ZIP-Bombe: 46-MB-Datei "explodiert" zu ungepackten 4,5 Petabyte

So mancher wird sich schon einmal gefragt haben, was die Grenzen von Packprogrammen bzw. der Kompression sind. Eine nun entwickelte "Zip-Bombe" zeigt, dass die Möglichkeiten gewaltig sind. Denn ein Programmierer hat nun eine neuartige Zip- oder ... mehr... Explosion, Atombombe, Nuklearwaffen Bildquelle: Public Domain Explosion, Atombombe, Nuklearwaffen Explosion, Atombombe, Nuklearwaffen Public Domain

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ein Hoch auf die Massen an halb-aktuellen Exchange-Servern im Netz. Die haben zwar nen Viren-Scanner, aber nicht unbedingt die aktuellsten Definitionen. Und nachdem alle Anhänge geprüft werden...
 
@max06.net: ...oder vielleicht ist das Konzept von Virenscannern und der damit verbundenen Sicherheit nur ein Wunschtraum.
 
@Bugfix: Mir musst du das nicht sagen :D
 
@max06.net: Virenscenner erkennen nicht unbedingt signaturbasiert eine Bombe, sondern eher an ihrer Größe. zB Dateien größer 1 GB werden nicht entpackt oder es gibt eine maximale rekursionstiefe.
 
@DRMfan^^: Vorausgesetzt, das funktioniert auch noch mit diesen Zip-Bömbchen.

Edit: In diesem Fall hätte weder der Größenfilter, noch ein Rekursionsschutz Erfolg. Die Datei ist gepackt unter 50MB und verwendet laut Artikel keine Rekursion.
 
@max06.net: ENTPACKTE Größe, nicht Größe der Quelldatei. Ob das rekursiv ist ist Ansichts- bzw. Definitionssache (zählen Hardlinks als rekursiv...)
 
@DRMfan^^: Ich bin mir nicht sicher, ob die entpackte Größe vorher tatsächlich bekannt ist... manche Archive enthalten die Info, aber wer weiß...
 
@max06.net: Man stoppt das entpacken bei einer bestimmten Größe.
 
"Doch auch das herkömmliche Zip-Format kommt auf Datenmengen, die jede handelsübliche Festplatte zum Bersten bringen könnte" ...oh!!!!
 
@AHDAJ: Noch lachst du. Aber warte mal ab, bis dir erstmal die Metallschrapnelle der geborstenen Platter durch die Bude fliegen! ^^
 
@DON666: Und dann sind die ja heutzutage noch mit Gas befüllt, das kann gaaaanz böse ausgehn :D
 
Also ist das jetzt allgemeingültig oder klappt das nur mit bestimmten Inhalten?
 
@Lord Laiken:
Klappt mit entsprechend konstruierten ZIP-Dateien u. Software welche nicht dagegen gefeit ist.
Oder was meinst du mit allgemeingültig?
Reguläre ZIP-Dateien sind weiterhin kein Problem. Das Problem ist dass die meiste Software (welche des Format lesen können) bislang nicht auf solche irregulären ZIP-Dateien vorbereitet ist.
 
@Winnie2:
Ich möchte meine 2,3 TB Datensammlung gerne als 100KB großes Archiv sichern.
Würde ich Malware wollen, sicher läßt sich leicht eine exe herstellen, die die Platte mit sinnlosen Daten vollkritzelt. Das ist einfach nur sinnlos, nicht mal gefährlich.
 
@Lord Laiken:
Scherzkeks, Kompressionsfaktoren größer als etwa 1000 sind beim ZIP genutzten Verfahren real gar nicht möglich.
Haben theoretische Informatiker mal ausgerechnet.
Bedeutet deine 2,3 TB an realen Daten kannst du nicht auf weniger als 2,3 GB zusammenpacken.

Wenn dein Datentäger für längere Zeit kein einziges freies Byte an Speicherplatz zur Verfügung stellt weil Malware diese komplett vollgeschrieben hat wird dein System über kurz oder lang seinen Dienst einstellen.
Vorausgesetzt ist handelt sich um Windows.
 
@Winnie2:
1. Hier steht aber was von einem neuen Verfahren.

2. Dann reicht aber ein kurzer Eingriff, zumal Windows sich schon Speicher reserviert. Schlimm wird das nur bei Android.
 
@Lord Laiken:
Das neue Verfahren bezieht sich darauf nicht normgerechte ZIP-Dateien zu erzeugen welche von vielen Programmen welche ZIP-Dateien lesen und entpacken können wie spezifikationsgemäße Dateien behandelt werden.

Es gibt überhaupt kein Programm welches 4,5 Petabyte zu 46 Mbyte komprimieren kann,
das sind speziell konstruierte ZIP-Archive welche welche der Entzipper in unsinnige Dateien umwandelt.

Für echte Nutzdaten ist das nicht anwendbar. Funktioniert noch nichtmal in der Theorie.
Die besten Programme komprimieren z.B. alle Texte der Bibel ca. um den Faktor 7. Und viel mehr geht nicht weil sich ansonsten die originale Texte nicht mehr fehlerfrei wieder herstellen lassen.
 
@Winnie2:
Also ich finde es z.B. schon interessant, daß man mit zipx jpegs komprimieren kann. Die sind ja an sich schon komprimiert.

"Stattdessen arbeitet diese "nukleare" Zip-Bombe mit sich "überlappenden" Dateien."

Das muß dann doch auch in der Praxis anwendbar sein.
 
@Lord Laiken:
JPEGs lassen sich komprimieren indem das Kompressionsverfahren speziell an das Datenformat von JPEGs angepasst wurde u. nicht das Standardverfahren von ZIP verwendet wird.

Überlappende Dateien bedeutet dass die Daten an den Stellen an denen sich diese überlappen unwiderbringlich verloren gehen.
 
@Winnie2:
Probiere es mal aus (Winzip 17 oder höher vorausgesetzt):
https://workupload.com/file/UWzyPaQS

Würde es dass bedeuten, könnte man nicht mehr von Kompression sprechen. Die Daten müssen aber wiederherstellbar sein.
 
@Lord Laiken:
Ich kenne passende Verfahren um JPEGs zu komprimieren, deren Namen lauten PackJPG oder Lepton. Habe ich bereits selber benutzt.

Die besagten ZIP-Dateien wurden nicht mit dem normgerechten ZIP-Algorithmus erstellt,
das sind rein mathematisch konstruierte Dateien welche nicht auf echten Dateien beruhen, welche den Zip-Dekompressions-Algorithmus zu einem bestimmten Verhalten triggern.
Hast du das immer noch nicht verstanden?
 
@Winnie2:
Keine Ahnung, was Winzip benutzt. Fakt ist aber, daß sich das Original verlustfrei wiederherstellen läßt.

Es ist egal. Wenn es nur um eine Zip-Bombe geht, mag das ja angehen. Ich aber rede von echter Kompression. Und Überlappen heißt, daß sich zwei oder mehrere Dateien irgendwie den gleichen Platz teilweise teilen, nicht, daß sie verschwinden.
 
@Lord Laiken:
Sich überlappende Teile von zwei (oder mehr) Dateien müssen aufs Bit genau identisch sein, ansonsten gehen unwiderbringlich Daten beim Packen verloren.
 
@Winnie2:
Das wird in der Praxis wenig Sinn machen.

Ganz unten steht:

"A final plea
It's time to put an end to Facebook. Working there is not ethically neutral: every day that you go into work, you are doing something wrong. If you have a Facebook account, delete it. If you work at Facebook, quit.

And let us not forget that the National Security Agency must be destroyed."

Vielleicht tuns ja ein paar Zip-Faßbomben?
 
@Winnie2: Ich hab sowas mal aus Spass programmiert. Quasi ein Wörterbuch indem die längsten gemeinsamkeiten aller Dateien eingetragen sind und in den Dateien dann mit einem platzsparendem Verweis ersetzt wurden. Entpacken ist dabei überhaupt kein Problem, aber das packen... Das hat unrealistisch viel Zeit und RAM gefressen.

Da ich jetzt nicht der allerbeste Programmierer der Welt bin, hätte es da mit sicherheit noch Potential gegeben, aber ich hatte da wenig Hoffnung das der Zeitaufwand die Platzersparnis rechtfertigt... ^^
 
@James8349:
Was du beschreibst nennt sich meines Wissens: Daten-Deduplizierung

Diese sieht der ZIP-Standard allerdings nicht vor und wird deshalb nicht unterstützt.
 
@Winnie2: Genau das macht Deflate bei Zip. Erst Zeichenfolgen ersetzen die mehrmals vorkommen (nach LZSS), dann Huffmansche Entropiekodierung. Das machen die meisten Packprogramme nach verschiedenen Verfahren. Nur im Fall von Zip nicht Progressiv/Solid, sondern eben nur jede Datei einzeln.

Aber selbst das kann man zumindest ansatzweise umgehen. Dateien erst unkomprimiert archivieren und dann per ZIP packen. Allerdings geht ZIP da eben nicht gründlich genug vor, bzw. die Wörterbuchgröße (32/64 KiB) reicht nicht wirklich aus um einen großen Vorteil draus zu ziehen.
 
@James8349:
Es gibt im Prinzip zwei Ansätze:
Verfahren wie LZSS arbeiten zeichenweise bzw. byteweise bei der Kompression.
ZIP komprimiert jede einzelne Datei separat, während andere Kompressionsprogramme zuerst alle zu packenden Dateien zusammenfassen u. diese dann als Einzeldatei komprimieren.
Bringt allerdings nur einen deutlichen Vorteil wenn Suchfenster und Wörterbuch entsprechend vergrößert werden, idealerweise in den Mbyte-Bereich.

Der andere Ansatz ist blockweise, nicht byteweise,
indem nach komplett identischen Datenblöcken gesucht wird, aber dieses Verfahren ist resourcenaufwändig u. wird nur von wenigen Programmen genutzt.
 
@Winnie2: Wie soll LZSS denn bitte zeichen/byteweise arbeiten? Ich glaub du verwechselst das mit dem Huffman Part. Das betrifft aber nur den Teil der nach LZSS übrig bleibt. LZSS arbeitet Blockweise -> durchsucht ein "Fenster" (standardmässig 32 KiB) nach identischen zusammenhängenden Zeichenfolgen und nimmt diese in das Wörterbuch auf, wenn sie größer sind als der Eintrag selbst und ersetzt durch einen Verweis. Danach wird Huffman drüber gejagt.
 
@James8349:
So wie ich an der Hochschule die Funktionsweise von LZSS verstanden habe wird das Suchfenster byteweise verschoben und nicht blockweise.
 
@James8349: Man kann Kompression auch anders Verbessern in dem man Testkompressionen macht und dabei die Größe des Wörterbuchs immer weiter vergrößert. Irgendwann stößt man an den Punkt das das Wörterbuch größer wird wie die Kompression, also hat es hier kein Sinn mehr weiter zu machen. Allerdings dauert diese Art der Kompression auch ewig, weil ja jeder Parameter ausprobiert werden muss. Daher hat sich der Ansatz auch nur für Archivare durchgesetzt. Also wo einmal Komprimiert wird und das Zeug dann erst mal Jahre lang liegt.
 
@MancusNemo:
Der Ansatz möglichst viel Rechenleistung in die Kompression zu investieren um wenige Prozent Datenrate zu sparen wird üblicherweise bei Streaming-Video bzw. von VoD-Anbietern gemacht,
denn da lohnt es sich wirklich.

Ja, der Zusammenhang zwischen Rechenaufwand pro Byte bei der Kompression und Kompressionsrate ist nicht linear.
Man benötigt zur Steigerung der Kompressionsrate immer überproportional mehr Rechenoperationen, zumindest sofern es sich um verlustfreie Kompression handelt.
 
Tja, wird wohl Zeit für die Hersteller und Programmierer Routinen mit Plausibilitäts-Checks in ihre Software zu implementieren.

Der Entwickler des Zip-Formates hat noch nicht daran gedacht dass das Format welches er geschaffen hat mal in einer solchen misbräuchlichen Weise genutzt werden würde.
Auch die alten Referenzimplementierungen des ZIP-Formates, besonders die Dekompression, sehen das nicht vor.

Ein Problem derzeit dürften Virenscanner verursachen welche nach dem Herunterladen den Inhalt der ZIP-Datei auf Schadsoftware untersuchen... diese könnten das gesamte System zum Stillstand bringen, selbst wenn man 32 GB RAM im Rechner hat.
 
Hmm naja also ich habs mal versucht sie zu saugen aber Chrome krepiert ja schon bei der Überprüfung.

Wie kann man sowas als "Malware" einstufen?
 
@Aerith:
Wenn der Webbrowser durch eine Datei welche man herunterlädt krepiert ist diese dann keine Malware?
 
@Winnie2: Naja was heißt krepiert, er überprüft die Datei halt und ich bin nicht sicher aber dafür versucht er das wohl zu entpacken.

Download bzw prüfung ließ sich normal abbrechen und dann musste ich Chrome einmal schließen um die Datei löschen zu können.
 
@Aerith:
Um die in der ZIP-Datei enthaltenen Dateien auf Viren überprüfen zu können muss ein Virenscanner diese Dateien temporär entpacken. Anders geht das nicht.
 
@Aerith: Nicht jeder überprüft die auf deinem Wege ? Und stell dir evt auch mal den Sprung weg vom PC aufs Smartphone vor, als normalen Dateianhang per Mail oder...oder .. zugeschickt gekriegt.
Mal von der dort evt. schwierigen oder sogar wegen dem speziellen zip Format nur schwer gegebenen Entpackbarkkeit abgesehen: den Weg werden manche Intelligenzbolzen und sowas von super viel "Spaß" verstehende "Freunde" nämlich garantiert zumindestens versuchen zu gehen. Und klappt das entpacken, dann könnte ein abstürzendes und danach nichtmal mehr hochfahrbares Smartphone die Folge sein - eben weil sämtlicher interner und womöglich zusätzlich der externe Platz auf ner gesteckten SD Karte bis Anschlag gefüllt ist.
 
@DerTigga: Hö? Würde nicht jede beliebige Software einfach nur mit einer Fehlermeldung "nicht genug Speicher" beim entpacken abbrechen?

Das eigentliche Problem seh ich wirklich nur in AV Programmen und Prüfungen wie bei Chrome die sich dann totrechnen.
 
Ich frage mich gerade, warum der Artikel das so als neues Phänomen erscheinen lässt. Archivbomben haben uns damals schon in der Mailbox-Zeit hier und da immer wieder mal beschäftigt. Das einzige ist, dass die Wege noch mal effektiver werden aus noch weniger "Archiv", noch mehr "Inhalt" herauszuholen. Das Thema selbst ist aber Jahrzehnte(!) alt.
 
@LostSoul:
Durch Nutzung des Zip64 Formates können die ZIP-Archive mehr als 4 Gbyte an Daten enthalten,
beim alten (32 Bit) ZIP-Format war einfach bei 4 Gbyte Gesamtdatenmenge Feierabend.

Wobei 4 Gbyte vor 25 Jahren bei Home-PC noch eine gigantische Datenmenge war...
 
@Winnie2: Bei Zip ohne 64-Bit Extension gingen auch 4,5 PiB. Eben nur mit rekursion. Und mit der Methode jetzt gehen bei 32-Bit Zip Dateien 281 TiB. Es kam da schon immer auf die Implementierung an. 4 GiB war nur die maximale größe einer Datei die gepackt werden konnte.
 
@James8349:
Das ursprüngliche ZIP-Format ist allerdings auf 2^16 Datein und 2^32 Byte große ateien begrenzt; bedeutet normgerecht kann das ursprüngliche ZIP-Format "nur" 2^48 Byte an Daten speichern.
1 PiB = 2^50 Byte. 4,5 PiB sich also nicht normgerecht möglich. Rekursion hin oder her.
 
@Winnie2: Pro ZIP-Datei. Rekursiv heisst: Zip-Datei in Zip-Datei. Damit kommt man problemlos über 2^16 Dateien hinaus.
 
@James8349:
Ok, das hatte ich nicht bedacht, aber üblicherweise entpackt man diese Dateien doch nur ebenenweise.
Und auch Virenscanner dürften nur eine Ebene scannen.

Bedeutet also die ZIP-Datei wird nicht sofort auf volle Größe entpackt.
 
@Winnie2: Heutzutage ist das so, das stimmt. Die rekursiven ZIP-Dateien sind ja auch schon älter (42.zip as prominentes Beispiel), deswegen wurde hier ja auch auf den Rekursiven Ansatz verzichtet.
 
@James8349:
Mich würde eher mal eine Liste von Software interessieren welche bereits gegen diese ZIP-Bomben gesichert ist
und welche die (noch) anfällig dagegen ist.
 
@LostSoul: Das neue ist die nicht Verwendung der bekannten Matroska Technik. Er hat also einen anderen Weg gefunden eine ZipBombe zu bauen ohne die bekannten mechanismen.
 
vor vielen jahren war ich mal teil eines teams die ein anti cheat programm für einen alten ego shooter (delta force) geschrieben haben, weil der hersteller novalogic zu doof dafür war.
irgendwie schien das aber einigen leuten gegen den strich gegangen zu sein. die haben mir und den andern involvierten regelmässig emailbomben mit immer 1000 nachrichten geschickt.. wäre ja nicht weiter schlimm, aber man konnte machen was man wollte - outlook hat die nachrichten abgerufen. ob man wollte oder nicht . zu zeiten von tdsl 768 war das schon nervig ^^
 
Also das Neupacken der kleinen Zip Bombe (42 kb) mit Winrar ergibt eine Rar-Datei mit 582 Kb.
 
Erst mal Bewerbungsunterlagen versenden. :)
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles