La bomba zip
  • Viernes 13 de Septiembre de 2019
Seguridad Programación

La bomba zip

Un archivo comprimido de 46 MB que explota hasta alcanzar los 4.5 petabytes, la bomba ZIP más potente creada hasta ahora

genbeta

Así nos presenta genbeta en su publicación a esta bomba zip. Básicamente es un archivo malicioso (de apariencia inocente) que esconde una enorme cantidad de datos comprimida en diferentes niveles anidados, viéndose como un inofensivo zip de tan solo 42MB.

Este tipo de archivo es capaz de colapsar el ordenador por un colapso de buffer y existen hace bastante tiempo, sin embargo, ninguno es capaz de hacerlo como el creado por David Fifield que pasa de 42 MB a 4.5PB. Pero no solo esto, él va mas allá y decide hacerlo no recursivo lo cual permite que la “explosión” de datos se realice en una descompresión y no en una recursión.

Estructura de un archivo ZIP

Un archivo zip es, básicamente, un archivo central que referencia a los otros archivos

![](   https://www.bamsoftware.com/hacks/zipbomb/normal.svg" >}}

El directorio central está al final del archivo zip. Es una lista de encabezados que contiene metadatos para un solo archivo, como su nombre de archivo y suma de verificación CRC-32, y un puntero hacia atrás a un encabezado de archivo local. Un encabezado de directorio central tiene 46 bytes de longitud, más la longitud del nombre del archivo.

Un archivo consta de un encabezado de archivo local seguido de datos. El encabezado del archivo local tiene 30 bytes de longitud, más la longitud del nombre del archivo. Contiene una copia redundante de los metadatos del encabezado y los tamaños comprimidos y sin comprimir de los datos de archivo que siguen. Zip es un formato contenedor, no un algoritmo de compresión, por lo cual los datos de cada archivo se comprimen utilizando un algoritmo especificado en los metadatos, generalmente DEFLATE.

Esta descripción del formato zip omite muchos detalles que no son necesarios para comprender la bomba zip. Más adelante explicaremos a fundo el funcionamiento y como crear tu propia bomba zip.

Descarga

Aquí ofrecemos la descarga de 3 archivos que David dejo en su blog que son 3 bombas zip donde podemos ver su peso comprimido y su peso luego de la “explosión” o descompresión. De antemano no recomiendo utilizarlos para otra cosa que no sean fines científicos y obviamente sobre entornos controlados.

42 kB → 5.5 GB
10 MB → 281 TB
46 MB → 4.5 PB (Zip64, less compatible)

Contenido Relacionado

PatoJAD

PatoJAD

Arquitecto de Software

Autor

Sobre mi no hay mucho para decir, me dedico a desarrollar en una empresa de telecomunicaciones, utilizo GNU/Linux desde el 2.012 y hace años que es mi Sistema Operativo main. Soy una persona que busca crecer profesionalmente sin dejar de divertirse y hacer lo que me gusta. Siempre digo que cuando un proyecto sale es importante agradecer, por lo cual les recomiendo a todos leer la seccion Agradecimientos en la cual me tomé un tiempito para poder agradecer a todos y cada uno de los que hicieron posible todo esto.

Contenido

Redes Sociales