Zmanipulowane DNA pozwala na zaatakowanie komputera
Badacze z University of Washington udowodnili, że dzięki łatwo dostępnym narzędziom hakerzy mogą dołączyć szkodliwy kod do... zsyntetyzowanych łańcuchów DNA i dzięki temu przejąć kontrolę nad komputerem wykonującym analizę DNA. Szczegóły ataku zostaną zaprezentowane podczas przyszłotygodniowego 2017 USENIC Security Symposium.
Od dziesiątków lat komputery są infekowane za pomocą szkodliwego oprogramowania. Teraz jednak mamy do czynienia z czymś zupełnie nowym. Atak polega bowiem na zainfekowaniu DNA i wykorzystaniu sekwencjonatora do przejęcia kontroli nad podłączonym doń komputerem.
Praca naukowców z UW dowodzi, że biologiczne DNA może zostać wykorzystane do ataku na komputer, stwierdzil profesor Tadayoshi Kohno. Naukowiec ten znany jest też z wcześniejszych prac nad bezpieczeństwem samochodów podłączonych do internetu czy implantów medycznych. Atak za pomocą DNA może posłużyć wielu szkodliwym celom. Możliwe jest przedstawienie fałszywego profilu genetycznego, przez co pacjent będzie niewłaściwie leczony, mogą powstać syntetyczne organizmy szkodliwe dla człowieka, można też wykorzystać go w bardziej tradycyjny sposób, jak uzyskanie dostępu do danych medycznych, kradzieży własności intelektualnej czy zaszyfrowania bazy danych i domagania się okupu.
Profesor Kohno mówi, że gdy przeanalizował szeroko wykorzystywane opensource'owe oprogramowanie wykorzystywane do analizy DNA zauważył, iż jego twórcy nigdy nie wzięli pod uwagę możliwości dołączenia szkodliwego kodu do DNA, zatem nie zastosowali żadnych protokołów, by takiej możliwości zapobiec. Oprogramowaniu brakuje nawet najbardziej podstawowych zabezpieczeń. Naukowiec dodaje, że dotychczas nie są znane przypadki, by hakerzy syntetyzowali złośliwe DNA. Jednak, jako że techniki sekwencjonowania kodu genetycznego są coraz szerzej stosowane, znalezione luki w oprogramowaniu powinny być załatane.
Komentarze (10)
wilk, 16 sierpnia 2017, 13:51
To nie kwestia braku wyobraźni. To problem niechlujstwa. Nigdy się nie ufa danym wejściowym.
kwantylek, 16 sierpnia 2017, 15:21
Prawda.
I deadline'ów i efektywności budżetowej. Ale założę się, że brak wyobraźni grał w tym rolę, choć może bardziej ze strony menago. Ten kawałek pracy programistycznej zapewne nie został uwzględniony - menedżer raczej nie brał pod uwagę tego wektora ataku. Widać mało miał styczności z hard s-f
I choć programiści mogli o tym pomyśleć, to mieli ważniejsze rzeczy na głowie od zajmowania się tak mało prawdopodobnym przypadkiem.
Jajcenty, 16 sierpnia 2017, 16:05
Synteza DNA to nie jest gotowanie rosołu. Jeszcze dużo czasu upłynie zanim możliwość syntezy złośliwego DNA trafi pod strzechy. Problem rzeczywiście jednak jest. Nie trzeba syntezować DNA, wystarczy zamanipulować strumień danych z chromatografów, czy czym tam oni to DNA analizują.
Ogólnik. Pics or it didnt happen.
Podstawowe zabezpieczenia daje kompilator. Nie wyobrażam sobie by w oprogramowaniu OS gdziekolwiek jeszcze były proste dziury typu if(a=b).
Przyjmuję, że można zaszkodzić pacjentowi dolewając krowiej krwi do jego próbki DNA i super hiper medyczna AI zaleci coś dziwnego jako kurację, ale przepełnianie buforów i wykonywanie danych za pomocą spreparowanego DNA wydaje mi się nieco przesadne. Oprócz przepełnienia bufora trzeba jeszcze posłać kod wirusa/trojana. Byłoby bardziej wiarygodnie gdyby dokonano faktycznego ataku za pomocą spreparowanych danych wejściowych.
gooostaw, 16 sierpnia 2017, 16:49
A te wszystkie firmy które syntezują DNA na zlecenie? To nie jest tak że wysyłasz im kod mailem, wpłacasz kasę a oni odsyłają Ci próbkę?
Jajcenty, 16 sierpnia 2017, 17:32
Jaką największą długość mogę zamówić? Trzeba być masta żeby na 150-200 bajtach (bitach?) zmieścić się z czymś sensownym.
edit. Tym bardziej spodziewałbym bym się działającego kodu, zamiast wyrażania troski i ogólników. Choć przyznaję, taka forma ataku może być dostępna dla organizacji z dostępem do dużej gotówki.
mam nadzieję, że zostanie sklejone. Nie zmieściłem się w czasie na edit. Może należałoby brać do obliczeń moment rozpoczęcia edycji a nie naciskania submit?
edit 2: skleiło! Super.
Gość Astro, 16 sierpnia 2017, 17:46
Przy bardzo fajnej dyskusji chłopaków muszę przeprosić, że się wtrącam, ale OS tego rodzaju i deadline? Efektywność budżetowa? Niechlujność?
Podejrzewam raczej, że to doskonały sposób na zdobywanie środków finansowych dla otwartoźródłowych łebskich rozwiązań.
Dla tych, którzy zarzucają niechlujność proponuję (dla dobra ludzkości) wgryźć się trochę w temat i pomóc po godzinach...
thikim, 16 sierpnia 2017, 18:40
Równie dobrze możecie zarzucać niechlujstwo bo:
- skanery tęczówek nie są przygotowane do tego że za n lat ktoś oko sklonuje
- że ktoś używa klucza 256 bitowego a nie 65536 bitowego - bo kiedyś przecież komputery będą kwantowe
itd.
a ja zapytam, macie gwarancję że np. skanery oczu, obrazu, linii papilarnych są na to odporne?
Bo to jest bliższy problem.
A jeszcze bliższym jest to że niektóre programy rozpoznawania twarzy - mylą ziemniaka z twarzą osoby uprawnionej. O czym zresztą pisałem wcześniej.
I napiszę powtarzając: to dotyczy w mojej opinii większości metod biometrycznych. Aby zachować niski współczynnik odrzuceń twórcy musieli obniżyć poziom wiarygodności - do poziomu ziemniaka
wilk, 18 sierpnia 2017, 03:42
Ale to co wymieniłeś nie ma nic wspólnego z niechlujstwem, bo oprogramowanie w dalszym ciągu poprawnie będzie działać. Jedynie technologia umożliwi oszukiwanie. Analogią do tego co napisałeś byłoby gdyby sekwenator DNA rozpoznał kogoś za inną osobę. A to nie to samo, co wydzierganie sobie zawiłego wzorku na oku, by wprowadzić wirusa do skanera tęczówki. Co do ziemniaka — to ten sam problem. Winne jest samo przetwarzanie danych. To zupełnie inny rodzaj problemu. No chyba że ten ziemniak faktycznie powoduje nadpisanie czegoś w pamięci i program go rozpoznaje jako twarz.
OK, właśnie przeczytałem, że luki zostały celowo wprowadzone, by przetestować możliwość takiego ataku. Można się rozejść.
radar, 19 sierpnia 2017, 00:21
Tylko gwoli ścisłości:
http://www.polskieradio.pl/23/267/Artykul/668380,DNA-przechowa-dane-Bardzo-duzo-danych
Jajcenty, 19 sierpnia 2017, 08:10
Wiedziałem, że ktoś mi to wyciągnie. Ten sam zespół zrobił też coś takiego: Nagrywarka gifa w E. coli nowsze i spektakularne.
Formalnie nie odpowiedziałeś na pytanie: jaką długość mogę zamówić? Co jest dostępne dla wanna be master of all evil?
Nie twierdzę, że nie jest możliwe spreparowanie DNA, twierdzę, że nie jest to osiągalne domowymi metodami. Podobnie wiemy, że możliwa jest produkcja układów scalonych ale jakoś nie słychać o fałszerstwach procesorów czy kontrolerów domowymi sposobami. Przecież to szybki szpil jest: produkuję zawirusowane I7 i opycham za półdarmo na serwisach aukcyjnych by już po chwili cieszyć się nieskrępowanym dostępem do setek komputerów. Co stoi na przeszkodzie? Przecież na wiki jest wszystko o tym jak się robi układy scalone
p.s. Tak wiem, są organizacje mające dostateczne środki jak i sposoby wywierania nacisku by przeprowadzić taki atak.