Какво е логическа бомба?

Много кибератаки се стартират мигновено по време, избрано от нападателя. Те се стартират по мрежата и могат да бъдат еднократни или текущи кампании. Някои класове атаки обаче са със забавени действия и чакат някакво задействане. Най-очевидните от тях са атаките, които изискват взаимодействие с потребителя. Фишинг и XSS атаките са отлични примери за това. И двете са подготвени и стартирани от нападателя, но влизат в сила само когато потребителят задейства капана.

Някои атаки са отложени действия, но изискват специален набор от обстоятелства, за да се задействат. Те могат да бъдат напълно безопасни, докато не бъдат задействани. Тези обстоятелства могат да бъдат напълно автоматични, а не активирани от човека. Тези видове атаки се наричат ​​логически бомби.

Основите на логическата бомба

Класическата концепция за логическа бомба е просто задействане на дата. В този случай логическата бомба няма да направи нищо, докато датата и часът не са правилни. В този момент логическата бомба се „взривява“ и причинява каквото вредно действие трябва да извърши.

Изтриването на данни е стандартното действие на логическите бомби. Изтриването на устройства или по-ограничено подмножество от данни е относително лесно и може да причини много хаос, главно ако са насочени критични за мисията системи.

Някои логически бомби може да са многопластови. Например, може да има две логически бомби, едната настроена да избухне в определен момент и една, която избухва, ако другата бъде манипулирана. Като алтернатива и двете могат да проверят дали другото е на мястото си и да изгаснат, ако другото бъде подправено. Това осигурява известен излишък на бомбата да избухне, но удвоява шанса логическата бомба да бъде уловена предварително. Това също не намалява възможността нападателят да бъде идентифициран.

Вътрешна заплаха

Вътрешните заплахи почти изключително използват логически бомби. Външен хакер може да изтрие неща, но също така може да се възползва пряко, като открадне и продаде данните. Вътрешният човек обикновено е мотивиран от чувство на неудовлетвореност, гняв или отмъщение и е разочарован. Класическият пример за вътрешна заплаха е служител, наскоро информиран, че скоро ще загуби работата си.

Очаквано, мотивацията ще падне и, вероятно, представянето на работата. Друга възможна реакция е желание за отмъщение. Понякога това ще са дребни неща, като правене на ненужно дълги почивки, отпечатване на много копия на автобиография на офис принтера или пречене, отказ от сътрудничество и неприятност. В някои случаи стремежът към отмъщение може да стигне до активен саботаж.

Съвет: Друг източник на вътрешна заплаха могат да бъдат изпълнителите. Например, изпълнител може да внедри логическа бомба като застрахователна полица, която ще бъде извикана обратно, за да реши проблема.

В този сценарий логическата бомба е един възможен резултат. Някои опити за саботаж може да са доста незабавни. Те обаче често са доста лесни за свързване с извършителя. Например, нападателят може да разбие стъклената стена на офиса на шефа. Нападателят може да отиде в сървърната стая и да изтръгне всички кабели от сървърите. Могат да си блъснат колата във фоайето или колата на шефа.

Проблемът е, че в офисите обикновено има много хора, които могат да забележат подобни действия. Те могат също така да включват видеонаблюдение, за да запишат нападателя, извършващ акта. Много сървърни стаи изискват смарт карта за достъп, регистрираща точно кой е влязъл, излязъл и кога. Хаосът в автомобила може също да бъде заснет на видеонаблюдение; ако се използва колата на нападателя, това активно влияе негативно на нападателя.

Вътре в мрежата

Вътрешна заплаха може да осъзнае, че всичките им възможни възможности за физически саботаж са или погрешни, има голяма вероятност да бъдат идентифицирани, или и двете. В този случай те може да се откажат или да изберат да направят нещо на компютрите. За човек с технически умения, особено ако е запознат със системата, компютърно базираният саботаж е относително лесен. Освен това има примамката да изглежда предизвикателно, за да се припише на нападателя.

Примамката да бъдеш труден за приковаване към нападателя идва от няколко фактора. Първо , никой не търси логически бомби, така че е лесно да ги пропуснете, преди да избухнат.

Второ , нападателят може умишлено да настрои логическата бомба да избухне, когато той не е наоколо. Това означава, че те не само не трябва да се справят с непосредствените последствия, но „не могат да бъдат те“, защото те не са били там, за да го направят.

Трето , особено при логически бомби, които изтриват данни или система, бомбата може да се изтрие в процеса, което потенциално прави невъзможно приписването.

Има неизвестен брой инциденти, при които това е проработило за вътрешната заплаха. Най-малко три документирани случая на вътрешен човек, който успешно задейства логическата бомба, но е идентифициран и осъден. Има най-малко четири други случая на опит за използване, при които логическата бомба е идентифицирана и „обезвредена“ безопасно, преди да избухне, което отново води до идентифициране и осъждане на вътрешния човек.

Заключение

Логическата бомба е инцидент със сигурността, при който нападателят организира забавено действие. Логическите бомби се използват почти изключително от вътрешни заплахи, предимно като отмъщение или „застрахователна полица“. Те обикновено са базирани на времето, въпреки че могат да бъдат настроени да бъдат задействани от конкретно действие. Типичен резултат е, че те изтриват данни или дори изтриват компютри.

Вътрешните заплахи са една от причините, когато служителите бъдат освободени, достъпът им незабавно да бъде деактивиран, дори ако имат срок на предизвестие. Това гарантира, че те не могат да злоупотребят с достъпа си, за да поставят логическа бомба, въпреки че не осигурява никаква защита, ако служителят е „видял надписа на стената“ и вече е поставил логическата бомба.