Nya varianter av zip-bomber, finputsade och maskerade, håller säkerhetsexperter alerta.
Tänk dig en liten, till synes oskyldig zip-fil, bara några kilobyte stor, som exploderar till en enorm datamängd på petabyte- eller exabyte-nivå, vilket leder till en systemkrasch efter att du klickat på extrahera.
Detta fenomen är känt som en zip-bomb, dekompressionsbomb eller ”zip of death”.
Vad är en Zip-bomb?
Det rör sig om en komprimerad fil med flera lager inuti varandra, eller ett enstaka lager, som vid extrahering expanderar till en storlek som överstiger vad de flesta datorer kan hantera.
Syftet med en zip-bomb är att överbelasta processorn och antivirusprogrammen genom att packa upp eller genomsöka innehållet medan skadlig kod smyger sig in i systemet.
De flesta antivirusprogram kan granska en zip-fil utan att extrahera den. Upptäcker de flera lager av komprimering, markeras filen som en zip-bomb och skanningen avbryts.
Ett typiskt exempel är .42 zip-filen, som i komprimerad form bara är 42 kb. Denna fil innehåller sex komprimeringslager, där de fem första lagren har 16 filer vardera, och det sista lagret är en enskild fil på 4,3 GB.
Vid fullständig dekomprimering uppgår den totala storleken till 4,5 PB.
1 PB motsvarar 1 000 000 GB eller 1 000 TB.
För att ge ett perspektiv, min bärbara dators lagringsutrymme är endast 512 GB, vilket motsvarar cirka 0,5 TB. Min största externa hårddisk är på 1 TB. De flesta hemdatorer kan alltså potentiellt krascha om de försöker öppna .42 zip-filen rekursivt. Det anmärkningsvärda är att den här filen är enkelt nedladdningsbar från internet (på egen risk).
Ofta kan sådana bomber i sig själva inte göra någon skada. Dock kan dessa zip-filer åtföljas av rekursiva uppackningsskript som kan aktivera ”zip of death” och göra skada.
Olika typer av zip-bomber
Precis som all skadlig kod, har zip-bomber utvecklats till olika varianter med olika effekter och tillvägagångssätt.
#1. Rekursiva zip-bomber
Dessa har flertalet lager packade i en enda zip-fil. 42.zip är ett exempel på en rekursiv zip-bomb.
En speciell undergrupp av rekursiva zip-bomber är zip quines. De går ett steg längre, med varje uppackningsoperation kopieras innehållet, vilket skapar en komprimerad fil med otaliga lager. I teorin är det omöjligt att extrahera en zip quine fullständigt, oavsett tillgängliga resurser.
Rekursiva zip-bomber anses dock vara föråldrade, eftersom moderna antivirusprogram är tränade att känna igen deras filstruktur och undviker att bearbeta dem.
#2. Icke-rekursiva zip-bomber
David Fifield, programmeraren bakom detta icke-rekursiva arkiv, kallar det för ”en bättre zip-bomb”.
Till skillnad från sin rekursiva motsvarighet packar denna variant upp allt på en gång, utan att gå igenom flera dekomprimeringsomgångar. Detta uppnås genom ett avsevärt högre komprimeringsförhållande än vad som normalt ses med zip-filer.
Det bästa en zip-fil vanligtvis kan åstadkomma är att minska en fils storlek med 1032 gånger, med hjälp av komprimeringsalgoritmen DEFLATE. David Fifield har dock utvecklat en teknik som gör att icke-rekursiva zip-bomber kan expandera över 28 miljoner gånger (1 kb blir 26,7 GB) i en enda extraheringsprocess.
Detta gör dem svårare att upptäcka och därmed farligare.
Hur fungerar zip-bomber?
Zip-bomber är, som tidigare nämnts, harmlösa så länge de förblir oöppnade. De utgör endast en fara om det finns ett program som automatiskt försöker dekomprimera alla zip-filer som laddas ner.
Ett föråldrat antivirusprogram kan också misslyckas med att identifiera filstrukturen och försöka skanna en nyligen nedladdad zip-bomb, vilket kan leda till en systemkrasch.
En rekursiv zip-bomb kan dölja skadlig kod långt ner i ett lager, där antivirusprogrammet eventuellt inte genomsöker.
Detta gäller främst rekursiva zip-bomber.
Icke-rekursiva zip-bomber förstör systemresurser direkt i en enda dekomprimeringsomgång, utan att de flesta antivirusprogram upptäcker dem.
Skydda dig mot zip-bomber
Det viktigaste är att ha god internethygien. Ladda aldrig ner filer från osäkra webbplatser, särskilt om webbläsaren varnar dig för en potentiell fara.
Samma sak gäller skräppost. Öppna inte bilagor om du är osäker på avsändaren. Om din e-postleverantör, till exempel Gmail, varnar dig, försök att bekräfta ursprunget innan du interagerar med bilagan.
Du kan till exempel söka efter bilagans namn i en sökmotor som Google. De flesta zip-bomber är dokumenterade och du kommer sannolikt att hitta sökresultat som hänvisar till exakt samma filnamn.
Här följer en lista med åtgärder som kan hjälpa dig att få en säkrare upplevelse på internet.
Antivirus
I dagens läge, där skadlig kod lurar överallt, är ett bra antivirusprogram halva kampen vunnen. Det finns gratisalternativ, men dessa försöker ofta tjäna pengar på användarnas data.
Dessutom använder du ditt antivirusprogram konstant när din dator är påslagen, även utan att vara medveten om det. Därför kan det vara värt att investera i ett premium-antivirus. Betalda versioner erbjuder avancerade brandväggar, systemoptimeringsverktyg och andra funktioner som VPN och lösenordshanterare för ökad cybersäkerhet.
Om du fortfarande föredrar gratisalternativ, finns det en lista med antivirusprogram här.
Utbildning
Antivirus kan skydda dig mot farliga datorprogram, men det är i regel maktlöst mot social manipulation.
Här luras offret att ladda ner och packa upp en zip-bomb, med hänvisning till att zip-filer inte är virus. Vissa faller för detta och slutar med att installera skadlig kod på sina system.
Offret kan därefter utsättas för spionprogram, utpressningsprogram, nätfiske, etc., där cyberkriminella försöker stjäla personlig information eller orsaka ekonomisk skada.
Det enda skyddet i det här fallet är utbildning. Alla bör lära sig om olika typer av bedrägerier och dela denna information med sina vänner och bekanta.
Avslutningsvis
Zip-bomber är filer som har potentialen att fylla hela hårddisken och mer därtill, vilket leder till en krasch.
Eftersom de inte klassificeras som skadlig kod är det inte alltid möjligt att identifiera icke-rekursiva zip-bomber. Det enda sättet att skydda sig är genom förebyggande åtgärder.
Detta kan uppnås genom att vara medveten om potentiella faror på internet, använda ett bra antivirusprogram och inte bli offer för social manipulation.
PS: Vi har en säkerhetssektion på adminvista.com där vi regelbundet publicerar intressant material om personlig säkerhet och företagssäkerhet. Jag föreslår att du bokmärker den och läser de artiklar som verkar relevanta för dig.