新闻快讯
< >

DNA不仅能制造生物病毒,还能入侵电脑?

E安全8月14日讯 美国华盛顿大学的研究人员已经发起一项实验,旨在展示如何在创造生物病毒之余,还能利用合成DNA实现可入侵计算机的病毒代码。

不仅是生物病毒:DNA中亦可容纳计算机病毒指令-E安全

DNA早已被用作数据存储

脱氧核糖核酸(简称DNA,又称去氧核糖核酸)是最为古老的信息存储方法之一。DNA是生物数据库,它的主要功能就是存储包含各种指令的生物信息。DNA有G(鸟嘌呤)、T(胸腺嘧啶)、A(腺嘌呤)、C(胞嘧啶)四种碱基,共同构成了相互缠绕的双链阶梯状的螺旋结构。通过这四种碱基不同顺序的编码,存储了生物所有的遗传信息。

DNA由四种不同的“核苷酸”所组成,其通过多种方式加以组合,从而为没的遗传结果提供指导。这很像是一种二进制机器代码,其中包含0与1构成的组合,用于定义计算机的程序执行方式。事实上,这种类比并非独创,科学家们早已开始将数字化数据编码成有机DNA。

2012年,美国哈佛大学的研究人员们利用DNA编写了一本完整的书籍。2013年,欧洲生物信息学研究所的研究人员们则以DNA形式编写了莎士比亚的十四行诗以及来自马丁·路德·金博士《我有一个梦想》演讲中的数字照片与录音。2016年,华盛顿大学的研究人员与微软方面合作,共同在DNA中存储了一段《OK Go》音乐视频。尽管后者听起来无甚意义,但却证明了技术正变得愈发强大且易于使用。尽管DNA不太可能取代传统数字化存储介质,但其仍会在某些特定用例当中发挥作用。换句话来说,我们可以期待着未来某些领域将频繁进行DNA信息解码。而在信息处理时,恶意人士亦有可能通过独特的方式从中获利。

研究人员利用DNA入侵计算机设备

华盛顿大学的计算机科学教授正美河野(Tadayoshi Kohno)正在考虑这个问题,他与他的团队设计了一项实验,旨在利用DNA进行恶意病毒编码——这种并不比并非面向人类,而是专门针对计算机设备。尽管科学家们早已利用DNA研究生物工程乃至有机材料,但也有部分项目要求利用计算机将DNA信息解码为数字化格式——而这正是正美河野研究团队的关注重点。

研究人员在题为《计算机安全、隐私与DNA序列:利用合成DNA入侵计算机并实现隐私泄露,以及更多》的论文当中指出,“合成DNA链,并通过排序及后处理将其生成为文件; 当被作为输入内容添加至目标程序中时,此文件即会产生用于远程控制的开放套接字。”

不仅是生物病毒:DNA中亦可容纳计算机病毒指令-E安全

该研究团队坦言,他们创造出了“最佳环境”以测试自己的理论。他们更改了fqzcomp DNA压缩器的源代码,从而添加一个易受缓冲区溢出攻击影响的固定数据缓冲区。他们的下一步举措是将缓冲区溢出数据编码至合成DNA当中。将数字化信息编码为仅拥有有限物理组合数量的四种核苷酸形式确实颇具挑战。不过经过多次迭代,该团队最终拿出了可行的方案,并将成果发送至集成DNA技术公司进行合成。

在从该合成服务公司收到容纳有DNA的小瓶后,研究团队们即获得了能够用于入侵计算机程序的DNA样本,且可随时进行测试。他们利用包含漏洞的fqzcomp压缩器进行DNA样本排序,并最终获得了37%的攻击成本率——缓冲区溢出确实对计算机系统造成了损害,并可能导致授权恶意人士执行未经授权的访问。

Peter Ney(右)
计算机安全与隐私研究实验室博士生
卡尔·科切(中)
计算机安全与隐私研究实验室研究科学家
Lee Organick(左)
分子信息系统实验室博士生


这种攻击手段是否可行?

《连线》杂志报道称,“攻击活动的成功率约为37%,这是因为排序程序的并行处理机制能够会破坏编码内容或者在将代码写入物理对象时对其进行逆向解码。(一条DNA可以从任一方向进行测序,但代码则只能通过特定方向实现读取。研究人员们在其论文中提到,未来的攻击代码升级版本可能会被设计为回文形式。)

这种攻击手段是否可行?具体答案取决于多种因素。恶意人士必须入侵DNA测序与分析阶段所使用的软件,正如本次研究人员们所采取的方式。或者,他们必须在目前正在使用的软件当中找到可资利用的漏洞(当然,这样的漏洞也许早晚会被发现)。另外,恶意一方还必须瞄准目标以获取特制的恶意DNA样本,或者发现那些无需修改已知样本即可利用的漏洞。着眼于未来,恶意人士也许能够利用多种方式利用DNA,但就目前而言此类机制相当复杂,且成功几率不高。当然,恶意人士可以立足于明确的经济动机或者投入大量时间以将这些攻击转化为现实。只要存在这种可能性,我们就需要考虑到由此带来的潜在风险。

1.jpg

正美河野解释称,“我们意识到,如果恶意人士掌握了计算机正在处理的数据,则可能夺取到该设备的控制权。这意味着在考虑生物学计算系统的安全性,除了网络连接、U盘以及键盘用户之外,还需要考虑到DNA当中存储的信息。这是一种类别完全不同,但却真实存在的威胁因素。”

相关论文下载:《计算机安全、隐私与DNA序列:利用合成DNA入侵计算机并实现隐私泄露,以及更多》

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。