Шта је логичка бомба?

Многи сајбер напади се покрећу тренутно у тренутку када нападач одабере. Они се покрећу преко мреже и могу бити једнократна или текућа кампања. Међутим, неке класе напада су одложене акције и чекају неку врсту окидача. Најочигледнији од њих су напади који захтевају интеракцију корисника. Пхисхинг и КССС напади су одлични примери за то. Оба су припремљена и покренута од стране нападача, али ступају на снагу тек када корисник покрене замку.

Неки напади су одложене акције, али захтевају посебан скуп околности да би се покренули. Могу бити потпуно безбедни док се не активирају. Ове околности могу бити потпуно аутоматске, а не активиране од стране људи. Ове врсте напада се називају логичке бомбе.

Основе логичке бомбе

Класичан концепт логичке бомбе је једноставан окидач датума. У овом случају, логичка бомба неће учинити ништа док датум и време не буду тачни. У том тренутку, логичка бомба се „детонира“ и изазива било коју штетну акцију за коју се претпоставља.

Брисање података је стандардни приступ логичким бомбама. Брисање уређаја или ограниченијег подскупа података је релативно лако и може изазвати много хаоса, углавном ако су циљани системи од кључне важности.

Неке логичке бомбе могу бити вишеслојне. На пример, могу постојати две логичке бомбе, једна је постављена да експлодира у одређено време, а друга која се активира ако се друга неовлашћено мења. Алтернативно, оба би могла да провере да ли је друга на месту и да се угасе ако је друга промењена. Ово обезбеђује извесну редундантност у експлоатацији бомбе, али удвостручује шансе да се логичка бомба унапред ухвати. То такође не смањује могућност да се нападач идентификује.

Инсајдерска претња

Инсајдерске претње скоро искључиво користе логичке бомбе. Спољни хакер би могао да избрише ствари, али такође може имати директну корист од крађе и продаје података. Инсајдер је обично мотивисан фрустрацијом, бесом или осветом и разочаран је. Класичан пример инсајдерске претње је запослени који је недавно обавештен да ће ускоро остати без посла.

Предвидљиво, мотивација ће пасти и, вероватно, радни учинак. Друга могућа реакција је нагон за осветом. Понекад ће то бити ситне ствари као што су непотребно дуге паузе, штампање много копија резимеа на канцеларијском штампачу или ометање, некооперативност и непријатан рад. У неким случајевима, нагон за осветом може ићи даље до активне саботаже.

Савет: Други извор инсајдерске претње могу бити извођачи радова. На пример, извођач може да примени логичку бомбу као полису осигурања коју ће поново позвати да реши проблем.

У овом сценарију, логичка бомба је један од могућих исхода. Неки покушаји саботаже могу бити прилично тренутни. Ово је, међутим, често донекле лако повезати са починиоцем. На пример, нападач може да разбије стаклени зид шефове канцеларије. Нападач би могао да оде у серверску собу и почупа све каблове са сервера. Могли су да ударе аутомобилом у предсобље или у газдов ауто.

Проблем је у томе што канцеларије генерално имају много људи који би могли приметити такве радње. Такође могу да имају ЦЦТВ да сниме нападача који је извршио дело. Многе серверске собе захтевају паметну картицу за приступ, која тачно бележи ко је ушао, изашао и када. Хаос заснован на аутомобилу такође може бити снимљен ЦЦТВ-ом; ако се користи нападачев аутомобил, он активно негативно утиче на нападача.

Инсиде Тхе Нетворк

Инсајдерска претња може схватити да су све њихове могуће опције физичке саботаже или погрешне, да постоји велика вероватноћа да ће бити идентификоване, или обоје. У овом случају, они могу одустати или изабрати да ураде нешто на рачунарима. За некога ко је технички вешт, посебно ако је упознат са системом, компјутерска саботажа је релативно лака. Такође има привлачност да изгледа као изазов за приписивање нападачу.

Примамљивост да је нападачу тешко приковати долази из неколико фактора. Прво , нико не тражи логичке бомбе, тако да их је лако пропустити пре него што експлодирају.

Друго , нападач може намерно да одреди време да експлодира логичка бомба када они нису у близини. То значи да не само да не морају да се баве непосредним последицама, већ то „не могу бити они“ јер нису били ту да то ураде.

Треће , посебно са логичким бомбама које бришу податке или систем, бомба може да се избрише у процесу, што потенцијално онемогућава приписивање.

Непознат је број инцидената у којима је ово успело за инсајдерску претњу. Најмање три документована случаја инсајдера који је успешно активирао логичку бомбу, али је идентификован и осуђен. Постоје још најмање четири случаја покушаја употребе у којима је логичка бомба идентификована и безбедно „разоружана“ пре него што је експлодирала, што је опет резултирало идентификовањем инсајдера и осуђеним.

Закључак

Логичка бомба је безбедносни инцидент у коме нападач поставља одложену акцију. Логичке бомбе готово искључиво користе инсајдерске претње, првенствено као освета или „полиса осигурања“. Они су обично засновани на времену, иако се могу подесити да се покрећу одређеном радњом. Типичан резултат је да они бришу податке или чак бришу рачунаре.

Инсајдерске претње су један од разлога да им се, када се отпусте, одмах онемогући приступ, чак и ако имају отказни рок. Ово осигурава да не могу злоупотребити свој приступ за постављање логичке бомбе, иако не пружа никакву заштиту ако је запослени „видео натпис на зиду“ и већ је поставио логичку бомбу.