Was ist eine Logikbombe?

Viele Cyber-Angriffe werden sofort und zum Zeitpunkt der Wahl des Angreifers gestartet. Diese werden über das Netzwerk gestartet und können entweder eine einmalige oder eine laufende Kampagne sein. Bei einigen Angriffsarten handelt es sich jedoch um verzögerte Aktionen, die auf einen Auslöser warten. Die offensichtlichsten davon sind Angriffe, die eine Benutzerinteraktion erfordern. Phishing- und XSS-Angriffe sind hierfür hervorragende Beispiele. Beide werden vom Angreifer vorbereitet und gestartet, werden jedoch erst wirksam, wenn der Benutzer die Falle auslöst.

Bei einigen Angriffen handelt es sich um verzögerte Aktionen, für deren Auslösung jedoch besondere Umstände erforderlich sind. Sie können völlig sicher sein, bis sie ausgelöst werden. Diese Umstände können völlig automatisch und nicht vom Menschen aktiviert sein. Solche Angriffe werden als Logikbomben bezeichnet.

Die Grundlagen einer Logikbombe

Das klassische Konzept einer Logikbombe ist ein einfacher Datumsauslöser. In diesem Fall wird die Logikbombe erst dann etwas bewirken, wenn Datum und Uhrzeit richtig sind. An diesem Punkt wird die Logikbombe „gezündet“ und verursacht die schädliche Wirkung, die sie bewirken soll.

Das Löschen von Daten ist die Standardaufgabe von Logikbomben. Das Löschen von Geräten oder einer begrenzteren Teilmenge von Daten ist relativ einfach und kann viel Chaos verursachen, vor allem, wenn geschäftskritische Systeme angegriffen werden.

Einige Logikbomben können mehrschichtig sein. Beispielsweise könnte es zwei Logikbomben geben, von denen eine zu einem bestimmten Zeitpunkt explodiert und die andere explodiert, wenn die andere manipuliert wird. Alternativ könnten beide prüfen, ob der andere vorhanden ist, und auslösen, wenn der andere manipuliert wird. Dies sorgt für eine gewisse Redundanz beim Hochgehen der Bombe, verdoppelt jedoch die Chance, dass die logische Bombe im Voraus gefangen wird. Auch die Möglichkeit, den Angreifer zu identifizieren, wird dadurch nicht verringert.

Insider-Bedrohung

Insider-Bedrohungen nutzen fast ausschließlich Logikbomben. Ein externer Hacker könnte Daten löschen, aber er kann auch direkt davon profitieren, indem er die Daten stiehlt und verkauft. Ein Insider wird typischerweise durch Frustration, Wut oder Rache motiviert und ist desillusioniert. Das klassische Beispiel einer Insider-Bedrohung ist ein Mitarbeiter, der kürzlich darüber informiert wurde, dass er in Kürze seinen Job verlieren wird.

Vorhersehbar wird die Motivation sinken und wahrscheinlich auch die Arbeitsleistung. Eine weitere mögliche Reaktion ist der Drang nach Rache. Manchmal sind es Kleinigkeiten wie unnötig lange Pausen, das Drucken vieler Kopien eines Lebenslaufs auf dem Bürodrucker oder störendes, unkooperatives und unangenehmes Verhalten. In manchen Fällen kann der Drang nach Rache bis zur aktiven Sabotage gehen.

Tipp: Eine weitere Quelle für Insider-Bedrohungen können Auftragnehmer sein. Beispielsweise kann ein Auftragnehmer eine Logikbombe als Versicherungspolice implementieren, die ihn zur Behebung des Problems zurückruft.

In diesem Szenario ist eine Logikbombe ein mögliches Ergebnis. Einige Sabotageversuche können ziemlich unmittelbar erfolgen. Diese lassen sich jedoch häufig relativ leicht mit dem Täter in Verbindung bringen. Beispielsweise könnte der Angreifer die Glaswand des Büros des Chefs einschlagen. Der Angreifer könnte in den Serverraum gehen und alle Kabel von den Servern herausreißen. Sie könnten mit ihrem Auto ins Foyer oder in das Auto des Chefs krachen.

Das Problem besteht darin, dass es in den Büros in der Regel viele Leute gibt, denen solche Aktionen auffallen könnten. Sie können auch mit Videoüberwachung ausgestattet sein, um den Angreifer bei der Tat aufzuzeichnen. Für den Zugang zu vielen Serverräumen ist eine Smartcard erforderlich, mit der genau protokolliert wird, wer wann eingetreten ist und wer ihn verlassen hat. Das Chaos im Auto kann auch auf Videoüberwachung erfasst werden; Wird das Auto des Angreifers genutzt, wirkt sich dies aktiv negativ auf den Angreifer aus.

Im Netzwerk

Eine Insider-Bedrohung könnte erkennen, dass alle möglichen physischen Sabotageoptionen entweder fehlerhaft sind, eine hohe Wahrscheinlichkeit besteht, dass sie identifiziert werden, oder beides. In diesem Fall geben sie möglicherweise auf oder entscheiden sich dafür, etwas am Computer zu tun. Für technisch versierte Personen, insbesondere wenn sie mit dem System vertraut sind, ist computergestützte Sabotage relativ einfach. Es hat auch den Reiz, dass es schwierig erscheint, es dem Angreifer zuzuschreiben.

Die Verlockung, den Angreifer schwer zu identifizieren, ergibt sich aus mehreren Faktoren. Erstens sucht niemand nach Logikbomben, daher ist es leicht, sie zu übersehen, bevor sie explodieren.

Zweitens kann der Angreifer die Logikbombe gezielt so einstellen, dass sie explodiert, wenn er nicht in der Nähe ist. Das bedeutet, dass sie sich nicht nur nicht mit den unmittelbaren Folgen auseinandersetzen müssen, sondern dass sie es auch nicht sein können, weil sie nicht da waren, um das zu tun.

Drittens , insbesondere bei Logikbomben, die Daten oder das System löschen, kann sich die Bombe dabei selbst löschen, was möglicherweise eine Zuordnung unmöglich macht.

Es gibt eine unbekannte Anzahl von Vorfällen, bei denen dies bei der Insider-Bedrohung funktioniert hat. Mindestens drei dokumentierte Fälle, in denen der Insider die Logikbombe erfolgreich zündete, jedoch identifiziert und verurteilt wurde. Es gibt mindestens vier weitere Fälle eines versuchten Einsatzes, bei denen die Logikbombe identifiziert und sicher „entschärft“ wurde, bevor sie explodierte, was wiederum zur Identifizierung und Verurteilung des Insiders führte.

Abschluss

Eine Logikbombe ist ein Sicherheitsvorfall, bei dem ein Angreifer eine verzögerte Aktion einrichtet. Logikbomben werden fast ausschließlich von Insider-Bedrohungen eingesetzt, vor allem als Rache oder als „Versicherungspolice“. Sie sind in der Regel zeitbasiert, können aber auch so eingerichtet werden, dass sie durch eine bestimmte Aktion ausgelöst werden. Ein typisches Ergebnis ist, dass sie Daten löschen oder sogar Computer löschen.

Bedrohungen durch Insider sind einer der Gründe dafür, dass bei einer Entlassung von Mitarbeitern der Zugriff sofort gesperrt wird, auch wenn eine Kündigungsfrist besteht. Dies stellt sicher, dass sie ihren Zugang nicht missbrauchen können, um eine Logikbombe zu platzieren. Dies bietet jedoch keinen Schutz, wenn der Mitarbeiter „die Zeichen an der Wand gesehen“ und die Logikbombe bereits gesetzt hat.