Έχετε ακούσει ποτέ τον όρο ZIP bombs; Ο όρος αναφέρεται σε ένθετα αρχεία ZIP τα οποία, όταν αποσυμπιεστούν, απελευθερώνουν τεράστια αρχεία που ο υπολογιστής του θύματος δεν μπορεί να επεξεργαστεί στη μνήμη του ή δεν μπορεί να τα αποθηκεύσει στο δίσκο.
Για παράδειγμα, ένα αρχείο 5 petabyte που περιέχει μόνο μηδενικά μπορεί εύκολα να συμπιεστεί στα 48 kilobytes, επειδή το σύστημα συμπίεσης ZIP μπορεί να διαχειριστεί τα επαναλαμβανόμενα δεδομένα εξαιρετικά, πολλαπλασιάζοντας το ποσοστό συμπίεσης.
ZIP bombs: Τι κάνουν
Τα ZIP bombs έχουν χρησιμοποιηθεί τις τελευταίες δεκαετίες σαν ένας τρόπος καταστροφής λογισμικού εντοπισμού ιών, τα οποία είναι ρυθμισμένα να σαρώνουν αρχεία ZIP αποσυμπιέζοντας το αρχείο και εξετάζοντας το περιεχόμενό του.
Αυτό βέβαια δεν κράτησε πολύ γιατί οι εταιρείες ανάπτυξης λογισμικού προστασίας από ιούς πρόσθεσαν προστασία έναντι των ZIP bombs. Όμως υπάρχουν ακόμα εφαρμογές που είναι εκτεθειμένες στα συγκεκριμένα αρχεία, όπως τα προγράμματα περιήγησης ή εφαρμογές που σαρώνουν για ευπάθειες, όπως τις Nikto, SQLMap και άλλες.
Ας δούμε όμως πως μπορεί να χρησιμοποιηθεί και εναντίων κακόβουλων χρηστών, που προσπαθούν να συνδεθούν ή να παραβιάσουν ιδιωτικές ιστοσελίδες.
Ο Αυστριακός εμπειρογνώμονας τεχνολογίας Christian Haschek δημιούργησε δύο PHP scripts που μπορούν να ανιχνεύσουν συγκεκριμένες συμβολοσειρές χρηστών και να δημιουργήσουν ZIP bombs για προγράμματα περιήγησης ή λογισμικά εντοπισμού ευπαθειών που προσπαθούν να αποκτήσουν πρόσβαση σε ασφαλείς ή ιδιωτικές ιστοσελίδες (όπως πίνακες admin, backends ή login forms).
Αυτά τα scripts θα αντικαταστήσουν την κανονική σελίδα που περίμενε ότι θα βρει o hacker με μια που περιέχει ZIP bombs. Μόλις οι εφαρμογές που χρησιμοποιούν, λάβουν το ZIP bomb, θα προσπαθήσουν να επεξεργαστούν τα δεδομένα και ο υπολογιστής του εισβολέα θα crashάρει.
Τα περισσότερα προγράμματα περιήγησης και σαρωτές θα σταματήσουν να λειτουργούν!
Στον παρακάτω πίνακα ο Haschek περιγράφει λεπτομερώς πώς συμπεριφέρονται μερικές εφαρμογές όταν συναντούν ένα ZIP bomb.
| Client | Result |
|---|---|
| IE 11 | Memory rises, IE crashes |
| Chrome | Memory rises, error shown |
| Edge | Memory rises, then dripps and loads forever |
| Nikto | Seems to scan fine but no output is reported |
| SQLmap | High memory usage until crash |
| Safari | Hight memory usage, then crashes and reloads, then memory rises again, etc.. |
| Chrome (Android) | Memory rises, error shown |
Τα PHP scripts που απαιτούνται για τη δημιουργία ενός ZIP bomb για σαρωτές ευπαθειών είναι διαθέσιμα στη σελίδα του Haschek.
Παρακάτω υπάρχει και ένα demo για browsers, προσέξτε γιατί ενδέχεται να σταματήσει να λειτουργεί η εφαρμογή περιήγησης που χρησιμοποιείτε και να χάσετε την τρέχουσα συνεδρία σας.
