Все zip-бомбы, существовавшие до изобретения Дэвида Файфилда, обладали степенью сжатия 1032:1. Файфилду, благодаря своему алгоритму, удалось преодолеть этот предел. Обычные zip-бомбы используют рекурсивную декомпрессию, вкладывая zip-файлы в zip-файлы с целью получения дополнительного коэффициента сжатия 1032:1 с каждым новым слоем. Нерекурсивный алгоритм Файфилда работает по принципу перекрытия файлов непосредственно внутри одного zip-контейнера, что позволяет ему ссылаться на «ядро» сжатых данных в нескольких файлах и не делать несколько копий архива.
Три вида бомбДэвид Файфилд продемонстрировал работу своего алгоритма на трех примерах бомб, и если первая окажется фатальной только для устаревших компьютеров, то две оставшиеся гарантированно «завесят» все существующие ПК и подавляющее большинство серверов.
Так выглядит современная файловая бомбаПервая файловая бомба при сжатии весит всего 42 КБ (килобайта), а после разархивации ее объем увеличивается до 5,5 ГБ. Здесь вся опасность кроется именно в повышенной нагрузке на процессор, так как 5,5 свободных гигабайтов в 2019 г. есть практически на любом компьютере.
Вторая zip-бомба уже более опасна – выглядит она как безобидный файл объемом 10 МБ (мегабайтов), однако распаковка приведет к увеличению его размера до 281 ТБ (терабайтов). Таким объемом дискового пространства не могут похвастаться 100% домашних и офисных ПК.
Третья бомба, использующая алгоритм Файфилда, по умолчанию весит 46 МБ и тоже не кажется опасной, пока не начнется ее распаковка. 46 МБ детище Файфилда способно превратить в 4,5 ПБ (петабайтов) или 4608 ТБ. Разархивация подобного рода бомбы – это задача, непосильная для многих современных суперкомпьютеров.
Откуда взялись эти бомбыФайловые бомбы – это частный и редко встречающийся вид вредоносного ПО. Появление первой такой бомбы, по информации ресурса The Vice, датировано 1996 г. – файл, многократно увеличивающийся в размерах при разархивации, был закачан в Fidonet. В начале 20 века проблема файловых бомб стала более актуальной и привлекла внимание специалистов в области информационной безопасности.
В 2019 г. большинство актуальных антивирусных приложений умеют определять zip-бомбы в процессе сканирования ПК или внешнего носителя на наличие вирусов и других malware. В поиске вредоноса антивирусы проверяют, в том числе, и архивы и могут определить, что с файлом, в котором скрыта бомба, что-то не так.
Неиллюзорная опасностьПольза от zip-бомб, несмотря на их не самое широкое распространение в мире, для злоумышленников все же есть. Даже если пользователь, чей компьютер подвергся атаке, не станет открывать архив с «сюрпризом», он может натравить на него антивирус, но не каждый из них справится с проверкой такого файла.
По словам Дэвида Файфилда, он протестировал все три вида своей бомбы на большинстве популярных антивирусов, и некоторые при попытке просканировать файл второго типа аварийно завершали работу. Это касается, в частности, антивирусного ПО McAfee.
Выведение из строя антивируса временно (до перезагрузки) даст хакерам полную свободу действий на компьютере жертвы, и они смогут запустить на нем любой спектр вредоносов и украсть необходимые им данные.