O que é uma bomba lógica?

Muitos ataques cibernéticos são lançados instantaneamente no momento escolhido pelo invasor. Estes são lançados na rede e podem ser uma campanha única ou em execução. Algumas classes de ataques, no entanto, são ações atrasadas e aguardam algum tipo de gatilho. O mais óbvio deles são os ataques que precisam da interação do usuário. Ataques de phishing e XSS são excelentes exemplos disso. Ambos são preparados e lançados pelo atacante, mas só entram em vigor quando o usuário aciona a armadilha.

Alguns ataques são ações atrasadas, mas requerem um conjunto especial de circunstâncias para serem acionados. Eles podem ser totalmente seguros até serem acionados. Essas circunstâncias podem ser totalmente automáticas, em vez de ativadas por humanos. Esses tipos de ataques são chamados de bombas lógicas.

O básico de uma bomba lógica

O conceito clássico de uma bomba lógica é um simples gatilho de data. Nesse caso, a bomba lógica não fará nada até que a data e a hora estejam corretas. Nesse ponto, a bomba lógica é “detonada” e causa qualquer ação prejudicial que deveria.

Excluir dados é o objetivo padrão das bombas lógicas. Limpar dispositivos ou um subconjunto mais limitado de dados é relativamente fácil e pode causar muito caos, principalmente se os sistemas de missão crítica forem visados.

Algumas bombas lógicas podem ter várias camadas. Por exemplo, pode haver duas bombas lógicas, uma definida para explodir em um determinado momento e outra que dispara se a outra for adulterada. Alternativamente, ambos podem verificar se o outro está no lugar e desligar se o outro for adulterado. Isso fornece alguma redundância em fazer a bomba explodir, mas dobra a chance de a bomba lógica ser capturada com antecedência. Também não reduz a possibilidade de o invasor ser identificado.

Ameaça Interna

As ameaças internas usam quase exclusivamente bombas lógicas. Um hacker externo pode excluir coisas, mas também pode se beneficiar diretamente roubando e vendendo os dados. Um insider é tipicamente motivado por frustração, raiva ou vingança e está desiludido. O exemplo clássico de uma ameaça interna é um funcionário informado recentemente de que perderá o emprego em breve.

Previsivelmente, a motivação cairá e, provavelmente, o desempenho no trabalho. Outra reação possível é um desejo de vingança. Às vezes, trata-se de coisas insignificantes, como fazer pausas desnecessariamente longas, imprimir muitas cópias de um currículo na impressora do escritório ou ser perturbador, não cooperativo e desagradável. Em alguns casos, o desejo de vingança pode ir além da sabotagem ativa.

Dica: Outra fonte de ameaça interna podem ser os contratados. Por exemplo, um empreiteiro pode implementar uma bomba lógica como uma apólice de seguro para a qual será chamado de volta para resolver o problema.

Nesse cenário, uma bomba lógica é um resultado possível. Algumas tentativas de sabotagem podem ser bastante imediatas. Estes, no entanto, muitas vezes são fáceis de vincular ao perpetrador. Por exemplo, o invasor pode quebrar a parede de vidro do escritório do chefe. O invasor pode ir até a sala do servidor e arrancar todos os cabos dos servidores. Eles podem bater com o carro no foyer ou no carro do chefe.

O problema é que os escritórios geralmente têm muitas pessoas que podem perceber tais ações. Eles também podem apresentar CCTV para gravar o agressor cometendo o ato. Muitas salas de servidores exigem um cartão inteligente para acessar, registrando exatamente quem entrou, saiu e quando. O caos baseado em carros também pode ser capturado em CCTV; se o carro do atacante for usado, ele impactará ativamente negativamente o atacante.

dentro da rede

Uma ameaça interna pode perceber que todas as suas possíveis opções de sabotagem física são falhas, têm uma grande probabilidade de serem identificadas ou ambas. Nesse caso, eles podem desistir ou optar por fazer algo nos computadores. Para alguém tecnicamente qualificado, especialmente se estiver familiarizado com o sistema, a sabotagem baseada em computador é relativamente fácil. Ele também tem a atração de parecer difícil de atribuir ao atacante.

A atração de ser difícil de prender o atacante vem de alguns fatores. Em primeiro lugar , ninguém está procurando por bombas lógicas, então é fácil perdê-las antes que elas explodam.

Em segundo lugar , o invasor pode deliberadamente cronometrar a bomba lógica para explodir quando não estiver por perto. Isso significa que não apenas eles não precisam lidar com as consequências imediatas, mas “não podem ser eles” porque não estavam lá para fazer isso.

Em terceiro lugar , especialmente com bombas lógicas que limpam os dados ou o sistema, a bomba pode se excluir no processo, tornando-a potencialmente impossível de atribuir.

Há um número desconhecido de incidentes em que isso funcionou para a ameaça interna. Pelo menos três casos documentados de infiltrados que detonaram com sucesso a bomba lógica, mas foram identificados e condenados. Há pelo menos quatro outros casos de tentativa de uso em que a bomba lógica foi identificada e “desarmada” com segurança antes de explodir, novamente resultando na identificação e condenação do insider.

Conclusão

Uma bomba lógica é um incidente de segurança em que um invasor configura uma ação atrasada. As bombas lógicas são usadas quase exclusivamente por ameaças internas, principalmente como vingança ou uma “apólice de seguro”. Eles são tipicamente baseados em tempo, embora possam ser configurados para serem acionados por uma ação específica. Um resultado típico é que eles excluem dados ou até mesmo limpam os computadores.

As ameaças internas são um dos motivos pelos quais, quando os funcionários são demitidos, seu acesso é imediatamente desativado, mesmo que tenham um período de aviso prévio. Isso garante que eles não possam fazer uso indevido de seu acesso para plantar uma bomba lógica, embora não forneça nenhuma proteção se o funcionário tiver “visto o que está escrito na parede” e já tiver acionado a bomba lógica.