Nové verze zipových bomb, jakmile jsou upravené a vylepšené, opět zaměstnávají bezpečnostní experty.
Představte si, že máte zdánlivě neškodný a malý ZIP soubor o velikosti několika kilobajtů, který se po rozbalení promění v objem dat o velikosti petabajtů či exabajtů, což způsobí pád systému.
Toto je princip zipové bomby, dekompresní bomby nebo také zipu smrti.
Co to je zipová bomba?
Jedná se o komprimovaný soubor, který má v sobě několik vnořených vrstev, nebo jen jednu vrstvu, ale po extrahování zabírá mnohem větší prostor, než je většina počítačů schopná zpracovat.
Cílem zipové bomby je přetížit procesor a antivirové programy při rozbalování nebo skenování obsahu, zatímco škodlivý kód proniká do systému.
Většina moderních antivirových programů je však schopna nahlédnout do zip souboru bez nutnosti jeho rozbalení. Pokud zaznamenají větší množství kompresních vrstev, označí tento soubor jako zipovou bombu a vyhnou se jeho skenování.
Klasickým příkladem je soubor .42 zip, který má ve stlačené podobě pouhých 42 kb. Obsahuje šest vrstev komprimovaných dat, kde prvních pět vrstev má vždy 16 souborů a poslední vrstva obsahuje jeden soubor o velikosti 4,3 GB.
Po kompletní dekompresi však celkový objem dat, který zabere, dosáhne hodnoty 4,5 PB.
Přičemž 1 PB = 1 000 000 GB = 1 000 TB.
Pro srovnání, úložný prostor mého notebooku má kapacitu pouhých 512 GB, což je zhruba 0,5 TB. A největší externí disk, který mám, má kapacitu 1 TB. Z toho plyne, že většina osobních počítačů může selhat při pokusu o rekurzivní otevření souboru .42 zip. Zajímavostí je, že tento soubor si můžete bez problémů stáhnout z internetu (na vlastní riziko).
Nicméně, samotné zipové bomby nejsou obvykle nebezpečné. Ovšem tyto zipy mohou být doprovázeny rekurzivními skripty, které dokážou tyto zipy smrti rozbalit a použít je ke škodlivým účelům.
Druhy zipových bomb
Podobně jako ostatní škodlivé kódy, i zipové bomby se vyvíjejí a mají různé varianty s různými způsoby fungování a dopady.
#1. Rekurzivní
Tyto bomby obsahují mnoho vrstev zabalených do jediného zip souboru. Jak jsme si zmínili, soubor 42.zip je právě rekurzivní zipovou bombou.
Speciální podskupinou rekurzivních zipových bomb jsou zip quines. Tyto bomby se při každém rozbalení o úroveň dále rozšiřují a kopírují svůj obsah, čímž z nich činí komprimovaný soubor s nespočtem vnořených vrstev. Teoreticky tedy není možné zip quine úplně rozbalit, bez ohledu na dostupné zdroje.
Rekurzivní zipové bomby jsou ale už považovány za zastaralé a moderní antivirové programy jsou naučené jejich strukturu identifikovat a zpracování se vyhnout.
#2. Nerekurzivní
David Fifield, programátor, který stojí za tímto typem archivu, jej nazývá „vylepšenou zipovou bombou“.
Na rozdíl od předchozího typu se tato bomba rozbalí celá najednou, bez nutnosti procházet mnoha koly dekomprese. Tohoto je docíleno díky výrazně vyššímu kompresnímu poměru, než je u zip souborů běžné.
Běžně je u souborů zip maximální možná komprese 1032krát, díky kompresnímu algoritmu DEFLATE. David Fifield ale objevil způsob, jak docílit, aby nerekurzivní zipové bomby „explodovaly“ více než 28 milionkrát (1 kb → 26,7 GB) v jediném kroku rozbalování.
Díky tomu je velmi obtížné ji odhalit a představuje větší nebezpečí.
Jak fungují zipové bomby?
Jak už bylo řečeno, zipové bomby jsou bezpečné, pokud nejsou rozbalené. Proto jsou nebezpečné pouze v případě, že máte program, který se automaticky snaží rozbalit každý stažený zip soubor.
Zastaralý antivirový program může mít problém se správným rozpoznáním struktury souboru a může se pokusit skenovat nedávno staženou zipovou bombu, což může způsobit zhroucení systému.
Rekurzivní zipová bomba navíc může ukrývat škodlivý kód hluboko ve vrstvě, kterou antivirový program nemusí kontrolovat.
To platí pro rekurzivní zipové bomby.
Nerekurzivní zipové bomby přímo ochromují systémové zdroje v jediném procesu extrakce, aniž by je většina současných antivirových programů dokázala detekovat.
Jak se chránit před zipovými bombami
Nejlepší prevencí je dodržovat zásady bezpečné práce s internetem. V první řadě nestahujte soubory z nedůvěryhodných stránek, zejména pokud vás váš prohlížeč varuje před hrozícím nebezpečím.
Stejné pravidlo platí i pro spamové e-maily. Neotvírejte přílohy, pokud si nejste jisti jejich původem. Pokud vás váš poskytovatel e-mailových služeb (například Gmail) varuje, pokuste se ověřit původ, než s danou přílohou budete jakkoliv pracovat.
Zadejte například název přílohy do vyhledávače, jako je Google, a podívejte se na výsledky. Většina zipových bomb je zdokumentovaná a pravděpodobně se vám zobrazí výsledky vyhledávání se stejným názvem souboru.
Následuje neúplný seznam kroků, které vám pomohou zvýšit vaši bezpečnost na internetu.
Antivirus
V dnešní době, kdy se škodlivý software skrývá na dohled, je dobrý antivirový program základním kamenem bezpečnosti. Existují i bezplatné antivirové produkty, ale často se snaží uživatele proměnit v jiný produkt.
Antivirový program navíc běží pokaždé, když je počítač zapnutý, i když o tom nevíte. Proto je lepší investovat do prémiové verze antivirového programu. Placené produkty nabízejí pokročilé firewally, nástroje pro optimalizaci systému a doplňkové funkce jako VPN, správce hesel atd., pro maximální kybernetickou bezpečnost.
Nicméně zde je seznam bezplatných antivirových programů pro váš počítač, pokud jsem vás z nějakého důvodu nepřesvědčil, abyste si pořídili placený produkt.
Vzdělávání
Antivirový program vás může ochránit před nebezpečnými programy, ale proti sociálnímu inženýrství je většinou bezmocný.
Při sociálním inženýrství je oběť oklamána, aby si stáhla a rozbalila zipovou bombu. Pachatelé často zneužívají faktu, že zip soubory nejsou viry. Několik lidí tak padne do těchto pastí a končí s instalovaným škodlivým softwarem v systému.
Oběť se následně může setkat se spywarem, ransomwarem, phishingem a dalšími metodami, pomocí kterých se kyberzločinci snaží získat osobní údaje nebo způsobit finanční škody.
Zde je jediným pomocníkem vzdělávání. Je důležité se poučit z minulých podvodů a sdílet informace se svými kolegy a přáteli.
Závěr
Zipové bomby jsou soubory, které mohou kompletně zaplnit váš pevný disk a způsobit pád systému.
Jelikož se nejedná přímo o škodlivý kód, identifikace (nerekurzivních) zipových bomb není vždy možná. Proto je prevence v tomto případě klíčová.
Toho lze dosáhnout tak, že se budete chovat zodpovědně na internetu, budete používat kvalitní antivirový program a vyhnete se metodám sociálního inženýrství.
PS: Na e-techblog.cz máme sekci věnovanou zabezpečení, kam pravidelně přidáváme zajímavé články o osobní a firemní bezpečnosti. Doporučuji vám ji přidat do záložek a občas si přečíst, co se vám zdá relevantní.