2017年08月22日
美國華盛頓大學的研究人員已經發起一項實驗,旨在展示如何在創造生物病毒之余,還能利用合成DNA實現可入侵計算機的病毒代碼。
DNA早已被用作數據存儲
脫氧核糖核酸(簡稱DNA,又稱去氧核糖核酸)是最為古老的信息存儲方法之一。DNA是生物數據庫,它的主要功能就是存儲包含各種指令的生物信息。DNA有G(鳥嘌呤)、T(胸腺嘧啶)、A(腺嘌呤)、C(胞嘧啶)四種堿基,共同構成了相互纏繞的雙鏈階梯狀的螺旋結構。通過這四種堿基不同順序的編碼,存儲了生物所有的遺傳信息。
DNA由四種不同的“核苷酸”所組成,其通過多種方式加以組合,從而為沒的遺傳結果提供指導。這很像是一種二進制機器代碼,其中包含0與1構成的組合,用于定義計算機的程序執行方式。事實上,這種類比并非獨創,科學家們早已開始將數字化數據編碼成有機DNA。
2012年,美國哈佛大學的研究人員們利用DNA編寫了一本完整的書籍。2013年,歐洲生物信息學研究所的研究人員們則以DNA形式編寫了莎士比亞的十四行詩以及來自馬丁·路德·金博士《我有一個夢想》演講中的數字照片與錄音。2016年,華盛頓大學的研究人員與微軟方面合作,共同在DNA中存儲了一段《OK Go》音樂視頻。盡管后者聽起來無甚意義,但卻證明了技術正變得愈發強大且易于使用。盡管DNA不太可能取代傳統數字化存儲介質,但其仍會在某些特定用例當中發揮作用。換句話來說,我們可以期待著未來某些領域將頻繁進行DNA信息解碼。而在信息處理時,惡意人士亦有可能通過獨特的方式從中獲利。
研究人員利用DNA入侵計算機設備
華盛頓大學的計算機科學教授正美河野(Tadayoshi Kohno)正在考慮這個問題,他與他的團隊設計了一項實驗,旨在利用DNA進行惡意病毒編碼——這種并不比并非面向人類,而是專門針對計算機設備。盡管科學家們早已利用DNA研究生物工程乃至有機材料,但也有部分項目要求利用計算機將DNA信息解碼為數字化格式——而這正是正美河野研究團隊的關注重點。
研究人員在題為《計算機安全、隱私與DNA序列:利用合成DNA入侵計算機并實現隱私泄露,以及更多》的論文當中指出,“合成DNA鏈,并通過排序及后處理將其生成為文件; 當被作為輸入內容添加至目標程序中時,此文件即會產生用于遠程控制的開放套接字。”
該研究團隊坦言,他們創造出了“最佳環境”以測試自己的理論。他們更改了fqzcomp DNA壓縮器的源代碼,從而添加一個易受緩沖區溢出攻擊影響的固定數據緩沖區。他們的下一步舉措是將緩沖區溢出數據編碼至合成DNA當中。將數字化信息編碼為僅擁有有限物理組合數量的四種核苷酸形式確實頗具挑戰。不過經過多次迭代,該團隊最終拿出了可行的方案,并將成果發送至集成DNA技術公司進行合成。
在從該合成服務公司收到容納有DNA的小瓶后,研究團隊們即獲得了能夠用于入侵計算機程序的DNA樣本,且可隨時進行測試。他們利用包含漏洞的fqzcomp壓縮器進行DNA樣本排序,并最終獲得了37%的攻擊成本率——緩沖區溢出確實對計算機系統造成了損害,并可能導致授權惡意人士執行未經授權的訪問。
Peter Ney(右)
計算機安全與隱私研究實驗室博士生
卡爾·科切(中)
計算機安全與隱私研究實驗室研究科學家
Lee Organick(左)
分子信息系統實驗室博士生
這種攻擊手段是否可行?
《連線》雜志報道稱,“攻擊活動的成功率約為37%,這是因為排序程序的并行處理機制能夠會破壞編碼內容或者在將代碼寫入物理對象時對其進行逆向解碼。(一條DNA可以從任一方向進行測序,但代碼則只能通過特定方向實現讀取。研究人員們在其論文中提到,未來的攻擊代碼升級版本可能會被設計為回文形式。)
這種攻擊手段是否可行?具體答案取決于多種因素。惡意人士必須入侵DNA測序與分析階段所使用的軟件,正如本次研究人員們所采取的方式。或者,他們必須在目前正在使用的軟件當中找到可資利用的漏洞(當然,這樣的漏洞也許早晚會被發現)。另外,惡意一方還必須瞄準目標以獲取特制的惡意DNA樣本,或者發現那些無需修改已知樣本即可利用的漏洞。著眼于未來,惡意人士也許能夠利用多種方式利用DNA,但就目前而言此類機制相當復雜,且成功幾率不高。當然,惡意人士可以立足于明確的經濟動機或者投入大量時間以將這些攻擊轉化為現實。只要存在這種可能性,我們就需要考慮到由此帶來的潛在風險。
正美河野解釋稱,“我們意識到,如果惡意人士掌握了計算機正在處理的數據,則可能奪取到該設備的控制權。這意味著在考慮生物學計算系統的安全性,除了網絡連接、U盤以及鍵盤用戶之外,還需要考慮到DNA當中存儲的信息。這是一種類別完全不同,但卻真實存在的威脅因素。”
相關論文下載:http://t.cn/R9DVqfc
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。