Co je to logická bomba?

Mnoho kybernetických útoků je spuštěno okamžitě podle načasování útočníka. Ty jsou spouštěny přes síť a mohou být jednorázové nebo běžící kampaně. Některé třídy útoků jsou však zpožděné akce a čekají na nějaký druh spouště. Nejzřetelnější z nich jsou útoky, které vyžadují interakci uživatele. Phishing a XSS útoky jsou toho skvělým příkladem. Oba jsou připraveny a spuštěny útočníkem, ale projeví se pouze tehdy, když uživatel spustí past.

Některé útoky jsou zpožděné akce, ale ke spuštění vyžadují zvláštní sadu okolností. Mohou být zcela bezpečné, dokud se nespustí. Tyto okolnosti mohou být zcela automatické, nikoli aktivované člověkem. Tyto typy útoků se nazývají logické bomby.

Základy logické bomby

Klasickou koncepcí logické bomby je jednoduchá datová spoušť. V tomto případě logická bomba neudělá nic, dokud nebude správné datum a čas. V tu chvíli je logická bomba „odpálena“ a způsobí jakoukoli škodlivou akci, kterou má.

Mazání dat je standardním cílem logických bomb. Vymazání zařízení nebo omezenější podmnožiny dat je relativně snadné a může způsobit spoustu chaosu, zejména pokud se zaměří na kritické systémy.

Některé logické bomby mohou být vícevrstvé. Například mohou existovat dvě logické bomby, jedna nastavená tak, aby vybuchla v určitou dobu, a jedna, která vybuchne, pokud je s druhou manipulováno. Případně mohou oba zkontrolovat, zda je druhý na svém místě, a zhasnout, pokud je s druhým manipulováno. To poskytuje určitou nadbytečnost v tom, že bomba vybuchne, ale zdvojnásobuje šanci, že bude logická bomba zachycena předem. Nesnižuje to ani možnost identifikace útočníka.

Vnitřní hrozba

Insider hrozby téměř výhradně používají logické bomby. Externí hacker může smazat věci, ale může také přímo těžit z krádeže a prodeje dat. Zasvěcenec je obvykle motivován frustrací, hněvem nebo pomstou a je rozčarován. Klasickým příkladem vnitřní hrozby je zaměstnanec, který byl nedávno informován, že brzy přijde o práci.

Předvídatelně poklesne motivace a pravděpodobně i pracovní výkon. Další možnou reakcí je touha po pomstě. Někdy to budou malichernosti, jako je dělat si zbytečně dlouhé přestávky, tisknout mnoho kopií životopisu na kancelářské tiskárně nebo být rušivý, nespolupracující a nepříjemný. V některých případech může touha po pomstě jít ještě dále k aktivní sabotáži.

Tip: Dalším zdrojem vnitřní hrozby mohou být dodavatelé. Dodavatel může například implementovat logickou bombu jako pojistku, do které bude povolán, aby problém vyřešil.

V tomto scénáři je logická bomba jedním z možných výsledků. Některé pokusy o sabotáž mohou být docela okamžité. Ty je však často poněkud snadné spojit s pachatelem. Útočník může například rozbít skleněnou stěnu šéfovy kanceláře. Útočník by mohl jít do serverovny a vytrhnout všechny kabely ze serverů. Mohli by narazit autem do foyer nebo šéfova auta.

Problém je, že úřady mají obecně mnoho lidí, kteří by si takového jednání mohli všimnout. Mohou také obsahovat CCTV pro záznam útočníka při spáchání činu. Mnoho serveroven vyžaduje pro přístup čipovou kartu, která přesně zaznamenává, kdo vstoupil, odešel a kdy. Chaos v autě může být také zachycen na CCTV; pokud je použito útočníkovo auto, aktivně negativně ovlivňuje útočníka.

Uvnitř sítě

Hrozba zevnitř si může uvědomit, že všechny jejich možné možnosti fyzické sabotáže jsou buď chybné, mají vysokou pravděpodobnost, že budou identifikovány, nebo obojí. V tomto případě se mohou vzdát nebo se rozhodnout něco udělat na počítačích. Pro někoho technicky zdatného, ​​zvláště pokud je obeznámen se systémem, je počítačová sabotáž relativně snadná. Má také návnadu, že se zdá být náročné připsat útočníkovi.

Lákadlo, že je těžké útočníka přichytit, pochází z několika faktorů. Za prvé , nikdo nehledá logické bomby, takže je snadné je minout, než to vybuchne.

Za druhé , útočník může záměrně načasovat logickou bombu tak, aby vybuchla, když není poblíž. To znamená, že nejenže nemusí řešit bezprostřední následky, ale „nemohou to být oni“, protože tam nebyli, aby to udělali.

Zatřetí , zvláště u logických bomb, které vymazávají data nebo systém, se bomba může během procesu vymazat, což potenciálně znemožní přiřazení.

Existuje neznámý počet incidentů, kdy se to osvědčilo pro vnitřní hrozbu. Nejméně tři zdokumentované případy, kdy zasvěcenec úspěšně odpálil logickou bombu, ale byl identifikován a usvědčen. Existují nejméně čtyři další případy pokusu o použití, kdy byla logická bomba bezpečně identifikována a „odzbrojena“ předtím, než vybuchla, což opět vedlo k identifikaci a odsouzení zasvěcence.

Závěr

Logická bomba je bezpečnostní incident, kdy útočník spustí zpožděnou akci. Logické bomby jsou téměř výlučně používány hrozbami zevnitř, především jako pomsta nebo „pojistka“. Obvykle jsou založeny na čase, i když je lze nastavit tak, aby byly spuštěny konkrétní akcí. Typickým výsledkem je, že vymažou data nebo dokonce vymažou počítače.

Výhrůžky zevnitř jsou jedním z důvodů, proč když jsou zaměstnanci propuštěni, je jim okamžitě znemožněn přístup, i když mají výpovědní lhůtu. To zajišťuje, že nemohou zneužít svůj přístup k umístění logické bomby, i když to neposkytuje žádnou ochranu, pokud zaměstnanec „viděl nápis na zdi“ a již nastavil logickou bombu.