Čo je to logická bomba?

Mnoho kybernetických útokov sa spúšťa okamžite podľa načasovania útočníka. Tie sa spúšťajú cez sieť a môže ísť o jednorazovú alebo prebiehajúcu kampaň. Niektoré triedy útokov sú však oneskorené akcie a čakajú na spustenie nejakého druhu. Najzrejmejšie z nich sú útoky, ktoré vyžadujú interakciu používateľa. Phishing a XSS útoky sú toho skvelým príkladom. Obe sú pripravené a spustené útočníkom, no prejavia sa až vtedy, keď používateľ spustí pascu.

Niektoré útoky sú oneskorené akcie, ale na spustenie vyžadujú špeciálny súbor okolností. Môžu byť úplne bezpečné, kým sa nespustia. Tieto okolnosti môžu byť úplne automatické a nie aktivované človekom. Tieto typy útokov sa nazývajú logické bomby.

Základy logickej bomby

Klasická koncepcia logickej bomby je jednoduchá dátumová spúšť. V tomto prípade logická bomba neurobí nič, kým nie je správny dátum a čas. V tomto bode je logická bomba „odpálená“ a spôsobí akúkoľvek škodlivú akciu, ktorá by mala spôsobiť.

Vymazanie údajov je štandardným cieľom logických bômb. Vymazanie zariadení alebo obmedzenejšej podmnožiny údajov je relatívne jednoduché a môže spôsobiť veľa chaosu, najmä ak sú zamerané na kritické systémy.

Niektoré logické bomby môžu byť viacvrstvové. Napríklad môžu existovať dve logické bomby, jedna nastavená tak, aby vybuchla v konkrétnom čase, a jedna, ktorá vybuchne, ak sa s druhou manipuluje. Prípadne môžu obaja skontrolovať, či je druhý na svojom mieste, a zhasnúť, ak je s druhým manipulované. To poskytuje určitú redundanciu pri explózii bomby, ale zdvojnásobuje šancu, že logická bomba bude chytená vopred. Neznižuje to ani možnosť identifikácie útočníka.

Insider Threat

Insider hrozby takmer výlučne používajú logické bomby. Externý hacker môže vymazať veci, ale môže tiež priamo profitovať z krádeže a predaja údajov. Zasvätený človek je zvyčajne motivovaný frustráciou, hnevom alebo pomstou a je rozčarovaný. Klasickým príkladom vnútornej hrozby je zamestnanec nedávno informovaný, že čoskoro príde o prácu.

Predvídateľne klesne motivácia a pravdepodobne aj pracovný výkon. Ďalšou možnou reakciou je túžba po pomste. Niekedy to budú malichernosti, ako je robenie si zbytočne dlhých prestávok, tlačenie mnohých kópií životopisu na kancelárskej tlačiarni alebo vyrušovanie, nespolupráca a nepríjemnosť. V niektorých prípadoch môže snaha o pomstu ísť ešte ďalej až do aktívnej sabotáže.

Tip: Ďalším zdrojom vnútornej hrozby môžu byť dodávatelia. Dodávateľ môže napríklad implementovať logickú bombu ako poistku, do ktorej bude povolaný, aby problém vyriešil.

V tomto scenári je logická bomba jedným z možných výsledkov. Niektoré pokusy o sabotáž môžu byť celkom okamžité. Tie sa však často dajú ľahko spojiť s páchateľom. Útočník môže napríklad rozbiť sklenenú stenu šéfovej kancelárie. Útočník by mohol ísť do serverovne a vytrhnúť všetky káble zo serverov. Mohli by naraziť autom do foyer alebo šéfovho auta.

Problém je v tom, že úrady majú vo všeobecnosti veľa ľudí, ktorí by si takéto počínanie mohli všimnúť. Môžu tiež obsahovať CCTV na zaznamenanie útočníka pri spáchaní činu. Mnoho serverových miestností vyžaduje na prístup inteligentnú kartu, ktorá presne zaznamenáva, kto vstúpil, vystúpil a kedy. Chaos v autách možno zachytiť aj na CCTV; ak je použité útočníkovo auto, aktívne negatívne ovplyvňuje útočníka.

Vnútri siete

Zasvätená hrozba si môže uvedomiť, že všetky ich možné možnosti fyzickej sabotáže sú buď chybné, majú vysokú pravdepodobnosť, že budú identifikované, alebo oboje. V tomto prípade sa môžu vzdať alebo sa rozhodnúť niečo urobiť na počítačoch. Pre niekoho technicky zdatného, ​​najmä ak je oboznámený so systémom, je počítačová sabotáž relatívne jednoduchá. Má tiež návnadu na to, aby sa javil ako náročný na prisúdenie útočníkovi.

Návnada toho, že je ťažké prichytiť útočníka, pochádza z niekoľkých faktorov. Po prvé , nikto nehľadá logické bomby, takže je ľahké ich minúť skôr, ako vybuchnú.

Po druhé , útočník môže úmyselne načasovať logickú bombu, aby vybuchla, keď nie je nablízku. To znamená, že nielenže nemusia riešiť bezprostredné následky, ale „nemôžu to byť oni“, pretože tam neboli, aby to urobili.

Po tretie , najmä pri logických bombách, ktoré vymazávajú údaje alebo systém, sa bomba môže v procese vymazať, čo potenciálne znemožní priradenie.

Existuje neznámy počet incidentov, pri ktorých sa to pre vnútornú hrozbu podarilo. Najmenej tri zdokumentované prípady, keď zasvätenec úspešne odpálil logickú bombu, ale bol identifikovaný a usvedčený. Existujú najmenej štyri ďalšie prípady pokusu o použitie, keď bola logická bomba identifikovaná a „odzbrojená“ bezpečne pred výbuchom, čo opäť viedlo k identifikácii a odsúdeniu zasväteného.

Záver

Logická bomba je bezpečnostný incident, pri ktorom útočník spustí oneskorenú akciu. Logické bomby sú takmer výlučne používané vnútornými hrozbami, predovšetkým ako pomsta alebo „poistná politika“. Zvyčajne sú založené na čase, hoci môžu byť nastavené tak, aby boli spustené špecifickou akciou. Typickým výsledkom je, že vymažú údaje alebo dokonca vymažú počítače.

Hrozby zasvätených osôb sú jedným z dôvodov, že keď zamestnancov prepustia, okamžite sa im znemožní prístup, aj keď majú výpovednú lehotu. To zaisťuje, že nemôžu zneužiť svoj prístup na umiestnenie logickej bomby, hoci to neposkytuje žiadnu ochranu, ak zamestnanec „videl nápis na stene“ a už nastavil logickú bombu.