张云
作者很懒,什么都没留下

2

文章/篇

2.0万

阅读/次

拜访信息

为了给您提供更快更好的服务,在获取作者联系方式前,想对您有个简单了解. 邀请您填写如下信息

提交成功

非常感谢您的配合,我们的作者会尽快通过您的微信,
请耐心等待~

微信号

15701235851

生物黑客入侵新手段:借助DNA链编码恶意软件

张云
2017-08-16 · 16:46
[ 亿欧导读 ] 生物学家在合成DNA时并没有创造和延展危险的基因编码,但是生物黑客却利用该“漏洞”编码恶意软件,从而控制计算机。
基因,DNA,恶意软件,生物黑客,计算机,DNA测序

文章来源于:张云,图片来自“123rf.com.cn”

生物学家在合成DNA时并没有创造和延展危险的基因编码,这种基因编码可以用来创造毒素甚至是遗传病。但是生物黑客却演示这一过程,这种威胁不是针对人或动物,而是作用于计算机

来自于华尔顿大学的研究表明恶意软件可以借助DNA物理链进行编码,因此,当基因测序仪对其进行分析时,得到的数据结果就会成为一个破坏基因测序软件,把那个控制底层计算机的程序。虽然这种攻击对现实的间谍和罪犯来说远非实际可行,但是研究人员认为随着时间的推移,他们的担忧很有可能就会实现。因为DNA测序会变得更为普遍,更为强大,并且会由第三方机构在更为灵敏的电脑系统中操作。这对于网络安全社区来说也更为重要。

华盛顿大学计算机科学专业的教授Tadayoshi Kohno曾领导将该技术与传统的黑客攻击,即在网页或电子邮件附件中的恶意代码,进行了比较。他说:“我们知道,如果一个攻击者控制了电脑正在处理的数据,那么他就很有可能操控这台电脑。这意味着当你关注计算生物学系统的安全性时,你不仅要考虑到网络连接、USB驱动器以及电脑用户的问题,还要考虑存储在DNA中的信息的排序情况。这是一个关于考虑不同程度的威胁的问题。”

科幻黑客

目前,这种威胁与其说是关于计算机生物学家的故事,倒不如说是迈克尔·克莱顿小说中的一个情节。但是随着基因测序越来越多地被集中服务处理——通常由拥有昂贵基因测序设备的大学实验室管理,DNA传播的恶意软件会变得更加逼真。然而尤其是是考虑到DNA样本来自外部资源,我们难以对其进行适当的审查。

研究人员说,如果黑客成功了,他们可能获得宝贵的知识产权,或者可能沾染遗传分析,比如说刑事DNA测试。研究人员表示,公司甚至可能将恶意代码植入转基因产品的DNA中,以此保护商业秘密。项目研究人员Peter Ney说:“将来会出现更多的应用,趣味性与危险性并存。”

仅仅依靠存储在DNA链中的信息来构建计算机攻击的概念(人们称之为“漏洞利用”)对于华盛顿大学的团队来说无疑是一项史诗般的挑战。为此研究人员先是编写了一个众所周知的“缓冲区溢出”漏洞,旨在填补计算机内存中用于某一段数据的内存空间,然后泄漏到内存的另一部分,从而建立自己的恶意命令。

在实际DNA中编码攻击比他们最初想象的困难得多。DNA测序仪的工作原理是将DNA和与DNA的基本单位中不同的化学物质(化学碱基a、t、g和c)混合在一起。并且不同的DNA发出不同颜色的光,这些光在DNA分子的照片中得以捕捉。为了加速处理,数百万个碱基的图像被分割成千上万块,然后对其进行平行分析。因此,构成攻击的所有数据必须嵌入几百个碱基当中,这样才能增加DNA在整个测序器并行处理过程中保持不变的可能性。

研究人员将他们精心设计的攻击以A、T、G和C碱基的形式整合到DNA合成服务集成DNA技术领域,同时他们发现DNA还会受到其他物理变量的影响。为了保持DNA样本的稳定性,研究者必须保持特定数量比例的G、C、A和T碱基,因为DNA的自然稳定性取决于A-T和G-C碱基配对的常规比例。然而缓冲区溢漏洞经常使用相同的数据串,从而导致了DNA链的自身配对。这意味着,该研究小组不得不反复编制开发代码,从而找到一种可以像真正的DNA一样存活的形式,最终合成服务会用邮件的形式把这些代码发送一个手指大小的塑料瓶内。

这就研发出了一种攻击软件,它可以在我们将DNA转换成数字格式的过程中保留下来。我们把这种软件为FASTO,并且用它来存储DNA序列。我们之所以像压缩fqzcomp这样的常见压缩软件一样的,也把FASTO文件压缩起来,是为了避免其扩展到GB的文本,使用缓冲区溢出漏洞来攻击压缩软件然后中断其程序,从而进入计算机的内存中运行其自己的所有命令。

遥远的威胁

即使如此,我们也只译出了攻击中的百分之三十七,因为测序器的并行处理通常会将其缩短。写入代码的另一个危害就是程序向后解码。(一串DNA可以向任何方向排序,但是代码只能在一个方向上读取。研究人员在论文中表明,攻击的改进版本将会像回文一样。)

研究人员说,尽管这一过程曲折且不可靠,但是他们仍然需要采取捷径来证实那近乎欺骗性的想法。这些研究人员没有像现实世界的黑客一样仅仅利用fqzcomp程序的现有漏洞,而是修改了程序的开放源代码,以此填补自己缓冲区溢出的缺陷。然而除了编写DNA攻击代码来开发fqzcomp中人为制造的易受攻击的版本外,研究人员还对常见的DNA测序软件进行了审查,还在公共程序中发现了三个实际的缓冲区溢出漏洞。Ney说:“有很多这样的软件并没有考虑到其安全性。”研究人员说,这表明,将来黑客也许能够在更现实的环境中摆脱攻击,尤其是在更强大的基因测序器开始分析更大的数据块之时,从而更好的保护开发代码。

不用说,出现任何基于DNA的黑客行为都是好多年之后的事情了。基因测序设备的领先制造商Illumina在回应华盛顿大学论文的声明中说,“这是关于长期潜在风险的有趣研究。我们同意此次研究的前提,即这不会构成迫在眉睫的威胁,也不是典型的网络安全问题”。公司首席信息安全官Jason Callahan说,“我们很警惕,并且定期评估我们的软件和工具的保障措施。我们欢迎任何研究,围绕广泛的未来框架和准则开展对话,以保障DNA合成、测序和处理过程中的安全并且维护其隐私。”

但是除黑客行为之外,使用DNA来处理计算机信息也正在慢慢变成现实。Seth Shipman是哈佛大学研究小组的一名成员,这个小组最近在DNA样本中编码了一段视频。他说虽然到目前为止这种储存方法主要是理论上的,但是在闪存或硬盘驱动器中,DNA保持其结构的能力远远大于磁性编码的能力,因此实现数据保存数百年之久指日可待。如果基于DNA的计算机存储时代即将到来,那么基于DNA的计算机攻击技术听起来也许就没有那么牵强了。

Seth Shipman表示,随着一个基于DNA数据的时代的慢慢到来,研究者在DNA上植入恶意代码的能力要超过一个黑客的小把戏。在将来,当更多的信息存储在DNA中,并进行不断地输入和排序时,我们会因为已经开始提前考虑这些事情而感到庆幸。

本文经授权发布,版权归原作者所有;内容为作者独立观点,不代表亿欧立场。如需转载请联系原作者。

各工作岗位将被AI取代的概率

选择岗位,查看结果

制图员和摄影师

87.9%

广告

参与评论

最新文章

1、 若贵平台是网站或者APP,在进行单篇原创文章转载时,需在文章标题或者导语下方,注明文章来源以及作者名称;若寻求5篇及以上的长期内容合作,需与亿欧公司内容运营部门取得联系,并签订转载合作协议。

【若贵司平台转载亿欧公司原创文章已经超过5篇,请及时与我们联系补签转载合作协议,计算时间以2019年2月10日之后为准】

2、 若贵平台是微信公众号,在进行单篇原创文章转载时,请联系亿欧公司内容运营人员进行单篇文章的白名单开通,同样需要注明文章来源及作者名称;若寻求2篇及以上的长期内容合作,需与亿欧公司内容运营部门取得联系,并签订转载合作协议。可将公司全称(简称)、公司网址、微信公众号、微信或者电话等信息发送至hezuo@iyiou.com,会有工作人员与您取得联系。

关闭

快来扫描二维码,参与话题讨论吧!

快捷登录 密码登录
获取验证码

新用户登录后自动创建账号

登录表示你已阅读并同意《亿欧用户协议》

快捷登录 密码登录

账号为用户名/邮箱的用户 选择人工找回

关联已有账户

新用户或忘记密码请选择,快捷绑定

账号为用户名/邮箱的用户 选择人工找回

快速注册

获取验证码

创建关联新账户

发送验证码

找回密码

获取验证码
账号为用户名 / 邮箱的用户 选择人工找回

未完成注册的用户需设置密码

如果你遇到下面的问题

我在注册/找回密码的过程中无法收到手机短信消

我先前用E-mail注册过亿欧网但是现在没有办法通过它登录,我想找回账号

其他问题导致我无法成功的登录/注册

请发送邮箱到service@iyiou.com,说明自己在登录过程中遇到的问题,工作人员将会第一时间为您提供帮助

账号密码登录

乐乐呵呵@微信昵称

该亿欧账号尚未关联亿欧网账户

关联已有账户

曾经使用手机注册过亿欧网账户的用户

创建并关联新账户

曾用微信登录亿欧网但没有用手机注册过亿欧的用户

没有注册过亿欧网的新用户

先前使用邮箱注册亿欧网的老用户,请点击这里进入特别通道
意见反馈
意见反馈
亿欧公众号 亿欧公众号
小程序-亿欧plus 小程序-亿欧plus
返回顶部