Berta Sándor
Tömörített fájlcsomagok - a vírusirtók rémei?
A vírusirtó szoftverek érzékenységét vizsgálta az úgynevezett "tömörített fájlbombákkal" szemben a német AERAsec cég.
A "tömörített fájlbomba" elnevezés azokat az úgynevezett Denial-of-Service támadásokat jelöli, amelyeket "bzip2" tömörítésű adatcsomagokkal hajtanak végre. A "fájlbombák" általában nagyon nagy mennyiségű adat esetén keletkeznek, például képzeljünk el 2 GB-nyi nulla számjegyet. A végső, látszólag kis méretű adatnak elsőre senki sem tudja megmondani az igazi méretét. Csupán a fájl kicsomagolásakor döbbenünk rá, mekkora adatcsomagot is kaptunk.
Ahhoz, hogy egy vírusirtó át tudjon vizsgálni egy tömörített fájlt, ki kell tudnia csomagolnia azt. Szerencsére - mivel a "fájlbombák" már egy ideje léteznek - a fejlesztők a legtöbb vírusirtó szoftvert felkészítették ezekre. A programok a kicsomagolás előtt lekérdezik a ZIP-adatokban lévő információkat, amelyekből kiderül, mekkora is volt a fájl eredetileg. Amennyiben a csomag mérete átlép egy határt, automatikusan karanténba kerül.
Sajnos vannak azonban olyan alkalmazások, amelyek nem a fent leírt módon járnak el. Ilyen szoftver a Kaspersky Anti-Virus for Linux 5.0.1.0, Trend Micro InterScan VirusWall 3.8 Build 1130 és a McAfee Virus Scan for Linux 4.16.0. Könnyen feltételezhető azonban, hogy más programokat is érint ez a probléma. Rossz belegondolni, hogy mennyi erőforrást köt le egy akkora csomag átvizsgálása és amennyiben a vírusirtót például e-mailek szkennelésére használjuk, akkor ez utóbbi feladat könnyen elvégezhetetlenné válik. Elméletileg tehát az egyetlen védekezési megoldás a bzip2-adatokhoz való hozzáférés blokkolása.
Dr. Peter Bieringer, a vizsgálatot végző AERAsec-munkatárs ugyanakkor rávilágított még egy problémára: lehetőség van a ZIP-adatok úgynevezett header-információinak meghamisítására. Ez egy hagyományos hexaeditorral elvégezhető. Amennyiben egy vírusirtó csak a header-információkat vizsgálja át és nem az aktuális fájlméretet, akkor a program ugyanúgy kijátszható.
A "tömörített fájlbomba" elnevezés azokat az úgynevezett Denial-of-Service támadásokat jelöli, amelyeket "bzip2" tömörítésű adatcsomagokkal hajtanak végre. A "fájlbombák" általában nagyon nagy mennyiségű adat esetén keletkeznek, például képzeljünk el 2 GB-nyi nulla számjegyet. A végső, látszólag kis méretű adatnak elsőre senki sem tudja megmondani az igazi méretét. Csupán a fájl kicsomagolásakor döbbenünk rá, mekkora adatcsomagot is kaptunk.
Ahhoz, hogy egy vírusirtó át tudjon vizsgálni egy tömörített fájlt, ki kell tudnia csomagolnia azt. Szerencsére - mivel a "fájlbombák" már egy ideje léteznek - a fejlesztők a legtöbb vírusirtó szoftvert felkészítették ezekre. A programok a kicsomagolás előtt lekérdezik a ZIP-adatokban lévő információkat, amelyekből kiderül, mekkora is volt a fájl eredetileg. Amennyiben a csomag mérete átlép egy határt, automatikusan karanténba kerül.
Sajnos vannak azonban olyan alkalmazások, amelyek nem a fent leírt módon járnak el. Ilyen szoftver a Kaspersky Anti-Virus for Linux 5.0.1.0, Trend Micro InterScan VirusWall 3.8 Build 1130 és a McAfee Virus Scan for Linux 4.16.0. Könnyen feltételezhető azonban, hogy más programokat is érint ez a probléma. Rossz belegondolni, hogy mennyi erőforrást köt le egy akkora csomag átvizsgálása és amennyiben a vírusirtót például e-mailek szkennelésére használjuk, akkor ez utóbbi feladat könnyen elvégezhetetlenné válik. Elméletileg tehát az egyetlen védekezési megoldás a bzip2-adatokhoz való hozzáférés blokkolása.
Dr. Peter Bieringer, a vizsgálatot végző AERAsec-munkatárs ugyanakkor rávilágított még egy problémára: lehetőség van a ZIP-adatok úgynevezett header-információinak meghamisítására. Ez egy hagyományos hexaeditorral elvégezhető. Amennyiben egy vírusirtó csak a header-információkat vizsgálja át és nem az aktuális fájlméretet, akkor a program ugyanúgy kijátszható.