Программист Дэвид Файфилд изобрел уникальный алгоритм сверхсильного сжатия, позволяющий уместить 5,5 ГБ информации в 42-килобайтном файле.
Его разработка может применяться в качестве zip-бомб для вывода из строя компьютеров и серверов.
Вредоносный алгоритм.
Разработан новый нерекурсивный алгоритм сжатия файлов, позволяющий добиться степени сжатия в 28 млн раз.
Идея принадлежит программисту и инженеру Дэвиду Файфилду(David Fifield), и использоваться она может как во благо, так и во зло.
Изобретение Файфилда может стать ключом к возвращению так называемых «файловых бомб», также известных как zip-бомбы, «архивы смерти» и , популярных у хакеров в конце 20 – начале 21 века.
Это особый вид вредоносных файлов, не заражающих компьютер, но выводящих его из строя путем переполнения дискового пространства и повышенных нагрузок на центральный процессор во время процесса распаковки архива с таким файлом.
Все zip-бомбы, существовавшие до изобретения Дэвида Файфилда, обладали степенью сжатия 1032:1.
Файфилду, благодаря своему алгоритму, удалось преодолеть этот предел.
Обычные zip-бомбы используют рекурсивную декомпрессию, вкладывая zip-файлы в zip-файлы с целью получения дополнительного коэффициента сжатия 1032:1 с каждым новым слоем.
Нерекурсивный алгоритм Файфилда работает по принципу перекрытия файлов непосредственно внутри одного zip-контейнера, что позволяет ему ссылаться на «ядро» сжатых данных в нескольких файлах и не делать несколько копий архива.
Три вида бомб.
Дэвид Файфилд продемонстрировал работу своего алгоритма на трех примерах бомб, и если первая окажется фатальной только для устаревших компьютеров, то две оставшиеся гарантированно «завесят» все существующие ПК и подавляющее большинство серверов.
Так выглядит современная файловая бомба.
Первая файловая бомба при сжатии весит всего 42 КБ (килобайта), а после разархивации ее объем увеличивается до 5,5 ГБ.
Здесь вся опасность кроется именно в повышенной нагрузке на процессор, так как 5,5 свободных гигабайтов в 2019 г.
есть практически на любом компьютере.
Вторая zip-бомба уже более опасна – выглядит она как безобидный файл объемом 10 МБ (мегабайтов), однако распаковка приведет к увеличению его размера до 281 ТБ (терабайтов).
Таким объемом дискового пространства не могут похвастаться 100% домашних и офисных ПК.
Третья бомба, использующая алгоритм Файфилда, по умолчанию весит 46 МБ и тоже не кажется опасной, пока не начнется ее распаковка.
46 МБ детище Файфилда способно превратить в 4,5 ПБ (петабайтов) или 4608 ТБ.
Разархивация подобного рода бомбы – это задача, непосильная для многих современных суперкомпьютеров.
Откуда взялись эти бомбы.
Файловые бомбы – это частный и редко встречающийся вид вредоносного ПО.
Появление первой такой бомбы, по информации ресурса The Vice, датировано 1996 г.
– файл, многократно увеличивающийся в размерах при разархивации, был закачан в Fidonet.
В начале 20 века проблема файловых бомб стала более актуальной и привлекла внимание специалистов в области информационной безопасности.
В 2019 г.
большинство актуальных антивирусных приложений умеют определять zip-бомбы в процессе сканирования ПК или внешнего носителя на наличие вирусов и других malware.
В поиске вредоноса антивирусы проверяют, в том числе, и архивы и могут определить, что с файлом, в котором скрыта бомба, что-то не так.
Неиллюзорная опасность.
Польза от zip-бомб, несмотря на их не самое широкое распространение в мире, для злоумышленников все же есть.
Даже если пользователь, чей компьютер подвергся атаке, не станет открывать архив с «сюрпризом», он может натравить на него антивирус, но не каждый из них справится с проверкой такого файла.
По словам Дэвида Файфилда, он протестировал все три вида своей бомбы на большинстве популярных антивирусов, и некоторые при попытке просканировать файл второго типа аварийно завершали работу.
Это касается, в частности, антивирусного ПО Mc.
Выведение из строя антивируса временно (до перезагрузки) даст хакерам полную свободу действий на компьютере жертвы, и они смогут запустить на нем любой спектр вредоносов и украсть необходимые им данные.