Wat is een logische bom?

Veel cyberaanvallen worden onmiddellijk gelanceerd op het tijdstip dat de aanvaller kiest. Deze worden via het netwerk gelanceerd en kunnen een eenmalige of lopende campagne zijn. Sommige aanvalsklassen zijn echter vertraagde acties en wachten op een of andere trigger. De meest voor de hand liggende hiervan zijn aanvallen die interactie van de gebruiker vereisen. Phishing- en XSS-aanvallen zijn hier uitstekende voorbeelden van. Beide zijn voorbereid op en gelanceerd door de aanvaller, maar treden pas in werking wanneer de gebruiker de val activeert.

Sommige aanvallen zijn vertraagde acties, maar vereisen een speciale reeks omstandigheden om te worden geactiveerd. Ze kunnen volkomen veilig zijn totdat ze worden geactiveerd. Deze omstandigheden kunnen volledig automatisch zijn in plaats van door mensen geactiveerd. Dit soort aanvallen worden logische bommen genoemd.

De grondbeginselen van een logische bom

Het klassieke concept van een logische bom is een simpele datumtrigger. In dit geval doet de logische bom niets totdat de datum en tijd kloppen. Op dat moment is de logische bom "ontploft" en veroorzaakt hij alle schadelijke acties die hij zou moeten doen.

Het verwijderen van gegevens is de standaardgo-to van logische bommen. Het wissen van apparaten of een beperktere subset van gegevens is relatief eenvoudig en kan veel chaos veroorzaken, vooral als het gaat om missiekritieke systemen.

Sommige logische bommen kunnen uit meerdere lagen bestaan. Er kunnen bijvoorbeeld twee logische bommen zijn, een die afgaat op een bepaald tijdstip en een die afgaat als met de andere wordt geknoeid. Als alternatief kunnen beide controleren of de ander op zijn plaats zit en afgaan als er met de ander is geknoeid. Dit zorgt voor enige redundantie bij het laten afgaan van de bom, maar verdubbelt de kans dat de logische bom van tevoren wordt gepakt. Het vermindert ook niet de kans dat de aanvaller wordt geïdentificeerd.

Bedreiging van binnenuit

Insider-bedreigingen maken bijna uitsluitend gebruik van logische bommen. Een externe hacker kan dingen verwijderen, maar kan er ook direct van profiteren door de gegevens te stelen en te verkopen. Een insider wordt meestal gemotiveerd door frustratie, woede of wraak en is gedesillusioneerd. Het klassieke voorbeeld van een bedreiging van binnenuit is een werknemer die onlangs te horen heeft gekregen dat hij binnenkort zijn baan zal verliezen.

Het is voorspelbaar dat de motivatie zal afnemen en waarschijnlijk ook de werkprestaties. Een andere mogelijke reactie is wraakzucht. Soms zijn dit kleine dingen, zoals onnodig lange pauzes nemen, veel exemplaren van een cv afdrukken op de kantoorprinter, of storend, niet meewerkend en onaangenaam zijn. In sommige gevallen kan de drang naar wraak verder gaan dan actieve sabotage.

Tip: Een andere bron van bedreiging van binnenuit kunnen aannemers zijn. Een aannemer kan bijvoorbeeld een logische bom implementeren als verzekeringspolis dat hij of zij wordt teruggeroepen om het probleem op te lossen.

In dit scenario is een logische bom een ​​mogelijke uitkomst. Sommige sabotagepogingen kunnen vrij direct zijn. Deze zijn echter vaak enigszins eenvoudig te koppelen aan de dader. De aanvaller kan bijvoorbeeld de glazen wand van het kantoor van de baas stukslaan. De aanvaller kan naar de serverruimte gaan en alle kabels van de servers lostrekken. Ze kunnen met hun auto tegen de foyer of de auto van de baas botsen.

Het probleem is dat kantoren over het algemeen veel mensen hebben die dergelijke acties zouden kunnen opmerken. Ze kunnen ook camera's bevatten om de aanvaller die de daad pleegt vast te leggen. Veel serverruimten hebben een smartcard nodig om toegang te krijgen, waarbij precies wordt geregistreerd wie er is binnengekomen, is vertrokken en wanneer. Op auto's gebaseerde chaos kan ook worden vastgelegd op cameratoezicht; als de auto van de aanvaller wordt gebruikt, heeft dit actief een negatieve invloed op de aanvaller.

Binnen het netwerk

Een bedreiging van binnenuit kan zich realiseren dat al hun mogelijke fysieke sabotage-opties gebrekkig zijn, een grote kans hebben dat ze worden geïdentificeerd, of beide. In dit geval kunnen ze opgeven of ervoor kiezen om iets op de computers te doen. Voor iemand die technisch onderlegd is, vooral als hij bekend is met het systeem, is computergebaseerde sabotage relatief eenvoudig. Het heeft ook de verleiding uitdagend te lijken om toe te schrijven aan de aanvaller.

De verleiding om moeilijk te pinnen op de aanvaller komt van een paar factoren. Ten eerste is niemand op zoek naar logische bommen, dus het is gemakkelijk om ze te missen voordat ze afgaan.

Ten tweede kan de aanvaller de logische bom opzettelijk timen om af te gaan wanneer hij niet in de buurt is. Dit betekent niet alleen dat ze niet te maken hebben met de onmiddellijke nasleep, maar het "kan niet aan hen liggen" omdat ze er niet waren om het te doen.

Ten derde , vooral met logische bommen die gegevens of het systeem wissen, kan de bom zichzelf tijdens het proces verwijderen, waardoor het mogelijk onmogelijk wordt om toe te schrijven.

Er is een onbekend aantal incidenten waarbij dit is gelukt voor de bedreiging van binnenuit. Ten minste drie gedocumenteerde gevallen waarin de insider met succes de logische bom heeft laten ontploffen, maar is geïdentificeerd en veroordeeld. Er zijn ten minste vier andere gevallen van poging tot gebruik waarbij de logische bom veilig werd geïdentificeerd en 'ontwapend' voordat deze afging, wat opnieuw resulteerde in de identificatie en veroordeling van de insider.

Conclusie

Een logische bom is een beveiligingsincident waarbij een aanvaller een vertraagde actie opzet. Logische bommen worden bijna uitsluitend gebruikt door bedreigingen van binnenuit, voornamelijk als wraak of een 'verzekeringspolis'. Ze zijn meestal op tijd gebaseerd, hoewel ze kunnen worden ingesteld om te worden geactiveerd door een specifieke actie. Een typisch resultaat is dat ze gegevens wissen of zelfs computers wissen.

Bedreigingen van binnenuit zijn een van de redenen dat wanneer werknemers worden ontslagen, hun toegang onmiddellijk wordt uitgeschakeld, zelfs als ze een opzegtermijn hebben. Dit zorgt ervoor dat ze hun toegang niet kunnen misbruiken om een ​​logische bom te plaatsen, hoewel het geen enkele bescherming biedt als de werknemer "het teken aan de muur had gezien" en de logische bom al had geplaatst.