Archivbombe

Aus Mikiwiki
Zur Navigation springen Zur Suche springen

Eine Archivbombe ist eine Datei mit per Datenkompression gepacktem Inhalt, die beim Entpacken boshafterweise ein unerwartet hohes Vielfaches ihrer Grösse annimmt. Die gepackten Inhalte können beispielsweise Grafikdateien mit dem immergleichen Muster oder Textdateien mit sich wiederholenden Zeichenfolgen sein. Solche Regelmässigkeiten können ausserordentlich stark komprimiert werden. Eine bekannte Archivbombe ist die Archivdatei "42.zip". Fünf mal rekursiv gepackt, beträgt ihre Dateigrösse lediglich 42 Kilobyte. Beim Entpacken wächst die Dateigrösse allerdings um das Hundertmilliardenfache auf 4.5 Petabyte!

Der vorwiegende Angriffsweg der Archivbomben sind E-Mails, denen sie als Anhang anhängen. Eine solche E-Mail ist nicht sehr gross und stellt auf den ersten Blick keine erkennbare Gefahr dar. Eine Firewall erkennt aufgrund ihrer Funktionsweise Archivbomben nicht, sodass sie als normale Dateianhänge in das Mailprogramm des Benutzers gelangen.

Archivbomben richten sich hauptsächlich gegen Antivirenprogramme: Diese prüfen Dateien - je nach Einstellung auch solche innerhalb von Archivdateien - häufig schon beim Dateieingang. Dafür müssen die Archivdateien in einen temporären Speicherbereich entpackt werden. Dabei besteht die Gefahr, dass die entpackten Dateien den Arbeitsspeicher oder die Festplatte vollständig füllen und so das System zum Stillstand bringen. Zudem benötigt der Prüfvorgang viel Rechenzeit. Ohne einen Schutzmechanismus beschäftigt eine Archivbombe ein Antivirenprogramm womöglich für mehrere Stunden und setzt so das System praktisch ausser Betrieb (Denial of Service).

Die Grösseninformation in den Attributen der Archivdatei abzufragen bringt keinen zusätzlichen Nutzen, da diese beispielsweise per Hex-Editor verändert sein können. Moderne Antivirenprogramme erkennen Archivbomben jedoch anhand ihrer Signaturen und entpacken diese gar nicht erst.

Weblinks

Vorlage:Weblinks1