Τι είναι μια βόμβα με φερμουάρ; Πώς λειτουργεί και πώς να το αποτρέψετε;

Οι χάκερ δεν βρίσκουν έναν νέο τρόπο πρόσβασης στους διακομιστές σας κάθε μέρα. Το Zip bombing είναι ένας από τους απλούστερους αλλά πιο αποτελεσμα

τι

κούς τρόπους για να γίνει αυτό.

Η συχνότητα των επιθέσεων στον κυβερνοχώρο αυξάνεται καθημερινά. Η ανάπτυξη μέτρων κυβερνοασφάλειας ωθεί τους φορείς απειλών να βρουν νέους τρόπους. Αυτό είναι φυσικό στον σημερινό κόσμο όπου τα δεδομένα είναι πιο πολύτιμα από τον χρυσό, επειδή κάθε πληροφορία βρίσκεται πλέον στο εικονικό περιβάλλον και δεν υπάρχει τίποτα που δεν θα κάνουν οι χάκερ με μαύρο καπέλο για να τις αποκτήσουν.

Τι είναι η Zip bomb;

Για να εξηγήσουμε το zip bombing πρέπει πρώτα να εξηγήσουμε τι είναι ένα αρχείο ZIP. Ένα αρχείο ZIP είναι ένα αρχείο αρχείων που αποθηκεύει πολλά αρχεία ως ένα. Είναι μια μορφή συμπίεσης χωρίς απώλειες, που σημαίνει ότι τα δεδομένα συμπιέζονται χωρίς απώλεια ποιότητας. Τα αρχεία ZIP χρησιμοποιούνται συχνά για τη μείωση του μεγέθους των αρχείων για ευκολότερη αποθήκευση ή μετάδοση.

Μια zip bomb από την άλλη πλευρά είναι ένα κακόβουλο αρχείο ZIP που έχει σχεδιαστεί για να κατακλύζει ένα σύστημα υπολογιστή με δεδομένα. Οι βόμβες zip δημιουργούνται συνήθως με την αναδρομική ένθεση αρχείων ZIP το ένα μέσα στο άλλο. Το Zip bombing λειτουργεί με την εκμετάλλευση του τρόπου με τον οποίο συμπιέζονται τα αρχεία zip. Τα αρχεία zip χρησιμοποιούν έναν αλγόριθμο συμπίεσης που ονομάζεται Deflate, ο οποίος είναι πολύ αποτελεσματικός στη συμπίεση δεδομένων. Ωστόσο, το Deflate έχει επίσης μια αδυναμία: μπορεί να χρησιμοποιηθεί για τη δημιουργία αρχείων που είναι πολύ μεγαλύτερα όταν αποσυμπιέζονται από ό,τι όταν συμπιέζονται.

Για να δημιουργήσει μια βόμβα zip, ένας εισβολέας θα δημιουργήσει ένα αρχείο ZIP που περιέχει

μεγάλο

αριθμό πανομοιότυπων αρχείων. Αυτά τα αρχεία μπορεί να είναι οτιδήποτε, όπως κενά αρχεία κειμένου ή εικόνες. Στη συνέχεια, ο εισβολέας θα συμπιέσει το αρχείο ZIP πολλές φορές, κάθε φορά χρησιμοποιώντας διαφορετικό επίπεδο συμπίεσης.

Αυτή η διαδικασία μπορεί να δημιουργήσει ένα αρχείο ZIP που είναι πολύ μικρό όταν συμπιέζεται, αλλά πολύ μεγάλο όταν αποσυμπιέζεται. Για παράδειγμα, ένα αρχείο zip bomb που έχει μέγεθος μόνο μερικά kilobyte μπορεί να επεκταθεί σε εκατοντάδες gigabyte ή ακόμα και terabyte όταν αποσυμπιεστεί.

Recursive vs non-recursive Zip bombs

Αναδρομικές βόμβες φερμουάρ

λειτουργούν με την ένθεση αρχείων zip το ένα μέσα στο άλλο. Για παράδειγμα, μια αναδρομική βόμβα zip μπορεί να περιέχει ένα αρχείο zip που περιέχει ένα άλλο αρχείο zip και ούτω καθεξής. Όταν το θύμα ανοίξει τη βόμβα zip, ο υπολογιστής θα προσπαθήσει να εξαγάγει όλα τα ένθετα αρχεία zip. Αυτό μπορεί να υπερφορτώσει γρήγορα τους πόρους του υπολογιστή και να προκαλέσει τη διακοπή λειτουργίας του.

Μη επαναλαμβανόμενες φερμουάρ βόμβες

μην χρησιμοποιείτε ένθετα αρχεία zip. Αντίθετα, βασίζονται σε μια τεχνική που ονομάζεται ε

πικα

λυπτόμενα αρχεία. Τα επικαλυπτόμενα αρχεία είναι αρχεία που περιέχουν τα ίδια δεδομένα, αλλά σε διαφορετικές θέσεις στο αρχείο zip. Όταν ο υπολογιστής προσπαθεί να εξαγάγει μια μη επαναλαμβανόμενη zip bomb, θα εξαγάγει τα ίδια δεδομένα πολλές φορές. Αυτό μπορεί επίσης να υπερφορτώσει τους πόρους του υπολογιστή και να προκαλέσει τη διακοπή λειτουργίας του.

Οι μη αναδρομικές βόμβες φερμουάρ είναι πιο αποτελεσματικές επειδή μπορεί να είναι πολύ μικρότερες από τις αναδρομικές βόμβες φερμουάρ. Για παράδειγμα, ένα μη επαναλαμβανόμενο zip bomb που μπορεί να επεκταθεί σε 1 TB μπορεί να είναι τόσο μικρό όσο 10 MB. Αυτό συμβαίνει επειδή οι μη επαναλαμβανόμενες zip bomb δεν χρειάζεται να περιέχουν πολλά αντίγραφα των ίδιων δεδομένων.

Πώς χρησιμοποιούνται οι φερμουάρ σε επιθέσεις στον κυβερνοχώρο;

Οι βόμβες φερμουάρ χρησιμοποιούνται συχνά σε επιθέσεις άρνησης υπηρεσίας. Μια επίθεση άρνησης υπηρεσίας είναι ένας τύπος επίθεσης που στοχεύει να καταστήσει ένα σύστημα υπολογιστή μη διαθέσιμο στους χρήστες για τους οποίους προορίζεται. Σε μια επίθεση άρνησης υπηρεσίας, ο εισβολέας θα πλημμυρίσει το σύστημα του υπολογιστή με κίνηση ή δεδομένα, προκαλώντας τη συντριβή ή την υπερέντασή του.

Τα zip bombs μπορούν επίσης να χρησιμοποιηθούν για τη διάδοση κακόβουλου λογισμικού ή για την κλοπή δεδομένων. Για παράδειγμα, ένας εισβολέας μπορεί να στείλει μια βόμβα zip σε μια εταιρεία σε μια προσπάθεια να απενεργοποιήσει το λογισμικό προστασίας από ιούς. Μόλις απενεργοποιηθεί το λογισμικό προστασίας από ιούς, ο εισβολέας μπορεί στη συνέχεια να στείλει άλλο κακόβουλο λογισμικό στους υπολογιστές της εταιρείας.

Στη συνέχεια, όταν δεν υπάρχει αρκετός χώρος για αποθήκευση δεδομένων, συμβαίνει ειδικά σε μια εταιρεία που δεν κάνει αρχειοθέτηση δεδομένων, τα συστήματα γίνονται ασταθή και επιβραδύνουν στην αρχή και μετά καταρρέουν εντελώς. Ένας τέτοιος βομβαρδισμός με φερμουάρ μπορεί να διαρκέσει πολύ χρόνο για να διορθωθεί χειροκίνητα εάν δεν ληφθούν αντίγραφα ασφαλείας σε σύντομες περιόδους.

Ένα σταθερό σύστημα είναι το όνειρο ενός χάκερ και είναι πολύ πιο εύκολο να αποκτήσει κανείς προσωπικά/εταιρικά δεδομένα μετά από μια τέτοια επίθεση.

Πώς προστατεύεστε από τους βομβαρδισμούς με Zip;

Υπάρχουν πολλά βήματα που μπορείτε να ακολουθήσετε για να προστατέψετε τον διακομιστή σας από μια επίθεση zip bomb:

• Περιορίστε το μέγεθος των μεταφορτωμένων αρχείων
• Ελέγξτε το ασυμπίεστο μέγεθος των μεταφορτωμένων αρχείων πριν τα εξαγάγετε
• Εξαγωγή αρχείων zip σε έναν προσωρινό κατάλογο
• Χρήση τείχους προστασίας εφαρμογών ιστού (WAF)

Περιορίστε το μέγεθος των μεταφορτωμένων αρχείων

Οι περισσότεροι διακομιστές ιστού έχουν ενσωματωμένο όριο στο μέγεθος των μεταφορτωμένων αρχείων. Αυτό το όριο θα πρέπει να οριστεί σε μια τιμή που να είναι αρκετά μεγάλη για να δέχεται νόμιμες μεταφορτώσεις αρχείων, αλλά αρκετά μικρή ώστε να αποτρέπεται η μεταφόρτωση zip bomb.

Για να περιορίσετε το μέγεθος των μεταφορτωμένων αρχείων στον Apache, μπορείτε να χρησιμοποιήσετε την ακόλουθη οδηγία:

LimitRequestBody 1048576

Αυτό θα περιορίσει το μέγεθος των μεταφορτωμένων αρχείων στο 1 MB. Μπορείτε να προσαρμόσετε το όριο για να καλύψετε τις ανάγκες σας.

Ελέγξτε το ασυμπίεστο μέγεθος των μεταφορτωμένων αρχείων πριν τα εξαγάγετε

Μια βόμβα φερμουάρ μπορεί να συμπιεστεί σε πολύ μικρό μέγεθος, αλλά θα επεκταθεί σε πολύ μεγαλύτερο μέγεθος όταν εξάγεται. Μπορείτε να χρησιμοποιήσετε μια βιβλιοθήκη zip για να ελέγξετε το ασυμπίεστο μέγεθος ενός αρχείου zip πριν το εξαγάγετε. Εάν το ασυμπίεστο μέγεθος είναι μεγαλύτερο από ένα συγκεκριμένο όριο, το αρχείο θα πρέπει να απορριφθεί.

Για παράδειγμα, στην Python, μπορείτε να χρησιμοποιήσετε τον ακόλουθο κώδικα:

εισαγωγή αρχείου zip

def check_uncompressed_size(zip_file):

συνολικό_μέγεθος = 0

με zipfile.ZipFile(zip_file, ‘r’) ως zip_ref:

για πληροφορίες στο zip_ref.infolist():

total_size += info.file_size

επιστροφή total_size

εάν check_uncompressed_size(‘my_file.zip’) > 10000000:

# Το αρχείο zip είναι πολύ μεγάλο, απορρίψτε το

πέρασμα

αλλού:

# Το αρχείο zip είναι ασφαλές για εξαγωγή

extract_zip_file(‘my_file.zip’)

Εξαγωγή αρχείων zip σε έναν προσωρινό κατάλογο

Αυτό θα αποτρέψει το zip bomb να γεμίσει τον σκληρό δίσκο του διακομιστή σας. Μπορείτε να χρησιμοποιήσετε τον ακόλουθο κώδικα στην Python για να δημιουργήσετε έναν προσωρινό κατάλογο και να εξαγάγετε ένα αρχείο zip σε αυτόν:

εισαγωγή tempfile

def extract_zip_file(zip_file):

temp_dir = tempfile.mkdtemp()

με zipfile.ZipFile(zip_file, ‘r’) ως zip_ref:

zip_ref.extractall(temp_dir)

# Κάντε κάτι με τα εξαγόμενα αρχεία

πέρασμα

Χρήση τείχους προστασίας εφαρμογών ιστού (WAF)

Ένα WAF μπορεί να ρυθμιστεί για να ανιχνεύει και να αποκλείει επιθέσεις με φερμουάρ. Για να ρυθμίσετε ένα τείχος προστασίας διαδικτυακής

εφαρμογή

ς (WAF), θα χρειαστεί:

1. 
   Επιλέξτε μια λύση WAF
   
   . Υπάρχουν πολλές διαφορετικές λύσεις WAF διαθέσιμες, τόσο εμπορικές όσο και ανοιχτού κώδικα. Θα πρέπει να επιλέξετε μια λύση που να ανταποκρίνεται στις συγκεκριμένες ανάγκες σας, όπως τους τύπους επιθέσεων από τις οποίες θέλετε να προστατεύσετε, το μέγεθος και την πολυπλοκότητα της διαδικτυακής εφαρμογής σας και τον προϋπολογισμό σας. Οι πιο δημοφιλείς λύσεις WAF του 2023 είναι οι εξής:
2. 
   Αναπτύξτε τη λύση WAF
   
   . Αφού επιλέξετε μια λύση WAF, θα χρειαστεί να την αναπτύξετε μπροστά από την εφαρμογή Ιστού σας. Αυτό μπορεί να περιλαμβάνει τη διαμόρφωση του διακομιστή ιστού ή του εξισορροπητή φορτίου για τη δρομολόγηση της κυκλοφορίας μέσω του WAF
3. 
   Διαμορφώστε τους κανόνες WAF
   
   . Οι περισσότερες λύσεις WAF συνοδεύονται από ένα σύνολο προρυθμισμένων κανόνων που προστατεύουν από κοινές επιθέσεις διαδικτυακών εφαρμογών. Μπορείτε επίσης να δημιουργήσετε τους δικούς σας προσαρμοσμένους κανόνες για προστασία από συγκεκριμένες επιθέσεις ή απειλές
4. 
   Παρακολουθήστε τα αρχεία καταγραφής WAF
   
   . Είναι σημαντικό να παρακολουθείτε τα αρχεία καταγραφής WAF για να εντοπίσετε τυχόν επιθέσεις που μπλοκάρονται ή επιχειρούνται. Αυτό θα σας βοηθήσει να διασφαλίσετε ότι το WAF λειτουργεί σωστά και να εντοπίσετε τυχόν νέες απειλές που ενδέχεται να προκύψουν

Θυμηθείτε, οποιοδήποτε βήμα κάνετε για να διασφαλίσετε την ασφάλεια στον κυβερνοχώρο σας και των υπαλλήλων σας δεν είναι επιπλέον. Τα δεδομένα αξίζουν το

βάρος

τους σε χρυσό και είστε ένας σύγχρονος κοσμηματοπώλης.

Πίστωση επιλεγμένης εικόνας


:

rawpixel.com/Freepik

.