Co to jest bomba logiczna?

Wiele cyberataków jest przeprowadzanych natychmiast w wybranym przez atakującego czasie. Są one uruchamiane w sieci i mogą być jednorazową lub trwającą kampanią. Jednak niektóre klasy ataków są akcjami opóźnionymi i czekają na jakiś wyzwalacz. Najbardziej oczywiste z nich to ataki wymagające interakcji użytkownika. Ataki phishingowe i XSS są tego doskonałymi przykładami. Oba są przygotowane i uruchomione przez atakującego, ale działają tylko wtedy, gdy użytkownik uruchomi pułapkę.

Niektóre ataki są akcjami opóźnionymi, ale wymagają specjalnego zestawu okoliczności do wywołania. Mogą być całkowicie bezpieczne, dopóki nie zostaną uruchomione. Okoliczności te mogą być całkowicie automatyczne, a nie aktywowane przez człowieka. Tego typu ataki nazywane są bombami logicznymi.

Podstawy bomby logicznej

Klasyczna koncepcja bomby logicznej to prosty wyzwalacz daty. W takim przypadku bomba logiczna nic nie zrobi, dopóki data i godzina nie będą prawidłowe. W tym momencie bomba logiczna zostaje „zdetonowana” i powoduje wszelkie szkodliwe działania, jakie powinna wywołać.

Usuwanie danych to standardowa metoda bomb logicznych. Wymazywanie urządzeń lub bardziej ograniczonego podzbioru danych jest stosunkowo łatwe i może spowodować duży chaos, głównie w przypadku ataków na systemy o znaczeniu krytycznym.

Niektóre bomby logiczne mogą być wielowarstwowe. Na przykład mogą istnieć dwie bomby logiczne, jedna ustawiona tak, aby wybuchła w określonym czasie, a druga, która wybuchnie, jeśli druga zostanie naruszona. Alternatywnie, oba mogą sprawdzić, czy drugi jest na miejscu i wyłączyć się, jeśli drugi zostanie naruszony. Zapewnia to pewną redundancję w wybuchu bomby, ale podwaja szansę na złapanie bomby logicznej z wyprzedzeniem. Nie zmniejsza to również możliwości zidentyfikowania atakującego.

Zagrożenie wewnętrzne

Zagrożenia wewnętrzne wykorzystują prawie wyłącznie bomby logiczne. Zewnętrzny haker może usuwać rzeczy, ale może też bezpośrednio czerpać korzyści, kradnąc i sprzedając dane. Insider jest zazwyczaj motywowany frustracją, złością lub zemstą i jest rozczarowany. Klasycznym przykładem zagrożenia wewnętrznego jest pracownik niedawno poinformowany, że wkrótce straci pracę.

Zgodnie z przewidywaniami spadnie motywacja i prawdopodobnie wydajność pracy. Inną możliwą reakcją jest chęć zemsty. Czasami będą to drobne rzeczy, takie jak robienie niepotrzebnie długich przerw, drukowanie wielu kopii CV na drukarce biurowej lub bycie uciążliwym, niechętnym do współpracy i nieprzyjemnym. W niektórych przypadkach dążenie do zemsty może prowadzić do aktywnego sabotażu.

Wskazówka: Innym źródłem zagrożeń wewnętrznych mogą być kontrahenci. Na przykład wykonawca może zaimplementować bombę logiczną jako polisę ubezpieczeniową, do której zostanie wezwany w celu rozwiązania problemu.

W tym scenariuszu bomba logiczna jest jednym z możliwych wyników. Niektóre próby sabotażu mogą być dość natychmiastowe. Te jednak są często dość łatwe do powiązania ze sprawcą. Na przykład atakujący może rozbić szklaną ścianę biura szefa. Atakujący mógł wejść do serwerowni i wyrwać wszystkie kable z serwerów. Mogli rozbić swój samochód o foyer lub samochód szefa.

Problem polega na tym, że w urzędach jest na ogół wiele osób, które mogą zauważyć takie działania. Mogą również zawierać CCTV, aby zarejestrować osobę atakującą popełniającą czyn. Dostęp do wielu serwerowni wymaga karty inteligentnej, rejestrującej dokładnie, kto wszedł, wyszedł i kiedy. Chaos związany z samochodami można również uchwycić w telewizji przemysłowej; jeśli używany jest samochód atakującego, aktywnie negatywnie wpływa to na atakującego.

Wewnątrz sieci

Zagrożenie wewnętrzne może zdać sobie sprawę, że wszystkie możliwe opcje fizycznego sabotażu są albo wadliwe, albo istnieje duże prawdopodobieństwo, że zostaną zidentyfikowane, albo jedno i drugie. W takim przypadku mogą zrezygnować lub zdecydować się na zrobienie czegoś na komputerach. Dla kogoś uzdolnionego technicznie, zwłaszcza jeśli zna system, sabotaż komputerowy jest stosunkowo łatwy. Ma również urok polegający na tym, że wydaje się trudny do przypisania atakującemu.

Pokusa bycia trudnym do przyszpilenia do atakującego wynika z kilku czynników. Po pierwsze , nikt nie szuka bomb logicznych, więc łatwo je przeoczyć, zanim wybuchnie.

Po drugie , atakujący może celowo zaplanować wybuch bomby logicznej, gdy nie ma go w pobliżu. Oznacza to, że nie tylko nie muszą zajmować się bezpośrednimi następstwami, ale „nie mogą to być oni”, ponieważ nie było ich tam, aby to zrobić.

Po trzecie , szczególnie w przypadku bomb logicznych, które usuwają dane lub system, bomba może się usunąć w trakcie procesu, potencjalnie uniemożliwiając przypisanie.

Istnieje nieznana liczba incydentów, w których zadziałało to w przypadku zagrożenia wewnętrznego. Co najmniej trzy udokumentowane przypadki, w których osoba poufna z powodzeniem zdetonowała bombę logiczną, ale została zidentyfikowana i skazana. Istnieją co najmniej cztery inne przypadki prób użycia, w których bomba logiczna została zidentyfikowana i bezpiecznie „rozbrojona” przed jej wybuchem, co ponownie doprowadziło do zidentyfikowania i skazania osoby poufnej.

Wniosek

Bomba logiczna to incydent związany z bezpieczeństwem, w którym osoba atakująca przeprowadza opóźnioną akcję. Bomby logiczne są prawie wyłącznie wykorzystywane przez zagrożenia wewnętrzne, głównie jako zemsta lub „polisa ubezpieczeniowa”. Zazwyczaj są one oparte na czasie, chociaż można je skonfigurować tak, aby były wyzwalane przez określone działanie. Typowym rezultatem jest usunięcie danych lub nawet wyczyszczenie komputerów.

Zagrożenia wewnętrzne są jednym z powodów, dla których pracownicy zwalniani są natychmiast blokowani, nawet jeśli mają okres wypowiedzenia. Gwarantuje to, że nie będą mogli nadużyć swojego dostępu do podłożenia bomby logicznej, chociaż nie zapewnia to żadnej ochrony, jeśli pracownik „widział napis na ścianie” i już podłożył bombę logiczną.