Novas versões de “bombas zip”, aprimoradas e refinadas, têm mantido os especialistas em segurança em constante estado de alerta.
Imagine um arquivo zip aparentemente inofensivo, de tamanho ínfimo, com poucos kilobytes, que se transforma em uma carga de petabytes ou exabytes, causando o travamento do sistema ao ser descompactado.
Isso é o que se conhece como bomba zip, bomba de descompressão ou “zip da morte”.
O Que é Exatamente Uma Bomba Zip?
Trata-se de um arquivo compactado com múltiplas camadas aninhadas, ou uma única camada com altíssima compressão, que, ao ser extraído, ocupa um espaço muito maior do que a maioria dos computadores consegue lidar.
O objetivo de uma bomba zip é sobrecarregar a CPU e os programas antivírus durante o processo de descompactação ou verificação do conteúdo, enquanto um possível malware tenta se infiltrar no sistema.
A maioria dos softwares antivírus modernos consegue inspecionar um arquivo zip sem necessariamente extraí-lo. Ao detectar várias camadas de compressão, eles o identificam como uma bomba zip e evitam a verificação completa.
Um exemplo clássico é o arquivo .42.zip, que tem apenas 42 kb quando compactado. Este arquivo contém seis camadas de dados compactados: as cinco primeiras camadas com 16 arquivos cada, e a última com um único arquivo de 4,3 GB.
No entanto, ao ser completamente descompactado, o espaço total ocupado é de 4,5 PB.
1 PB equivale a 1.000.000 GB ou 1.000 TB.
Para dar uma ideia da dimensão, o armazenamento do meu laptop é de apenas 512 GB ou aproximadamente 0,5 TB. E o maior disco rígido externo que possuo é de 1 TB. Portanto, a maioria dos computadores pessoais travaria ao tentar abrir recursivamente o arquivo .42.zip. O curioso é que este arquivo pode ser facilmente encontrado e baixado na internet (por sua conta e risco).
Por si só, essas bombas zip não causam danos diretos. No entanto, elas podem vir acompanhadas de scripts de descompactação recursiva que as acionam com o objetivo de realizar ações maliciosas.
Variedades de Bombas Zip
Assim como outros tipos de malware, as bombas zip evoluíram e apresentam diferentes métodos de ataque.
#1. Recursivas
Estas bombas zip possuem múltiplas camadas de compressão aninhadas dentro de um único arquivo. O exemplo do 42.zip que discutimos anteriormente é um exemplo de bomba zip recursiva.
Um tipo específico de bomba zip recursiva é o “zip quine”. Elas elevam a complexidade a cada operação de descompactação, replicando o conteúdo e criando um arquivo compactado com inúmeras camadas. Teoricamente, um zip quine não pode ser totalmente extraído, independentemente dos recursos disponíveis.
No entanto, as bombas zip recursivas são consideradas mais antigas, e os antivírus modernos são treinados para reconhecer sua estrutura e impedir seu processamento.
#2. Não Recursivas
David Fifield, o programador responsável por este tipo de arquivo não recursivo, o descreve como “uma bomba zip aprimorada”.
Ao contrário de suas predecessoras, este tipo de bomba zip descompacta todo o conteúdo de uma vez, sem passar por múltiplas etapas de descompressão. Isto é obtido através de uma taxa de compressão muito superior à encontrada em arquivos zip comuns.
Normalmente, a compressão máxima que um arquivo zip consegue é reduzir o tamanho original em 1032 vezes. Este resultado é alcançado com o algoritmo de compressão DEFLATE. No entanto, David Fifield criou uma técnica que permite que as bombas zip não recursivas se expandam mais de 28 milhões de vezes (1 kb se transforma em 26,7 GB) em uma única etapa de descompactação.
Consequentemente, elas são mais difíceis de detectar e representam um perigo maior.
Como as Bombas Zip Operam?
Como mencionado anteriormente, as bombas zip são inofensivas se não forem descompactadas. Elas só se tornam perigosas quando um programa tenta descompactar automaticamente todos os arquivos zip baixados.
Adicionalmente, um antivírus desatualizado pode não ser capaz de reconhecer a estrutura do arquivo e ficar sobrecarregado ao tentar verificar uma bomba zip recém-baixada, levando a um possível travamento do sistema.
Além disso, uma bomba zip recursiva pode ocultar um malware em uma camada profunda, não alcançada pela verificação de um antivírus.
Este problema se aplica principalmente às bombas zip recursivas.
As bombas zip não recursivas podem sobrecarregar diretamente os recursos do sistema durante a extração, sem serem detectadas pela maioria dos antivírus atuais.
Protegendo-se Contra Bombas Zip
A melhor forma de se proteger é manter hábitos seguros na internet. Comece evitando baixar arquivos de sites não confiáveis, especialmente se o seu navegador emitir alertas.
A mesma precaução se aplica a mensagens de spam. Não abra anexos de fontes desconhecidas ou não confiáveis. Se o seu provedor de e-mail, como o Gmail, emitir um aviso, tente verificar a origem antes de interagir com o anexo.
Por exemplo, pesquise o nome do arquivo anexado em um buscador como o Google e veja os resultados. Muitas bombas zip são conhecidas e você provavelmente encontrará resultados de busca que se referem ao mesmo nome de arquivo.
A seguir, apresento uma lista de medidas não exaustivas para ajudá-lo a navegar na internet de forma mais segura.
Antivírus
Nos dias de hoje, com malware se escondendo em locais inesperados, um bom antivírus é fundamental. Existem opções gratuitas, mas, muitas vezes, esses produtos têm como objetivo principal criar outro produto a partir de seu usuário.
Como o antivírus está em ação a cada momento que você liga o computador, mesmo que você não perceba, é melhor investir em um antivírus premium. Os produtos pagos oferecem firewalls avançados, ferramentas de otimização do sistema e outros recursos, como VPN, gerenciador de senhas, etc., para garantir a melhor proteção cibernética.
Entretanto, se eu não consegui convencê-lo da necessidade de um antivírus pago, segue uma lista de antivírus gratuitos para seu PC.
Educação
O antivírus pode protegê-lo contra programas perigosos, mas não é eficaz contra a manipulação através da engenharia social.
Neste caso, a vítima é induzida a baixar e descompactar uma bomba zip sob o pretexto de que arquivos zip não são vírus. Algumas pessoas caem nessas armadilhas e acabam instalando malware em seus sistemas.
Como consequência, a vítima pode sofrer com spyware, ransomware, phishing, etc., onde criminosos cibernéticos tentam roubar informações pessoais ou causar danos financeiros.
A educação é a melhor defesa contra esses ataques. É crucial que todos estejam cientes dos golpes e compartilhem esse conhecimento com seus colegas.
Conclusão
Bombas zip são arquivos que podem consumir todo o espaço do seu disco rígido (e muito mais), levando ao travamento do sistema.
Como elas não são exatamente um malware, identificar bombas zip (não recursivas) nem sempre é possível. Por enquanto, a única forma de proteção é através da prevenção.
Isso pode ser feito estando atento aos riscos na internet, usando um antivírus premium e evitando cair em golpes de engenharia social.
PS: Temos uma seção dedicada à segurança em etechpt.com, onde adicionamos regularmente artigos interessantes sobre segurança pessoal e empresarial. Recomendo que você adicione essa página aos seus favoritos e consulte-a de tempos em tempos.