Hva er en logisk bombe?

Mange cyberangrep lanseres umiddelbart etter angriperens valg av tidspunkt. Disse lanseres over nettverket og kan enten være en engangskampanje eller en løpende kampanje. Noen klasser av angrep er imidlertid forsinkede handlinger og venter på en utløser av noe slag. De mest åpenbare av disse er angrep som trenger brukerinteraksjon. Phishing og XSS-angrep er gode eksempler på dette. Begge er forberedt på og lansert av angriperen, men trer først i kraft når brukeren utløser fellen.

Noen angrep er forsinkede handlinger, men krever et spesielt sett med omstendigheter for å utløse. De kan være helt trygge til de utløses. Disse omstendighetene kan være helt automatiske i stedet for menneskeaktiverte. Denne typen angrep kalles logiske bomber.

Grunnleggende om en logisk bombe

Det klassiske konseptet med en logisk bombe er en enkel datoutløser. I dette tilfellet vil den logiske bomben ikke gjøre noe før datoen og klokkeslettet er riktig. På det tidspunktet er den logiske bomben "detonert" og forårsaker den skadelige handlingen den skal.

Sletting av data er standarden for logiske bomber. Tørking av enheter eller et mer begrenset delsett av data er relativt enkelt og kan forårsake mye kaos, hovedsakelig hvis oppdragskritiske systemer er målrettet.

Noen logiske bomber kan være flerlags. For eksempel kan det være to logiske bomber, en som går av på et bestemt tidspunkt og en som går av hvis den andre blir tuklet med. Alternativt kan begge sjekke om den andre er på plass og gå av hvis den andre blir tuklet med. Dette gir en viss redundans ved at bomben går av, men dobler sjansen for at den logiske bomben blir fanget på forhånd. Det reduserer heller ikke muligheten for at angriperen blir identifisert.

Insidertrussel

Innsidetrusler bruker nesten utelukkende logiske bomber. En ekstern hacker kan slette ting, men de kan også dra direkte nytte av å stjele og selge dataene. En insider er vanligvis motivert av frustrasjon, sinne eller hevn og er desillusjonert. Det klassiske eksemplet på en innsidetrussel er en ansatt som nylig ble informert om at de snart vil miste jobben.

Forutsigbart vil motivasjonen falle og sannsynligvis jobbprestasjoner. En annen mulig reaksjon er en hevndrift. Noen ganger vil dette være smålige ting som å ta unødvendig lange pauser, skrive ut mange kopier av en CV på kontorskriveren, eller være forstyrrende, lite samarbeidsvillig og ubehagelig. I noen tilfeller kan hevndriften gå videre til aktiv sabotasje.

Tips: En annen kilde til insidertrussel kan være entreprenører. For eksempel kan en entreprenør implementere en logisk bombe som en forsikring som de vil bli kalt inn igjen for å fikse problemet.

I dette scenariet er en logisk bombe ett mulig utfall. Noen sabotasjeforsøk kan være ganske umiddelbare. Disse er imidlertid ofte noe enkle å knytte til gjerningsmannen. Angriperen kan for eksempel knuse glassveggen på sjefens kontor. Angriperen kunne gå til serverrommet og rive ut alle kablene fra serverne. De kunne krasje bilen sin inn i foajeen eller sjefens bil.

Problemet er at kontorer generelt har mange mennesker som kan legge merke til slike handlinger. De kan også bruke CCTV for å registrere angriperen som begår handlingen. Mange serverrom krever et smartkort for å få tilgang, som logger nøyaktig hvem som kom inn, gikk ut og når. Bilbasert kaos kan også fanges opp på CCTV; hvis angriperens bil brukes, påvirker det angriperen aktivt negativt.

Inne i nettverket

En insidertrussel kan innse at alle deres mulige fysiske sabotasjealternativer enten er feil, har stor sannsynlighet for at de blir identifisert, eller begge deler. I dette tilfellet kan de gi opp eller velge å gjøre noe på datamaskinene. For noen teknisk dyktige, spesielt hvis de er kjent med systemet, er datamaskinbasert sabotasje relativt enkelt. Det har også lokket til å virke utfordrende å tilskrive angriperen.

Lokkingen av å være vanskelig å gripe på angriperen kommer fra noen få faktorer. For det første leter ingen etter logiske bomber, så det er lett å gå glipp av dem før det går av.

For det andre kan angriperen bevisst time at den logiske bomben går av når de ikke er i nærheten. Dette betyr at de ikke bare trenger å forholde seg til det umiddelbare kjølvannet, men at det «kan ikke være dem» fordi de ikke var der for å gjøre det.

For det tredje , spesielt med logiske bomber som sletter data eller systemet, kan bomben slette seg selv i prosessen, noe som potensielt gjør den umulig å tilskrive.

Det er et ukjent antall hendelser hvor dette har fungert for innsidetrusselen. Minst tre dokumenterte tilfeller av innsideren som har utløst den logiske bomben, men ble identifisert og dømt. Det er minst fire andre tilfeller av forsøk på bruk der den logiske bomben ble identifisert og "avvæpnet" trygt før den gikk av, noe som igjen resulterte i at innsideren ble identifisert og dømt.

Konklusjon

En logisk bombe er en sikkerhetshendelse der en angriper setter opp en forsinket handling. Logiske bomber brukes nesten utelukkende av innsidetrusler, først og fremst som hevn eller en «forsikringspolise». De er vanligvis tidsbaserte, selv om de kan settes opp til å bli utløst av en spesifikk handling. Et typisk resultat er at de sletter data eller til og med sletter datamaskiner.

Innsidetrusler er en av grunnene til at når ansatte slippes løs, blir tilgangen deres umiddelbart deaktivert, selv om de har en oppsigelsesfrist. Dette sikrer at de ikke kan misbruke tilgangen sin til å plante en logisk bombe, selv om det ikke gir noen beskyttelse hvis den ansatte hadde "sett skriften på veggen" og allerede satt den logiske bomben.