Mis on loogikapomm?

Paljud küberrünnakud käivitatakse ründaja valitud ajastusel koheselt. Need käivitatakse võrgu kaudu ja need võivad olla kas ühekordsed või jooksvad kampaaniad. Mõned rünnakute liigid on aga viivitatud toimingud ja ootavad mingisugust vallandamist. Kõige ilmsemad neist on rünnakud, mis nõuavad kasutaja sekkumist. Andmepüügi ja XSS-i rünnakud on selle suurepärased näited. Mõlemad on ründaja jaoks ette valmistatud ja käivitatud, kuid need jõustuvad alles siis, kui kasutaja lõksu käivitab.

Mõned rünnakud on viivitatud toimingud, kuid nende käivitamiseks on vaja erilisi asjaolusid. Need võivad olla täiesti ohutud kuni käivitamiseni. Need asjaolud võivad olla täiesti automaatsed, mitte inimese poolt põhjustatud. Seda tüüpi rünnakuid nimetatakse loogikapommideks.

Loogikapommi põhitõed

Klassikaline loogikapommi kontseptsioon on lihtne kuupäevapäästik. Sel juhul ei tee loogikapomm midagi enne, kui kuupäev ja kellaaeg on õiged. Sel hetkel plahvatatakse loogikapomm ja see põhjustab mis tahes kahjulikku tegevust.

Andmete kustutamine on loogikapommide tavapärane tegevus. Seadmete või piiratud andmete alamhulga pühkimine on suhteliselt lihtne ja võib põhjustada palju kaost, peamiselt siis, kui sihitud on missioonikriitilised süsteemid.

Mõned loogikapommid võivad olla mitmekihilised. Näiteks võib olla kaks loogikapommi, millest üks vallandub kindlal ajal ja teine, mis vallandub, kui teist rikutakse. Teise võimalusena võivad mõlemad kontrollida, kas teine ​​on paigas, ja kustuda, kui teist rikutakse. See annab pommi plahvatamisel mõningase liiasuse, kuid kahekordistab võimalust, et loogikapomm tabatakse ette. Samuti ei vähenda see ründaja tuvastamise võimalust.

Insaideroht

Siseringi ähvardused kasutavad peaaegu eranditult loogikapomme. Väline häkker võib asju kustutada, kuid neil on ka otsene kasu andmete varastamisest ja müümisest. Insaider on tavaliselt motiveeritud frustratsioonist, vihast või kättemaksust ning ta on pettunud. Siseringi ohu klassikaline näide on töötaja, kellele hiljuti teatati, et ta kaotab peagi töö.

Eeldatavalt langeb motivatsioon ja tõenäoliselt ka töötulemused. Teine võimalik reaktsioon on kättemaksuhimu. Mõnikord on need väikesed asjad, nagu tarbetult pikad pausid, paljude CV-koopiate printimine kontoriprinteriga või häiriv, koostöövõimetu ja ebameeldiv olemine. Mõnel juhul võib kättemaksuhimu minna edasi aktiivse sabotaažini.

Näpunäide. Teiseks siseringi ohu allikaks võivad olla töövõtjad. Näiteks võib töövõtja rakendada kindlustuspoliisina loogikapommi, mille abil nad probleemi lahendamiseks tagasi kutsutakse.

Selle stsenaariumi korral on üks võimalik tulemus loogikapomm. Mõned sabotaažikatsed võivad olla üsna kohesed. Neid on aga sageli mõnevõrra lihtne kurjategijaga siduda. Näiteks võib ründaja purustada ülemuse kabineti klaasseina. Ründaja võib minna serverituppa ja kõik kaablid serveritest välja rebida. Nad võivad oma autoga fuajeesse või bossi autosse põrutada.

Probleem on selles, et kontorites on üldiselt palju inimesi, kes võivad sellist tegevust märgata. Samuti võivad nad kasutada CCTV-d, et salvestada ründaja teo toimepanemist. Paljud serveriruumid nõuavad juurdepääsuks kiipkaarti, mis registreerib täpselt, kes sisenes, väljus ja millal. Autodel põhinev kaos võib jäädvustada ka CCTV abil; kui ründaja autot kasutatakse, mõjutab see ründajat aktiivselt negatiivselt.

Võrgu sees

Insaideroht võib mõista, et kõik nende võimalikud füüsilised sabotaaživõimalused on vigased, nende tuvastamise tõenäosus on suur või mõlemad. Sel juhul võivad nad loobuda või otsustada arvutis midagi ette võtta. Tehniliste oskustega inimese jaoks, eriti kui nad on süsteemiga tuttavad, on arvutipõhine sabotaaž suhteliselt lihtne. Sellel on ka ahvatlus, et ründajale omistada on keeruline.

Ahvatlus, et ründajat on raske tabada, tuleneb mõnest tegurist. Esiteks , keegi ei otsi loogikapomme, nii et on lihtne neist märkamata jätta, enne kui need lõhkevad.

Teiseks võib ründaja loogikapommi tahtlikult plahvatama panna, kui teda läheduses pole. See tähendab, et nad mitte ainult ei pea tegelema vahetute tagajärgedega, vaid ka "ei saa olla nemad", sest nad ei olnud seal, et seda teha.

Kolmandaks , eriti loogikapommide puhul, mis kustutavad andmeid või süsteemi, võib pomm end protsessi käigus kustutada, muutes selle omistamise võimatuks.

On teadmata arv juhtumeid, kus see on siseringi ohu puhul õnnestunud. Vähemalt kolm dokumenteeritud juhtumit, kus siseringi isik süütas loogikapommi, kuid ta tuvastati ja mõisteti süüdi. On veel vähemalt neli kasutuskatse juhtumit, kus loogikapomm tuvastati ja "relvastati" ohutult enne selle plahvatamist, mille tulemusel tuvastati ja mõisteti süüdi sisering.

Järeldus

Loogikapomm on turvaintsident, kus ründaja paneb paika viivitatud tegevuse. Loogikapomme kasutavad peaaegu eranditult siseringi ähvardused, peamiselt kättemaksuks või "kindlustuspoliisiks". Need on tavaliselt ajapõhised, kuigi neid saab seadistada nii, et neid käivitab konkreetne toiming. Tüüpiline tulemus on see, et nad kustutavad andmed või isegi pühivad arvutid.

Siseringi ähvardused on üks põhjusi, miks töötajate lahti laskmisel suletakse nende juurdepääs kohe, isegi kui neil on etteteatamisaeg. See tagab, et nad ei saa oma juurdepääsu kuritarvitada loogikapommi paigaldamiseks, kuigi see ei paku mingit kaitset, kui töötaja on "kirjut seinal näinud" ja juba loogikapommi seadnud.