In breve, le Zip Bomb sono un nuovo tipo di attacco DoS che rende inutilizzabile il sistema informatico preso di mira.

La semplicità d’uso e la difficoltà nel rilevare questo attacco sono ciò che lo rende così temuto.
Tutto ciò avviene tramite un metodo di attacco Denial Of Service (DoS) utilizzato per disattivare l’antivirus al fine di fornire un percorso di facile accesso per la successiva infezione.

La Zip Bomb si attiva quando la vittima tenta di aprire un file zippato.
Anche se sembra avere una dimensione di pochi kilobyte, una volta lanciato, inonda il sistema operativo con un’enorme quantità di dati, sovraccaricandolo di proposito.

zip bomb

A causa del sovraccarico, l’antivirus smette di funzionare, rendendo il dispositivo vulnerabile alle minacce esterne.

  1. Che cos’è esattamente un Zip Bomb?
  2. Come si crea un file Zip Bomb?
  3. Come funzionano i file Zip Bomb?
  4. Come avviene un attacco Zip Bomb?
  5. Riconoscere un file Zip Bomb
  6. Utilizzo legale dei file Zip Bomb
  7. Alcune considerazioni finali su Zip Bomb

Che cos’è esattamente Zip Bomb?

Le zip bomb sono file compressi che misurano pochissimi kilobyte ma che una volta decompressi diventano difficili da gestire poiché occupano molto spazio di archiviazione.
Quando una zip bomb viene decompressa, consuma rapidamente l’intero spazio di archiviazione del dispositivo.

Il rapporto di compressione della maggior parte dei file Zip è compreso tra 2 e 10:1.
Un file compresso .ZIP megabyte, ad esempio, potrebbe avere una dimensione massima di 15 megabyte.
Una zip bomb, d’altra parte, ha un rapporto di compressione superiore a un milione a uno. Una zip bomb da 40 kilobyte può crescere fino a raggiungere una dimensione di circa 5 gigabyte. Una zip bomb da 10 megabyte può crescere fino a raggiungere una dimensione superiore a 280 terabyte.

Le zip bomb utilizzano due approcci per ottenere questi rapporti di compressione:

  • File sovrapposti
  • Compressione ricorsiva

Il metodo più frequente per creare una zipbomb è la compressione ricorsiva, che salva strati di dati compressi in un unico archivio.
Quando l’archivio primario viene decompresso, estende ricorsivamente gli archivi nidificati. L’output si espande in modo esponenziale quando si accede a più livelli di file compressi.

I file sovrapposti possono anche essere usati per creare una zip bomb.
L’archivio comprende numerose intestazioni di directory che conducono a un singolo file anziché a livelli di archivi compressi. È possibile superare il rapporto di compressione massimo dell’archivio di 1.032 “sovrapponendo” i file.

A causa del loro potenziale uso malevolo, le zip bomb sono considerate malware.
Ad esempio, una decompressione rapida può consumare il 100% delle risorse del tuo computer, rendendolo inutilizzabile. Ad oggi molti software non sono protetti dalla presenza di file bomb, come i browser Web o gli scanner di vulnerabilità (Nikto, SQLMap o altri).

Come si crea un file Zip Bomb?

Esaminiamo ora in modo più approfondito come viene creato un file ZipBomb.
Iniziamo creando un file di testo con una qualsiasi combinazione di caratteri casuali, ad esempio uno con 10 lettere, e supponendo per semplicità che la dimensione del file generato sia 10 byte. Facciamo 10 copie di questo file, quindi le combiniamo in un unico file binario di dimensioni 100 byte (ad esempio, utilizzando il comando della finestra del terminale di Windows copy / a *.txt a.txt).

Quindi, usando ancora una volta il comando copy, duplichiamo il file da 100 byte altre dieci volte per creare un file da 1000 byte, li colleghiamo ancora una volta in un unico file e comprimiamo tutto.

Seguendo questi due processi, otteniamo un file compresso con una dimensione di circa 100 byte, significativamente inferiore ai 1000 byte iniziali.
Eseguiamo la procedura almeno altre cinque volte. Vedremo che il file compresso è sempre più piccolo del file creato unendo il file di testo originale.

Dopo alcune fasi, il rapporto tra loro può raggiungere un fattore 1000.
Invece di ripetere il file binario finale in formato.txt, duplicare il suo equivalente compresso.zip e quindi comprimere tutti i file creati, il file risultante ha una dimensione di pochi KB, grazie a un rapporto di compressione favorevole.

Diversi algoritmi possono essere utilizzati per produrre questa compressione “spinta”, ma il più popolare è senza dubbio DEFLATE, che è dettagliato nella raccomandazione IETF (Internet Engineering Task Force) RFC 1951 ed è accessibile tramite librerie e strumenti di compressione per molti linguaggi di programmazione.

Come funzionano i file Zip Bomb?

Il funzionamento di un file Zip Bomb consiste nel creare una struttura a cascata di file compressi all’interno del file stesso, in cui ogni file compresso contiene altri file compressi con la stessa struttura a cascata. Questa tecnica viene chiamata compressione ricorsiva.

In questo modo, quando si tenta di decomprimere il file Zip Bomb, il software di decompressione cerca di espandere ogni file compresso all’interno del file, creando una grande quantità di dati ripetitivi e consumando molte risorse del sistema, come la memoria e la CPU. Questo può portare ad un blocco del sistema o addirittura a un crash del software di decompressione.

Come avviene un attacco Zip Bomb?

Quando si tenta di aprire un file compresso infetto con una dimensione di pochi kilobyte, l’unicità dell’attacco zip bomb si determina grazie al fatto che che la procedura di decompressione comporta l’estrazione di file con una dimensione totale anche di pochi petabyte.

Il nome zip bomb, tuttavia, non va preso alla lettera;
aprendolo si genera un elenco di file.zip, ognuno dei quali include un secondo elenco di file.zip, e così via, fino all’estrazione di un file finale con una dimensione anche dell’ordine di gigabyte.

Sono possibili tre conseguenze da questo tipo di estrazione ripetuta di file compromessi.

Nel tentativo di aprire continuamente tutti i file compressi, magari ricevuti come allegato in un’e-mail infetta, l’antivirus si arresta in modo anomalo alla ricerca di qualche infezione fittizia. Di conseguenza, il sistema è vulnerabile a ulteriori attacchi poiché la protezione antivirus viene disabilitata. Inoltre, per quei software antivirus che non subiscono particolari blocchi è tuttavia probabile che impieghino giorni per scansionare il file ZipBomb, monopolizzando tutta la memoria di sistema.

A tal proposito, mentre l’antivirus è occupato ad analizzare il contenuto del ZipBomb, i malware potrebbero sfruttare questa breve perdita di controllo per iniziare a funzionare. Resta tuttavia inteso che, i migliori e la maggior parte dei moderni antivirus è in grado di rilevare i file zip bomb sospetti.

Riconoscere un file Zip Bomb

Riconoscere una Zip Bomb può essere difficile poiché spesso il file può sembrare innocuo e avere una dimensione apparentemente ridotta rispetto alla quantità di dati che contiene. Tuttavia, ci sono alcune caratteristiche che possono aiutare a riconoscere un file il documento Bomb:

  • Dimensione del file

se il file è incredibilmente piccolo (ad esempio meno di 10 KB) ma il contenuto è indicato come molto più grande, potrebbe essere un segnale di un possibile Zip Bomb.

  • Estensione del file

se l’estensione del file è insolita o non corrisponde al tipo di file che si aspetta, potrebbe essere un segnale di un possibile Zip Bomb.

  • Analisi antivirus

è possibile utilizzare un software antivirus per scansionare il file e verificarne la sicurezza. Se l’antivirus rileva il file come una minaccia potenziale, potrebbe essere un segnale di un possibile Zip Bomb.

  • Nome del file

se il nome del file sembra essere creato appositamente per attirare l’attenzione, potrebbe essere un segnale di un possibile Zip Bomb.

  • Struttura del file

se si apre il file con un software di decompressione e si nota una struttura a cascata di file compressi all’interno del file stesso, potrebbe essere un segnale di un Zip Bomb.

Utilizzo dei file Zip Bomb

L’utilizzo dei file ZipBomb non è sempre dannoso, ma può avere conseguenze benefiche nell’ambito della sicurezza informatica.
Infatti, la ricerca sui file ZipBomb può portare a scoperte interessanti nell’ambito delle tecniche di compressione.

Ethical Hacking

I file ZipBomb possono essere utilizzati dagli sviluppatori di piattaforme web o dagli stessi ethical hacker per ostacolare lo sfruttamento di vulnerabilità, o l’azione di uno scanner di porte di rete di un hacker e impedirgli di accedere al portale web.

Alcune considerazioni finali sui file Zip Bomb

Concludendo, rimuovere questa minaccia è possibile, poiché gli antivirus contemporanei possono neutralizzare il pacchetto dannoso ed eliminarlo.
Se si vuol eliminarlo manualmente, eliminare il file in questione e poi svuotare il Cestino, facendo attenzione a non interagire con esso.