Bylo by ale stejně riskantní, ne-li více, používat je v této konfiguraci. Podle mého názoru, program, který dovolí, aby se attachmenty rozeběhly jako "default" (tj. bez operátorova příkazu, pozn. jansan) je špatně zformován (doslova "informován", pozn. jansan) a měli byste se mu vyhýbat za každou cenu: výrobce patrně neví o nebezpečí, které způsobují makro-virusy wordprocessoru Word, jež jsou příliš často bezmyšlenkovitě poslány jako e-mail attachmenty (zde je míněn případ, když "pošlete dál", tj. forward, nějaký dopis i s jeho attachmentem, pozn. jansan).

6) Problém s prohlášením, že "nemůžete dostat virus jen pouhým čtením e-mail pošty" je v tom, že u některých programů je rozběhnutí attachmentů prováděno jedním ťuknutím myši (v originále click, pozn. jansan) - tuším, že Microsoft Mail (MS mail) a "cc:mail" (to je program, pozn. jansan) mají "knoflík" k přímému uložení attachmentu a případně ho přímo rozběhnout (u MS Mail a Internet Mail stačí ťuknout na ikonu, pozn. jansan). Když máte tu smůlu, že obdržíte soubor, který obsahuje virus a nemáte adekvátní protivirovou ochranu (viz níže), můžete být nepříjemně překvapen(a).

7) Jistě brzo uvidíme výrobky, které nebudou mít ten osudný klick, jedno z oněch "usnadnění obsluhy" (míněno ironicky, pozn. jansan), které se nyní zdá převládat v počítačové doméně. {Nechci nikoho jmenovat, ale firma, kterou mám na mysli, má iniciálky "Microsoft".} (celý text v křídlaté závorce je od B.P. Burrella, pozn. jansan). Tím není míněno "dostat virus čtením email ové pošty" ale "dostat virus díky nezodpovědnému poštovnímu programu, který rozběhne infikovaný attachment nebo zakódovaný virus uvnitř textu". Jestli o tom pochybujete, uvažte toto: je možné, abych měl narušeno utajení (doslova security, pozn. jansan) kdybych obdržel stejný attachment na mém systému Unix, kde čtu poštu pomocí programu Pine? Ovšemže ne. Takže i kdybyste sestavili možný případ (v originále scénář) kde někdo dostal virus přes poštu, dojdete k názoru, že se jedná o špatné zabezpečení security a ne o pouhé čtení pošty.

JANSAN:
Pokud se týká attachmentů: jaký je nejlepší způsob zabránit infekci virusem (specielně infekci způsobené omylem)?

B.P. BURRELL:
Pojem "nejlepší" je ovšem dán tím, čemu osobně dáváte přednost.

1) Připomeňme si Richardovy Zákony Počítačové Security:
a) Nekupuj si počítač.
b) Koupíš-li počítač, nezapínej ho.
Pro většinu lidí je tohle příliš drastické, takže tady jsou ještě jiné způsoby:

2) Používej email, která má jen text, jako Unixové Mh, Elm, či Pine. To má několik výhod:
a) Běhá to jen na Unixovém formátu, takže to není ovlivněno virusy, které běhají na PC nebo Macovi.
b) Když dostanete virus jako attachment - řekněme v Pine, není zde žádný knoflík, na který se dá ťuknout, aby to běželo automaticky.
c) I kdyby jste mohli rozběhnout attachment, běžel by v Unixu. Aby se mohl rozběhnout, musel by se nejdříve uložit do "Unix boxu", naloudovat (slengový český výraz pro "downloaded", pozn. jansan) a teprve pak se k němu dostat na vaší workstation. To dává vašemu lokálnímu antivirusovému programu šanci nachytat zlosyna (doslova malware, tj. zlé software, pozn. jansan).

3) Kup si kvalitní antivirusový program, nainstaluj ho a obnovuj vždy při jeho nové verzi. Co je zvláště důležité, je mít opravdu silný skener "on access" (tj. který zčekuje všechny soubory vždycky před jejich použitím nějakým programem či operačním systémem, pozn. jansan). Potřeby různých uživatelů jsou různé, ale na sajtech níže si pomůže číst ohodnocení, která jsou nezávislá a kompetentní:

http://www.virusbtn.com/ Virus Bulletin
http://www.westcoast.com/ Secure Computing
http://www.uta.fi/laitokset/virus/ University of Tampere
ftp://ftp.informatik.uni-hamburg.de/pub/virus/ Virus Test Center
http://agn-www.informatik.uni-hamburg.de/vtc/naveng.htm2

Abyste mohli zjistit, které software je hodnotné a které je spíše silné v reklamě, než v použití, navštivte prosím také sajt Virus Busters Michiganské Univerzity, který pomáhám udržovat:
http://www.umich.edu/~wwwitd/virus-busters/

4) Nikdy si nenastavte poštu, aby vám otvírala attachmenty automaticky. Pokud takovou najdete, považujte ji za bezcennou (doslova garbage, odpad, pozn. jansan) z hlediska security. Co mě se týká, já bych nikdy nepoužíval ani nedoporučoval poštu, která rozbíhá attachments jako default, jakkoliv by takový program byl jinak skvělý - ale to je moje právo, jakožto pedanta. Musíte si udělat svoje vlastní rozhodnutí a podle nich se řídit.

Nota bene: I když máte vysoce kvalitní on-access skener, dělá sice běh attachmentů bezpečnější, ale ne stoprocentně bezpečný (v originále foolproof, doslova bezpečný i pro laiky, pozn. jansan)

Podčlánky k 4):

5) Nepřijímejte attachmenty, o které jste si nepožádali.

6) Skenujte všechny attachmenty pomocí "on-demand" skaneru (tj na povel, pozn. jansan), zvláště ty, které jste přijali pod bodem 5), navzdory mému doporučení.

7) Jestli používáte grafické browsery WEBu, vypněte ActiveX, defakto zahoďte Internet Explorer a používejte Netscape nebo něco jiného. Také vypněte Java Script (jedině snad když se browzdáte po velmi spolehlivém sajtu, jako je třeba vaše homepage). Podle důležitosti: Nikdy nepoužívej Active X a vyhni se JavaScript co nejvíc můžeš. Jsi-li opatrný, vyhýbej se i Java Appletům.

8) Tohle se netýká se emajlu, ale když už jsem u toho: nastavte si svůj browser tak, aby pro Word dokumenty (a templates) spuštěl Wordpad (pro Win95 a Win NT) anebo Wordviewer - který je možno získat na:
http://www.microsoft.com
(ať už pro PC nebo pro Mac) a ne Word. Pak nemůžete dostat Wordový Macro virus, ani když čtete Word dokument na WEB stránce. (Mohu potvrdit, zatím jsou Word virusy pořád ještě nebezpečím číslo jedna a Wordpad nemůže běžet Wordovská makra, pozn. jansan).

Ti, co se chtějí o tom dovědět víc - nebo o počítačovém malware vůbec - si o tom mohou přečíst na:
ftp://ftp.infospace.com/pub/virus-l/comp.virus-FAQ.09-Oct-95
anebo na alt.comp.virus FAQ, tj. na:
http://webworlds.co.uk/dharley/index.html#acvFAQs

Doufám, že to zodpovědělo Tvoje otázky pečlivě, přesně a tak, aby se tomu dalo rozumět. Bude mi potěšením diskutovat o tom víc s tebou nebo s vašimi čtenáři, pokud mají zájem.

JANSAN:
Děkuji Ti jménem čtenářů AmbeZinu a také za příležitost otisknout tento rozhovor nejdříve v AmberZinu.
(Pozn. Jak jsme se s Brucem dohodli, bude tento interview s největší pravděpodobností otisknut později i jinde, pozn jansan).

B.P. BURRELL:
Obvykle nepoužívám svůj sigfile, ale jelikož si myslím, že nejsem vašim čtenářům příliš znám, přikládám některé moje reference):
University of Michigan AntiVirus Team Leader
University of Michigan Data Recovery Team Leader
PGP 2.6.2 key fingerprint = 0D A5 98 3C 91 DA E0 DD 9C 6D FA 8F 4D 34 95 ED


Poznámka:
Průvodní článek Jansana najdete zde. Originál tohoto interview je přiložen níže - jen na vysvětlenou: není to proto, že AmberZine chce být dvojjazyčný časopis :-), ale že autoři dopisů nejsou honorováni a tohle je to nejmenší, co pro ně můžeme udělat. V případě, že by došlo k dohadům o překladu, originální text má přednost, neboť je doslovný.
Jansan

EXCLUSIVE E-MAIL INTERVIEW WITH BRUCE P. BURRELL

(for Enzine AmberZine, Czech Republic)

Bruce P. Burrell

(bpb@umich.edu)


is the AntiVirus Team Leader at the University of Michigan, and is the technical member of their Virus Busters group. He has been active in virus control since 1988, is a long-time participant in comp.virus/VIRUS-L and alt.comp.virus, and is a contributor to the FAQs for both those newsgroups. He is probably best known for his Quixotic crusade against removal of viruses by using an undocumented switch of FDISK.EXE.

Bruce's other interests include power volleyball, close-up conjuring, and ballroom dance.


 From: Bruce P. Burrell  bpb@umich.edu
> To: Jan Hurych <>hurychj@hurontel.on.ca
> Subject: Re: Fw: Query
> Date: February 26, 1998 2:44 dop.
------- Jan (Jansan) Hurych asks:

Jansan:

1) Can one get virus from reading one's mail? 

B.P.Burrell:

One must be careful answering this, since "reading one's mail" means
different things to different people.  The short answer, however, is "No."
So what is the long answer?
Well, it's still "no", but it requires some explanation:
1. First of all, it is impossible to *contract* a virus by reading 7-bit text in email.
2. It *is* possible to include a virus in the body text of 7-bit email, BUT NOT IN AN INFECTIVE FORM. For instance, one might receive a uuencoded or BinHexed virus -- but it would be sterile until it was decoded, and it couldn't infect anything else until is was both decoded and then executed.
3. Of course, it would be *possible* to make an email product that looks within the text of email, finds and decodes anything it might encounter, and then launches it. With the existence of over 20,000 viruses and other malware out there, though, it would be foolish to allow one's email product to do this.

Jansan:

 How about from attachment?

B.P.Burrell:

 What a lovely segue!
4. An attachment can contain a virus, certainly. Merely receiving email that contains an attachment, however, poses no threat -- AS LONG AS THE ATTACHMENT IS NOT EXECUTED.
5. As in point 3 above, it would be possible to have an email product that can launch attachments -- and such products exist. It remains equally, if not even more, foolhardy to allow this configuration to be in use for you or your colleagues. In my opinion, any product that permits launching attachments as its *default* configuration is woefully ill-informed, and should be avoided at all costs: they are obviously unaware of the threat posed by Word Macro viruses, which are far too often send inadvertently as an email attachment.

6. The problem about saying "You can't get a virus just by reading your email" is that with some products nowadays, launching an attachment is just "one mouse click away" -- I believe MS-Mail and cc:Mail have a button to save attachments, and possibly launch them directly. If you are unlucky enough to receive an file that contains a virus and you don't have adequate antivirus measures in force (see below), you may be in for a nasty surprise.

7. Surely soon we'll see some email product that eliminates that one click; this kind of "making it easy for users" without considering their safety seems to be prevalent in the computer industry. [I don't want to mention any names, but the company of which I'm thinking has the initials "Microsoft".] This is NOT "getting a virus from reading your email." It is instead "getting a virus by having a reckless email program launch an infected attachment or encoded embedded text." In case you're dubious, consider this: would there be any security compromise if I received the same attachment on my unix system, where I read email with pine? No. So while you might be able to create a scenario where someone got a virus via email, it can be attributed to poor computer security, not to merely reading the email.

Jansan:

 2) As far as viruses in attachments: what is the best way to prevent the
 infection (especially to prevent infection by mistake)? 

B.P.Burrell:

 "Best" may be a matter of personal preference.  Here are several
possibilities:
1. Invoke Richards' Laws of Computer Security:
A. Don't buy a computer.
B. If you do buy a computer, don't turn it on.
That's too draconian for most folks, so here are some other options, listed in decreasing order of security:

2. Use a text-only email program, like unix's mh, elm, or pine. This has several advantages:
a. It's running on a unix box, so it won't be affected by PC or Mac viruses
b. If you get a virus as an attachment in, say, pine, there isn't a button to click that makes it launch the attachment automatically.
c. Even if you could run the attachment, it would be running on the unix box. To execute it locally, you must first save to the unix box, download, and only then can you access it on your workstation. This give local antivirus software a chance to intercept any malware.

3. Obtain quality antivirus software; install it; *keep it current*. In particular, it's very important to have a strong on-access scanner (checks all files whenever they are accessed by a program or the operating system) Everyone's needs are different, but it may help to consider -independent-, *competent* reviews like those found at:

http://www.virusbtn.com/ _Virus Bulletin_
http://www.westcoast.com/ _Secure Computing_
http://www.uta.fi/laitokset/virus/ University of Tampere
ftp://ftp.informatik.uni-hamburg.de/pub/virus/ Virus Test Center
and http://agn-www.informatik.uni-hamburg.de/vtc/naveng.htm
in order to determine what products are worthy, and which are more advertizing hype than substance.
Plug: Feel free to visit the site I help maintain: the University of Michigan Virus Busters web page (http://www.umich.edu/~wwwitd/virus-busters/)
4. NEVER configure your email program to execute attachments automatically. If you find an email program that launches attachments by default, consider it garbage from the security point-of-view. Personally, I would never consider using or recommending any package that launches attachments by default, no matter how excellent it is otherwise -- but this is my right, as a curmudgeon. You must make your own choices and live by them.
N.B.: Having a top quality, up-to-date on-access scanner running makes launching attachments safer, but not foolproof.
Corollaries to point 4.:
5. Don't accept unsolicited attachments.
6. Scan all attachments you -do- accept with a top quality current *on-demand* scanner -- particularly those you accepted in step 5, contrary to my suggestions.
7. If you use graphical web browsers, disable ActiveX -- in fact, just throw away InterNet Explorer and use Netscape or something else. Also disable JavaScript (except, perhaps, if you're browsing at a very well trusted site, like your own home page) and Java. In order of importance: Always avoid ActiveX. Avoid JavaScript as much as you can. If you're cautious, avoid Java (applets) as well.
8. Not exactly email, but while I'm at it: Configure your web browser to launch WordPad (Win95 and NT) or WordViewer (available from www.microsoft.com for Mac and PC) instead of Word when it encounters Word documents or templates. Then you won't inadvertently get a Word macro virus when reading a Word doc on a web page.
Those wishing to learn more about this -- or computer malware in general -- may wish to consult the comp.virus FAQ, which can be found at ftp://ftp.infospace.com/pub/virus-l/comp.virus-FAQ.09-Oct-95, and the alt.comp.virus FAQ, at http://webworlds.co.uk/dharley/index.html#acvFAQs
I hope that answers your questions carefully, correctly, and understandably. I would be happy to discuss this further with you or your readers, if they are interested.

- BPB

  [I usually don't use a .sigfile, but since I suspect I'll be unknown to
most this audience, I'm including here some of my credentials.]
University of Michigan AntiVirus Team Leader
University of Michigan Data Recovery Team Leader
PGP 2.6.2 key fingerprint = 0D A5 98 3C 91 DA E0 DD 9C 6D FA 8F 4D 34 95 ED

Jansan:
Thank you very much in the name of our readers; 
and for letting us print this interview in AmberZine first,


Jan B. Hurych,
AmberZine

The article by Jansan - Czech only - is here.