Программист Дэвид Файфилд изобрел уникальный алгоритм сверхсильного сжатия, позволяющий уместить 5,5 ГБ информации в 42-килобайтном файле. Его разработка может применяться в качестве zip-бомб для вывода из строя компьютеров и серверов.
Вредоносный алгоритм
Разработан новый нерекурсивный алгоритм сжатия файлов, позволяющий добиться степени сжатия в 28 млн раз. Идея принадлежит программисту и инженеру Дэвиду Файфилду(David Fifield), и использоваться она может как во благо, так и во зло.
Изобретение Файфилда может стать ключом к возвращению так называемых «файловых бомб», также известных как zip-бомбы, «архивы смерти» и , популярных у хакеров в конце 20 – начале 21 века. Это особый вид вредоносных файлов, не заражающих компьютер, но выводящих его из строя путем переполнения дискового пространства и повышенных нагрузок на центральный процессор во время процесса распаковки архива с таким файлом.
Все zip-бомбы, существовавшие до изобретения Дэвида Файфилда, обладали степенью сжатия 1032:1. Файфилду, благодаря своему алгоритму, удалось преодолеть этот предел. Обычные zip-бомбы используют рекурсивную декомпрессию, вкладывая zip-файлы в zip-файлы с целью получения дополнительного коэффициента сжатия 1032:1 с каждым новым слоем. Нерекурсивный алгоритм Файфилда работает по принципу перекрытия файлов непосредственно внутри одного zip-контейнера, что позволяет ему ссылаться на «ядро» сжатых данных в нескольких файлах и не делать несколько копий архива.
Три вида бомб
Дэвид Файфилд продемонстрировал работу своего алгоритма на трех примерах бомб, и если первая окажется фатальной только для устаревших компьютеров, то две оставшиеся гарантированно «завесят» все существующие ПК и подавляющее большинство серверов.
Так выглядит современная файловая бомба
Первая файловая бомба при сжатии весит всего 42 КБ (килобайта), а после разархивации ее объем увеличивается до 5,5 ГБ. Здесь вся опасность кроется именно в повышенной нагрузке на процессор, так как 5,5 свободных гигабайтов в 2019 г. есть практически на любом компьютере.
Вторая zip-бомба уже более опасна – выглядит она как безобидный файл объемом 10 МБ (мегабайтов), однако распаковка приведет к увеличению его размера до 281 ТБ (терабайтов). Таким объемом дискового пространства не могут похвастаться 100% домашних и офисных ПК.
Третья бомба, использующая алгоритм Файфилда, по умолчанию весит 46 МБ и тоже не кажется опасной, пока не начнется ее распаковка. 46 МБ детище Файфилда способно превратить в 4,5 ПБ (петабайтов) или 4608 ТБ. Разархивация подобного рода бомбы – это задача, непосильная для многих современных суперкомпьютеров.
Откуда взялись эти бомбы
Файловые бомбы – это частный и редко встречающийся вид вредоносного ПО. Появление первой такой бомбы, по информации ресурса The Vice, датировано 1996 г. – файл, многократно увеличивающийся в размерах при разархивации, был закачан в Fidonet. В начале 20 века проблема файловых бомб стала более актуальной и привлекла внимание специалистов в области информационной безопасности.
В 2019 г. большинство актуальных антивирусных приложений умеют определять zip-бомбы в процессе сканирования ПК или внешнего носителя на наличие вирусов и других malware. В поиске вредоноса антивирусы проверяют, в том числе, и архивы и могут определить, что с файлом, в котором скрыта бомба, что-то не так.
Неиллюзорная опасность
Польза от zip-бомб, несмотря на их не самое широкое распространение в мире, для злоумышленников все же есть. Даже если пользователь, чей компьютер подвергся атаке, не станет открывать архив с «сюрпризом», он может натравить на него антивирус, но не каждый из них справится с проверкой такого файла.
По словам Дэвида Файфилда, он протестировал все три вида своей бомбы на большинстве популярных антивирусов, и некоторые при попытке просканировать файл второго типа аварийно завершали работу. Это касается, в частности, антивирусного ПО McAfee.
Выведение из строя антивируса временно (до перезагрузки) даст хакерам полную свободу действий на компьютере жертвы, и они смогут запустить на нем любой спектр вредоносов и украсть необходимые им данные. Источник