在今年三月,有研究人员已经成功地将数字信息存储到DNA之上,其中包括一个完整的操作系统、一部电影、一张亚马逊礼品卡、一份研究报告甚至是一个计算机病毒。
事实上,如果有人将恶意程序存储到DNA中,它真的就会像一个受感染的USB存储设备一样,去劫持甚至读取你的电脑内容。
最近来自西雅图华盛顿大学的一组研究人员则演示了首个基于DNA的exp,他们将恶意代码写到了合成DNA螺旋之上。
为了达到这个目标,研究人员首先构建了“生物恶意程序”,然后将其编码到一小段DNA之上,当DNA测序仪读取数据的时候,恶意代码就能彻底控制处理这段基因数据的计算机。
DNA处理软件本身就存在很多不安全因素,其中包含不安全的函数调用、缓冲区溢出等。
“我们分析了13个常用的开放源代码程序的安全性,他们都是采用C / C ++编写的程序,”该研究论文题目为“"Computer Security, Privacy, and DNA Sequencing: Compromising Computers with Synthesized DNA, Privacy Leaks, and More."全文在这里
研究人员发现现有的生物分析程序存在很多不安全的C语言库函数调用,也就是说DNA处理软件并未采用现代主流的软件安全实践。
为了创建生物恶意软件,研究人员将简单的计算机程序翻译成短的176个DNA字母,分别表示为A,G,C和T,每个代表一个二进制对(A = 00,C = 01,G = 10 ,T = 11)。
而系统漏洞则利用了基本的缓冲区溢出并发起攻击,这其中有一个软件程序负责执行恶意命令,因为它超出了最大长度。实际上,这个恶意命令连接到了该团队所控制的服务器,所以,研究人员也在实验室控制了一台计算机,用于分析该DNA文件。
研究人员说:“我们的漏洞没有针对生物学家在现场使用的程序,而是通过修改来使得其包含一个已知的漏洞,进而进行研究。”
也许这种漏洞很快就不会对我们再造成任何威胁了,但还需要注意的是,黑客将来可能会使用我们无意间泄露的DNA样本来获取电脑密码,并窃取信息,甚至可因此能攻击法医实验室,医院和医院安装的DNA数据存储中心医疗设备。
在下周的Usenix安全研究会议上,研究人员将首谈“计算机系统中基于DNA 的exp”,深入解释这种攻击方式,有兴趣的可以阅读到时发布的研究报告。
154
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
