Ce este o bombă logică

20 septembrie 2016
Bomba logică înseamnă instrucțiuni malițioase executate în anumite condiții
Printre serialele pe care le vizionez, se află și unul apărut în 2015, Mr. Robot, fiind la al doilea sezon. Pe scurt, este vorba despre o echipă de hackeri care pun la cale și reușesc un atac informatic cu consecințe la scală mondială, prin care toate datele bancare devin inaccesibile, deci toate datoriile dispar din sistem. Firul narativ este mult mai complex de atât, firește, însă unde vreau să ajung este că printre episoadele sezonului doi se află și unul numit „Logic b0mb.hc”, în care, pentru a-și șterge urmele atacului, principalul hacker, Elliot Alderson, plantează o bombă logică în sistemul informatic al FBI-ului. Scopul? Eliminarea urmelor care ar putea duce la compromiterea grupului care au pus la cale atacul.

Pentru că nici eu nu știam prea multe despre ce înseamnă o astfel de amenințare, m-am documentat pe acest subiect, iar în articolul curent prezint informațiile esențiale și concluziile la care am ajuns.

Ce este bomba logică, care sunt caracteristicile sale și care sunt motivațiile din spatele acestui tip de amenințare informatică? Răspunsurile la aceste întrebări le vei afla în cele ce urmează.

Ce este o bombă logică

Termenul de bombă logică face referire la o bomba clasică cu ceas (time bomb), care se declanșează în momentul în care timpul cronometrului a ajuns la zero. Același principiu este extins și în securitatea informatică, doar că, pe lângă criteriul timpului, declanșarea poate fi mult mai complexă, constând în condiții logice - de unde și denumirea de bombă logică (logic bomb).

O bombă logică este un program sau o secvență de instrucțiuni (de exemplu în cmd, vbs sau powershell pentru Windows; în shell pentru Linux) care într-o primă fază se află într-o stare latentă, însă când anumite condiții legate de starea internă sau externă a sistemului informatic sunt îndeplinite sau sunt schimbate, acesta își execută instrucțiunile malițioase, în diverse scopuri.

Așadar, spre deosebire de alte tipuri de malware, bomba logică nu își execută codul instant, în momentul infectării, ci ulterior, raportat la anumite condiții. Drept urmare, atacatorii sunt greu de detectat, asta pentru că în momentul execuției codului sursă nu se poate cunoaște cu exactitate când și cum malware-ul a ajuns în sistem și mai ales cine l-a pus acolo, plus că între timp toate urmele care pot duce către acesta s-au pierdut sau au fost eliminate intenționat.

Bomba logică se va activa în funcție de următoarele condiții:
  • sistemul are o anumită dată și/sau oră - atacul este programat să se producă la un anumit timp în viitor (dacă acesta este unicul criteriu de declanșare atunci amenințarea este de tipul bombă cu timp - time bomb)
  • se produc circumstanțe interne sistemului bine definite - atacul se produce când se efectuează sau nu anumite sarcini pe calculator, de exemplu când se șterge un fișier, când se dezinstalează/instalează un program, când se schimbă anumiți parametrii interni - numele de utilizator sau parola -, când o sarcină care se executa la intervale regulate de timp în sistem este eliminată etc.
  • se produc circumstanțe externe define anterior - atacul se produce când au loc acțiuni care vin din afara sistemului, de exemplu când se conectează un (anumit) suport media (stick, DVD, CD) care activează bomba logică, sau în general, când declanșarea se va produce (și) cu avizul persoanei care a plantat bomba logică.

Bombele logice au de obicei consecințe negative, însă există și versiuni ale acestora care sunt inofensive, menite de a limita accesul unui utilizator la un program (calculator sau rețea de calculatoare) după o anumită perioadă sau când anumite condiții au loc.

Exemple de bombe logice folosite fără o conotație negativă:
  • programele de tip trial - care oferă o perioadă de folosire gratuită(de probă), după care se blochează accesul utilizatorului la program dacă nu se realizează activarea prin cumpărararea și folosirea unei licențe;
  • stabilirea unui orar strict în care un calculator, program sau sistem informatic să poate fi accesat - util pentru gestiunea programului de lucru pentru angajații unei companii.

Cum se face infectarea cu bomba logică 

O caracteristică a acestui tip de atac este că, de obicei, acesta este creat și implantat într-o rețea sau sistem informatic de către o persoană care are dreptul să acceseze rețeaua sau sistemul informatic respectiv sau care, prin diverse mijloace, reușește să abțină acces fizic la un calculator sau calculatoarele unui sistem informatic. Cu alte cuvinte, infectarea nu se face din exterior, ci din interior, fiind mai degrabă vorba de un implant de software pe ascuns.

În cazul companiilor, persoanele din spatele unui bombe logice pot fi angajații cu diferite funcții, de exemplu administratorul de sistem, utilizatorul cu drepturi extinse de acces la un program sau la rețeaua internă a unui program, programatorul care a proiectat și programat software-ul care rulează pe calculatoarele companiei. În cazul calculatoarelor personale, atacatorul este o persoană care poate să acceseze sistemul, cu consimțământul deținătorului acestuia sau nu.

Bombele logice mai pot fi implantate într-un sistem și prin intermediul unor alte tipuri de software malițios (malware) - de exemplu de tipul cal troian, vierme informatic, virus ș.a. - însă dacă sunt implementate măsuri de securitate foarte stricte (de exemplu în cazul sistemelor informatice ale companiilor, organizațiilor etc.), infectarea cu malware este foarte puțin probabilă în acest mod.

Drept consecință, bombele logice sunt adesea nedetectabile și de obicei greu de găsit. Existența acestora devine vizibilă odată cu lansarea atacului.

Motivațiile atacurilor cu bombe logice

Ținând cont că acest tip de malware este creat în concordanță cu calculatorul sau sistemul informatic pe care există, și că de regulă acesta este implantat din interior, motivațiile sunt la rândul lor concentrate pe producerea de daune pentru un anumit utilizator, grup de utilizatori, companie, organizație, țară ș.a.

Consecințele atacurilor cu bombe logice - luând în considerare atacurile și tentativele de atac de acest fel făcute până în prezent 1 - pot fi:
  • ștergerea/coruperea tuturor datelor de pe hard discuri, fără posibilitatea de a le recupera;
  • ștergerea doar anumitor date, de exemplu eliminarea unor înregistrări din baza de date referitoare la persoana care a implantat bomba logică (eventual altele).
  • întârzierea sau prejudicierea proiectelor desfășurate de către o companie (de către o companie concurentă de exemplu);
  • efectuarea unor acțiuni de șantaj sau de răscumpărare de date (ransomware);
  • punerea în aplicare a unor atacuri teroriste asupra unei instituții, organizații guvernamentale etc., pentru promovarea unei ideologi, respectiv aducerea unui prejudiciu de imagine sau material.

***

Atacurile cu bombă logică se produc mult mai rar decât alte amenințări malware, tocmai de aceea nu sunt foarte cunoscute, însă consecințele unui astfel de atac poate fi extrem de dăunător, comparativ cu daunele produse de alte tipuri de atacuri informatice - exemplul din introducere fiind o dovadă (fictivă dar plauzibilă) în acest sens.

Drept încheiere, un exemplu final: dacă ai fost vreodată în situația în care calculatorul se stinge, deși nu ar avea de ce, apoi afli că cineva din apropiere ți-a făcut o glumă, ca sistemul să se închidă la o anumită oră, atunci află că ai fost deja victima unui bombe logice.

https://en.wikipedia.org/wiki/Logic_bomb