Исследователь предложил использовать ZIP-бомбы для защиты от взлома

Термин «Zip-бомба» был придуман более десяти лет назад, равно как и сами ZIP-бомбы. Принцип работы таких архивов очень прост: в сжатом виде это обычный, не вызывающий подозрений файл, но при распаковке он превращается в чудовищное количество данных, с котором не могут справиться ни память, ни жесткий диск компьютера жертвы. Чаще всего атака реализуется при помощи рекурсивного архива, то есть ZIP-архива, который распаковывается сам в себя.

К примеру, здесь, можно найти файл 42.zip, в сжатом виде занимающий всего 42 килобайта, но после распаковки он будет занимать в памяти более 4,5 петабайт (4 503 599 626 321 920 байт).

Раньше ZIP-бомбы использовались для самых разных целей, от обыкновенного троллинга, до умышленного вывода из строя антивирусов. И хотя современные защитные решения давно научились распознавать такие файлы и даже предупреждают пользователя об опасности, тем же не могут похвастаться браузеры и сканеры уязвимостей, такие как Nikto, SQLMap и так далее.

Картина, знакомая любому администратору: сотни неудавшихся попыток входа в систему

Учитывая эту особенность, австрийский ИБ-специалист Кристиан Хашек (Christian Haschek) предложил использовать ZIP-бомбы во благо, обращая их против злоумышленников. Для этого исследователь написал два небольших PHP-скрипта, которые определяют подозрительные user-agent. Так, если злоумышленники пытаются использовать сканер уязвимостей, или через браузер запрашивают доступ к защищенным или приватным страницам (бэкэнду, панели администрирования, страницам, содержащим формы регистрации и входа), скрипты подменяют обычное содержимое страницы ZIP-бомбой. Как только клиент атакующего получит такой архив, злоумышленника ждет неизбежный аварийный отказ.

Хашек успешно протестировал свою методику на бразуерах IE11, Chrome, Edge, Safari и Chrome для Android, а также сканерах SQLmap и Nikto. Во всех случаях получение ZIP-бомб приводило к краху и многочисленным ошибкам. Лишь Nikto, казалось бы, продолжил работать, но выяснилось, что никакого результата такое сканирование не приносит.

Все подробности и PHP-скрипты можно найти в блоге специалиста. Кроме того, Хашек создал специальную демонстрационную страницу, где любой желающий может опробовать ZIP-бомбу на себе. По последней ссылке рекомендуем переходить с осторожностью.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (10)

  • Не сочтут ли это превышением необходимой защиты? Что скажут юристы?

  • >> Не сочтут ли это превышением необходимой защиты? Что скажут юристы?
    Когда на повестке дня всплывает вопрос "быть, или не быть" - почти вcе отвечают одинаково(кроме наголову ёбнутых маргиналов). Конечно "быть". Чёрт возьми...

  • "По последней ссылке рекомендуем переходить с осторожностью."
    - - -
    Это как...
    Выставить пику, прикрыться щитом, ступать с оглядкой... ?
    (и что будет, если все-таки 'прокололся')

    • Нужно пикой ткнуть в монитор и переустановить ОС:)

  • Насчет последней ссылки, а если реально нажать не на ту кнопку, ну или "ой какое прикольное словечко - freezy". Что будет если активировать демонстрацию?

  • под андроид стоковый браузер вылетел,а под win 8.1 c фаерфоксом не сработало

    • И кто "виноват" в последнем случае - win 8.1 или браузер фаерфокс ?
      (то бишь кто бомбу обезвреживал ?)

  • > Не сочтут ли это превышением необходимой защиты?
    Необходимой обороны здесь нет, а значит и превышения тоже нет. Вообще, уголовный кодекс РФ (а скорее всего и стран СНГ, ибо он модельный) предусматривает только одно деяние, которое можно было бы притянуть за уши к данному случаю - создание, использование и распространение вредоносных компьютерных программ. Но, во-первых, ее как раз нужно притянуть, причем очень сильно, а во-вторых, статья сама по себе мертвая. Так что опасности с правовой точки зрения здесь нет.

  • Интересная статейка. У меня как то был архив на руках, который вешал метров 25, а при распаковке было больше 2.5гб. Файлы видео. До сих пор для меня загадка - как оно так 🙈

Похожие материалы