Što je logička bomba?

Mnogi kibernetički napadi pokreću se trenutno prema izboru napadača. One se pokreću preko mreže i mogu biti jednokratne ili aktivne kampanje. Međutim, neke klase napada su odgođene akcije i čekaju neku vrstu okidača. Najočitiji od njih su napadi koji zahtijevaju interakciju korisnika. Phishing i XSS napadi izvrsni su primjeri toga. Oba su pripremljena i pokrenuta od strane napadača, ali stupaju na snagu tek kada korisnik aktivira zamku.

Neki napadi su odgođene radnje, ali zahtijevaju poseban skup okolnosti da bi se aktivirali. Mogu biti potpuno sigurni dok se ne aktiviraju. Ove okolnosti mogu biti potpuno automatske, a ne aktivirane od strane ljudi. Ove vrste napada nazivaju se logičke bombe.

Osnove logičke bombe

Klasični koncept logičke bombe je jednostavan okidač datuma. U ovom slučaju, logička bomba neće učiniti ništa dok datum i vrijeme ne budu točni. U tom trenutku, logička bomba je "detonirana" i uzrokuje bilo kakvu štetnu radnju koju bi trebala učiniti.

Brisanje podataka standardni je postupak logičkih bombi. Brisanje uređaja ili ograničenijeg podskupa podataka relativno je jednostavno i može uzrokovati veliki kaos, uglavnom ako su ciljani kritični sustavi.

Neke logičke bombe mogu biti višeslojne. Na primjer, mogu postojati dvije logičke bombe, jedna postavljena da eksplodira u određeno vrijeme i jedna koja eksplodira ako se s drugom dirati. Alternativno, obje mogu provjeriti je li druga na svom mjestu i ugasiti se ako se na drugu diraju. Ovo daje određenu suvišnost u slučaju da bomba eksplodira, ali udvostručuje šansu da logička bomba bude uhvaćena unaprijed. To također ne smanjuje mogućnost identificiranja napadača.

Insajderska prijetnja

Insajderske prijetnje gotovo isključivo koriste logičke bombe. Vanjski haker mogao bi izbrisati stvari, ali također može imati izravnu korist krađom i prodajom podataka. Insajder je obično motiviran frustracijom, ljutnjom ili osvetom i razočaran je. Klasičan primjer prijetnje iznutra je zaposlenik koji je nedavno obaviješten da će uskoro izgubiti posao.

Predvidljivo, motivacija će pasti, a vjerojatno i radni učinak. Druga moguća reakcija je želja za osvetom. Ponekad će to biti sitne stvari poput uzimanja nepotrebno dugih pauza, ispisivanja velikog broja kopija životopisa na uredskom pisaču ili ometanja, nekooperativnosti i neugodnosti. U nekim slučajevima, poriv za osvetom može ići dalje do aktivne sabotaže.

Savjet: Drugi izvor insajderske prijetnje mogu biti izvođači. Na primjer, izvođač može implementirati logičku bombu kao policu osiguranja da će ga ponovno pozvati da riješi problem.

U ovom scenariju, logička bomba je jedan od mogućih ishoda. Neki pokušaji sabotaže mogu biti prilično trenutni. Njih je, međutim, često donekle lako povezati s počiniteljem. Na primjer, napadač bi mogao razbiti stakleni zid šefovog ureda. Napadač bi mogao otići u serversku sobu i počupati sve kablove iz servera. Mogli bi se zabiti autom u predsoblje ili u šefov auto.

Problem je u tome što uredi općenito imaju mnogo ljudi koji bi mogli primijetiti takve radnje. Također mogu imati CCTV za snimanje napadača koji počinje djelo. Mnoge poslužiteljske sobe zahtijevaju pametnu karticu za pristup, koja točno bilježi tko je ušao, izašao i kada. Kaos u automobilu također se može snimiti CCTV-om; ako se koristi napadačev automobil, on aktivno negativno utječe na napadača.

Unutar mreže

Prijetnja iznutra mogla bi shvatiti da su sve njihove moguće opcije fizičke sabotaže ili manjkave, da postoji velika vjerojatnost da će biti identificirane ili oboje. U tom bi slučaju mogli odustati ili odlučiti učiniti nešto na računalima. Za nekoga tko je tehnički vješt, pogotovo ako je upoznat sa sustavom, računalna sabotaža je relativno laka. Također ima privlačnost izgleda izazovnog za pripisivanje napadaču.

Mamac da vas je teško uhvatiti za napadača dolazi iz nekoliko čimbenika. Prvo , nitko ne traži logičke bombe, pa ih je lako promašiti prije nego što eksplodiraju.

Drugo , napadač može namjerno tempirati logičku bombu da eksplodira kada nisu u blizini. To znači da ne samo da se ne moraju nositi s neposrednim posljedicama, nego to "ne mogu biti oni" jer oni nisu bili tu da to učine.

Treće , posebno s logičkim bombama koje brišu podatke ili sustav, bomba se može izbrisati u procesu, potencijalno onemogućavajući pripisivanje.

Postoji nepoznat broj incidenata u kojima je ovo uspjelo za insajdersku prijetnju. Najmanje tri dokumentirana slučaja insajdera koji je uspješno aktivirao logičku bombu, ali je identificiran i osuđen. Postoje još najmanje četiri slučaja pokušaja korištenja u kojima je logička bomba identificirana i sigurno "razoružana" prije nego što je eksplodirala, što je opet rezultiralo identificiranjem i osudom insajdera.

Zaključak

Logička bomba je sigurnosni incident u kojem napadač postavlja odgođenu akciju. Logičke bombe koriste se gotovo isključivo od strane insajderskih prijetnji, prvenstveno kao osveta ili "polica osiguranja". Obično se temelje na vremenu, iako se mogu postaviti da budu pokrenuti određenom radnjom. Tipičan rezultat je brisanje podataka ili čak brisanje računala.

Insajderske prijetnje jedan su od razloga zašto im se zaposlenicima pri otpuštanju odmah onemogućuje pristup, čak i ako imaju otkazni rok. To osigurava da ne mogu zloupotrijebiti svoj pristup za postavljanje logičke bombe, iako ne pruža nikakvu zaštitu ako je zaposlenik “vidio natpis na zidu” i već postavio logičku bombu.