美科学家首次利用DNA攻击计算机 目前风险不大

2017-08-11 10:14 腾讯数码

打印 放大 缩小

据《麻省理工科技评论》网站报道,研究人员称,他们把恶意代码植入基因微粒中,然后控制了用来对基因测序数据进行分析的计算机。这可能是全球首例利用DNA成功攻击计算机软件事件。

这款生物恶意件是由美国华盛顿大学研究人员开发的。研究人员把这次攻击称作首次“基于DNA的计算机系统入侵活动”。

为了实施这次攻击,由大仓河野(tadayoshi kohno)和路易斯·赛兹(Luiz Ceze)领导的研究团队,把恶意件编码到从网上购买的一小段DNA上,然后对这段DNA进行测序,在一台计算机试图处理测序数据时获得了这台计算机的“完全控制权”。

研究人员警告,有朝一日黑客可以利用动过手脚的血液或唾液样本,入侵大学计算机,窃取警方法医实验室信息,或感染科学家共享的基因数据文件。

目前DNA恶意件不会构成太大的安全威胁。研究人员承认,为了成功实施入侵,他们创造了“最可能成功”的入侵条件,例如关闭了安全功能,甚至在一款不经常使用的生物信息学软件中加入了一处缺陷。

家谱网站MyHertige.com首席科学官、遗传学家、程序员雅尼夫·埃利克(Yaniv Erlich)表示,“他们的入侵方法基本上是不切合实际的。”

大仓河野还是首批演示如何通过诊断接口入侵汽车的首批研究人员之一。后来,大仓河野还曾利用蓝牙连接对汽车发动攻击,从而获得汽车的远程控制权。

该研究团队将出席下周在温哥华举行的Usenix安全研讨会,公布有关DNA恶意件攻击的研究成果。大仓河野的安全和隐私研究实验室研究生彼得·奈伊(Peter Ney)说,“我们关注新兴技术,调查它们是否隐藏有潜在的安全威胁,以提前应对。”

《麻省理工科技评论》表示,为了制作恶意件,研究人员将一条计算机命令转换为由176个DNA碱基(用A、G、C和T表示)组成的短链。以89美元(约合人民币594元)的价格订购DNA后,研究人员对购买的DNA进行测序,测序结果以二进制方式存储。

埃利克说,攻击利用了所谓的溢出效应,即超出存储缓冲区的数据会被解释为计算机命令。在这次研究中,计算机命令会联系由大仓河野团队控制的一台服务器,研究团队通过服务器控制实验室中用来对DNA文件进行分析的计算机。

制造合成DNA链、向科学家邮寄合成DNA链的公司,已经提高对恐怖分子的警惕。研究人员表示,未来他们可能还需要检查DNA序列是否会危及计算机系统安全。

《麻省理工科技评论》称,华盛顿大学研究团队还警告说,由于基因数据越来越多地出现在网络上,甚至能通过应用商店获取,黑客可能采用更传统的手段对基因数据下手。

英国桑格研究所生物信息学专家詹姆士·邦菲尔德(James Bonfield)表示,在有些情况下,用来整理和分析DNA数据的科学软件通常不会得到积极维护,这可能会带来风险。邦菲尔德说,华盛顿大学研究人员攻击的软件就是由他编写的,这个名为“fqzcomp”的小软件,是为参加一次文件压缩竞赛而进行的一次实验,可能从未被部署过。

责任编辑:陈群(QT0001)