Після періоду затишшя, коли здавалося, що загроза минула, нові різновиди zip-бомб знову привертають увагу фахівців з кібербезпеки та змушують їх пильнувати.
Уявіть собі ситуацію: на перший погляд, нешкідливий zip-файл, який займає всього декілька кілобайтів, після спроби розпакування перетворюється на петабайти або навіть ексабайти даних, що призводить до краху комп’ютерної системи.
Саме це і є zip-бомба, яку також називають “декомпресійною бомбою” або “zip-смертю”.
Що таке Zip-бомба?
Це архівний файл, що містить декілька вкладених рівнів стиснення або один рівень, який після вилучення даних займає значно більше місця, ніж здатна обробити більшість комп’ютерів.
Основна мета zip-бомби полягає в тому, щоб перевантажити процесор і антивірусне програмне забезпечення через процес розпакування або сканування вмісту до того моменту, поки шкідливе програмне забезпечення не проникне в систему.
Однак, переважна більшість сучасних антивірусних програм здатні аналізувати zip-файл, не виконуючи його розпакування. Якщо вони виявляють декілька рівнів стиснення, то позначають його як zip-бомбу і припиняють його сканування.
Класичним прикладом є zip-файл під назвою “.42”. У стисненому стані він займає лише 42 Кб. Він складається з шести рівнів стиснених даних, де перші п’ять рівнів містять по 16 файлів, а останній – один файл розміром 4,3 ГБ.
Проте, після повного розпакування, загальний обсяг даних досягає 4,5 петабайт.
Для розуміння масштабу: 1 ПБ = 1 000 000 ГБ = 1 000 ТБ.
Для прикладу, пам’ять мого ноутбука становить лише 512 ГБ, або приблизно 0,5 ТБ. А найбільший зовнішній жорсткий диск, який я маю, має ємність 1 ТБ. Таким чином, більшість персональних комп’ютерів можуть вийти з ладу при спробі рекурсивного розпакування файлу “.42”. Цікаво, що цей файл можна легко завантажити з інтернету (на свій страх і ризик).
Самі по собі zip-бомби переважно не завдають шкоди. Проте, такі архіви можуть бути використані разом із рекурсивними сценаріями розпакування, які можуть витягувати вміст цих “бомб смерті” для реалізації шкідливих дій.
Різновиди Zip-бомб
Як і будь-яке шкідливе програмне забезпечення, zip-бомби постійно еволюціонують, набуваючи різних форм та способів дії.
#1. Рекурсивні
Цей тип zip-бомб має багато рівнів стиснення, упакованих в одному архівному файлі. Згаданий вище “.42.zip” є типовим прикладом рекурсивної zip-бомби.
Особливим підтипом рекурсивних zip-бомб є zip-quine. Вони збільшують обсяг даних з кожною операцією розпакування, копіюючи вміст та перетворюючи його в стиснутий файл із незліченною кількістю вкладених рівнів. Теоретично, zip-quine неможливо повністю розпакувати, незалежно від доступних обчислювальних ресурсів.
Рекурсивні zip-бомби вважаються застарілими, оскільки сучасне антивірусне програмне забезпечення навчилося розпізнавати їх структуру та уникати їх обробки.
#2. Нерекурсивні
Девід Файфілд, розробник цього типу нерекурсивних архівних файлів, називає їх “вдосконаленими zip-бомбами”.
На відміну від рекурсивних zip-бомб, нерекурсивні розпаковують весь вміст одразу, без необхідності проходити через численні етапи декомпресії. Це досягається завдяки використанню значно вищого ступеня стиснення, ніж зазвичай використовується в zip-файлах.
Загалом, максимальний рівень стиснення, якого можна досягти за допомогою zip-архіву, становить 1032 рази менше від початкового розміру файлу. Це досягається за допомогою алгоритму стиснення DEFLATE. Проте, Девід Файфілд розробив техніку, що дозволяє нерекурсивним zip-бомбам “вибухати” більш ніж у 28 мільйонів разів (1 Кб ➡ 26,7 ГБ) за один етап розпакування.
Таким чином, їх важче виявити, і вони становлять більшу загрозу.
Як працюють Zip-бомби?
Як вже зазначалося, zip-бомби є безпечними, поки їх не розпаковують. Таким чином, вони стають небезпечними лише тоді, коли у вас є програма, яка намагається автоматично розпакувати будь-який завантажений архів.
Крім того, застарілі антивірусні програми можуть не розпізнавати структуру файлів і витрачати обчислювальні ресурси на сканування нещодавно завантаженої zip-бомби. У такому випадку система може вийти з ладу.
Рекурсивна zip-бомба може приховати шкідливе програмне забезпечення глибоко всередині шару, який антивірус може не перевірити.
Однак, це стосується лише рекурсивних бомб.
Нерекурсивні zip-бомби завдають прямої шкоди ресурсам системи за один етап розпакування, залишаючись непоміченими більшістю сучасних антивірусних програм.
Як захиститися від Zip-бомб?
Найкращий спосіб убезпечити себе – дотримуватися правил безпеки в інтернеті. Насамперед, ніколи не завантажуйте файли з ненадійних веб-сайтів, особливо якщо ваш браузер попереджає про потенційну небезпеку.
Те саме стосується спаму. Не відкривайте вкладення в електронних листах, якщо ви не впевнені у їхньому походженні. Якщо ваш постачальник електронної пошти, наприклад Gmail, попереджає вас про потенційну небезпеку, то спробуйте перевірити джерело, перш ніж взаємодіяти з вкладенням.
Ви можете, наприклад, ввести назву вкладеного файлу в пошуковій системі, наприклад Google, і подивитися на результати. Більшість zip-бомб задокументовані, і ви, ймовірно, знайдете відповідні результати пошуку із точною назвою файлу.
Нижче наведено неповний перелік кроків, які допоможуть вам уникнути небезпеки в інтернеті.
Антивірусне програмне забезпечення
У наш час, коли шкідливе програмне забезпечення може ховатися на видноті, наявність хорошої антивірусної програми – це половина успіху. Існують безкоштовні антивіруси, однак вони часто намагаються отримати прибуток від користувача, пропонуючи інші продукти.
Крім того, антивірус працює постійно, коли ваш комп’ютер увімкнений, навіть якщо ви про це не підозрюєте. Тому, варто інвестувати в преміум-версію антивірусного програмного забезпечення. Платні продукти пропонують розширені можливості, такі як міжмережеві екрани, інструменти для оптимізації системи та додаткові інструменти, наприклад VPN, менеджери паролів тощо, для максимальної кібербезпеки.
Однак, нижче наведений список безкоштовних антивірусів для вашого комп’ютера, якщо я не зміг переконати вас у необхідності платного програмного забезпечення.
Обізнаність
Антивірус може захистити вас від шкідливих комп’ютерних програм, але він безсилий проти методів соціальної інженерії.
Соціальна інженерія — це техніка, коли жертву обманом змушують завантажити та розпакувати zip-бомбу, посилаючись на те, що zip-файли не є вірусами. Деякі користувачі потрапляють у такі пастки і встановлюють шкідливе програмне забезпечення на свій комп’ютер.
Згодом жертва може зіткнутися зі шпигунськими програмами, програмами-вимагачами, фішингом тощо, де кіберзлочинець намагається викрасти особисту інформацію або завдати фінансової шкоди.
Єдиний спосіб убезпечити себе в такому випадку – підвищувати свою обізнаність. Кожна людина повинна бути поінформована про всі шахрайські схеми та ділитися цією інформацією зі своїми знайомими.
Підсумок
Zip-бомби – це файли, які можуть зайняти весь ваш жорсткий диск і навіть більше, тим самим вивести систему з ладу.
Оскільки zip-бомби не є шкідливим програмним забезпеченням у прямому розумінні, ідентифікувати (нерекурсивні) zip-бомби не завжди можливо. Тому, єдиний спосіб захиститися – це профілактика.
Її можна досягти шляхом підвищення обізнаності про небезпеки в інтернеті, використання преміум-версії антивірусного програмного забезпечення та уникнення пасток соціальної інженерії.
P.S. На сайті techukraine.net є розділ “Безпека”, де регулярно публікуються корисні матеріали, які стосуються особистої безпеки та безпеки бізнесу. Рекомендую додати його до закладок та періодично переглядати інформацію, яка може вас зацікавити.