Mikä on logiikkapommi?

Monet kyberhyökkäykset käynnistetään välittömästi hyökkääjän valitseman ajoituksen mukaan. Nämä lanseerataan verkon kautta ja voivat olla joko yksittäisiä tai käynnissä olevia kampanjoita. Jotkut hyökkäysluokat ovat kuitenkin viivästyneitä toimia ja odottavat jonkinlaista laukaisua. Näistä ilmeisimpiä ovat hyökkäykset, jotka vaativat käyttäjän toimia. Tietojenkalastelu- ja XSS-hyökkäykset ovat erinomaisia ​​esimerkkejä tästä. Molemmat ovat valmiita hyökkääjälle ja laukaista ne, mutta ne vaikuttavat vasta, kun käyttäjä laukaisee ansan.

Jotkut hyökkäykset ovat viivästyneitä toimia, mutta vaativat erityisiä olosuhteita laukaistakseen. Ne voivat olla täysin turvallisia, kunnes ne laukeavat. Nämä olosuhteet voivat olla täysin automaattisia eikä ihmisen aiheuttamia. Tämän tyyppisiä hyökkäyksiä kutsutaan logiikkapommeiksi.

Logiikkapommin perusteet

Klassinen logiikkapommin käsite on yksinkertainen päivämäärälaukaisin. Tässä tapauksessa logiikkapommi ei tee mitään ennen kuin päivämäärä ja aika ovat oikeat. Siinä vaiheessa logiikkapommi "räjähtää" ja aiheuttaa mitä tahansa haitallista toimintaa sen oletetaan tekevän.

Tietojen poistaminen on logiikkapommien tavallinen tapa. Laitteiden tai rajoitetumman osajoukon datan pyyhkiminen on suhteellisen helppoa ja voi aiheuttaa paljon kaaosta, etenkin jos kohteena ovat kriittiset järjestelmät.

Jotkut logiikkapommit voivat olla monikerroksisia. Voi olla esimerkiksi kaksi logiikkapommia, joista toinen laukeaa tiettyyn aikaan ja toinen, jos toista peukaloidaan. Vaihtoehtoisesti molemmat voivat tarkistaa, onko toinen paikallaan, ja sammua, jos toista on peukaloitu. Tämä tarjoaa jonkin verran redundanssia pommin räjähtämisessä, mutta kaksinkertaistaa sen mahdollisuuden, että logiikkapommi saadaan kiinni etukäteen. Se ei myöskään vähennä hyökkääjän tunnistamisen mahdollisuutta.

Sisäpiirin uhka

Sisäpiiriuhat käyttävät lähes yksinomaan logiikkapommeja. Ulkoinen hakkeri voi poistaa tavaraa, mutta he voivat myös hyötyä suoraan varastamalla ja myymällä tiedot. Sisäpiiriläinen motivoi yleensä turhautumista, vihaa tai kostoa ja on pettynyt. Klassinen esimerkki sisäpiiriuhkasta on työntekijä, jolle äskettäin ilmoitettiin menettävänsä työpaikkansa piakkoin.

Ennustettavasti motivaatio laskee ja todennäköisesti työsuoritus. Toinen mahdollinen reaktio on kostonhimo. Joskus tämä on pikkujuttu, kuten tarpeettoman pitkien taukojen pitäminen, useiden CV-kopioiden tulostaminen toimistotulostimella tai häiritsevä, yhteistyöhaluinen ja epämiellyttävä. Joissakin tapauksissa kostonhimo voi mennä pidemmälle aktiiviseen sabotaasiin.

Vinkki: Toinen sisäpiiriuhan lähde voivat olla urakoitsijat. Urakoitsija voi esimerkiksi ottaa käyttöön logiikkapommin vakuutuksena, johon hänet kutsutaan takaisin korjaamaan ongelma.

Tässä skenaariossa logiikkapommi on yksi mahdollinen lopputulos. Jotkut sabotaasiyritykset voivat olla melko välittömiä. Nämä ovat kuitenkin usein melko helppoja yhdistää tekijään. Hyökkääjä saattaa esimerkiksi murskata pomon toimiston lasiseinän. Hyökkääjä voisi mennä palvelinhuoneeseen ja repiä kaikki kaapelit palvelimilta. He voivat törmätä autollaan eteiseen tai pomon autoon.

Ongelmana on, että toimistoissa on yleensä paljon ihmisiä, jotka saattavat huomata tällaisen toiminnan. Niissä voi myös olla CCTV tallentaakseen hyökkääjän teon. Monet palvelinhuoneet vaativat älykortin päästäkseen kirjaamaan tarkalleen, kuka saapui, poistui ja milloin. Autoihin perustuva kaaos voidaan myös tallentaa CCTV:llä; jos hyökkääjän autoa käytetään, se vaikuttaa kielteisesti hyökkääjään.

Verkon sisällä

Sisäpiiriuhka saattaa ymmärtää, että kaikki mahdolliset fyysiset sabotaasivaihtoehdot ovat joko puutteellisia, niiden tunnistamisen todennäköisyys on suuri tai molemmat. Tässä tapauksessa he saattavat luovuttaa tai päättää tehdä jotain tietokoneilla. Teknisesti ammattitaitoiselle henkilölle, varsinkin jos he tuntevat järjestelmän, tietokonepohjainen sabotaasi on suhteellisen helppoa. Se houkuttelee myös näyttämään haastavalta laskea hyökkääjän syyksi.

Viehe olla vaikea kiinnittää hyökkääjää johtuu muutamista tekijöistä. Ensinnäkin kukaan ei etsi logiikkapommeja, joten on helppo missata ne ennen kuin ne laukeavat.

Toiseksi hyökkääjä voi tarkoituksella ajastaa logiikkapommin räjähtämään, kun hän ei ole lähellä. Tämä tarkoittaa, että heidän ei vain tarvitse käsitellä välittömiä seurauksia, vaan se "ei voi olla he", koska he eivät olleet paikalla tekemään sitä.

Kolmanneksi , erityisesti logiikkapommeilla, jotka pyyhkivät tietoja tai järjestelmän, pommi voi poistaa itsensä prosessin aikana, mikä saattaa tehdä sen määrittämisen mahdottomaksi.

On tuntematon määrä tapauksia, joissa tämä on toiminut sisäpiirin uhalla. Ainakin kolme dokumentoitua tapausta, joissa sisäpiiriläinen sytytti logiikan pommin, mutta hänet tunnistettiin ja tuomittiin. On olemassa ainakin neljä muuta käyttöyritystapausta, joissa logiikkapommi tunnistettiin ja "aseista poistettiin" turvallisesti ennen kuin se laukesi, mikä taas johti sisäpiiriläisen tunnistamiseen ja tuomitsemiseen.

Johtopäätös

Logiikkapommi on turvavälikohtaus, jossa hyökkääjä suorittaa viivästyneen toiminnan. Logiikkapommeja käyttävät lähes yksinomaan sisäpiiriuhkaukset, ensisijaisesti kostoksi tai "vakuutussopimukseksi". Ne ovat tyypillisesti aikaperusteisia, vaikka ne voidaan määrittää laukaisemaan tietty toiminto. Tyypillinen tulos on, että ne poistavat tietoja tai jopa pyyhkivät tietokoneita.

Sisäpiiriuhkaukset ovat yksi syy siihen, että kun työntekijät päästetään irti, heidän pääsynsä estetään välittömästi, vaikka heillä olisi irtisanomisaika. Tämä varmistaa, että he eivät voi väärinkäyttää pääsyään logiikkapommin asentamiseen, vaikka se ei tarjoa mitään suojaa, jos työntekijä on "nähnyt kirjoituksen seinällä" ja jo asettanut logiikkapommin.