Hvad er en logisk bombe?

Mange cyberangreb lanceres øjeblikkeligt efter angriberens valg af timing. Disse lanceres over netværket og kan enten være en enkeltstående eller en løbende kampagne. Nogle klasser af angreb er imidlertid forsinkede handlinger og venter på en udløser af en eller anden art. De mest åbenlyse af disse er angreb, der kræver brugerinteraktion. Phishing og XSS-angreb er fremragende eksempler på dette. Begge er forberedt på og lanceret af angriberen, men træder først i kraft, når brugeren udløser fælden.

Nogle angreb er forsinkede handlinger, men kræver et særligt sæt omstændigheder for at udløse. De kan være helt sikre, indtil de udløses. Disse omstændigheder kan være helt automatiske snarere end menneskeaktiverede. Disse typer angreb kaldes logiske bomber.

Det grundlæggende i en logisk bombe

Det klassiske koncept med en logisk bombe er en simpel datoudløser. I dette tilfælde vil den logiske bombe ikke gøre noget, før datoen og klokkeslættet er korrekt. På det tidspunkt er den logiske bombe "detoneret" og forårsager enhver skadelig handling, den skal.

Sletning af data er standarden for logiske bomber. Sletning af enheder eller en mere begrænset delmængde af data er relativt let og kan forårsage en masse kaos, primært hvis missionskritiske systemer er målrettet.

Nogle logiske bomber kan være flerlags. For eksempel kan der være to logiske bomber, én indstillet til at gå af på et bestemt tidspunkt og én, der går af, hvis der bliver pillet ved den anden. Alternativt kan begge kontrollere, om den anden er på plads, og gå af, hvis den anden bliver pillet ved. Dette giver en vis redundans i at få bomben til at sprænge, ​​men fordobler chancen for, at den logiske bombe bliver fanget på forhånd. Det reducerer heller ikke muligheden for, at angriberen bliver identificeret.

Insider-trussel

Insidertrusler bruger næsten udelukkende logiske bomber. En ekstern hacker kan slette ting, men de kan også drage direkte fordel af at stjæle og sælge dataene. En insider er typisk motiveret af frustration, vrede eller hævn og er desillusioneret. Det klassiske eksempel på en insidertrussel er en medarbejder, der for nylig har informeret om, at de snart vil miste deres job.

Forudsigeligt vil motivationen falde og sandsynligvis jobpræstationer. En anden mulig reaktion er hævnlyst. Nogle gange vil det være småting som at tage unødvendigt lange pauser, udskrive mange kopier af et CV på kontorprinteren eller være forstyrrende, usamarbejdsvillig og ubehagelig. I nogle tilfælde kan hævnlysten gå videre til aktiv sabotage.

Tip: En anden kilde til insidertrussel kan være entreprenører. For eksempel kan en entreprenør implementere en logisk bombe som en forsikringspolice, som de vil blive kaldt tilbage for at løse problemet.

I dette scenarie er en logisk bombe et muligt udfald. Nogle sabotageforsøg kan være ret umiddelbare. Disse er dog ofte noget nemme at knytte til gerningsmanden. For eksempel kan angriberen smadre glasvæggen på chefens kontor. Angriberen kunne gå til serverrummet og rive alle kabler ud fra serverne. De kunne styrte deres bil ind i foyeren eller chefens bil.

Problemet er, at kontorer generelt har mange mennesker, der måske bemærker sådanne handlinger. De kan også have CCTV for at optage angriberen, der begår handlingen. Mange serverrum kræver et chipkort for at få adgang, der logger præcis, hvem der kom ind, forlod og hvornår. Bilbaseret kaos kan også blive fanget på CCTV; hvis angriberens bil bruges, påvirker det angriberen aktivt negativt.

Inde i netværket

En insidertrussel kan indse, at alle deres mulige fysiske sabotagemuligheder enten er fejlbehæftede, har stor sandsynlighed for, at de bliver identificeret, eller begge dele. I dette tilfælde kan de give op eller vælge at gøre noget på computerne. For nogen teknisk dygtige, især hvis de er fortrolige med systemet, er computerbaseret sabotage relativt let. Det har også lokket til at virke udfordrende at tilskrive angriberen.

Det lokke med at være svær at sætte på angriberen kommer fra nogle få faktorer. For det første er der ingen, der leder efter logiske bomber, så det er nemt at gå glip af dem, før det går af.

For det andet kan angriberen bevidst time den logiske bombe til at gå af, når de ikke er i nærheden. Det betyder, at de ikke blot ikke skal forholde sig til de umiddelbare eftervirkninger, men det "kan ikke være dem", fordi de ikke var der for at gøre det.

For det tredje , især med logiske bomber, der sletter data eller systemet, kan bomben slette sig selv i processen, hvilket potentielt gør den umulig at tilskrive.

Der er et ukendt antal hændelser, hvor dette har fungeret for insidertruslen. Mindst tre dokumenterede tilfælde af, at insideren med succes affyrede den logiske bombe, men blev identificeret og dømt. Der er mindst fire andre tilfælde af forsøg på brug, hvor den logiske bombe blev identificeret og "afvæbnet" sikkert, før den gik af, hvilket igen resulterede i, at insideren blev identificeret og dømt.

Konklusion

En logisk bombe er en sikkerhedshændelse, hvor en angriber sætter en forsinket handling i gang. Logiske bomber bruges næsten udelukkende af insidertrusler, primært som hævn eller en "forsikringspolice." De er typisk tidsbaserede, selvom de kan sættes op til at blive udløst af en specifik handling. Et typisk resultat er, at de sletter data eller endda sletter computere.

Insidertrusler er en af ​​grundene til, at når medarbejdere slippes, bliver deres adgang øjeblikkeligt deaktiveret, selvom de har en opsigelsesfrist. Dette sikrer, at de ikke kan misbruge deres adgang til at plante en logisk bombe, selvom det ikke giver nogen beskyttelse, hvis medarbejderen havde "set skriften på væggen" og allerede havde sat den logiske bombe.