生物黑客入侵新手段:借助DNA鏈編碼惡意軟件

生物學家在合成 DNA 時并沒有創造和延展危險的基因編碼 ,這種基因編碼可以用來創造毒素甚至是遺傳病。但是 生物黑客 卻演示這一過程,這種威脅不是針對人或動物,而是作用于 計算機 。
來自于華爾頓大學的研究表明 惡意軟件 可以借助DNA物理鏈進行編碼,因此,當基因測序儀對其進行分析時,得到的數據結果就會成為一個破壞基因測序軟件,把那個控制底層計算機的程序。 雖然這種攻擊對現實的間諜和罪犯來說遠非實際可行,但是研究人員認為隨著時間的推移,他們的擔憂很有可能就會實現。因為 DNA測序 會變得更為普遍,更為強大,并且會由第三方機構在更為靈敏的電腦系統中操作。這對于網絡安全社區來說也更為重要。
華盛頓大學計算機科學專業的教授Tadayoshi Kohno曾領導將該技術與傳統的黑客攻擊,即在網頁或電子郵件附件中的惡意代碼,進行了比較。他說:“我們知道,如果一個攻擊者控制了電腦正在處理的數據,那么他就很有可能操控這臺電腦。 這意味著當你關注計算生物學系統的安全性時,你不僅要考慮到網絡連接、USB驅動器以及電腦用戶的問題,還要考慮存儲在DNA中的信息的排序情況 。這是一個關于考慮不同程度的威脅的問題。”
科幻黑客
目前,這種威脅與其說是關于計算機生物學家的故事,倒不如說是邁克爾·克萊頓小說中的一個情節。但是隨著基因測序越來越多地被集中服務處理——通常由擁有昂貴基因測序設備的大學實驗室管理,DNA傳播的惡意軟件會變得更加逼真。 然而尤其是是考慮到DNA樣本來自外部資源,我們難以對其進行適當的審查。
研究人員說,如果黑客成功了,他們可能獲得寶貴的知識產權,或者可能沾染遺傳分析,比如說刑事DNA測試。研究人員表示, 公司甚至可能將惡意代碼植入轉基因產品的DNA中,以此保護商業秘密。 項目研究人員Peter Ney說:“將來會出現更多的應用,趣味性與危險性并存。”
僅僅依靠存儲在DNA鏈中的信息來構建計算機攻擊的概念(人們稱之為“漏洞利用”)對于華盛頓大學的團隊來說無疑是一項史詩般的挑戰。 為此研究人員先是編寫了一個眾所周知的“緩沖區溢出”漏洞,旨在填補計算機內存中用于某一段數據的內存空間,然后泄漏到內存的另一部分,從而建立自己的惡意命令。
在實際DNA中編碼攻擊比他們最初想象的困難得多。 DNA測序儀的工作原理是將DNA和與DNA的基本單位中不同的化學物質(化學堿基a、t、g和c)混合在一起。并且不同的DNA發出不同顏色的光,這些光在DNA分子的照片中得以捕捉。為了加速處理,數百萬個堿基的圖像被分割成千上萬塊,然后對其進行平行分析。因此,構成攻擊的所有數據必須嵌入幾百個堿基當中,這樣才能增加DNA在整個測序器并行處理過程中保持不變的可能性。
研究人員將他們精心設計的攻擊以A、T、G和C堿基的形式整合到DNA合成服務集成DNA技術領域,同時他們發現DNA還會受到其他物理變量的影響。為了保持DNA樣本的穩定性,研究者必須保持特定數量比例的G、C、A和T堿基,因為DNA的自然穩定性取決于A-T和G-C堿基配對的常規比例。然而緩沖區溢漏洞經常使用相同的數據串,從而導致了DNA鏈的自身配對。這意味著,該研究小組不得不反復編制開發代碼,從而找到一種可以像真正的DNA一樣存活的形式,最終合成服務會用郵件的形式把這些代碼發送一個手指大小的塑料瓶內。
這就研發出了一種攻擊軟件,它可以在我們將DNA轉換成數字格式的過程中保留下來。我們把這種軟件為FASTO,并且用它來存儲DNA序列。我們之所以像壓縮fqzcomp這樣的常見壓縮軟件一樣的,也把FASTO文件壓縮起來,是為了避免其擴展到GB的文本,使用緩沖區溢出漏洞來攻擊壓縮軟件然后中斷其程序,從而進入計算機的內存中運行其自己的所有命令。
遙遠的威脅
即使如此,我們也只譯出了攻擊中的百分之三十七,因為測序器的并行處理通常會將其縮短。 寫入代碼的另一個危害就是程序向后解碼。 (一串DNA可以向任何方向排序,但是代碼只能在一個方向上讀取。研究人員在論文中表明,攻擊的改進版本將會像回文一樣。)
研究人員說, 盡管這一過程曲折且不可靠,但是他們仍然需要采取捷徑來證實那近乎欺騙性的想法。 這些研究人員沒有像現實世界的黑客一樣僅僅利用fqzcomp程序的現有漏洞,而是修改了程序的開放源代碼,以此填補自己緩沖區溢出的缺陷。然而除了編寫DNA攻擊代碼來開發fqzcomp中人為制造的易受攻擊的版本外,研究人員還對常見的DNA測序軟件進行了審查,還在公共程序中發現了三個實際的緩沖區溢出漏洞。Ney說:“有很多這樣的軟件并沒有考慮到其安全性。”研究人員說,這表明,將來黑客也許能夠在更現實的環境中擺脫攻擊,尤其是在更強大的基因測序器開始分析更大的數據塊之時,從而更好的保護開發代碼。
不用說,出現任何基于DNA的黑客行為都是好多年之后的事情了。基因測序設備的領先制造商Illumina在回應華盛頓大學論文的聲明中說, “這是關于長期潛在風險的有趣研究。 我們同意此次研究的前提,即這不會構成迫在眉睫的威脅,也不是典型的網絡安全問題”。公司首席信息安全官Jason Callahan說,“我們很警惕,并且定期評估我們的軟件和工具的保障措施。我們歡迎任何研究,圍繞廣泛的未來框架和準則開展對話,以保障DNA合成、測序和處理過程中的安全并且維護其隱私。”
但是除黑客行為之外,使用DNA來處理計算機信息也正在慢慢變成現實。 Seth Shipman是哈佛大學研究小組的一名成員,這個小組最近在DNA樣本中編碼了一段視頻。他說雖然到目前為止這種儲存方法主要是理論上的,但是在閃存或硬盤驅動器中,DNA保持其結構的能力遠遠大于磁性編碼的能力,因此實現數據保存數百年之久指日可待。如果基于DNA的計算機存儲時代即將到來,那么基于DNA的計算機攻擊技術聽起來也許就沒有那么牽強了。
Seth Shipman表示,隨著一個基于DNA數據的時代的慢慢到來,研究者在DNA上植入惡意代碼的能力要超過一個黑客的小把戲。在將來,當更多的信息存儲在DNA中,并進行不斷地輸入和排序時,我們會因為已經開始提前考慮這些事情而感到慶幸。