Malware, adware, trojan e quant’altro: le minacce online sono molteplici e costituiscono un pericolo concreto per chiunque navighi in rete. Tra di esse si sta facendo strada una ancora poco conosciuta ma che, a livello pratico, può avere un effetto devastante per il tuo PC.
Stiamo parlando della tecnica nota come zip bombing. Come è facile intuire dal nome stesso di questa tecnica, questa si basa sui file ZIP, un formato per archivi di file compressi senza perdita di dati. Questo formato rende comodo lo scambio di più file, riducendone allo stesso tempo le dimensioni.
In questo contesto si colloca la forma di attacco citata poco fa. La pratica dello zip bombing, in poche parole, consiste nel sovraccaricare un sistema informatico nel momento in cui si tenta ad aprire un file con questo formato. Come è possibile tutto ciò?
Queste vere e proprie “bombe” vengono create annidando file ZIP uno interno all’altro. Questo tipo di archivio utilizza un algoritmo di compressione chiamato Deflate. Nonostante questo sia molto efficiente, presenta anche un grande punto debole, ovvero può essere sfruttato per creare file “gonfiati” una volta che vengono scompattati. Ciò significa che, un file che compattato è di pochi kilobyte può poi rivelarsi enorme una volta che viene estratto (con dimensioni di diversi gigabyte e, in alcuni casi, anche terabyte).
Sfruttando questo fenomeno, i cybercriminali progettano file appositi, con un numero enorme di file identici al suo interno. La natura dei file presenti nell’archivio non è importante, se non per attirare l’attenzione della potenziale vittima: in tal senso si parla spesso di file di testo o di immagini.
Per fare un paragone facile da comprendere, è un sistema costituito da matrioske. Le bambole interne, però, una volta estratte si rivelano sorprendentemente enormi, capaci di riempire un’intera stanza.
Indice dei contenuti
Zip bombing: due tipi di attacco
Va detto che, in questo contesto, potresti trovare due distinte forme di zip bombing.
Gli attacchi ricorsivi funzionano annidando i file zip l'uno dentro l'altro. Ad esempio, una zip bomb ricorsiva potrebbe contenere un file zip contenente un altro file dello stesso tipo e così via. Quando la vittima apre l’archivio, il computer tenterà di estrarre tutti i file zip nidificati. Ciò può sovraccaricare rapidamente le risorse e provocarne un arresto anomalo.
Le bombe zip non ricorsive non utilizzano file zip nidificati. Si affidano invece a una tecnica chiamata overlapping, ovvero che sfrutta la sovrapposizione dei file.
In poche parole, si trattano di file che contengono gli stessi dati, ma in posizioni diverse nel file zip. Quando il computer tenta di estrarre una zip bomb non ricorsiva, estrarrà gli stessi dati più volte. Anche questo scenario può causare problemi al PC preso di mira.
Le zip bomb non ricorsive sono più efficaci perché possono essere molto più piccole delle zip bomb ricorsive. Ad esempio, l’innesco di un attacco non ricorsivo che può espandersi fino a 1 TB può avere dimensioni di appena 10 MB.
Come vengono utilizzate le bombe zip dai cybercriminali
Le bombe zip vengono spesso utilizzate negli attacchi conosciuti come denial-of-service.
Questo tipo di operazione che mira a rendere un sistema informatico, rendendolo inagibile. In questi casi, l'aggressore inonda il computer (o il server) di traffico o dati, causandone il crash o comunque un sovraccarico con annessi rallentamenti.
Questo tipo di file malevolo, può spianare la strada ad altri interventi ancora più intrusivi da parte dei cybercriminali. Non è raro, per esempio, che tali azioni siano mirate a disabilitare un antivirus o a minarne il funzionamento. Una volta fatto ciò, un malware può agire con molta più facilità sul PC/server preso di mira.
In caso di mancanza di un adeguato sistema di backup di dati o per il semplice blocco di un sistema informatico, questo tipo di minaccia può essere letale per i contesti aziendali, tanto da arrivare a bloccare o limitare le attività commerciali.
Come proteggerti dallo zip bombing?
Anche se questo tipo di attacco informatico è alquanto infido, in quanto difficile da individuare a priori, esistono alcune pratiche utili per evitare disastri.
Per i possessori di server, per esempio, limitare le dimensioni dei file caricati è essenziale. Per i computer standard, invece, è bene controllare la dimensione dei file prima di scompattare un archivio ZIP.
Attraverso le funzioni di un qualunque software per la gestione degli archivi è possibile osservare quanto un determinato file andrà ad occupare una volta scompattato. Se si notano valori anomali, è molto meglio evitare di estrarre il contenuto dell’archivio.
Per evitare attacchi incrociati, poi, oltre a un antivirus potrebbe essere anche utile adottare un firewall.
In conclusione
Se malware e virus vari, giustamente, ti preoccupano, non dovresti comunque sottovalutare fenomeni come lo zip bombing. Questa forma di attacco, così infida, spesso fa proprio leva sull’attenzione concentrata su altre minacce per causare danni notevoli.
Se è vero che spesso gli hacker direzionano file di questo tipo verso aziende o simili, anche da comune utente dovresti mantenere alta l’attenzione: infondo basta poco per proteggere il tuo PC.