www.wikidata.de-de.nina.az

Archivbombe Eine auch Dekomprimierungsbombe ist eine Datei mit per Datenkompression gepacktem Inhalt deren schadhafter Z

Archivbombe

Eine Archivbombe (auch Dekomprimierungsbombe) ist eine Datei mit per Datenkompression gepacktem Inhalt, deren schadhafter Zweck darin besteht, beim Entpacken ein unerwartet hohes Vielfaches ihrer Größe anzunehmen oder Software zum Entpacken in eine Endlosschleife zu bringen. Die gepackten Inhalte können beispielsweise Grafikdateien mit dem immer gleichen Muster oder Textdateien mit sich wiederholenden Zeichenfolgen sein. Solche Regelmäßigkeiten können außerordentlich stark komprimiert werden. Ebenso können sie Fehler in der Entpacksoftware ausnutzen, um Rekursionen zu erzeugen.

Angriffsweg Bearbeiten

Der vorwiegende Angriffsweg der Archivbomben sind E-Mails, denen sie als Anhang beigefügt sind. Eine solche E-Mail ist nicht sehr groß und stellt keinerlei auf den ersten Blick erkennbare Gefahr dar.

Archivbomben sind nicht primär dafür gedacht, von dem Benutzer entpackt zu werden, sondern zielen vorwiegend auf Antivirenprogramme ab: Diese scannen Dateien – auch solche innerhalb von Archiven – häufig schon beim Dateieingang. Dafür müssen die Archive in einen temporären Speicherbereich entpackt werden. Dabei besteht die Gefahr, dass die entpackten Dateien den Arbeitsspeicher oder die Festplatte füllen und das System gänzlich zum Stillstand bringen. Außerdem benötigt der Scanvorgang viel Rechenzeit. Bei rekursiven Archivbomben hingegen bleibt das System i. d. R. funktionsfähig, lediglich der Virenscanner kann seine Aufgabe (nämlich das Scannen des Archivs) niemals vollenden. Dieser Art von Archivbomben kann entgegengewirkt werden, indem die Antivirensoftware eingehende Archive nur bis zu einer bestimmten Tiefe überprüft. Der Angriff ist also der Versuch eines Denial of Service.

Die Größeninformation in den Attributen des Archivs abzufragen, hat keinen zusätzlichen Nutzen, da diese beispielsweise per Hex-Editor manipuliert sein können.

Beispiele Bearbeiten

42.zip Bearbeiten

Eine bekannte Archivbombe ist 42.zip. Fünfmal rekursiv gepackt, beträgt ihre Größe lediglich 42 Kilobyte. Beim Entpacken wächst das Datenvolumen allerdings um das Hundertmilliardenfache auf 4,5 Petabyte:

Struktur Gesamtzahl
Dateien1)		 enthält
jeweils 		unkomprimierte Gesamtgröße (Byte)
42.zip2) 1.048.576 16 Ordner 4.503.599.626.321.920 (4,5 PB)
→ lib0.zip … libf.zip3) 1.048.576 16 Ordner 4.503.599.626.321.920 (4,5 PB)
→ book0.zip … bookf.zip 65.536 16 Ordner 281.474.976.645.120 (281 TB)
→ chapter0.zip … chapterf.zip 4.096 16 Ordner 17.592.186.040.320 (17 TB)
→ doc0.zip … docf.zip 256 16 Ordner 1.099.511.627.520 (1 TB)
→ page0.zip … pagef.zip 16 01 Datei 68.719.476.720 (68 GB)
→ 0.dll4) 01 4.294.967.295 (4,3 GB)

Anmerkungen:

  • 1) Ausschließlich die unterste Hierarchiestufe – also die Dateien page0.zip … pagef.zip – enthält Dateien; die darüber Liegenden dienen nur als Multiplikatoren für die Anzahl der Dateien in der untersten Hierarchiestufe. Die Angaben sind nicht kumuliert und dienen vornehmlich der Anschauung – so berücksichtigt die Gesamtzahl der Dateien nur die Anzahl der insgesamt enthaltenen komprimierten Dubletten von 0.dll und nicht die ebenfalls mit eingebetteten Containerdateien (deren Anteil an der Gesamtmenge allerdings auch vernachlässigbar gering ausfällt).
  • 2) Die Datei 42.zip fasst lediglich die 16 Containerdateien der nächst-unteren Hierarchiestufe zu einer einzigen Datei zusammen, daher ändert sich an Gesamtgröße und Anzahl im Vergleich zur nächst-unteren Stufe nichts.
  • 3) Die o.a. Notierung der Dateinamen erfolgt nach dem Schema Präfix# — „#“ ist dabei der Platzhalter für eine einstellige Hexadezimalzahl, kann also insgesamt 16 Werte (0, 1, 2, […], 9, A, B, C, D, E, F) annehmen. „lib0.zip … libf.zip“ steht also für 16 durchnummerierte einzelne Dateien.
  • 4) Die Datei 0.dll besitzt durchgehend ein 0xAA-Bytemuster über die gesamten 4.294.967.295 Bytes hinweg und ist durch die damit einhergehende Redundanz sehr gut verlustfrei komprimierbar.

Weitere Bearbeiten

Eine „Zip Files All The Way Down“ genannte Methode ähnelt der 42.zip – hierbei wird allerdings eine zip-, gzip- oder tar-Datei erstellt, die sich rekursiv selbst enthält.

Einzelnachweise Bearbeiten

  1. (Memento vom 31. Oktober 2012 im Internet Archive) Kaspersky Lab.
  2. www.unforgettable.dk – Details zum Aufbau von 42.zip (englisch)
  3. Zip Files All The Way Down. research.swtch.com; abgerufen am 21. Februar 2011.
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Eine Archivbombe auch Dekomprimierungsbombe ist eine Datei mit per Datenkompression gepacktem Inhalt deren schadhafter Zweck darin besteht beim Entpacken ein unerwartet hohes Vielfaches ihrer Grosse anzunehmen 1 oder Software zum Entpacken in eine Endlosschleife zu bringen Die gepackten Inhalte konnen beispielsweise Grafikdateien mit dem immer gleichen Muster oder Textdateien mit sich wiederholenden Zeichenfolgen sein Solche Regelmassigkeiten konnen ausserordentlich stark komprimiert werden Ebenso konnen sie Fehler in der Entpacksoftware ausnutzen um Rekursionen zu erzeugen Inhaltsverzeichnis 1 Angriffsweg 2 Beispiele 2 1 42 zip 3 Weitere 4 EinzelnachweiseAngriffsweg BearbeitenDer vorwiegende Angriffsweg der Archivbomben sind E Mails denen sie als Anhang beigefugt sind Eine solche E Mail ist nicht sehr gross und stellt keinerlei auf den ersten Blick erkennbare Gefahr dar Archivbomben sind nicht primar dafur gedacht von dem Benutzer entpackt zu werden sondern zielen vorwiegend auf Antivirenprogramme ab Diese scannen Dateien auch solche innerhalb von Archiven haufig schon beim Dateieingang Dafur mussen die Archive in einen temporaren Speicherbereich entpackt werden Dabei besteht die Gefahr dass die entpackten Dateien den Arbeitsspeicher oder die Festplatte fullen und das System ganzlich zum Stillstand bringen Ausserdem benotigt der Scanvorgang viel Rechenzeit Bei rekursiven Archivbomben hingegen bleibt das System i d R funktionsfahig lediglich der Virenscanner kann seine Aufgabe namlich das Scannen des Archivs niemals vollenden Dieser Art von Archivbomben kann entgegengewirkt werden indem die Antivirensoftware eingehende Archive nur bis zu einer bestimmten Tiefe uberpruft Der Angriff ist also der Versuch eines Denial of Service 1 Die Grosseninformation in den Attributen des Archivs abzufragen hat keinen zusatzlichen Nutzen da diese beispielsweise per Hex Editor manipuliert sein konnen Beispiele Bearbeiten42 zip Bearbeiten Eine bekannte Archivbombe ist 42 zip Funfmal rekursiv gepackt betragt ihre Grosse lediglich 42 Kilobyte Beim Entpacken wachst das Datenvolumen allerdings um das Hundertmilliardenfache auf 4 5 Petabyte 2 Struktur Gesamtzahl Dateien1 enthalt jeweils unkomprimierte Gesamtgrosse Byte 42 zip2 1 048 576 16 Ordner 4 503 599 626 321 920 4 5 PB lib0 zip libf zip3 1 048 576 16 Ordner 4 503 599 626 321 920 4 5 PB book0 zip bookf zip 65 536 16 Ordner 281 474 976 645 120 281 TB chapter0 zip chapterf zip 4 096 16 Ordner 17 592 186 040 320 17 TB doc0 zip docf zip 256 16 Ordner 1 099 511 627 520 1 TB page0 zip pagef zip 16 0 1 Datei 68 719 476 720 68 GB 0 dll4 0 1 4 294 967 295 4 3 GB Anmerkungen 1 Ausschliesslich die unterste Hierarchiestufe also die Dateien page0 zip pagef zip enthalt Dateien die daruber Liegenden dienen nur als Multiplikatoren fur die Anzahl der Dateien in der untersten Hierarchiestufe Die Angaben sind nicht kumuliert und dienen vornehmlich der Anschauung so berucksichtigt die Gesamtzahl der Dateien nur die Anzahl der insgesamt enthaltenen komprimierten Dubletten von 0 dll und nicht die ebenfalls mit eingebetteten Containerdateien deren Anteil an der Gesamtmenge allerdings auch vernachlassigbar gering ausfallt 2 Die Datei 42 zip fasst lediglich die 16 Containerdateien der nachst unteren Hierarchiestufe zu einer einzigen Datei zusammen daher andert sich an Gesamtgrosse und Anzahl im Vergleich zur nachst unteren Stufe nichts 3 Die o a Notierung der Dateinamen erfolgt nach dem Schema Prafix ist dabei der Platzhalter fur eine einstellige Hexadezimalzahl kann also insgesamt 16 Werte 0 1 2 9 A B C D E F annehmen lib0 zip libf zip steht also fur 16 durchnummerierte einzelne Dateien 4 Die Datei 0 dll besitzt durchgehend ein 0xAA Bytemuster uber die gesamten 4 294 967 295 Bytes hinweg und ist durch die damit einhergehende Redundanz sehr gut verlustfrei komprimierbar Weitere BearbeitenEine Zip Files All The Way Down genannte Methode ahnelt der 42 zip hierbei wird allerdings eine zip gzip oder tar Datei erstellt die sich rekursiv selbst enthalt 3 Einzelnachweise Bearbeiten a b Glossareintrag Memento vom 31 Oktober 2012 im Internet Archive Kaspersky Lab www unforgettable dk Details zum Aufbau von 42 zip englisch Zip Files All The Way Down research swtch com abgerufen am 21 Februar 2011 Abgerufen von https de wikipedia org w index php title Archivbombe amp oldid 238132931