Logic Bomb คืออะไร?

การโจมตีทางไซเบอร์จำนวนมากเกิดขึ้นทันทีในเวลาที่ผู้โจมตีเลือก สิ่งเหล่านี้เปิดตัวผ่านเครือข่ายและสามารถเป็นแคมเปญแบบครั้งเดียวหรือแบบต่อเนื่องก็ได้ อย่างไรก็ตาม การโจมตีบางประเภทมีการดำเนินการที่ล่าช้าและรอการเรียกบางอย่าง สิ่งที่ชัดเจนที่สุดคือการโจมตีที่ต้องมีการโต้ตอบกับผู้ใช้ การโจมตีแบบฟิชชิ่งและ XSS เป็นตัวอย่างที่ดีของสิ่งนี้ ทั้งคู่เตรียมพร้อมและเปิดโดยผู้โจมตี แต่จะมีผลเมื่อผู้ใช้เรียกใช้กับดักเท่านั้น

การโจมตีบางอย่างเป็นการกระทำที่ล่าช้า แต่ต้องใช้ชุดสถานการณ์พิเศษเพื่อกระตุ้น พวกเขาสามารถปลอดภัยอย่างสมบูรณ์จนกว่าจะถูกกระตุ้น สถานการณ์เหล่านี้อาจเป็นไปโดยอัตโนมัติแทนที่จะถูกเปิดใช้งานโดยมนุษย์ การโจมตีประเภทนี้เรียกว่าลอจิกบอมบ์

พื้นฐานของ Logic Bomb

แนวคิดดั้งเดิมของลอจิกบอมบ์คือทริกเกอร์วันที่ธรรมดา ในกรณีนี้ Logic Bomb จะไม่ทำอะไรจนกว่าจะถึงวันที่และเวลาถูกต้อง เมื่อถึงจุดนั้น ลอจิกบอมบ์จะ "จุดชนวน" และทำให้เกิดการกระทำที่เป็นอันตรายตามที่ควรจะเป็น

การลบข้อมูลเป็นขั้นตอนมาตรฐานของลอจิกบอมบ์ การล้างข้อมูลในอุปกรณ์หรือชุดย่อยของข้อมูลที่จำกัดนั้นทำได้ค่อนข้างง่ายและอาจทำให้เกิดความโกลาหลได้ โดยส่วนใหญ่แล้วหากระบบที่มีความสำคัญต่อภารกิจตกเป็นเป้าหมาย

ลอจิกบอมบ์บางตัวอาจมีหลายชั้น ตัวอย่างเช่น อาจมีลอจิกบอมบ์สองตัว ชุดหนึ่งจะดับในเวลาใดเวลาหนึ่ง และอีกอันจะดับลงหากอีกอันถูกแก้ไข อีกทางหนึ่ง ทั้งคู่อาจตรวจสอบว่าอีกอันหนึ่งอยู่ในตำแหน่งหรือไม่ และดับลงหากอีกอันถูกดัดแปลง สิ่งนี้ช่วยให้เกิดความซ้ำซ้อนในการทำให้ระเบิดดับลง แต่เพิ่มโอกาสที่ลอจิกบอมบ์จะถูกจับได้ล่วงหน้าเป็นสองเท่า นอกจากนี้ยังไม่ลดความเป็นไปได้ที่ผู้โจมตีจะถูกระบุ

ภัยคุกคามภายใน

ภัยคุกคามจากวงในแทบจะใช้ลอจิกบอมบ์โดยเฉพาะ แฮ็กเกอร์ภายนอกสามารถลบข้อมูลได้ แต่พวกเขายังสามารถได้รับประโยชน์โดยตรงจากการขโมยและขายข้อมูล คนวงในมักจะถูกกระตุ้นด้วยความคับข้องใจ ความโกรธ หรือการแก้แค้น และจะไม่แยแส ตัวอย่างคลาสสิกของการคุกคามจากวงในคือพนักงานเพิ่งแจ้งว่าพวกเขาจะตกงานในไม่ช้า

แรงจูงใจจะลดลงและมีแนวโน้มว่าประสิทธิภาพการทำงานจะลดลง ปฏิกิริยาที่เป็นไปได้อีกอย่างหนึ่งคือการผลักดันให้เกิดการแก้แค้น บางครั้งสิ่งนี้อาจเป็นเรื่องเล็กน้อย เช่น การหยุดยาวโดยไม่จำเป็น พิมพ์สำเนาเรซูเม่จำนวนมากบนเครื่องพิมพ์ในสำนักงาน หรือการก่อกวน ไม่ให้ความร่วมมือ และไม่เป็นที่พอใจ ในบางกรณี แรงผลักดันในการแก้แค้นอาจไปไกลกว่าการก่อวินาศกรรม

เคล็ดลับ:แหล่งที่มาของการคุกคามจากวงในอาจมาจากผู้รับเหมา ตัวอย่างเช่น ผู้รับเหมาอาจใช้ระเบิดตรรกะเป็นนโยบายการประกันที่พวกเขาจะถูกเรียกกลับเพื่อแก้ไขปัญหา

ในสถานการณ์นี้ Logic Bomb คือผลลัพธ์หนึ่งที่เป็นไปได้ ความพยายามในการก่อวินาศกรรมบางอย่างอาจเกิดขึ้นได้ในทันที อย่างไรก็ตาม สิ่งเหล่านี้มักจะเชื่อมโยงกับผู้กระทำความผิดได้ง่าย ตัวอย่างเช่น ผู้โจมตีอาจทุบผนังกระจกของห้องทำงานของเจ้านาย ผู้โจมตีสามารถไปที่ห้องเซิร์ฟเวอร์และดึงสายเคเบิลทั้งหมดออกจากเซิร์ฟเวอร์ พวกเขาสามารถชนรถของพวกเขาเข้ากับห้องโถงหรือรถของเจ้านายได้

ปัญหาคือสำนักงานโดยทั่วไปมีคนจำนวนมากที่อาจสังเกตเห็นการกระทำดังกล่าว นอกจากนี้ยังสามารถนำเสนอกล้องวงจรปิดเพื่อบันทึกผู้โจมตีที่กระทำการดังกล่าว ห้องเซิร์ฟเวอร์จำนวนมากต้องใช้สมาร์ทการ์ดในการเข้าถึง บันทึกว่าใครเข้า ออก และเมื่อใด ความโกลาหลจากรถยนต์อาจถูกจับได้ด้วยกล้องวงจรปิด หากใช้รถของผู้โจมตี มันจะส่งผลเสียต่อผู้โจมตีอย่างมาก

ภายในเครือข่าย

ภัยคุกคามจากวงในอาจตระหนักว่าตัวเลือกการก่อวินาศกรรมทางกายภาพที่เป็นไปได้ทั้งหมดนั้นไม่มีข้อบกพร่อง มีโอกาสสูงที่จะถูกระบุ หรือทั้งสองอย่าง ในกรณีนี้ พวกเขาอาจยอมแพ้หรือเลือกที่จะทำบางสิ่งบนคอมพิวเตอร์ สำหรับคนที่มีทักษะด้านเทคนิค โดยเฉพาะอย่างยิ่งหากพวกเขาคุ้นเคยกับระบบ การก่อวินาศกรรมโดยใช้คอมพิวเตอร์นั้นค่อนข้างง่าย นอกจากนี้ยังมีสิ่งล่อใจของการปรากฏตัวที่ท้าทายเพื่อระบุถึงผู้โจมตี

การล่อลวงให้ตรึงผู้โจมตีได้ยากนั้นมาจากปัจจัยบางประการ ประการแรกไม่มีใครมองหาระเบิดตรรกะ ดังนั้นจึงเป็นเรื่องง่ายที่จะพลาดก่อนที่มันจะดับลง

ประการที่สองผู้โจมตีสามารถจงใจกำหนดเวลาให้ระเบิดตรรกะดับลงเมื่อพวกเขาไม่อยู่ ซึ่งหมายความว่าไม่เพียงแต่พวกเขาไม่ต้องรับมือกับผลที่ตามมาในทันทีเท่านั้น แต่ยัง “ไม่สามารถเป็นพวกเขาได้” เพราะพวกเขาไม่ได้อยู่ที่นั่นเพื่อทำสิ่งนั้น

ประการที่สามโดยเฉพาะอย่างยิ่งกับลอจิกบอมบ์ที่ล้างข้อมูลหรือระบบ บอมบ์สามารถลบตัวเองในกระบวนการ ซึ่งอาจทำให้ไม่สามารถระบุแหล่งที่มาได้

มีเหตุการณ์ที่ไม่ทราบจำนวนที่สิ่งนี้ได้ผลสำหรับภัยคุกคามจากวงใน มีเอกสารอย่างน้อย 3 กรณีที่บุคคลวงในวางระเบิดลอจิกได้สำเร็จ แต่ถูกระบุตัวตนและถูกตัดสินว่ามีความผิด มีอีกอย่างน้อยสี่กรณีของการพยายามใช้ ซึ่งลอจิกบอมบ์ถูกระบุและ "ปลดอาวุธ" อย่างปลอดภัยก่อนที่มันจะดับลง ส่งผลให้คนวงในถูกระบุและตัดสินลงโทษอีกครั้ง

บทสรุป

ลอจิกบอมบ์คือเหตุการณ์ด้านความปลอดภัยที่ผู้โจมตีดำเนินการล่าช้า Logic Bombs แทบจะถูกใช้เฉพาะกับการคุกคามจากวงใน โดยหลักแล้วเป็นการแก้แค้นหรือ "กรมธรรม์ประกันภัย" โดยทั่วไปจะอิงตามเวลาแม้ว่าจะสามารถตั้งค่าให้เรียกโดยการกระทำเฉพาะได้ ผลลัพธ์ทั่วไปคือการลบข้อมูลหรือล้างข้อมูลคอมพิวเตอร์

ภัยคุกคามจากวงในเป็นสาเหตุหนึ่งที่เมื่อพนักงานถูกปล่อยตัว การเข้าถึงของพวกเขาจะถูกปิดใช้งานทันที แม้ว่าจะมีระยะเวลาแจ้งให้ทราบก็ตาม สิ่งนี้ทำให้มั่นใจได้ว่าพนักงานจะไม่สามารถใช้สิทธิ์ในการวางลอจิกบอมบ์ในทางที่ผิดได้ แม้ว่าจะไม่มีการป้องกันใดๆ หากพนักงาน “เห็นข้อความบนกำแพง” และวางลอจิกบอมบ์แล้ว