Bir programcı ve mühendis olan David Fifield, yeni bir tıp “arşiv bombası” (zip bomb) geliştirdi. Bir tür zararlı yazılım olan bu yazılım, yalnızca kilobyte’lara sığacak kadar küçük olmasına karşın arşiv evrakından çıkarıldığında sabit diskinizi büsbütün dolduruyor.
Kendi tekniğini internet sitesinde açıklayan Fifield, tekniğinin “yinelemeli” ya da matruşka bebekleri üzere olmadığını söylüyor. Evrakları, bir arşivin içinde “üst üste bindirmeyi” başaran Fifiled, bu yöntemle normalde yapılamayacak kadar büyük belgeleri sıkıştırmayı başardı. Kendisinin en etkileyici işiyse 4,5 petabyte’lık bilgiyi 46 MB’lık evraka sıkıştırması.
2015 yılında USENIX Güvenlik Sempozyumu’nda yapılan sunuma göre ilk arşiv bombası örneği, 1996 yılında görüldü. Bu taarruzun kurbanı Fidonet’ti ve akının hedefi da ağı açabilmek için yöneticilik almaktı. 2001 yılına geldiğindeyse bu taarruz, güvenlik uzmanlarının endişeli düşü hâline gelmişti.
Bundan kısa bir müddet sonra türünün en ünlü örneği olan 42.zip ortaya çıktı. Şu an hâlâ yaratıcısı bilinmeyen bu arşiv bombası, 106 milyarda bir üzere bir sıkıştırma oranıyla efsane mertebesine ulaşmıştı. 42.zip hakkında konuşan Fifield, “42.zip’i ilham verici buluyorum. Yalnızca içerisindeki evrakların çokluğundan değil ayrıyeten etrafındaki zenginlikten. Bir folklor üzere. Birebir fikir etrafında kurulmuş birçok örnek vardır lakin bir sebepten ötürü 42.zip, gücü daima elinde bulundurdu” dedi. 42.zip hakkında daha ayrıntılı bilgiye aşağıdaki haberimizden ulaşabilirsiniz.
Bu evrakları bu kadar efektif yapan şey, sıkıştırmayı verimli hâle getiren şeylerden faydalanması ve bunu bir silaha dönüştürerek CPU döngüsüne, RAM’e ve disk alanlarına saldırması. Lakin bu evrakların da bir doğal sınırlaması bulunuyor. Birçok arşiv belgesi için açma sürecinin azamiye ulaştığı sıkıştırma oranı 1032’de bir oluyor. Bu da arşiv bombalarının gerçek potansiyeline yinelenerek ulaşılabileceği manasına geliyor.
Fifield’ın çalışmasını farklı yapan şey ise 1032’de bir sıkıştırma oranını, sıkıştırma sürecinde evrakları birbirinin üstüne bindirerek aşması. Bu da tek bir katmanda daha fazla sıkışmış evraklar oluştururken yineleme de gerektirmiyor. Fifield’ın 45 MB’lık evrakını etkileyici yapan şey, sıkıştırma sürecinde çok da yaygın olmayan lakin daha verimli olan Zip64 uzantısının kullanılması. Böylece açıldığında 42.zip ile eşit boyuta sahip oluyor lakin bu süreçte rastgele bir yineleme gerekmiyor.
Bu belgelerin tehlikeli olup olmadığı konusuna gelirsek bir anda bilgisayarınızın hafızasını büsbütün dolduracağı yanlışsız alışılmış ki fakat çağdaş virüs programları, arşiv bombalarını tespit edebiliyor.
Önümüzdeki ay USENIX Workshop on Offensive Technologies’te kendi bulgularını paylaşacak olan Fifield’ın kendi sitesinde yayınladığı arşiv bombası makalesine de buradan ulaşabilirsiniz.
