Que é unha bomba lóxica?

Moitos ataques cibernéticos lánzanse ao instante no momento da elección do atacante. Estes lánzanse a través da rede e poden ser unha campaña puntual ou en curso. Algunhas clases de ataques, con todo, son accións atrasadas e agardan por algún tipo de desencadenamento. O máis obvio deles son os ataques que precisan da interacción do usuario. Os ataques de phishing e XSS son excelentes exemplos diso. Ambos están preparados e lanzados polo atacante, pero só teñen efecto cando o usuario desencadea a trampa.

Algúns ataques son accións atrasadas pero requiren un conxunto de circunstancias especiais para desencadear. Poden estar totalmente seguros ata que se desencadeen. Estas circunstancias poden ser totalmente automáticas e non activadas polo ser humano. Este tipo de ataques chámanse bombas lóxicas.

Fundamentos dunha bomba lóxica

O concepto clásico dunha bomba lóxica é un simple disparador de data. Neste caso, a bomba lóxica non fará nada ata que a data e a hora sexan correctas. Nese momento, a bomba lóxica é "detonada" e provoca calquera acción prexudicial que se supón.

A eliminación de datos é o estándar das bombas lóxicas. Limpar os dispositivos ou un subconxunto máis limitado de datos é relativamente sinxelo e pode causar moito caos, principalmente se os sistemas de misión crítica están dirixidos.

Algunhas bombas lóxicas poden ter varias capas. Por exemplo, pode haber dúas bombas lóxicas, unha configurada para explotar nun momento determinado e outra que se apaga se a outra é manipulada. Alternativamente, ambos poden comprobar se o outro está no seu lugar e saír se o outro está manipulado. Isto proporciona certa redundancia ao explotar a bomba, pero duplica as posibilidades de que a bomba lóxica sexa capturada con antelación. Tampouco reduce a posibilidade de que o atacante sexa identificado.

Ameaza interna

As ameazas internas usan case exclusivamente bombas lóxicas. Un hacker externo podería eliminar cousas, pero tamén se poden beneficiar directamente roubando e vendendo os datos. Unha persoa interna adoita estar motivada pola frustración, a rabia ou a vinganza e está desilusionada. O exemplo clásico dunha ameaza interna é un empregado ao que se informou recentemente de que perderá o seu traballo en breve.

Previsiblemente, a motivación caerá e, probablemente, o rendemento laboral. Outra posible reacción é un impulso de vinganza. Ás veces serán cousas pequenas como facer pausas innecesariamente longas, imprimir moitas copias dun currículo na impresora da oficina ou ser perturbador, pouco cooperativo e desagradable. Nalgúns casos, o impulso de vinganza pode ir máis aló á sabotaxe activa.

Consello: outra fonte de ameazas internas poden ser os contratistas. Por exemplo, un contratista pode implementar unha bomba lóxica como póliza de seguro á que se lle chamará de novo para solucionar o problema.

Neste escenario, unha bomba lóxica é un posible resultado. Algúns intentos de sabotaxe poden ser bastante inmediatos. Estes, porén, adoitan ser algo fáciles de vincular ao agresor. Por exemplo, o atacante pode esnaquizar a parede de cristal da oficina do xefe. O atacante podería ir á sala de servidores e arrancar todos os cables dos servidores. Poderían chocar o seu coche contra o vestíbulo ou o coche do xefe.

O problema é que as oficinas xeralmente teñen moitas persoas que poden notar tales accións. Tamén poden incluír CCTV para gravar o atacante que comete o acto. Moitas salas de servidores requiren unha tarxeta intelixente para acceder, rexistrando exactamente quen entrou, saíu e cando. O caos baseado no coche tamén pode ser capturado en CCTV; se se usa o coche do atacante, afectará negativamente ao atacante.

Dentro da Rede

Unha ameaza interna pode darse conta de que todas as súas posibles opcións de sabotaxe física son defectuosas, teñen unha alta probabilidade de que sexan identificadas ou ambas as dúas cousas. Neste caso, poden renunciar ou optar por facer algo nos ordenadores. Para alguén técnicamente cualificado, especialmente se está familiarizado co sistema, a sabotaxe por ordenador é relativamente fácil. Tamén ten o atractivo de parecer difícil de atribuír ao atacante.

O atractivo de ser difícil de fixar no atacante vén de algúns factores. En primeiro lugar , ninguén está a buscar bombas lóxicas, polo que é fácil perdelas antes de que se apaguen.

En segundo lugar , o atacante pode temporizar deliberadamente a bomba lóxica para que estale cando non estea. Isto significa que non só non teñen que lidiar coas consecuencias inmediatas, senón que "non poden ser eles" porque non estaban alí para facelo.

En terceiro lugar , especialmente con bombas lóxicas que borran datos ou o sistema, a bomba pode borrarse por si mesma no proceso, facendo que sexa imposible a súa atribución.

Hai un número descoñecido de incidentes nos que isto funcionou pola ameaza interna. Polo menos tres casos documentados de que a persoa iniciada con éxito fixo estallar a bomba lóxica pero foi identificada e condenada. Hai polo menos outros catro casos de intento de uso nos que a bomba lóxica foi identificada e "desarmada" con seguridade antes de que estala, o que de novo resultou na identificación e condena do iniciado.

Conclusión

Unha bomba lóxica é un incidente de seguridade no que un atacante establece unha acción atrasada. As bombas lóxicas úsanse case exclusivamente por ameazas internas, principalmente como vinganza ou unha "póliza de seguro". Normalmente están baseados no tempo, aínda que se poden configurar para que se desencadeen por unha acción específica. Un resultado típico é que borran datos ou mesmo borran ordenadores.

As ameazas internas son unha das razóns polas que cando os empregados son despedidos, o seu acceso queda inmediatamente desactivado, aínda que teñan un prazo de preaviso. Isto garante que non poden facer un mal uso do seu acceso para colocar unha bomba lóxica, aínda que non ofrece ningunha protección se o empregado "vira a escrita na parede" e xa puxo a bomba lóxica.