通过人工合成DNA,攻击者可以完成远程代码的执行
对于计算机病毒,我们似乎早已司空见惯,电脑木马或病毒可能隐藏于打开的每一个网页中,一不小心就可能被下载到电脑中。这发生于我们每天的日常生活中,任何IT“菜鸟”都知道下载杀毒软件并装一个免费的360卫士,定期给自己的“爱机”体检。
但我们可能不了解,威胁生物系统的代码和恶意软件与可能与威胁计算机系统的截然不同。你可以认为小编我是在夸大其词,这些IT黑客和测序系统间似乎隔着十万八千里。但不幸的是,任何与计算生物学或生物信息打交道的人都需要抛弃身上对信息安全的错误认识。日前,华盛顿大学的计算科学家团队已经证明,这种能够跨越生物和计算鸿沟的代码,已经为生物信息带来了更多潜在的不安全性。
研究团队首次证明,虽然这一过程颇具挑战,但使用合成DNA存储恶意代码并对计算机系统进行入侵和破坏是完全可能的。当这种DNA被测序并分析时,代码就会变成一个可执行的恶意软件,攻击运行软件的计算机或测序系统。该团队还分析了常见的开源DNA处理程序的安全情况,发现目前整个领域的信息安全状况十分差。据悉,更多的研究细节将于8月17日在温哥华举行的第26届USENIX安全研讨会上发布。
植入恶意软件的合成DNA
研究人员表示:“我们的研究证明,当这些合成DNA的序列被测序和分析时,就会执行相应的远程代码。为了研究DNA漏洞的可行性,我们对一个测序工具进行了攻击。在测序之后,我们观察到这一攻击导致的数据泄露。这促使我们首次讨论如何防止利用这种其渠道来注入数据或泄露敏感信息。”
他们还强调,虽然到目前为止,还没有证据显示DNA合成、测序和处理服务的恶意攻击。但是,这一安全漏洞很可能让他人获得计算机系统的控制权,进而获取个人信息,操纵测序的结果,甚至获取公司的知识产权。研究人员也表示,随着分子领域和电子世界越来越紧密的结合,人们应该考虑到潜在的危险。他们并不想引起公众的恐慌,也并非让人们远离遗传检测,但目前从业者应该防患于未然,避免这样的情况发生。
华盛顿大学计算机科学与工程学院教授Paul G. Allen预计,按照目前的发展轨迹,这一情况很可能在10年内出现。华盛顿大学安全和隐私研究实验室及分子信息系统实验室(MISL)的研究人员也提出了加强DNA合成、测序和分析以及计算机安全和隐私保护的相关建议。
此外,研究小组还发现了许多开源软件程序中的安全漏洞。随着DNA测序的成本在过去十年急剧下降,开源程序在医疗和消费级产品中被广泛应用。这些软件大多为小型研究小组开发,因此更易受到攻击,也很可能会成为黑客获取数据的首要目标。
当然,目前DNA恶意软件并不会构成太大的安全隐患。研究人员承认,为了成功实施入侵,他们创造了“最有可能”成功入侵的条件,包括关闭了安全功能,甚至在很少使用的生物信息程序中添加了一个漏洞。在以科研为主的时代,或许没什么人会琢磨这些,但随着测序数据商业中越来越重要的价值,终有一天会有人利用这类方法进行盗取甚至篡改数据,这只是时间问题。
本文由 SEQ.CN 作者:王迪 发表,转载请注明来源!