Eine Logic Bomb ist Schadcode, der auf den richtigen Zeitpunkt oder die richtige Gelegenheit wartet, um zuzuschlagen. Anhand einiger berüchtigter Beispiele wird das Schadenspotenzial deutlich. [...]
Was ist eine Logic Bomb? Eine Logikbombe ist ein Stück Code, das auf einem Computer auf der Lauer liegt und unter bestimmten Bedingungen ausgeführt wird und Aktionen ausführt, die der Besitzer des Computers als schadhaft ansehen würde. Der eigentliche Code, der die schmutzige Arbeit verrichtet und manchmal auch als Slag-Code bezeichnet wird, kann eine eigenständige Anwendung sein oder in einem größeren Programm versteckt sein.
Während Logikbomben manchmal mit denselben Techniken verbreitet werden, die Ihren Computer mit Viren oder anderer Malware infizieren können, werden sie häufiger von Insidern mit privilegiertem Zugriff auf das angegriffene System eingeschleust – und können daher recht schwierig zu entdecken sein.
Sind Logikbomben Viren?
Eine Logikbombe ist kein Virus, aber sie könnte durch einen solchen verbreitet werden. Im Gegensatz zu einem Virus ist das Unterscheidungsmerkmal einer Logikbombe nicht, wie sie sich verbreitet, sondern wie sie ausgelöst wird.
Eine kurze Anmerkung zur Terminologie: Es gibt verschiedene Arten von Malware, darunter Viren, Würmer und Trojaner, die im Allgemeinen dadurch definiert werden, wie sie sich verbreiten und wie sie Computer infizieren; die Details variieren, aber im Großen und Ganzen sind sie so konzipiert, dass sie ihre Opfer halbautonom finden. Der Teil einer Malware, der den Angriff ausführt, die so genannte Nutzlast, kann auf verschiedene Weise funktionieren, und einige dieser Nutzlasten sind selbst wiederum Logikbomben.
Der berühmte Stuxnet-Wurm beispielsweise, der vom US-amerikanischen und israelischen Geheimdienst entwickelt wurde, um das iranische Atomprogramm zu sabotieren, verfügt über eine Nutzlast, die nur aktiviert wird, wenn er feststellt, dass er auf einem Computer läuft, der zu einer bestimmten Art von Urananreicherungsanlage gehört.
Allerdings ist nicht jeder bösartige Code Malware, und nicht alle Logikbomben werden durch Viren oder ihre Verwandten verbreitet. Wie wir in unseren Beispielen sehen werden, sind viele Logikbomben in normalen Computerprogrammen versteckt, und zwar von den Personen, die diese Programme selbst geschrieben haben.
Was passiert bei einem Angriff mit einer Logikbombe?
Wie das Stuxnet-Beispiel zeigt, hat ein Angriff mit einer Logikbombe seinen Namen daher, dass der bösartige Code aktiviert wird, wenn eine logische Bedingung oder ein Auslöser erfüllt ist: Man kann es als eine Wenn-Dann-Anweisung betrachten. Der Auslöser einer Logikbombe kann zwei verschiedene Formen annehmen, entweder positiv oder negativ.
Ein positiver Auslöser wird ausgelöst, wenn etwas geschieht, während ein negativer Auslöser ausgelöst wird, wenn etwas nicht geschieht. Das Stuxnet-Beispiel ist ein positiver Auslöser: Der Wurm analysiert die zugrunde liegende Hardware, auf der er läuft, und wenn sie mit dem Zielsystem übereinstimmt, das er angreifen soll, dreht er alle angeschlossenen Uranzentrifugen schnell genug, um sie zu zerstören.
Es gibt auch andere, etwas umständlichere Arten von positiven Auslösern: Eine Logikbombe kann zum Beispiel hochgehen, wenn jemand versucht, eine bestimmte Datei zu öffnen oder Daten von einem Verzeichnis in ein anderes zu kopieren.
Ein negativer Auslöser ist auf den ersten Blick vielleicht etwas schwieriger zu verstehen, und am besten lässt er sich mit der Art von Insider-Bedrohungen in Verbindung bringen, die wir als häufigen Anwendungsfall für eine Logikbombe genannt haben. Ein verärgerter Mitarbeiter könnte zum Beispiel vermuten, dass er bald entlassen wird, und deshalb eine Logikbombe auf den Unternehmensservern platzieren, die um 10 Uhr morgens wertvolle Unternehmensdaten löscht, wenn ihr Urheber nicht eingreift.
Solange der Mitarbeiter Zugang zum System hat, kann er die Explosion der Bombe verhindern, was ihm ein Druckmittel im Streit mit seinem Arbeitgeber verschafft – oder ihn zumindest sicher sein lässt, dass nach seiner Entlassung Chaos herrschen wird.
Wie diese Beispiele zeigen, kann das tatsächliche Verhalten einer Logikbombe sehr unterschiedlich sein. Bei den Insider-Bedrohungen, die einen Großteil der Logikbomben-Landschaft ausmachen, sind einige Angriffsarten besonders häufig, darunter das Löschen von Dateien oder Festplatten, entweder als Lösegelddrohung oder als Racheakt, oder die Datenexfiltration als Teil eines Plans, privilegierte Informationen für künftige Arbeitsplätze zu nutzen.
Doch die Möglichkeiten, die eine Logikbombe bietet – das „Dann“ nach dem „Wenn“ -, sind nur durch die Fähigkeiten und die Vorstellungskraft des Angreifers begrenzt. Einem einfallsreichen Kopf gelang es beispielsweise, eine Kryptojacking-Logikbombe in öffentlich zugänglichen Python-Bibliotheken zu verstecken, die heimlich Bitcoin zu Gunsten des Angreifers schürfte.
Zeitbomben und Logikbomben
Gelegentlich wird auf Zeitbomben als eine Art von Cyberangriff verwiesen; diese sind eine Untergruppe der Logikbomben, obwohl einige sie als eng verwandte Angriffe betrachten. Eine Zeitbombe ist eine Logikbombe, deren Auslöser zu einem bestimmten Zeitpunkt hochgeht. In gewisser Weise ist dies die einfachste Art von Logik, die in eine Logikbombe einfließen kann.
Der Zweck dieser Art von Auslöser kann ähnlich sein wie bei einer echten, physisch explodierenden Zeitbombe: dem Angreifer genügend Zeit zu geben, um den Bereich (in diesem Fall den Computer oder das Netzwerk, in dem die Bombe platziert wurde) zu verlassen, damit es unwahrscheinlicher wird, dass er betroffen ist oder als Angreifer identifiziert werden kann.
Sind Logikbomben immer bösartig?
Logikbomben sind per Definition bösartig. Die „Bombe“ in „Logikbombe“ ist natürlich metaphorisch gemeint, obwohl sie in Fällen wie Stuxnet, die auf Betriebstechnologie abzielen, auch in der physischen Welt Schaden anrichten können. Aber auch rein digitale Logikbomben werden so genannt, weil sie destruktiv sind.
Es gibt natürlich auch andere Arten von Programmen, die oberflächlich betrachtet Logikbomben ähneln, aber nicht schädlich sind. So kann ein Programm, das Sie als kostenlose Testversion heruntergeladen haben, nach 15 Tagen nicht mehr funktionieren. Aber weil Ihnen das beim Herunterladen gesagt wurde, gilt das nicht als Logikbombe.
Wie man Angriffe durch Logikbomben erkennt und verhindert
Logikbomben sind eine besonders bösartige Art von Angriffen, da der Angriffscode naturgemäß über einen längeren Zeitraum inaktiv bleiben kann. Im Allgemeinen ist es selbst für die beste Sicherheitssoftware für Endgeräte schwierig, Code zu erkennen, der nicht ausgeführt wird.
Da einige Logikbomben über Malware verbreitet werden, besteht eine Möglichkeit, sie von Ihren Systemen fernzuhalten, darin, bewährte Anti-Malware-Verfahren zu befolgen:
- Achten Sie auf Phishing-E-Mails, und öffnen oder laden Sie keine Anhänge herunter, wenn Sie nicht absolut sicher sind, woher sie stammen.
- Ebenso sollten Sie keine Anwendungen herunterladen oder installieren, wenn sie nicht von einer vertrauenswürdigen Quelle stammen. Das gilt auch für Browser-Navigationsleisten, die eine häufige Angriffsfläche für Malware darstellen.
- Halten Sie Ihren Computer mit aktueller Antiviren-/Endpunktsicherheitssoftware sicher.
Aber wie wir gesehen haben, reicht die Bekämpfung von Malware nicht aus, um alle potenziellen Logikbomben zu entschärfen. Die oben erwähnten Kryptominer sind ein Beispiel für einen so genannten Supply-Chain-Angriff, bei dem die Wiederverwendung von Drittanbietercode (in diesem Fall Open-Source-Bibliotheken) durch ein Unternehmen zu einem Problem wird, wenn dieser Code eine Logikbombe in sich trägt. Und natürlich kann kein Antivirenprogramm Sie vor einer entschlossenen Insider-Bedrohung schützen.
Die beste Möglichkeit, bösartigen Code zu erkennen, der in Ihre eigene Software eingebettet ist, sei es absichtlich durch einen verärgerten Mitarbeiter oder versehentlich in Form einer Bibliothek eines Drittanbieters, besteht darin, sichere Codierungspraktiken, wie sie Teil der DevSecOps-Philosophie sind, in Ihre Entwicklungspipeline einzubauen. Diese Praktiken sollen sicherstellen, dass jeder Code Sicherheitstests durchläuft, bevor er in die Produktion geht, und würden verhindern, dass ein einzelner Insider den Code auf unsichere Weise verändert.
4 berühmte Beispiele für Angriffe mit Logikbomben
1982 wurde durch eine gewaltige Explosion der Erdgasfluss in einer wichtigen Pipeline durch Sibirien unterbrochen. Seit Jahren hält sich das Gerücht, dass es sich um einen Sabotageakt der CIA handelte. Die Geschichte besagt, dass US-Geheimdienstagenten herausfanden, dass ihre sowjetischen Kollegen versuchten, den für die Automatisierung der Pipeline erforderlichen Computercode aus dem Westen zu stehlen, da die einheimische sowjetische Softwareindustrie der Aufgabe nicht gewachsen war; also erlaubten die Amerikaner den Sowjets, sich mit dem Code davonzumachen, in dem eine logische Bombe versteckt war, die zur Zerstörung der Pipeline führte. Diese Sabotage wird manchmal als die ursprüngliche Logikbombe bezeichnet, obwohl sie nie von einer der beteiligten Parteien bestätigt wurde, und es gibt einige Hinweise darauf, dass die Zerstörung einfach das Ergebnis guter alter Inkompetenz gewesen sein könnte.
Auch wenn wir vielleicht nie erfahren werden, was genau mit dieser Pipeline passiert ist, gibt es doch viele gut dokumentierte Attacken mit Logikbomben:
- Ende 2001 kündigte ein Systemadministrator seinen Job bei UBS und kaufte nur wenige Stunden später zahlreiche „Put“-Optionen, mit denen er profitieren würde, wenn die Aktien seines ehemaligen Arbeitgebers bis zum 15. März 2002 sinken würden. Die von ihm hinterlassene Logikbombe explodierte am 4. März und zerstörte zahlreiche Systeme der UBS. Er wurde gefasst und zu einer langjährigen Haftstrafe verurteilt und musste Millionen an Entschädigung zahlen.
- 2003 platzierte ein Systemadministrator, der befürchtete, dass sein Arbeitgeber Medco Health Solutions ihn entlassen wollte, eine Logikbombe auf den Servern des Unternehmens, die große Datenmengen hätte löschen können. Er stellte die Bombe so ein, dass sie an seinem Geburtstag im Jahr 2004 hochgehen sollte, aber aufgrund eines Programmierfehlers schlug sie fehl, so dass er das Auslösedatum im folgenden Jahr änderte; sie wurde einige Monate vorher entdeckt und deaktiviert, und er wurde zu 30 Monaten Gefängnis verurteilt.
- Im Jahr 2008 wurde ein Programmierer von seinem Vertrag beim US-Hypothekenriesen Fannie Mae entlassen. Ihm gelang es, eine Logikbombe zu platzieren, bevor ihm der Zugang zum Netzwerk gekappt wurde, mit der alle Daten des Unternehmens gelöscht werden sollten. Die Programmierer von Fannie Mae konnten das bösartige Skript anhand von Netzwerkprotokollen und durch den Vergleich des Inhalts eines Verzeichnisses, das er am Tag seiner Kündigung auf seinem Laptop erstellt hatte, zu ihm zurückverfolgen.
- Zwischen 2014 und 2016 fügte ein für Siemens in Pennsylvania tätiger Auftragnehmer Logikbomben in die Tabellenkalkulationen ein, die Siemens zur Auftragsverwaltung verwendete. Die Bomben wurden entdeckt, als er in den Urlaub fuhr und die Passwörter für die Tabellenkalkulationen an Siemens-Mitarbeiter weitergab, damit diese sie aktualisieren konnten, während er nicht in der Stadt war.
*Josh Fruhlinger ist Schriftsteller und Redakteur aus Los Angeles.
Be the first to comment