Најпаметнија „Зип бомба“ икада направљена експлодира датотеку од 46 МБ на 4,5 петабајта

Датотеке толико дубоко компресоване да су заправо злонамерни софтвер постоје деценијама - а истраживач је управо представио потпуно нову Зип бомбу која експлодира датотеку од 46 мегабајта на 4,5 петабајта података.
  • Слика: Гетти

    У отприлике три деценије откако је дебитован формат Зип датотеке, компримоване датотеке су биле широко распрострањене и повремене злоупотребе.

    Свакако, какав програмер и инжењер Давид Фифиелд недавно са Зип форматом датотека уклапа се у ову другу категорију. У ствари, Фифиелд је изумео нову врсту Зип бомбе или компресионе бомбе - малваре варијанту у којој је Зип датотека од само неколико килобајта толико компримована да би у потпуности напунио ваш чврсти диск када се декомпримује. И онда неки.

    Датотеке попут ових нису нечувене, али Фифиелдове технике, откривен у чланку на његовој веб страници , су посебно нови, јер нису рекурзивни или су изграђени попут обрнуте руске гнездарице, где се датотеке повећавају док декомпресујете више слојева Зип датотека. Уместо тога, Фифиелд је открио како се преклапају датотеке унутар Зип архиве, омогућавајући стопе компресије далеко веће од оних у традиционалној архиви - у свом најупечатљивијем случају успео је да добије датотеку од 46 мегабајта за компресовање 4,5 петабајта података.



    То је само најновији заокрет у деценијама старој верзији злонамерног софтвера који није вирус, али би и даље могао да направи број на вашем лаптопу.

    Како смо добили зип бомбе

    Па, шта уопште омогућава Зип бомбе? Прво, мало историје и неко објашњење. Прича о Зип формату датира из 1988. године, када је Пхил Катз, програмер и корисник ББС-а, одговорио на тужбу због свог стварања софтвера за компресију компатибилног са АРЦ форматом стварањем новог алгоритма компресије који је био некомпатибилан (и нешто бољи од ) постојећи формат, али је отворено дистрибуиран. То је довело до тога да формат постане де фацто стандард.

    (Катз је, иако је видео много успеха и репутација из свог стваралаштва, имао значајних проблема у личном животу и умрла од поремећаја повезаних са алкохолизмом 2000. године у 37. години. Његова прича је фасцинантна и трагична , ако желите да копате.)

    Зип формат и његове сличне верзије добро су радили на огласним плочама и ФТП серверима и постали су свеприсутни захваљујући схареваре-у и евентуалном додавању формата оперативним системима Виндовс и Мацинтосх. Међутим, њихов приступ компресији учинио их је искористивима на јединствене начине. Један од разлога зашто су Зип бомбе могуће има много везе са начином рада алгоритама компресије. На високом нивоу, системи компресије узимају поновљене информације у компресованој архиви и разбијају понављање на најмањи могући начин. Због тога се МП3 датотека, која је већ компримована, не смањује толико колико би то могла стандардна текстуална датотека.

    Стандард омогућава да се идеја одведе у логичну крајност. Ако је датотека пуна билијуна нула, то значи да компримована датотека може бити изузетно мала, чак и ако је декомпресована датотека апсолутно масивна.

    Резултат је да је сама датотека у основи бескорисна, осим као начин да се поразе неки антивирусни програми (који често скенирају компримоване датотеке да би се утврдило да ли могу да открију вирусе) и као нека инжењерска вежба.

    Према презентацији дат на УСЕНИКС Сигурносном симпозијуму 2015. године, први пример Зип бомбе у дивљини датира из 1996. године, када је датотека постављена на мрежу огласних табли Фидонет са конкретним циљем да се администратор отвори. ( Текстуална датотека у вези са инцидентом сугерише, олако речено, да није прошло добро.) До 2001. године то је постало брига за редовне стручњаке за безбедност, када је нит на поштанској листи за размену информација БугТрак скренула пажњу оба истраживача безбедности и популарне технолошке странице Регистар .

    Убрзо након тога појавио се најпознатији пример Зип бомбе, 42.зип - његов аутор до данас није познат, али његов степен компресије 106 милијарди према једном представља легенду. У интервјуу путем е-поште, Фифиелд је то приметио, док је 42.зип (који је био домаћин на исту веб страницу са једном услугом најмање 15 година) добија велику пажњу, касније покушаје сматра технички занимљивијим.

    Сматрам да 42.зип инспирише на естетском нивоу - не толико сам фајл, већ околности око њега, рекао је Фифиелд. То је попут фолклора. Сигурно је било много примера исте основне идеје, али из било ког разлога 42.зип је тај који је имао моћ задржавања.

    Екстремна компресија

    Зип бомба је током година остала нешто попут малваре новине, која се с времена на време појављује у различитим контекстима. Мој омиљени пример је из 2017. године, када је ИТ блогер, болестан од свих ботова који су покушавали да се пријаве на његову ВордПресс страницу, креирао варијанту Зип бомбе засновану на гзип-у који је искористио уграђену компресију у многим веб прегледачима да би разбио ботове који су покушавали да уђу на његову веб локацију.

    Оно што ове датотеке чини толико ефикасним је што користе предности ствари које чине компресију ефикасном и чине их оружјем - трошећи процесорске циклусе, РАМ и простор на диску.

    Али ове датотеке су имале природно ограничење: већина рита за зип декомпресију максимално се смањује при степену компресије 1032 према један, што је значило да Зип бомбе свој прави потенцијал компресије могу постићи само рекурзивно. На пример, 42.зип, тек нешто већи од 42 килобајта када је потпуно компримован, садржи све сложеније Зип датотеке, слојевите у групама од 16 у више слојева једне архиве. Када се потпуно декомпресују, документи заузимају 4,5 петабајта - стопа толико велика да би опорезовала највиши сервер који бисте могли купити.

    Каснији експерименти компресије, тзв Зип куинес , дозвољено за бесконачну рекурзију, тако да бисте у основи могли да наставите да распакујете и никада не дођете до дна. (Фифиелд је рекао да му је овај формат помогао да инспирише његов рад.)

    Али оно што Фифиелдов рад чини занимљивим јесте то што он пролази кроз однос компресије 1032 према један преклапајући датотеке једну на другу током процеса компресије, стварајући чврсто упаковану датотеку у једном слоју, без рекурзије. Иако су његови резултати мање компримовани од 42.зип, док датотека еквивалентне величине достиже тек скромних 5,5 гигабајта када се декомпресује, стопа компресије је много значајнија код већих величина - чак 281 терабајта са традиционалним 10-мегабајтима Зип датотека.

    Прелазак изван оригиналне Зип спецификације даје још импресивније резултате: Датотека од 45 мегабајта, компресована помоћу нешто ређег, али ефикаснијег проширења формата Зип64, може постићи еквивалентну декомпресовану величину од 42.зип без икакве рекурзије и на однос 98 милиона према једном - не толико чврсто намотан, наравно, али сигурно још увек довољан да одговара вашем рачунару.

    Фифиелд је приметио да је део онога што омогућава његов процес проналажење начина за руковање провере цикличног вишка , или ЦРЦ, основна функционалност исправљања грешака уграђена у Зип, ПНГ, Етхернет и бројне друге техничке стандарде. Зезање са ЦРЦ-32 контролним сумама, како се зову, било је место где је Фифиелд рекао да је научио највише.

    Ако ископате историју урезивања изворног кода, видећете да су неке од најранијих урезивања само ја која се борим са контролним сумама, рекао је у е-поруци.

    Да ли су заправо опасни?

    Да будемо поштени, мало је вероватно да ћете у дивљини налетети на Зип бомбу, а чак и ако то учините, многи модерни компресијски и антивирусни програми могу тачно да открију да су проблематични. Није баш незгодно ни победити Зип бомбу. Откривање специфичне класе Зип бомбе коју смо развили у овом чланку је једноставно: само потражите датотеке које се преклапају, написао је Фифиелд у свом чланку.

    Али пошто такво откривање тренутно не постоји у алатима за декомпресију, створило је прилику за тестирање, па чак и тада, најгоре што је учинило са многим програмима које су тестирали Фифиелд и други (укључујући ЛибреОффице и МцАфее Антивирус) било је њихово истекање . Као што је истакнуто користио Твиттер корисник Тавис Орманди, неколико антивирусних програма чак и тачно откривен била је то Зип бомба, упркос чињеници да је то нова врста Зип бомбе.

    Фифиелд, који ће своја сазнања представити на УСЕНИКС радионица о увредљивим технологијама (ВООТ) конференција следећег месеца, приметила је да, иако сам рад додаје историји истраживања и вероватно ће бити замењен у будућности, његова корист са становишта свести је важна.

    Надам се да је једна од предности већа свест програмера о опасностима обраде сложених формата архива попут Зип-а, додао је. Помаже у постизању неких конкретних резултата: рецензенти кода, купци и корисници барем ће моћи да укажу на ово истраживање и питају да ли се носи са тим ово тачно?