Разработан новый нерекурсивный алгоритм сжатия файлов, позволяющий добиться степени сжатия в 28 млн. раз. Идея принадлежит программисту и инженеру Дэвиду Файфилду (David Fifield), и использоваться она может как во благо, так и во зло.
Изобретение Файфилда может стать ключом к возвращению так называемых «файловых бомб», также известных как zip-бомбы, «архивы смерти», популярных у хакеров в конце 20 — начале 21 века. Это особый вид вредоносных файлов, не заражающих компьютер, но выводящих его из строя путем переполнения дискового пространства и повышенных нагрузок на центральный процессор во время процесса распаковки архива с таким файлом.
Все zip-бомбы, существовавшие до изобретения Дэвида Файфилда, обладали степенью сжатия 1032:1. Файфилду, благодаря своему алгоритму, удалось преодолеть этот предел. Обычные zip-бомбы используют рекурсивную декомпрессию, вкладывая zip-файлы в zip-файлы с целью получения дополнительного коэффициента сжатия 1032:1 с каждым новым слоем. Нерекурсивный алгоритм Файфилда работает по принципу перекрытия файлов непосредственно внутри одного zip-контейнера, что позволяет ему ссылаться на «ядро» сжатых данных в нескольких файлах и не делать несколько копий архива.
Три вида бомб
Дэвид Файфилд продемонстрировал работу своего алгоритма на трех примерах бомб, и если первая окажется фатальной только для устаревших компьютеров, то две оставшиеся гарантированно «завесят» все существующие ПК и подавляющее большинство серверов.
Первая файловая бомба при сжатии весит всего 42 KB, а после разархивации ее объем увеличивается до 5,5 GB. Здесь вся опасность кроется именно в повышенной нагрузке на процессор, так как 5,5 свободных гигабайтов в 2019 году есть практически на любом компьютере.
Вторая zip-бомба уже более опасна — выглядит она как безобидный файл объемом 10 MB, однако распаковка приведет к увеличению его размера до 281 TB. Таким объемом дискового пространства не могут похвастаться 100% домашних и офисных ПК.
Третья бомба, использующая алгоритм Файфилда, по умолчанию весит 46 MB и тоже не кажется опасной, пока не начнется ее распаковка. 46 MB способно превратить в 4,5 PB (петабайтов) или 4608 TB. Разархивация подобного рода бомбы — это задача, непосильная для многих современных суперкомпьютеров.
Неиллюзорная опасность
Файловые бомбы — это частный и редко встречающийся вид вредоносного ПО. Появление первой такой бомбы, по информации ресурса The Vice, датировано 1996 годом — файл, многократно увеличивающийся в размерах при разархивации, был закачан в Fidonet. В начале 20 века проблема файловых бомб стала более актуальной и привлекла внимание специалистов в области информационной безопасности.
В 2019 году большинство актуальных антивирусных приложений умеют определять zip-бомбы в процессе сканирования ПК или внешнего носителя на наличие вирусов и других malware. В поиске вредоноса антивирусы проверяют, в том числе, и архивы и могут определить, что с файлом, в котором скрыта бомба, что-то не так.
Польза от zip-бомб, несмотря на их не самое широкое распространение в мире, для злоумышленников все же есть. Даже если пользователь, чей компьютер подвергся атаке, не станет открывать архив с «сюрпризом», он может натравить на него антивирус, но не каждый из них справится с проверкой такого файла.
По словам Дэвида Файфилда, он протестировал все три вида своей бомбы на большинстве популярных антивирусов, и некоторые при попытке просканировать файл второго типа аварийно завершали работу. Это касается, в частности, антивирусного ПО McAfee.
Выведение из строя антивируса временно (до перезагрузки) даст хакерам полную свободу действий на компьютере жертвы, и они смогут запустить на нем любой спектр вредоносов и украсть необходимые им данные, сообщает cnews.ru.