生物黑客入侵新手段:借助DNA链编码恶意软件
生物学家在合成 DNA 时并没有创造和延展危险的基因编码 ,这种基因编码可以用来创造毒素甚至是遗传病。但是 生物黑客 却演示这一过程,这种威胁不是针对人或动物,而是作用于 计算机 。
来自于华尔顿大学的研究表明 恶意软件 可以借助DNA物理链进行编码,因此,当基因测序仪对其进行分析时,得到的数据结果就会成为一个破坏基因测序软件,把那个控制底层计算机的程序。 虽然这种攻击对现实的间谍和罪犯来说远非实际可行,但是研究人员认为随着时间的推移,他们的担忧很有可能就会实现。因为 DNA测序 会变得更为普遍,更为强大,并且会由第三方机构在更为灵敏的电脑系统中操作。这对于网络安全社区来说也更为重要。
华盛顿大学计算机科学专业的教授Tadayoshi Kohno曾领导将该技术与传统的黑客攻击,即在网页或电子邮件附件中的恶意代码,进行了比较。他说:“我们知道,如果一个攻击者控制了电脑正在处理的数据,那么他就很有可能操控这台电脑。 这意味着当你关注计算生物学系统的安全性时,你不仅要考虑到网络连接、USB驱动器以及电脑用户的问题,还要考虑存储在DNA中的信息的排序情况 。这是一个关于考虑不同程度的威胁的问题。”
科幻黑客
目前,这种威胁与其说是关于计算机生物学家的故事,倒不如说是迈克尔·克莱顿小说中的一个情节。但是随着基因测序越来越多地被集中服务处理——通常由拥有昂贵基因测序设备的大学实验室管理,DNA传播的恶意软件会变得更加逼真。 然而尤其是是考虑到DNA样本来自外部资源,我们难以对其进行适当的审查。
研究人员说,如果黑客成功了,他们可能获得宝贵的知识产权,或者可能沾染遗传分析,比如说刑事DNA测试。研究人员表示, 公司甚至可能将恶意代码植入转基因产品的DNA中,以此保护商业秘密。 项目研究人员Peter Ney说:“将来会出现更多的应用,趣味性与危险性并存。”
仅仅依靠存储在DNA链中的信息来构建计算机攻击的概念(人们称之为“漏洞利用”)对于华盛顿大学的团队来说无疑是一项史诗般的挑战。 为此研究人员先是编写了一个众所周知的“缓冲区溢出”漏洞,旨在填补计算机内存中用于某一段数据的内存空间,然后泄漏到内存的另一部分,从而建立自己的恶意命令。
在实际DNA中编码攻击比他们最初想象的困难得多。 DNA测序仪的工作原理是将DNA和与DNA的基本单位中不同的化学物质(化学碱基a、t、g和c)混合在一起。并且不同的DNA发出不同颜色的光,这些光在DNA分子的照片中得以捕捉。为了加速处理,数百万个碱基的图像被分割成千上万块,然后对其进行平行分析。因此,构成攻击的所有数据必须嵌入几百个碱基当中,这样才能增加DNA在整个测序器并行处理过程中保持不变的可能性。
研究人员将他们精心设计的攻击以A、T、G和C碱基的形式整合到DNA合成服务集成DNA技术领域,同时他们发现DNA还会受到其他物理变量的影响。为了保持DNA样本的稳定性,研究者必须保持特定数量比例的G、C、A和T碱基,因为DNA的自然稳定性取决于A-T和G-C碱基配对的常规比例。然而缓冲区溢漏洞经常使用相同的数据串,从而导致了DNA链的自身配对。这意味着,该研究小组不得不反复编制开发代码,从而找到一种可以像真正的DNA一样存活的形式,最终合成服务会用邮件的形式把这些代码发送一个手指大小的塑料瓶内。
这就研发出了一种攻击软件,它可以在我们将DNA转换成数字格式的过程中保留下来。我们把这种软件为FASTO,并且用它来存储DNA序列。我们之所以像压缩fqzcomp这样的常见压缩软件一样的,也把FASTO文件压缩起来,是为了避免其扩展到GB的文本,使用缓冲区溢出漏洞来攻击压缩软件然后中断其程序,从而进入计算机的内存中运行其自己的所有命令。
遥远的威胁
即使如此,我们也只译出了攻击中的百分之三十七,因为测序器的并行处理通常会将其缩短。 写入代码的另一个危害就是程序向后解码。 (一串DNA可以向任何方向排序,但是代码只能在一个方向上读取。研究人员在论文中表明,攻击的改进版本将会像回文一样。)
研究人员说, 尽管这一过程曲折且不可靠,但是他们仍然需要采取捷径来证实那近乎欺骗性的想法。 这些研究人员没有像现实世界的黑客一样仅仅利用fqzcomp程序的现有漏洞,而是修改了程序的开放源代码,以此填补自己缓冲区溢出的缺陷。然而除了编写DNA攻击代码来开发fqzcomp中人为制造的易受攻击的版本外,研究人员还对常见的DNA测序软件进行了审查,还在公共程序中发现了三个实际的缓冲区溢出漏洞。Ney说:“有很多这样的软件并没有考虑到其安全性。”研究人员说,这表明,将来黑客也许能够在更现实的环境中摆脱攻击,尤其是在更强大的基因测序器开始分析更大的数据块之时,从而更好的保护开发代码。
不用说,出现任何基于DNA的黑客行为都是好多年之后的事情了。基因测序设备的领先制造商Illumina在回应华盛顿大学论文的声明中说, “这是关于长期潜在风险的有趣研究。 我们同意此次研究的前提,即这不会构成迫在眉睫的威胁,也不是典型的网络安全问题”。公司首席信息安全官Jason Callahan说,“我们很警惕,并且定期评估我们的软件和工具的保障措施。我们欢迎任何研究,围绕广泛的未来框架和准则开展对话,以保障DNA合成、测序和处理过程中的安全并且维护其隐私。”
但是除黑客行为之外,使用DNA来处理计算机信息也正在慢慢变成现实。 Seth Shipman是哈佛大学研究小组的一名成员,这个小组最近在DNA样本中编码了一段视频。他说虽然到目前为止这种储存方法主要是理论上的,但是在闪存或硬盘驱动器中,DNA保持其结构的能力远远大于磁性编码的能力,因此实现数据保存数百年之久指日可待。如果基于DNA的计算机存储时代即将到来,那么基于DNA的计算机攻击技术听起来也许就没有那么牵强了。
Seth Shipman表示,随着一个基于DNA数据的时代的慢慢到来,研究者在DNA上植入恶意代码的能力要超过一个黑客的小把戏。在将来,当更多的信息存储在DNA中,并进行不断地输入和排序时,我们会因为已经开始提前考虑这些事情而感到庆幸。