Kas ir loģiskā bumba?

Daudzi kiberuzbrukumi tiek uzsākti uzreiz pēc uzbrucēja izvēlēta laika. Tās tiek izlaistas tīklā, un tās var būt gan vienreizēja, gan notiekoša kampaņa. Tomēr dažas uzbrukumu klases ir aizkavētas darbības un gaida sava veida izraisītāju. Acīmredzamākie no tiem ir uzbrukumi, kuriem nepieciešama lietotāja iejaukšanās. Pikšķerēšanas un XSS uzbrukumi ir lieliski piemēri. Abus uzbrucējs sagatavo un palaiž, taču tie stājas spēkā tikai tad, kad lietotājs aktivizē slazdu.

Daži uzbrukumi ir aizkavētas darbības, taču, lai tie tiktu aktivizēti, ir nepieciešams īpašs apstākļu kopums. Tie var būt pilnīgi droši, līdz tie tiek aktivizēti. Šie apstākļi var būt pilnīgi automātiski, nevis cilvēka aktivizēti. Šāda veida uzbrukumus sauc par loģiskām bumbām.

Loģiskās bumbas pamati

Klasiskais loģiskās bumbas jēdziens ir vienkāršs datuma palaidējs. Šajā gadījumā loģiskā bumba neko nedarīs, kamēr nav norādīts pareizais datums un laiks. Tajā brīdī loģiskā bumba tiek “uzspridzināta” un izraisa jebkādas kaitīgas darbības, kas tai ir paredzētas.

Datu dzēšana ir standarta loģikas bumbas. Ierīču vai ierobežotākas datu apakškopas noslaukšana ir salīdzinoši vienkārša un var izraisīt lielu haosu, galvenokārt, ja ir paredzētas misijai kritiskās sistēmas.

Dažas loģiskās bumbas var būt daudzslāņu. Piemēram, var būt divas loģiskās bumbas, no kurām viena iedegas noteiktā laikā, un otra, kas tiek iedarbināta, ja tiek manipulēta ar otru. Alternatīvi, abi var pārbaudīt, vai otrs ir savā vietā, un izslēgties, ja otrs ir bojāts. Tas nodrošina zināmu lieku bumbiņu, bet dubulto iespēju, ka loģiskā bumba tiks noķerta iepriekš. Tas arī nesamazina iespēju, ka uzbrucējs tiks identificēts.

Iekšējie draudi

Iekšējie draudi gandrīz tikai izmanto loģiskās bumbas. Ārējais hakeris var izdzēst saturu, taču viņi var arī gūt tiešu labumu, nozogot un pārdodot datus. Iekšējās personas parasti motivē vilšanās, dusmas vai atriebība, un viņš ir vīlies. Klasisks iekšējās informācijas draudu piemērs ir darbinieks, kurš nesen tika informēts, ka drīzumā zaudēs darbu.

Paredzams, ka kritīsies motivācija un, iespējams, arī darba izpilde. Vēl viena iespējamā reakcija ir tieksme pēc atriebības. Dažkārt tās būs sīkas lietas, piemēram, nevajadzīgi ilgi pārtraukumi, daudzu CV kopiju drukāšana ar biroja printeri vai traucējoša, nesadarbīga un nepatīkama darbība. Dažos gadījumos tieksme pēc atriebības var pāriet uz aktīvu sabotāžu.

Padoms. Vēl viens iekšēju draudu avots var būt darbuzņēmēji. Piemēram, darbuzņēmējs var ieviest loģisko bumbu kā apdrošināšanas polisi, kas viņam tiks izsaukta, lai atrisinātu problēmu.

Šajā scenārijā viens no iespējamiem iznākumiem ir loģiskā bumba. Daži sabotāžas mēģinājumi var būt diezgan tūlītēji. Tomēr tos bieži ir viegli saistīt ar vainīgo. Piemēram, uzbrucējs var izsist priekšnieka biroja stikla sienu. Uzbrucējs varētu doties uz serveru telpu un izvilkt visus kabeļus no serveriem. Viņi varēja ietriekties ar savu automašīnu foajē vai priekšnieka automašīnā.

Problēma ir tā, ka birojos parasti ir daudz cilvēku, kas varētu pamanīt šādas darbības. Tajos var būt arī videonovērošana, lai ierakstītu uzbrucēja darbību. Daudzām serveru telpām, lai piekļūtu, ir nepieciešama viedkarte, kas precīzi reģistrē, kas iegāja, izgāja un kad. Automašīnu radītais haoss var tikt iemūžināts arī CCTV; ja tiek izmantota uzbrucēja automašīna, tas aktīvi negatīvi ietekmē uzbrucēju.

Tīkla iekšpusē

Iekšējie draudi var saprast, ka visas viņu iespējamās fiziskās sabotāžas iespējas ir vai nu kļūdainas, vai ir liela iespēja, ka tās tiks identificētas, vai arī abas. Šādā gadījumā viņi var padoties vai izvēlēties kaut ko darīt datorā. Tehniski prasmīgiem cilvēkiem, it īpaši, ja viņi pārzina sistēmu, datorizēta sabotāža ir salīdzinoši vienkārša. Tam ir arī vilinājums, ka šķiet, ka to ir grūti attiecināt uz uzbrucēju.

Uzbrucēju grūti piespraust pievilināšanai daži faktori. Pirmkārt , neviens nemeklē loģiskās bumbas, tāpēc ir viegli tās palaist garām, pirms tās nodegas.

Otrkārt , uzbrucējs var apzināti iestatīt loģiskās bumbas nostrādes laiku, kad viņš neatrodas tuvumā. Tas nozīmē, ka viņiem ne tikai nav jārisina tūlītējas sekas, bet tie “nevar būt viņi”, jo viņi nebija tur, lai to izdarītu.

Treškārt , īpaši ar loģiskām bumbām, kas dzēš datus vai sistēmu, bumba var tikt izdzēsta šajā procesā, tādējādi padarot to neiespējamu attiecināšanu.

Ir nezināms skaits incidentu, kad tas ir izdevies iekšējās informācijas apdraudējumam. Vismaz trīs dokumentēti gadījumi, kad iekšējās personas sekmīgi nodedzināja loģisko bumbu, bet tiek identificēta un notiesāta. Ir vēl vismaz četri lietošanas mēģinājuma gadījumi, kad loģiskā bumba tika identificēta un droši “atbruņota”, pirms tā nodega, kā rezultātā atkal tika identificēts un notiesāts.

Secinājums

Loģiskā bumba ir drošības incidents, kurā uzbrucējs veic aizkavētu darbību. Loģiskās bumbas gandrīz tikai izmanto iekšējās informācijas draudiem, galvenokārt kā atriebība vai "apdrošināšanas polise". Tie parasti ir balstīti uz laiku, lai gan tos var iestatīt tā, lai tos aktivizētu noteikta darbība. Tipisks rezultāts ir tāds, ka tie izdzēš datus vai pat notīra datorus.

Iekšējās informācijas draudi ir viens no iemesliem, kāpēc darbinieku atlaišanas gadījumā viņu piekļuve tiek nekavējoties atspējota, pat ja viņiem ir noteikts brīdinājuma termiņš. Tas nodrošina, ka viņi nevar ļaunprātīgi izmantot savu piekļuvi, lai uzstādītu loģisko bumbu, lai gan tas nenodrošina nekādu aizsardzību, ja darbinieks ir “redzējis uzrakstu uz sienas” un jau uzstādījis loģisko bumbu.