Archivbombe

Eine Archivbombe ist eine Datei mit per Datenkompression gepacktem Inhalt, deren schadhafter Zweck darin besteht, beim Entpacken ein unerwartet hohes Vielfaches ihrer Größe anzunehmen[1] oder Software zum Entpacken in eine Endlosschleife zu locken. Die gepackten Inhalte können beispielsweise Grafikdateien mit dem immer gleichen Muster oder Textdateien mit sich wiederholenden Zeichenfolgen sein. Solche Regelmäßigkeiten können außerordentlich stark komprimiert werden. Ebenso können sie Fehler in den Kompressionsalgorithmen ausnutzen, um Rekursionen zu erzeugen.

Angriffsweg

Der vorwiegende Angriffsweg der Archivbomben sind E-Mails, denen sie als Anhang beigefügt sind. Eine solche E-Mail ist nicht sehr groß und stellt keinerlei auf den ersten Blick erkennbare Gefahr dar. Eine Firewall erkennt aufgrund ihrer Funktionsweise Archivbomben nicht, so dass sie als normale Dateianhänge in das Mailprogramm des Anwenders gelangen.

Archivbomben sind nicht primär dafür gedacht, von dem Benutzer entpackt zu werden, sondern zielen vorwiegend auf Antivirenprogramme ab: Diese scannen Dateien – auch solche innerhalb von Archiven – häufig schon beim Dateieingang. Dafür müssen die Archive in einen temporären Speicherbereich entpackt werden. Dabei besteht die Gefahr, dass die entpackten Dateien den Arbeitsspeicher oder die Festplatte füllen und das System gänzlich zum Stillstand bringen. Außerdem benötigt der Scanvorgang viel Rechenzeit. Bei rekursiven Archivbomben hingegen bleibt das System i. d. R. funktionsfähig, lediglich der Virenscanner kann seine Aufgabe (nämlich das Scannen des Archivs) niemals vollenden. Dieser Art von Archivbomben kann dadurch entgegengewirkt werden, indem die Antivirensoftware eingehende Archive nur bis zu einer bestimmte Tiefe überprüft. Der Angriff ist also der Versuch eines Denial of Service.[1]

Die Größeninformation in den Attributen des Archivs abzufragen hat keinen zusätzlichen Nutzen, da diese beispielsweise per Hex-Editor manipuliert sein können.

Beispiel: 42.zip

Eine bekannte Archivbombe ist 42.zip. Fünf mal rekursiv gepackt, beträgt ihre Größe lediglich 42 Kilobyte. Beim Entpacken wächst das Datenvolumen allerdings um das Hundertmilliardenfache auf 4,5 Petabyte:[2][3]

Struktur                           Gesamtzahl  enthält      unkomprimierten Größe    unkomprimierte Gesamtgröße
                                   Dateien     jeweils      pro Datei (Byte)         (Byte)

42.zip                                     (fasst lediglich die 16 Dateien der nächst-unteren Hierarchiestufe zusammen)
  → lib0.zip     … libf.zip        1.048.576   16 Dateien   281.474.976.645.120      4.503.599.626.321.920 (4,5 PB)
   → book0.zip    … bookf.zip         65.536   16 Dateien    17.592.186.040.320        281.474.976.645.120 (281 TB)
    → chapter0.zip … chapterf.zip      4.096   16 Dateien     1.099.511.627.520         17.592.186.040.320 ( 17 TB)
     → doc0.zip     … docf.zip           256   16 Dateien        68.719.476.720          1.099.511.627.520 (  1 TB)
      → page0.zip    … pagef.zip          16   16 Dateien         4.294.967.295             68.719.476.720 ( 68 GB)
       → 0.dll                             1    1 Datei           4.294.967.295              4.294.967.295 (4,3 GB)

Anmerkungen:

  • Die o.a. Notierung erfolgt nach dem Schema Präfix# – „#“ ist dabei der Platzhalter für eine einstellige Hexadezimalzahl, kann also insgesamt 16 Werte (0, 1, 2, […], 9, A, B, C, D, E, F) annehmen. „book0.zip … bookf.zip“ steht also für 16 durchnummerierte einzelne Dateien.
  • Die Datei 0.dll besitzt lediglich ein 0xAA-Bytemuster über die gesamten 4.294.967.295 Bytes hinweg und ist durch die damit einhergehende Redundanz sehr gut verlustfrei komprimierbar.
  • Die Angaben in der Tabelle sind nicht kumuliert und dienen vornehmlich der Anschauung – so berücksichtigt die Gesamtzahl der Dateien nur die Anzahl der insgesamt enthaltenen komprimierten Dubletten von 0.dll und nicht die ebenfalls mit eingebetteten Containerdateien (deren Anteil an der Gesamtmenge allerdings auch vernachlässigbar gering ausfällt).
  • Eine „Zip Files All The Way Down“ genannte Methode ähnelt der 42.zip – hierbei wird allerdings eine zip-, gzip- oder tar-Datei erstellt, die sich rekursiv selbst enthält.[4]

Belege

  1. a b Glossareintrag auf einem Internetangebot von Kaspersky Lab
  2. www.unforgettable.dk – Details zum Aufbau von 42.zip (engl.)
  3. Erweiterte Analyse der 42.zip und deren Inhalte auf www.daniel-marschall.de
  4. research.swtch.com: Zip Files All The Way Down, Zugriff am 21. Februar 2011

Wikimedia Foundation.

Schlagen Sie auch in anderen Wörterbüchern nach:

  • 42.zip — Eine Archivbombe ist eine Datei, die per Datenkompression gepackt wurde und beim Entpacken ein unerwartet hohes Vielfaches ihrer Größe annimmt.[1] Die gepackten Inhalte können z. B. Grafikdateien mit dem immer gleichen Muster oder Textdateien mit …   Deutsch Wikipedia

  • E-Mail-Bombe — Eine Mailbombe war in den 1990er Jahren, in Zeiten geringer Bandbreiten und kleiner E Mail Postfächer ein Mittel um Verstöße gegen die Netiquette zu ahnden. Dabei verschickten entweder viele einzelne Benutzer Mails an den Betreffenden oder ein… …   Deutsch Wikipedia

  • Mailbomben — Eine Archivbombe ist eine Datei, die per Datenkompression gepackt wurde und beim Entpacken ein unerwartet hohes Vielfaches ihrer Größe annimmt.[1] Die gepackten Inhalte können z. B. Grafikdateien mit dem immer gleichen Muster oder Textdateien mit …   Deutsch Wikipedia

  • Zip-Bombe — Eine Archivbombe ist eine Datei, die per Datenkompression gepackt wurde und beim Entpacken ein unerwartet hohes Vielfaches ihrer Größe annimmt.[1] Die gepackten Inhalte können z. B. Grafikdateien mit dem immer gleichen Muster oder Textdateien mit …   Deutsch Wikipedia

  • 42 (Begriffsklärung) — 42 steht für: 42 (Jahr) 42 v. Chr. (Jahr) 42 (Antwort), die Antwort auf die Frage nach dem Leben, dem Universum und dem ganzen Rest in der Romanreihe Per Anhalter durch die Galaxis von Douglas Adams 42 (Roman), ein Roman des deutschen… …   Deutsch Wikipedia

  • Mailbombe — Eine Mailbombe war in den 1990er Jahren, in Zeiten geringer Bandbreiten und kleiner E Mail Postfächer, ein Mittel, um Verstöße gegen die Netiquette zu ahnden. Dabei verschickten entweder viele einzelne Benutzer Mails an den Betreffenden oder ein… …   Deutsch Wikipedia

  • Zweiundvierzig — 42 steht für: 42 (Jahr) 42 v. Chr. (Jahr) 42 (Antwort), die Antwort auf die Frage nach dem Leben, dem Universum und dem ganzen Rest in der Romanreihe Per Anhalter durch die Galaxis von Douglas Adams 42 (Roman), ein Roman des deutschen… …   Deutsch Wikipedia

  • Fefes Blog — blog.fefe.de Kommerziell nein Beschreibung Blog Registr …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”