Kaj je logična bomba?

Številni kibernetski napadi se sprožijo takoj, ko napadalec izbere čas. Te se sprožijo prek omrežja in so lahko enkratne ali tekoče kampanje. Nekateri razredi napadov pa so dejanja z zakasnitvijo in čakajo na nekakšen sprožilec. Najbolj očitni med njimi so napadi, ki zahtevajo interakcijo uporabnika. Lažno predstavljanje in napadi XSS so odlični primeri tega. Oba sta pripravljena in sprožena z napadalcem, vendar začneta veljati šele, ko uporabnik sproži past.

Nekateri napadi so dejanja z zakasnitvijo, vendar za sprožitev zahtevajo poseben niz okoliščin. Lahko so popolnoma varni, dokler se ne sprožijo. Te okoliščine so lahko povsem samodejne, ne pa jih aktivira človek. Te vrste napadov imenujemo logične bombe.

Osnove logične bombe

Klasični koncept logične bombe je preprost sprožilec datuma. V tem primeru logična bomba ne bo naredila ničesar, dokler datum in ura nista prava. Takrat se logična bomba "eksplodira" in povzroči kakršno koli škodljivo dejanje, ki naj bi ga povzročila.

Brisanje podatkov je standardna poteza logičnih bomb. Brisanje naprav ali bolj omejenega podnabora podatkov je razmeroma enostavno in lahko povzroči veliko kaosa, predvsem če so ciljni sistemi, ki so kritični.

Nekatere logične bombe so lahko večplastne. Na primer, lahko obstajata dve logični bombi, ena je nastavljena, da sproži ob določenem času, druga pa sproži, če se vanjo posega. Druga možnost je, da oba preverita, ali je drugi na svojem mestu, in se izklopita, če se vanj posega. To zagotavlja nekaj redundance pri eksplodiranju bombe, vendar podvoji možnost, da bo logična bomba ulovljena vnaprej. Prav tako ne zmanjša možnosti identifikacije napadalca.

Notranja grožnja

Notranje grožnje skoraj izključno uporabljajo logične bombe. Zunanji heker lahko izbriše stvari, lahko pa ima tudi neposredno korist s krajo in prodajo podatkov. Insajderja običajno motivirajo frustracije, jeza ali maščevanje in je razočaran. Klasičen primer notranje grožnje je zaposleni, ki je bil nedavno obveščen, da bo kmalu izgubil službo.

Predvidljivo bo padla motivacija in verjetno delovna uspešnost. Druga možna reakcija je želja po maščevanju. Včasih bodo to malenkosti, kot je jemanje nepotrebnih dolgih odmorov, tiskanje številnih kopij življenjepisa na pisarniškem tiskalniku ali moteče, nesodelujoče in neprijetno. V nekaterih primerih lahko želja po maščevanju seže dlje do aktivne sabotaže.

Nasvet: Drug vir notranjih groženj so lahko izvajalci. Na primer, izvajalec lahko implementira logično bombo kot zavarovalno polico, ki jo bodo poklicali nazaj, da odpravi težavo.

V tem scenariju je logična bomba eden od možnih rezultatov. Nekateri poskusi sabotaže so lahko precej takojšnji. Te pa je pogosto nekoliko enostavno povezati s storilcem. Napadalec lahko na primer razbije stekleno steno šefove pisarne. Napadalec bi lahko odšel v strežniško sobo in iz strežnikov iztrgal vse kable. Lahko bi se z avtom zaleteli v preddverje ali v šefov avto.

Težava je v tem, da imajo pisarne na splošno veliko ljudi, ki bi lahko opazili takšna dejanja. Imajo lahko tudi CCTV za snemanje napadalca, ki stori dejanje. Številne strežniške sobe za dostop potrebujejo pametno kartico, ki natančno beleži, kdo je vstopil, izstopil in kdaj. Kaos v avtomobilu je mogoče ujeti tudi na CCTV; če se uporabi napadalčev avto, aktivno negativno vpliva na napadalca.

Znotraj omrežja

Notranja grožnja bi lahko spoznala, da so vse njihove možne možnosti fizične sabotaže napačne, da obstaja velika verjetnost, da bodo prepoznane, ali oboje. V tem primeru lahko obupajo ali pa se odločijo nekaj narediti na računalnikih. Za nekoga, ki je tehnično usposobljen, še posebej, če je seznanjen s sistemom, je računalniška sabotaža relativno enostavna. Ima tudi vabljivost videza, ki jo je težko pripisati napadalcu.

Privlačnost, da je napadalca težko pripeti, izhaja iz nekaj dejavnikov. Prvič , nihče ne išče logičnih bomb, zato jih je enostavno zgrešiti, preden eksplodirajo.

Drugič , napadalec lahko namenoma sproži logično bombo, ko ga ni v bližini. To pomeni, da ne samo, da se jim ni treba ukvarjati s takojšnjimi posledicami, ampak to "ne morejo biti oni", ker niso bili tam, da bi to storili.

Tretjič , zlasti pri logičnih bombah, ki izbrišejo podatke ali sistem, se lahko bomba med postopkom izbriše, kar lahko onemogoči pripisovanje.

Obstaja neznano število incidentov, pri katerih se je to obneslo za notranjo grožnjo. Vsaj trije dokumentirani primeri insajderja, ki je uspešno sprožil logično bombo, vendar je bil identificiran in obsojen. Obstajajo vsaj še štirje drugi primeri poskusov uporabe, pri katerih je bila logična bomba identificirana in varno "razorožena", preden je eksplodirala, kar je spet povzročilo identifikacijo in obsodbo insajderja.

Zaključek

Logična bomba je varnostni incident, pri katerem napadalec izvede odloženo dejanje. Logične bombe uporabljajo skoraj izključno notranje grožnje, predvsem kot maščevanje ali "zavarovalna polica". Običajno temeljijo na času, čeprav jih je mogoče nastaviti tako, da jih sproži določeno dejanje. Tipičen rezultat je, da izbrišejo podatke ali celo izbrišejo računalnike.

Insajderske grožnje so eden od razlogov, da se zaposlenim ob odpustitvi takoj onemogoči dostop, tudi če imajo odpovedni rok. To zagotavlja, da ne morejo zlorabiti svojega dostopa za nameščanje logične bombe, čeprav ne zagotavlja nobene zaščite, če je zaposleni »videl napis na steni« in je že nastavil logično bombo.