42 kilobyte, önmagában ártalmatlan, több ismertebb vírusirtót is a halálba fingatott anno, és őrületbe kergette az igazságügyi informatikusokat. Mi az?

Azt hinnénk, hogy egy ZIP fájl, amibe csak értelmetlen információk vannak csomagolva, önmagában semmilyen veszélyt sem hordozhat. Pedig igen, mégpedig akkor, ha a csomagolt tartalom kellően "barokkos stílusú".

Ezúttal a ZIP-bombaként egykoron elhíresült sebezhetőségről emlékezünk meg, aminek alapja nem más, mint egy apró fájl, benne tömörített fájlokkal, amelyek szintén tömörített fájlokat tartalmaznak, rendre többszörös mélységig. A fájl tényleg apró, viszont ha rekurzívan kibontanánk a teljes tartalmát, 4 503 599 626 321 920 byte, azaz 4,5 petabyte (a petabyte nagyjából a terabyte ezerszerese*) méretű adathalmazt kapnánk. Ennyi adat
4 294 967 295 gigabyte-nak felel meg. Ha úgy számoljuk, hogy egy átlagos gépben ma 100 GB-os winchester van, a gépházaknak a szélessége pedig az egyszerűség kevéért legyen 15 cm, akkor elmondható, hogy a szóban forgó adatmennyiség kibontásához annyi asztali PC kellene, amennyit szorosan egymás mellé állítva az élével még mindig körülbelül
6442,45 km hosszú sort alkotnának, ami lazán átérné az Atlanti-óceánt. Nem is földrajzozok tovább.

Eléggé köztudott, hogy a víruskereső programok a tömörített fájlok tartalmát is vizsgálják, amihez persze a memóriában ki kell bontaniuk őket, sőt a tömörített fájlok tartalmában is keresnek vírusbeállítástól függően. Márpedig ha a víruskereső nekiáll kibontani egy fájlt, aminek nyilván sosem ér a végére, ez egyben annyit is jelent, hogy a víruskeresés nem folytatható, régebbi rendszerek esetében maga az operációs rendszer is összeomolhat, hiszen a – hagyományosan komolyabb privilégiumokkal futó – víruskereső felzabálja az összes erőforrást. Azt hinnénk, hogy egy ilyen bugyuta támadási típusra az összes ismertebb víruskeresőt felkészítették a fejlesztők, ehhez képest egy 2004-es cikk arról számol be, hogy a McAfee, a Computer Associates, a Kaspersky Labs, a Sophos, az Eset és a RAV keresői sem voltak felkészítve a ZIP-bombára! Nem vírus, mégis megöli a vírusirtót. Vegyük észre, hogy ez ismét egy példa arra, hogy pont attól lehet veszélyes egy támadási típus, mert az eszköz elképesztően egyszerű!

Az, hogy ismert víruskeresőket alaposan megtréfálhatott egy fájl, komoly sebezhetőség, de apróság ahhoz képest, hogy a világ egyik legismertebb adatvisszanyerésre specializálódott, igazságügyi informatikában használt szoftvere, az EnCase sokáig nem volt felkészítve rá. Az EnCase sérült vagy egyszerűen csak felhasználó által megsemmisített adatok visszanyerésére szakosodott szoftver, amelynek lényege, hogy egy-egy adathordozót elképesztő aprólékossággal kell leolvasnia, a tömörített fájlokat pedig
természetesen szintén ész nélkül elkezdi kicsomagolni a memóriába, ezzel összeomlasztva magát a szoftvert.

Csak két példát említettem, ami a veszteségmentes tömörítési eljárást használja ki, de biztosan alkalmas még számtalan jópofaságra, ahol egy szoftvernek a fájllal dolgoznia kell, de nincs felkészítve a szándékosan előidézett puffertúlcsordulásra.

Felmerülhet a kérdés: hogyan hozható létre olyan minifájl, ami a rendszer számára kezelhetetlen mennyiségű adatot tartalmaz? Több módon is, a megoldásokat várom kommentként!

*természetesen 1024-szerese, mielőtt valaki beszólna :-)