Cosè una bomba logica?

Molti attacchi informatici vengono lanciati istantaneamente alla scelta dei tempi dell'attaccante. Questi vengono lanciati sulla rete e possono essere una campagna una tantum o in corso. Alcune classi di attacchi, tuttavia, sono azioni ritardate e restano in attesa di un innesco di qualche tipo. I più ovvi sono gli attacchi che richiedono l'interazione dell'utente. Gli attacchi di phishing e XSS ne sono ottimi esempi. Entrambi sono preparati e lanciati dall'attaccante, ma hanno effetto solo quando l'utente attiva la trappola.

Alcuni attacchi sono azioni ritardate ma richiedono uno speciale insieme di circostanze per attivarsi. Possono essere del tutto sicuri fino a quando non vengono attivati. Queste circostanze possono essere del tutto automatiche piuttosto che attivate dall'uomo. Questi tipi di attacchi sono chiamati bombe logiche.

Le basi di una bomba logica

Il concetto classico di una bomba logica è un semplice trigger di data. In questo caso, la bomba logica non farà nulla finché la data e l'ora non saranno corrette. A quel punto, la bomba logica viene "detonata" e provoca qualsiasi azione dannosa dovrebbe.

L'eliminazione dei dati è l'obiettivo standard delle bombe logiche. La cancellazione dei dispositivi o di un sottoinsieme di dati più limitato è relativamente semplice e può causare molto caos, soprattutto se vengono presi di mira i sistemi mission-critical.

Alcune bombe logiche possono essere multistrato. Ad esempio, potrebbero esserci due bombe logiche, una impostata per esplodere in un determinato momento e una che esplode se l'altra viene manomessa. In alternativa, entrambi potrebbero controllare se l'altro è a posto e spegnersi se l'altro viene manomesso. Ciò fornisce una certa ridondanza nell'esplosione della bomba, ma raddoppia la possibilità che la bomba logica venga catturata in anticipo. Inoltre, non riduce la possibilità che l'aggressore venga identificato.

Minaccia interna

Le minacce interne utilizzano quasi esclusivamente bombe logiche. Un hacker esterno potrebbe eliminare materiale, ma può anche trarre vantaggio direttamente rubando e vendendo i dati. Un insider è tipicamente motivato da frustrazione, rabbia o vendetta ed è disilluso. Il classico esempio di una minaccia interna è un dipendente recentemente informato che perderà il lavoro a breve.

Com'era prevedibile, la motivazione diminuirà e, probabilmente, le prestazioni lavorative. Un'altra possibile reazione è una spinta alla vendetta. A volte si tratta di cose meschine come fare pause inutilmente lunghe, stampare molte copie di un curriculum sulla stampante dell'ufficio o essere dirompenti, poco collaborativi e spiacevoli. In alcuni casi, la spinta alla vendetta può andare oltre il sabotaggio attivo.

Suggerimento: un'altra fonte di minaccia interna può essere rappresentata dagli appaltatori. Ad esempio, un appaltatore può implementare una bomba logica come polizza assicurativa che verrà richiamata per risolvere il problema.

In questo scenario, una bomba logica è un possibile risultato. Alcuni tentativi di sabotaggio possono essere piuttosto immediati. Questi, tuttavia, sono spesso in qualche modo facili da collegare all'autore del reato. Ad esempio, l'aggressore potrebbe rompere la parete di vetro dell'ufficio del capo. L'aggressore potrebbe andare nella sala server e strappare tutti i cavi dai server. Potrebbero schiantare la loro auto contro l'atrio o l'auto del capo.

Il problema è che gli uffici generalmente hanno molte persone che potrebbero notare tali azioni. Possono anche disporre di telecamere a circuito chiuso per registrare l'attaccante che commette l'atto. Molte sale server richiedono una smart card per accedere, registrando esattamente chi è entrato, uscito e quando. Il caos basato sulle auto può anche essere catturato da telecamere a circuito chiuso; se viene utilizzata l'auto dell'attaccante, ha un impatto attivamente negativo sull'attaccante.

All'interno della rete

Una minaccia interna potrebbe rendersi conto che tutte le loro possibili opzioni di sabotaggio fisico sono imperfette, hanno un'alta probabilità che vengano identificate o entrambe le cose. In questo caso, potrebbero rinunciare o scegliere di fare qualcosa sui computer. Per qualcuno tecnicamente esperto, specialmente se ha familiarità con il sistema, il sabotaggio basato su computer è relativamente facile. Ha anche il fascino di sembrare difficile da attribuire all'attaccante.

Il richiamo di essere difficili da inchiodare all'attaccante deriva da alcuni fattori. In primo luogo , nessuno è alla ricerca di bombe logiche, quindi è facile perderle prima che esplodano.

In secondo luogo , l'attaccante può deliberatamente far esplodere la bomba logica quando non è nei paraggi. Ciò significa che non solo non devono affrontare le conseguenze immediate, ma “non possono essere loro” perché non erano lì per farlo.

In terzo luogo , specialmente con le bombe logiche che cancellano i dati o il sistema, la bomba può cancellarsi durante il processo, rendendo potenzialmente impossibile l'attribuzione.

Esiste un numero imprecisato di incidenti in cui ciò ha funzionato per la minaccia interna. Almeno tre casi documentati di insider che hanno fatto esplodere con successo la bomba logica ma sono stati identificati e condannati. Ci sono almeno altri quattro casi di tentato utilizzo in cui la bomba logica è stata identificata e "disarmata" in sicurezza prima che esplodesse, con conseguente identificazione e condanna dell'insider.

Conclusione

Una bomba logica è un incidente di sicurezza in cui un utente malintenzionato organizza un'azione ritardata. Le bombe logiche sono utilizzate quasi esclusivamente da minacce interne, principalmente come vendetta o come "polizza assicurativa". In genere sono basati sul tempo, sebbene possano essere impostati per essere attivati ​​da un'azione specifica. Un risultato tipico è che eliminano i dati o addirittura cancellano i computer.

Le minacce interne sono uno dei motivi per cui quando i dipendenti vengono licenziati, il loro accesso viene immediatamente disabilitato, anche se hanno un periodo di preavviso. Ciò garantisce che non possano abusare del loro accesso per piazzare una bomba logica, anche se non fornisce alcuna protezione se il dipendente ha "visto la scritta sul muro" e ha già piazzato la bomba logica.