Ce este o bombă logică?

Multe atacuri cibernetice sunt lansate instantaneu la alegerea momentului de către atacator. Acestea sunt lansate în rețea și pot fi fie o campanie unică, fie o campanie în curs de desfășurare. Unele clase de atacuri, totuși, sunt acțiuni întârziate și așteaptă un declanșator de un fel. Cele mai evidente dintre acestea sunt atacurile care necesită interacțiunea utilizatorului. Atacurile de phishing și XSS sunt exemple excelente în acest sens. Ambele sunt pregătite și lansate de atacator, dar au efect numai atunci când utilizatorul declanșează capcana.

Unele atacuri sunt acțiuni întârziate, dar necesită un set special de circumstanțe pentru a fi declanșate. Ele pot fi complet sigure până la declanșare. Aceste circumstanțe pot fi cu totul automate, mai degrabă decât activate de om. Aceste tipuri de atacuri se numesc bombe logice.

Bazele unei bombe logice

Conceptul clasic de bombă logică este un simplu declanșator de dată. În acest caz, bomba logică nu va face nimic până când data și ora sunt corecte. În acel moment, bomba logică este „detonată” și provoacă orice acțiune dăunătoare ar trebui să facă.

Ștergerea datelor este soluția standard a bombelor logice. Ștergerea dispozitivelor sau a unui subset mai limitat de date este relativ ușoară și poate provoca mult haos, mai ales dacă sunt vizate sistemele critice.

Unele bombe logice pot avea mai multe straturi. De exemplu, ar putea exista două bombe logice, una setată să se declanșeze la un anumit moment și una care se stinge dacă cealaltă este modificată. Alternativ, ambele ar putea verifica dacă celălalt este la locul său și se pot opri dacă celălalt este modificat. Acest lucru oferă o oarecare redundanță în a exploda bomba, dar dublează șansa ca bomba logică să fie prinsă în avans. De asemenea, nu reduce posibilitatea ca atacatorul să fie identificat.

Amenințare internă

Amenințările interne folosesc aproape exclusiv bombe logice. Un hacker extern ar putea șterge lucruri, dar poate beneficia și direct prin furtul și vânzarea datelor. O persoană din interior este de obicei motivată de frustrare, furie sau răzbunare și este dezamăgită. Exemplul clasic de amenințare internă este un angajat recent informat că își va pierde locul de muncă în scurt timp.

În mod previzibil, motivația va scădea și, probabil, performanța la locul de muncă. O altă posibilă reacție este o dorință de răzbunare. Uneori, acestea vor fi lucruri mărunte, cum ar fi luarea unor pauze inutil de lungi, tipărirea multor copii ale unui CV pe imprimanta de birou sau a fi perturbator, necooperant și neplăcut. În unele cazuri, dorința de răzbunare poate merge mai departe până la sabotajul activ.

Sfat: O altă sursă de amenințare din interior poate fi contractorii. De exemplu, un antreprenor poate implementa o bombă logică ca poliță de asigurare la care va fi apelat înapoi pentru a remedia problema.

În acest scenariu, o bombă logică este un rezultat posibil. Unele încercări de sabotaj pot fi destul de imediate. Acestea, însă, sunt adesea oarecum ușor de conectat la făptuitor. De exemplu, atacatorul ar putea sparge peretele de sticlă al biroului șefului. Atacatorul ar putea să meargă în camera serverului și să rupă toate cablurile de pe servere. Și-ar putea izbi mașina în foaier sau în mașina șefului.

Problema este că birourile au în general mulți oameni care ar putea observa astfel de acțiuni. De asemenea, pot prezenta CCTV pentru a înregistra atacatorul care comite actul. Multe camere de server necesită un card inteligent pentru a accesa, înregistrând exact cine a intrat, a ieșit și când. Haosul bazat pe mașini poate fi, de asemenea, capturat de CCTV; dacă mașina atacatorului este folosită, aceasta îl afectează negativ în mod activ.

În interiorul rețelei

O amenințare din interior ar putea realiza că toate opțiunile lor posibile de sabotare fizică sunt fie defecte, fie au o probabilitate mare ca acestea să fie identificate, fie ambele. În acest caz, ei ar putea să renunțe sau să aleagă să facă ceva pe computere. Pentru cineva calificat din punct de vedere tehnic, mai ales dacă este familiarizat cu sistemul, sabotajul pe computer este relativ ușor. De asemenea, are momeala de a părea dificil de atribuit atacatorului.

Momeala de a fi greu de fixat pe atacator vine din câțiva factori. În primul rând , nimeni nu caută bombe logice, așa că este ușor să le ratezi înainte de a se stinge.

În al doilea rând , atacatorul poate în mod deliberat să explodeze bomba logică atunci când nu sunt prin preajmă. Aceasta înseamnă că nu numai că nu trebuie să se ocupe de consecințele imediate, dar „nu pot fi ei” pentru că nu au fost acolo pentru a face asta.

În al treilea rând , în special cu bombele logice care șterg datele sau sistemul, bomba se poate șterge singură în acest proces, făcând posibilă imposibilitatea atribuirii.

Există un număr necunoscut de incidente în care acest lucru a funcționat pentru amenințarea din interior. Cel puțin trei cazuri documentate în care persoana din interior a declanșat cu succes bomba logică, dar a fost identificat și condamnat. Există cel puțin alte patru cazuri de tentativă de utilizare în care bomba logică a fost identificată și „dezarmată” în siguranță înainte de a exploda, din nou ducând la identificarea și condamnarea persoanei din interior.

Concluzie

O bombă logică este un incident de securitate în care un atacator stabilește o acțiune întârziată. Bombele logice sunt folosite aproape exclusiv de amenințările din interior, în primul rând ca răzbunare sau „poliță de asigurare”. Ele sunt de obicei bazate pe timp, deși pot fi configurate pentru a fi declanșate de o anumită acțiune. Un rezultat tipic este că șterg datele sau chiar șterg computerele.

Amenințările din interior sunt unul dintre motivele pentru care atunci când angajații sunt eliberați, accesul lor este dezactivat imediat, chiar dacă au o perioadă de preaviz. Acest lucru asigură că nu își pot folosi abuziv accesul pentru a instala o bombă logică, deși nu oferă nicio protecție dacă angajatul „a văzut scrisul de pe perete” și a pus deja bomba logică.