前沿视点:生物黑客的剧幕已经拉起

最新的研究表明:生物黑客能够在DNA链中编码恶意软件

前情提要

生物学家在合成DNA时,他们会尽力避免创造或传播那些危险的遗传密码片段,这里所谓的“危险”,是指这种遗传密码可能被用来制造毒素,甚至是某种传染病。但是,最近,有一个生物黑客团队已经证明了DNA可以携带一种预先设定好的威胁,这种威胁不是针对人或动物的,而是针对计算机的,这就是说生物黑客能够在DNA链中编写自己的恶意代码。

在周四的USENIX安全研讨会上,来自华盛顿大学的一组研究人员首次声明将恶意软件编码到物理的DNA链中的可能性。因此,当基因测序仪对其进行分析时,产生的数据就变成了一个程序,它能够破坏基因测序软件并控制了底层计算机。尽管这种攻击对任何真正的间谍或犯罪分子来说都是不现实的,但研究人员认为,随着DNA测序仪变得越来越普遍、其功能越来越强大,并且在敏感的计算机系统上由第三方服务执行,这种攻击可能会随着时间的推移而变得更加现实化。而且,对于网络安全社区而言,更为重要的是,它还意味着让人心潮澎湃的、纯粹的、黑客独创性的科幻壮举。

这一项目的负责人是Tadayoshi Kohno (华盛顿大学的计算机科学学院的教授),他说道:“我们知道,如果攻击者控制了计算机正在处理的数据,就意味着它可以接管电脑。与传统的黑客攻击技术如在网页中或电子邮件附件中包含恶意代码相比,在研究计算机&生物科学系统的安全性时,不仅要考虑网络连接、USB驱动器和终端用户,还考虑存储在DNA中的信息,后者是另外一种截然不同的威胁。”

科幻小说的剧情

目前,这种威胁听起来更像是Michael Crichton的科幻小说中的一个情节,,而不是一个计算生物学家的问题。但是,随着基因测序服务越来越集中(通常由拥有昂贵基因测序设备的大学实验室来处理),利用DNA传播恶意软件就变得越来越现实了。尤其是考虑到DNA样本来自外部来源,在实践中可能很难得到适当的审核。

研究人员Peter Ney称:如果黑客真的成功了,他们可能获得宝贵的知识产权,也可能污染基因分析,比如犯罪案件的DNA检测。公司甚至有可能将恶意代码放入转基因产品的DNA中,以此作为保护商业机密的一种方式。有很多有趣的(可能说“威胁”更合适)概念可能在不远的将来被实践和应用”。

无论研究的实际原因是什么,利用存储在DNA链中的信息来构造一个类似“exploit”的计算机攻击,这对于华盛顿大学的研究团队而言,是一个具有史诗级意义的黑客挑战。研究人员首先编写了一个极具代表性的“缓冲区溢出”漏洞,旨在填补计算机内存中的某个数据段的空白,然后溢出到内存的另一部分,以植入自己的恶意命令。

但是在实际DNA中编写攻击代码比他们最初想象的要困难的多。

这里首先普及一下DNA测序中主流的荧光成像方法的大概工作原理。研究人员将样品DNA通过化学PCR扩展,将其固定的到芯片上并加入化学荧光试剂,这些化学试剂会与DNA的不同碱基(A、T、G、C四种)相结合,由于不同碱基所带的荧光是不一样的,特定波长的光照射到这些样品上时,激活碱基的光的波长也不同的,此时对样品进行拍色,就可以补货到特定碱基的信号。在进行DNA测序时,需要连贯的进行化学反应-光学成像-数据处理,以此循环。

为了加快处理速度,数以百万计的DNA成像图片被分割成数千块并进行平行分析。因此,所有组成攻击的数据必须只适用于几百个碱基,以增加整个测序器并行处理的可能性。

当研究人员把他们精心策划的具有完整DNA结构(以As、Ts、Gs和 Cs的形式存在)的片段集成到DNA合成服务中时,他们发现DNA存在有其他的物理限制。DNA样本为了保持稳定,GS+CS与As+Ts必须保持一定的比例(此处请脑补中学生物课本上的“碱基互补配对原则”)。虽然缓冲区溢出经常会遇到重复使用相同的数据字符串的情景,但在这种情况下这样做会导致DNA链自身折叠。所有研究小组不得不反复重写他们的利用代码,以找到一种合适的形式,不仅适合溢出,也符合DNA的排序原则。合成服务最终将邮寄给他们一个手指大小的塑料瓶。

最后的结果,是一个能从物理DNA转换到数字格式的攻击软件,使用FASTQ,格式来储存DNA序列。然而FASTQ,文件被一个常见的压缩软件fqzcomp进行压缩,FASTQ,文件通常都会被压缩,是一个包含了千兆字节的文本,它能够利用缓冲区溢出漏洞攻击压缩软件,破坏程序并进入运行软件的计算机的内存中,控制计算机来运行自己的任意命令。

注释:FASTQ是基于文本的,保存生物序列(通常是核酸序列)和其测序质量信息的标准格式。其序列以及质量信息都是使用一个ASCII字符标示,最初由Sanger开发,目的是将FASTA序列与质量数据放到一起,目前已经成为高通量测序结果的事实标准。

遥远的威胁

未来,攻击者完成全部翻译工作所需的时间大约会缩减大约37%,其中一个原因是并行处理会缩减时间,另外一个是由于在DNA链中编写代码存在另一个危险,程序将允许向后解码。(一个DNA链可以在任意方向上进行排序,但是代码只能在一个数组中读取。在研究小组的论文中,研究人员认为,将来攻击的改进版本完全可能制作成一个回文。)

研究人员承认,尽管过程非常曲折、不可靠,他们仍然不得不采取一些技巧来证明这一近乎欺骗的POC。他们不仅像现实世界中的黑客那样利用fqzcomp程序中已知的漏洞,而且还修改了程序的开源代码并插入自己的缺陷代码以允许缓冲区溢出。除了编写DNA攻击代码利用他们人为制作的有漏洞的fqzcomp版本外,研究人员还进行了常规的DNA测序软件的安全评估,在常用程序中发现了三个实际存在的缓冲区溢出漏洞。“很多软件的安全意识不强”研究人员Ney说道。“这也表明,未来黑客可以策划出一个更现实的攻击,由于基因测序的普及,能力和影响力越来越大,也开始分析更大量的数据,也会逐渐成为滋长漏洞的温床。”

倒也不用杞人忧天,任何可能的基于DNA的黑客真的出现,大概还需要几年的时间。Illumina是基因测序设备的领先制造商,该公司首席信息安全官员Jason Callahan在一份声明中针对华盛顿大学的论文的话题,说道:“这是一个关于潜在的长期风险的有趣的研究。我们同意研究中所提观点,但有一个前提,那就是:这并不构成迫在眉睫的威胁,并不是一个典型的网络安全能力”“我们会保持警惕,并定期评估我们软件和工具的保障措施,同时也欢迎任何有关围绕广泛的未来框架和指导方针进行对话的研究,以确保DNA合成、测序和处理过程中的安全和隐私。”

除了黑客攻击的话题之外,用于处理计算机信息使用的DNA正在慢慢成为现实,” Harvard小组最近正在研究在DNA样本中编码视频的项目,其中的一位成员Seth Shipman说道:“这种存储方法,虽然现在还大多停留在理论阶段,但由于DNA在闪存或硬盘驱动器中的编码能力远长于磁性编码,所以总有一天DNA的这一能力会让数据保存数百年。如果DNA为基础的计算机存储时代来临了,那么基于DNA的计算机攻击这种说法可能就不那么牵强了”。

Shipman还说道“我是笑着读这篇文章的,因为我认为这真是个聪明的主意。我们现在应该开始筛选了吗?不过,随着DNA数据时代的到来,在DNA中植入恶意代码的能力超过了黑客的常规技巧,很高兴我们开始思考这些问题。”。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/104779.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code