Bir programcı ve mühendis olan David Fifield, yeni bir tür “arşiv bombası” (zip bomb) geliştirdi. Bir tür zararlı yazılım olan bu yazılım, sadece kilobyte’lara sığacak kadar küçük olmasına rağmen arşiv dosyasından çıkarıldığında sabit diskinizi tamamen dolduruyor.
Kendi tekniğini internet sitesinde açıklayan Fifield, tekniğinin “yinelemeli” ya da matruşka bebekleri gibi olmadığını söylüyor. Dosyaları, bir arşivin içinde “üst üste bindirmeyi” başaran Fifiled, bu yöntemle normalde yapılamayacak kadar büyük dosyaları sıkıştırmayı başardı. Kendisinin en etkileyici işiyse 4,5 petabyte’lık veriyi 46 MB’lık dosyaya sıkıştırması.
2015 yılında USENIX Güvenlik Sempozyumu’nda yapılan sunuma göre ilk arşiv bombası örneği, 1996 yılında görüldü. Bu saldırının kurbanı Fidonet’ti ve saldırının amacı da ağı açabilmek için yöneticilik almaktı. 2001 yılına geldiğindeyse bu saldırı, güvenlik uzmanlarının korkulu rüyası hâline gelmişti.
Bundan kısa bir süre sonra türünün en ünlü örneği olan 42.zip ortaya çıktı. Şu an hâlâ yaratıcısı bilinmeyen bu arşiv bombası, 106 milyarda bir gibi bir sıkıştırma oranıyla efsane mertebesine ulaşmıştı. 42.zip hakkında konuşan Fifield, “42.zip’i ilham verici buluyorum. Sadece içerisindeki dosyaların çokluğundan değil ayrıca etrafındaki zenginlikten. Bir folklor gibi. Aynı fikir etrafında kurulmuş birçok örnek vardır ancak bir sebepten dolayı 42.zip, gücü hep elinde bulundurdu” dedi. 42.zip hakkında daha detaylı bilgiye aşağıdaki haberimizden ulaşabilirsiniz.
Bu dosyaları bu kadar efektif yapan şey, sıkıştırmayı verimli hâle getiren şeylerden faydalanması ve bunu bir silaha dönüştürerek CPU döngüsüne, RAM’e ve disk alanlarına saldırması. Ancak bu dosyaların da bir doğal sınırlaması bulunuyor. Birçok arşiv dosyası için açma işleminin maksimuma ulaştığı sıkıştırma oranı 1032’de bir oluyor. Bu da arşiv bombalarının gerçek potansiyeline yinelenerek ulaşılabileceği anlamına geliyor.
Fifield’ın çalışmasını ilginç yapan şey ise 1032’de bir sıkıştırma oranını, sıkıştırma sürecinde dosyaları birbirinin üstüne bindirerek aşması. Bu da tek bir katmanda daha fazla sıkışmış dosyalar oluştururken yineleme de gerektirmiyor. Fifield’ın 45 MB’lık dosyasını etkileyici yapan şey, sıkıştırma işleminde çok da yaygın olmayan ancak daha verimli olan Zip64 uzantısının kullanılması. Böylelikle açıldığında 42.zip ile eşit boyuta sahip oluyor ancak bu işlemde herhangi bir yineleme gerekmiyor.
Bu dosyaların tehlikeli olup olmadığı konusuna gelirsek bir anda bilgisayarınızın hafızasını tamamen dolduracağı doğru tabii ki ancak modern virüs programları, arşiv bombalarını tespit edebiliyor.
Önümüzdeki ay USENIX Workshop on Offensive Technologies’te kendi bulgularını paylaşacak olan Fifield’ın kendi sitesinde yayınladığı arşiv bombası makalesine de buradan ulaşabilirsiniz.
