Після завершення роботи та видалення пилу нові версії зіп-бомб знову тримають дослідників безпеки на ногах.
Уявіть собі, що нешкідливий, крихітний zip-файл розміром у кілька кілобайтів перетворюється на петабайт або ексабайт, що викликає збій системи, після того, як ви натискаєте, щоб розпакувати.
Це була б зіп-бомба, декомпресійна бомба або зіп смерті.
Що таке Zip Bomb?
Це заархівований файл із кількома вкладеними шарами або одним шаром, який після вилучення займає набагато більше місця, ніж може працювати більшість комп’ютерів.
Ідея zip-бомби полягає в тому, щоб перевантажити ЦП і антивірусні програми шляхом розархівування або сканування вмісту, поки шкідливе програмне забезпечення проникає в систему.
Однак більшість антивірусних програм можуть переглядати zip-файл, не розпаковуючи його. І коли вони виявляють кілька шарів стиснення, вони позначають це як zip-бомбу та утримуються від сканування.
Класичним прикладом є файл .42 zip, який у стисненому вигляді становить лише 42 Кб. Це шість шарів стислих даних, причому перші п’ять шарів містять по 16 файлів, а останній – один файл розміром 4,3 ГБ.
Однак при повному розпакуванні загальний простір, який він займає, становить 4,5 ПБ.
1 ПБ = 1 000 000 ГБ = 1 000 ТБ.
Для контексту пам’ять мого ноутбука становить лише 512 ГБ або приблизно 0,5 ТБ. А найбільший зовнішній жорсткий диск, який у мене є, — 1 ТБ. Технічно більшість персональних комп’ютерів можуть вийти з ладу під час спроби рекурсивно відкрити .42 zip. І що смішно, ви можете легко завантажити цей файл з Інтернету (на свій страх і ризик).
Однак самі по собі здебільшого такі бомби нічого зробити не можуть. Тим не менш, такі архіви можуть супроводжуватися рекурсивними сценаріями розпаковування, які можуть розпакувати ці архіви смертей, щоб служити зловмисним намірам.
Типи Zip Bomb
Як і всі шкідливі програми, zip-бомби мають ітерації з різними ефектами та способами дії.
#1. рекурсивний
Вони мають багато шарів, упакованих в один файл zip. Те, що ми щойно обговорювали, 42.zip — це рекурсивна zip-бомба.
Особливою підмножиною рекурсивних zip-бомб є zip-quines. Вони підвищують це значення з кожною операцією розпакування, копіюючи вміст, перетворюючи його на стислий файл із незліченною кількістю вкладених шарів. Теоретично ви не можете повністю видобути zipquines, незалежно від доступних ресурсів.
Тим не менш, рекурсивні zip-бомби застаріли, а сучасні антивірусні програми навчені ідентифікувати їх файлову структуру та уникати її обробки.
#2. Нерекурсивний
Девід Файфілд, програміст цього нерекурсивного архіву, називає його «кращою zip-бомбою».
На відміну від свого старшого кузена, це розпаковує все відразу, не проходячи через багато раундів декомпресії. Це досягається значно вищим ступенем стиснення, ніж зазвичай у zip-файлах.
Загалом, найкраще, що може зробити будь-який zip-файл, це стиснути файл у 1032 рази менший за його стандартний розмір. Це робиться за допомогою алгоритму стиснення DEFLATE. Проте Девід Файфілд винайшов техніку, за допомогою якої нерекурсивні zip-бомби вибухають понад 28 мільйонів разів (1 Кб➡26,7 ГБ) за один раунд розгортання.
Отже, його важко виявити та становить більше небезпеки.
Як працюють Zip-бомби?
Як уже було сказано, бомби-блискавки безпечні, якщо їх не розпакувати. Таким чином, небезпечно, лише якщо у вас є якась програма, яка намагається автоматично розпакувати кожен завантажений вами архів.
Крім того, застарілий антивірус може не бачити структуру файлів і витрачатися на сканування нещодавно завантаженої zip-бомби. У такому випадку система може вийти з ладу.
Крім того, рекурсивна zip-бомба може приховати зловмисне програмне забезпечення глибоко всередині шару, до якого антивірус може не перевірити.
Але це будуть рекурсивні бомби.
Нерекурсивні безпосередньо пошкоджують системні ресурси за один раунд вилучення, не виявляючи більшість сучасних антивірусних програм.
Захист від Zip-бомб
Найкращий спосіб залишатися в безпеці – підтримувати гігієну в Інтернеті. По-перше, ніколи не завантажуйте нічого з ненадійних сайтів, особливо якщо браузер кричить про трагедію попереду.
Те саме стосується спаму. Не відкривайте вкладення, якщо ви не впевнені щодо їх джерела. І якщо ваш постачальник послуг електронної пошти, наприклад Gmail, попереджає вас про це, спробуйте підтвердити джерело, перш ніж взаємодіяти з ним.
Наприклад, введіть назву вкладеного файлу в пошуковій системі, як-от Google, і подивіться відповідь. Більшість zip-бомб задокументовано, і ви, ймовірно, отримаєте результати пошуку з точною назвою файлу.
І все ж ось неповний список кроків, які підштовхнуть вас до безпечнішого Інтернету.
Антивірус
У наш час, коли зловмисне програмне забезпечення ховається на видноті, хороший антивірус — це половина зробленої роботи. Є безкоштовні, але безкоштовні продукти часто намагаються зробити інший продукт зі свого користувача.
Крім того, ви користуєтеся антивірусом щоразу, коли ваш комп’ютер увімкнено, навіть не підозрюючи про це. Тому краще трохи вкластися, щоб отримати антивірус преміум-класу. Ці платні продукти пропонують розширені брандмауери, інструменти оптимізації системи та кілька інструментів, як-от VPN, менеджер паролів тощо, для максимальної кібербезпеки.
Однак ось список безкоштовних антивірусів для вашого комп’ютера, якщо мені не вдалося переконати вас з якоїсь причини.
Освіта
Антивірус може врятувати вас від небезпечних комп’ютерних програм, але здебільшого він безпорадний проти соціальної інженерії.
Тут жертву обманом змушують завантажити та розпакувати zip-бомбу, посилаючись на те, що zip-файли не є вірусами. І деякі потрапляють у такі пастки та в кінцевому підсумку встановлюють шкідливе програмне забезпечення у своїй системі.
Згодом жертва може зіткнутися зі шпигунськими програмами, програмами-вимагачами, фішингом тощо, де кіберзлочинець намагається викрасти особисту інформацію або завдати фінансової шкоди.
Тут єдиний порятунок – освіта. Кожен повинен бачити та вчитися на всіх шахрайствах і ділитися ними зі своїми однолітками.
Це обгортання!
Zip-бомби — це файли, які можуть зайняти весь ваш жорсткий диск і багато іншого, і стати найбільшим ресурсом, що призведе до збою системи.
І оскільки вони не зовсім зловмисне програмне забезпечення, ідентифікувати (нерекурсивні) zip-бомби не завжди можливо. До того часу єдиним способом захисту є профілактика.
Цього можна досягти, знаючи Інтернет, використовуючи антивірус преміум-класу та уникаючи потрапляння в пастку соціальної інженерії.
PS: у нас є корисний розділ «Безпека» techukraine.net, куди ми регулярно додаємо цікаві матеріали для особистої та бізнес-безпеки. Я пропоную вам додати його до закладок і пробувати час від часу читати все, що здається вам актуальним.
