Què és una bomba lògica?

Molts atacs cibernètics es llancen a l'instant a l'elecció del moment de l'atacant. Es llancen a la xarxa i poden ser una campanya puntual o en curs. Algunes classes d'atacs, però, són accions retardades i esperen un desencadenant d'algun tipus. Els més evidents són els atacs que necessiten la interacció de l'usuari. Els atacs de phishing i XSS són excel·lents exemples d'això. Tots dos estan preparats i llançats per l'atacant, però només tenen efecte quan l'usuari activa la trampa.

Alguns atacs són accions retardades, però requereixen un conjunt especial de circumstàncies per activar-se. Poden ser completament segurs fins que s'activen. Aquestes circumstàncies poden ser totalment automàtiques en lloc d'activar-se per l'home. Aquest tipus d'atacs s'anomenen bombes lògiques.

Conceptes bàsics d'una bomba lògica

El concepte clàssic d'una bomba lògica és un simple disparador de data. En aquest cas, la bomba lògica no farà res fins que la data i l'hora siguin correctes. En aquest moment, la bomba lògica "detona" i provoca qualsevol acció perjudicial que se suposa.

La supressió de dades és l'opció estàndard de les bombes lògiques. Esborrar dispositius o un subconjunt de dades més limitat és relativament fàcil i pot provocar molt caos, sobretot si s'apunten els sistemes de missió crítica.

Algunes bombes lògiques poden tenir diverses capes. Per exemple, pot haver-hi dues bombes lògiques, una que s'ha d'activar en un moment determinat i una que s'apaga si l'altra està manipulada. Alternativament, tots dos poden comprovar si l'altre està al seu lloc i sortir si l'altre està manipulat. Això proporciona certa redundància a l'hora d'explotar la bomba, però duplica les possibilitats que la bomba lògica sigui atrapada per endavant. Tampoc redueix la possibilitat que l'atacant sigui identificat.

Amenaça interna

Les amenaces internes utilitzen gairebé exclusivament bombes lògiques. Un pirata informàtic extern podria suprimir coses, però també es pot beneficiar directament robant i venent les dades. Una persona interna normalment està motivada per la frustració, la ira o la venjança i està desil·lusionada. L'exemple clàssic d'una amenaça interna és que un empleat recentment informat que perdrà la feina en breu.

Com era previsible, caurà la motivació i, probablement, el rendiment laboral. Una altra possible reacció és un impuls de venjança. De vegades seran coses mesquines com fer pauses innecessàriament llargues, imprimir moltes còpies d'un currículum a la impressora de l'oficina o ser pertorbador, poc cooperatiu i desagradable. En alguns casos, la voluntat de venjança pot anar més enllà del sabotatge actiu.

Consell: una altra font d'amenaça interna poden ser els contractistes. Per exemple, un contractista pot implementar una bomba lògica com a pòlissa d'assegurança a la qual es tornarà a trucar per solucionar el problema.

En aquest escenari, una bomba lògica és un possible resultat. Alguns intents de sabotatge poden ser força immediats. Aquests, però, sovint són una mica fàcils d'enllaçar amb l'autor. Per exemple, l'atacant podria trencar la paret de vidre de l'oficina del cap. L'atacant podria anar a la sala de servidors i arrencar tots els cables dels servidors. Podrien xocar el seu cotxe contra el vestíbul o el cotxe del cap.

El problema és que les oficines generalment tenen moltes persones que poden notar aquestes accions. També poden incloure CCTV per gravar l'atacant que comet l'acte. Moltes sales de servidors requereixen una targeta intel·ligent per accedir, registrant exactament qui ha entrat, ha sortit i quan. El caos basat en cotxes també es pot capturar en CCTV; si s'utilitza el cotxe de l'atacant, afecta negativament a l'atacant.

Dins La Xarxa

Una amenaça interna podria adonar-se que totes les seves possibles opcions de sabotatge físic són defectuoses, tenen una alta probabilitat que s'identifiquin, o ambdues coses. En aquest cas, poden renunciar o optar per fer alguna cosa als ordinadors. Per a algú amb coneixements tècnics, sobretot si està familiaritzat amb el sistema, el sabotatge per ordinador és relativament fàcil. També té l'atractiu de semblar difícil d'atribuir a l'atacant.

L'atractiu de ser difícil de fixar a l'atacant prové d'uns quants factors. En primer lloc , ningú busca bombes lògiques, de manera que és fàcil perdre-les abans que s'apaga.

En segon lloc , l'atacant pot programar deliberadament la bomba lògica perquè exploti quan no hi és. Això vol dir que no només no han de fer front a les conseqüències immediates, sinó que "no poden ser ells" perquè no estaven allà per fer-ho.

En tercer lloc , especialment amb les bombes lògiques que esborren dades o el sistema, la bomba es pot esborrar en el procés, cosa que pot fer que sigui impossible d'atribuir.

Hi ha un nombre desconegut d'incidents en què això ha funcionat per l'amenaça interna. Almenys tres casos documentats de la persona privilegiada que va activar amb èxit la bomba lògica però va ser identificat i condemnat. Hi ha almenys altres quatre casos d'intent d'ús en què la bomba lògica es va identificar i "desarmar" de manera segura abans d'explotar-se, donant lloc de nou a la identificació i condemna de la persona interna.

Conclusió

Una bomba lògica és un incident de seguretat en què un atacant estableix una acció retardada. Les bombes lògiques s'utilitzen gairebé exclusivament per amenaces privilegiades, principalment com a venjança o una "pòliza d'assegurança". Normalment es basen en el temps, tot i que es poden configurar per ser activats per una acció específica. Un resultat típic és que esborren dades o fins i tot esborren ordinadors.

Les amenaces internes són una de les raons per les quals quan els empleats són acomiadats, el seu accés es desactiva immediatament, encara que tinguin un període de preavís. Això garanteix que no puguin fer un mal ús del seu accés per col·locar una bomba lògica, tot i que no ofereix cap protecció si l'empleat hagués "visit l'escriptura a la paret" i ja ha posat la bomba lògica.