Vad är en logisk bomb?

Många cyberattacker lanseras omedelbart efter angriparens val av tidpunkt. Dessa lanseras över nätverket och kan vara antingen en engångskampanj eller en pågående kampanj. Vissa klasser av attacker är dock försenade åtgärder och väntar på en utlösare av något slag. De mest uppenbara av dessa är attacker som kräver användarinteraktion. Nätfiske- och XSS-attacker är utmärkta exempel på detta. Båda är förberedda för och lanseras av angriparen men träder i kraft först när användaren utlöser fällan.

Vissa attacker är försenade åtgärder men kräver en speciell uppsättning omständigheter för att utlösa. De kan vara helt säkra tills de utlöses. Dessa omständigheter kan vara helt automatiska snarare än mänskliga aktiverade. Dessa typer av attacker kallas logiska bomber.

Grunderna i en logisk bomb

Det klassiska konceptet med en logisk bomb är en enkel datetrigger. I det här fallet kommer den logiska bomben inte att göra något förrän datum och tid är rätt. Vid den tidpunkten är den logiska bomben "detonerad" och orsakar vilken skadlig handling den än är tänkt att göra.

Att radera data är standarden för logiska bomber. Att torka enheter eller en mer begränsad delmängd av data är relativt enkelt och kan orsaka mycket kaos, främst om uppdragskritiska system är inriktade på.

Vissa logiska bomber kan vara flerskiktiga. Det kan till exempel finnas två logiska bomber, en inställd att gå av vid en viss tidpunkt och en som går av om den andra manipuleras. Alternativt kan båda kontrollera om den andra är på plats och gå av om den andra manipuleras. Detta ger viss redundans i att bomben går av men fördubblar chansen att den logiska bomben fångas i förväg. Det minskar inte heller möjligheten att angriparen identifieras.

Insiderhot

Insiderhot använder nästan uteslutande logiska bomber. En extern hackare kan ta bort saker, men de kan också dra direkt nytta av att stjäla och sälja data. En insider är vanligtvis motiverad av frustration, ilska eller hämnd och är desillusionerad. Det klassiska exemplet på ett insiderhot är en anställd som nyligen informerats om att de kommer att bli av med jobbet inom kort.

Förutsägbart kommer motivationen att sjunka och, sannolikt, jobbprestationer. En annan möjlig reaktion är en revanschsträvan. Ibland blir det småsaker som att ta onödigt långa pauser, skriva ut många kopior av ett CV på kontorsskrivaren eller att vara störande, samarbetsvillig och otrevlig. I vissa fall kan hämnddriften gå vidare till aktivt sabotage.

Tips: En annan källa till insiderhot kan vara entreprenörer. Till exempel kan en entreprenör implementera en logisk bomb som en försäkring som de kommer att kallas tillbaka för att åtgärda problemet.

I detta scenario är en logisk bomb ett möjligt resultat. Vissa sabotageförsök kan vara ganska omedelbara. Dessa är dock ofta något lätta att koppla till gärningsmannen. Till exempel kan angriparen krossa glasväggen på chefens kontor. Angriparen kunde gå till serverrummet och slita ut alla kablar från servrarna. De kunde krascha in sin bil i foajén eller chefens bil.

Problemet är att kontor i allmänhet har många människor som kan lägga märke till sådana handlingar. De kan också ha CCTV för att spela in angriparen som begår handlingen. Många serverrum kräver ett smartkort för att komma åt, som loggar exakt vem som gick in, lämnade och när. Bilbaserat kaos kan också fångas på CCTV; om angriparens bil används påverkar det angriparen aktivt negativt.

Inuti nätverket

Ett insiderhot kan inse att alla deras möjliga fysiska sabotagealternativ antingen är felaktiga, har stor sannolikhet att de identifieras eller båda. I det här fallet kanske de ger upp eller väljer att göra något på datorerna. För någon tekniskt skicklig, speciellt om de är bekanta med systemet, är datorbaserat sabotage relativt enkelt. Det har också lockelsen att verka utmanande att tillskriva angriparen.

Lockelsen att vara svår att fästa på angriparen kommer från ett par faktorer. För det första letar ingen efter logiska bomber, så det är lätt att missa dem innan det går av.

För det andra kan angriparen medvetet tajma den logiska bomben att sprängas när de inte är i närheten. Det betyder att de inte bara inte behöver ta itu med det omedelbara efterspelet, utan det "kan inte vara dem" eftersom de inte var där för att göra det.

För det tredje , särskilt med logiska bomber som raderar data eller systemet, kan bomben radera sig själv under processen, vilket potentiellt gör den omöjlig att tillskriva.

Det finns ett okänt antal incidenter där detta har fungerat för insiderhotet. Minst tre dokumenterade fall där insidern lyckades utlösa den logiska bomben men identifierades och dömdes. Det finns minst fyra andra fall av försök till användning där den logiska bomben identifierades och "avväpnades" säkert innan den gick av, vilket återigen resulterade i att insidern identifierades och dömdes.

Slutsats

En logisk bomb är en säkerhetsincident där en angripare sätter igång en försenad åtgärd. Logiska bomber används nästan uteslutande av insiderhot, främst som hämnd eller en "försäkring". De är vanligtvis tidsbaserade även om de kan ställas in för att utlösas av en specifik åtgärd. Ett typiskt resultat är att de raderar data eller till och med raderar datorer.

Insiderhot är en av anledningarna till att när anställda släpps av så stängs deras åtkomst omedelbart av, även om de har en uppsägningstid. Detta säkerställer att de inte kan missbruka sin tillgång till att plantera en logisk bomb, även om det inte ger något skydd om den anställde hade "sett skriften på väggen" och redan satt den logiska bomben.