生物學(xué)家DNA的時候,他們盡量不產(chǎn)生或擴散可用于制造毒素或傳染病的基因代碼片段。但一組生物黑客證明了DNA可攜帶讓人意想不到的威脅——不感染人類或動物,而是感染計算機的病毒。
在8月10日的USENIX安全大會上展示的新研究中,華盛頓大學(xué)的研究團隊首次展示了將惡意軟件編碼進實體DNA鏈的可能性。被編碼的DNA序列接受基因測序儀分析時,其結(jié)果數(shù)據(jù)就會變身成一段程序,破壞基因測序軟件進而控制底層電腦。
雖然該攻擊遠(yuǎn)未達到間諜或罪犯可實際使用的程度,但隨著DNA測序越來越普及和強大,且可由第三方服務(wù)在敏感計算機系統(tǒng)上進行,該攻擊投入實用的可能性也隨時間推移而增加。而且,對網(wǎng)絡(luò)安全社區(qū)而言,它還代表著純黑客智慧的一種科幻小說式令人印象深刻的壯舉。
主管該項目的華盛頓大學(xué)計算機科學(xué)教授河野忠義,將該技術(shù)與在網(wǎng)頁或電郵附件中打包進惡意代碼的傳統(tǒng)黑客攻擊相比較,稱:“我們知道,如果對手控制了計算機正在處理的數(shù)據(jù),就有可能接管該計算機的控制權(quán)。這意味著,當(dāng)你審查計算生物學(xué)系統(tǒng)時,你要考慮的不僅僅是網(wǎng)絡(luò)連接性、U盤和電腦前坐著的操作員,還要考慮他們正在測序的DNA里存儲的信息。這是完全不同的一類威脅。”
科幻小說式的黑客攻擊
目前為止,該威脅還停留在邁克爾·克萊頓科幻小說情節(jié)的程度,還算不上計算生物學(xué)家應(yīng)該關(guān)心的問題。但隨著基因測序越來越多地被集中式服務(wù)處理——通常由擁有昂貴基因測序設(shè)備的大學(xué)實驗室執(zhí)行,該依托DNA的惡意軟件攻擊在一步步邁向現(xiàn)實。尤其是在DNA樣本來自外部源,很難進行恰當(dāng)?shù)膶彶榈那闆r下。
如果黑客確實實現(xiàn)了該攻擊,他們就有可能獲得寶貴的知識產(chǎn)權(quán),或者污染基因分析結(jié)果,比如罪犯DNA檢測。公司企業(yè)甚至可以在轉(zhuǎn)基因產(chǎn)品的DNA中植入惡意代碼,作為保護商業(yè)機密的一種方式。在未來,會出現(xiàn)很多有趣,或者說恐怖的此類應(yīng)用。
然而,不管研究的實際原因是什么,僅僅在DNA片段存儲的信息上打造計算機攻擊——所謂“漏洞利用”,就代表了華盛頓大學(xué)研究團隊史詩般的黑客大挑戰(zhàn)。研究人員從編寫著名的“緩沖區(qū)溢出”漏洞利用程序開始,填充計算機內(nèi)存中為特定數(shù)據(jù)開辟的存儲空間,然后溢出蔓延到另一塊內(nèi)存以植入其惡意指令。
但在實際DNA中編碼該攻擊,比他們原先預(yù)計的要困難。DNA測序,是通過將DNA與DNA基本代碼單元(A/T/G/C堿基)綁定的化學(xué)物質(zhì)相混合,再將不同堿基發(fā)出的色光攝入DNA分子照片中進行分析。為加速這一過程,百萬堿基的圖像被分割成數(shù)千塊數(shù)據(jù)并行分析。因此,構(gòu)成攻擊的所有數(shù)據(jù)也必須嵌進數(shù)百個堿基中,以增加在測序儀并行處理過程中完好無損的概率。
研究人員以A、T、G、C四種堿基的形式將他們精心構(gòu)造的攻擊發(fā)往 Integrated DNA Technologies 公司的DNA合成服務(wù)時,他們發(fā)現(xiàn)DNA還有其他物理限制。為使DNA樣本保持穩(wěn)定,他們不得不保留一定比例的G-C和A-T配對,因為DNA自然穩(wěn)定性就取決于這些配對的固定比例。而緩沖區(qū)溢出往往需要用同一串?dāng)?shù)據(jù)重復(fù)填充,會導(dǎo)致DNA鏈自行折疊。所有這些意味著,他們不得反復(fù)重寫漏洞利用代碼,找出可以作為實際DNA存活下來的形式,供合成服務(wù)最終在手指大小的塑料瓶里發(fā)給他們。
其結(jié)果,最終就是一段能挺過從實體DNA翻譯到數(shù)字DNA的攻擊軟件——藏在用于存儲DNA序列的FASTQ中。當(dāng)該FASTQ文件用常見壓縮程序fqzcomp壓縮——FASTQ文件因可展開到數(shù)GB文本而往往需要壓縮,就會用其緩沖區(qū)溢出漏洞黑了壓縮軟件并突破該程序限制,進入運行該壓縮程序的計算機內(nèi)存,執(zhí)行其攜帶的任意指令。
遙遠(yuǎn)的威脅
即便如此,該攻擊完全翻譯率也僅有37%,因為測序儀的并行處理往往會將其截斷,或者遭遇在物理對象上編寫代碼的噩夢——程序逆向解碼。DNA片段可正向也可逆向測序,但代碼只能正向解析。研究人員認(rèn)為,將來的改進版可以將攻擊設(shè)計成回文模式。
研究人員承認(rèn),除了該曲折又不可靠的過程,他們的概念驗證中還有踩著作弊邊緣的一些抄近道的方式。
他們沒有像真實的黑客那樣利用fqzcomp壓縮程序的現(xiàn)有漏洞,而是直接修改了該程序開源代碼來插入他們自己的漏洞,供緩沖區(qū)溢出使用。但撇開撰寫DNA攻擊代碼來利用他們?nèi)藶槁┒窗姹镜膄qzcomp,研究人員還對常見DNA測序軟件做了調(diào)查,發(fā)現(xiàn)常用程序中存在3個切實的緩沖區(qū)溢出漏洞。此類軟件在設(shè)計時很多都沒考慮過安全因素,意味著未來的黑客可以在更現(xiàn)實的環(huán)境中實施該攻擊,尤其是當(dāng)更強大的基因測序儀開始分析可以更好保存漏洞利用代碼的更大數(shù)據(jù)塊的時候。
毋庸置疑,基于DNA的任何可能的黑客攻擊離我們都還有數(shù)年之遙?;驕y序設(shè)備主流制造商Illumina,在一份回應(yīng)華盛頓大學(xué)報紙的聲明中稱,“這是一項關(guān)于潛在長期風(fēng)險的有趣研究。我們贊同這項研究的前提,即這不會構(gòu)成迫在眉睫的威脅,也不是典型的網(wǎng)絡(luò)安全能力。我們非常警惕,定期對我們的軟件和設(shè)備進行安全評估。我們歡迎任何研究,只要這些研究能圍繞確保DNA合成、測序和處理的安全與隱私,創(chuàng)建關(guān)于未來框架與指南的對話。”
但撇開黑客不談,使用DNA來處理電腦信息正在慢慢成為現(xiàn)實——最近在DNA樣本中編碼了一段視頻的哈佛團隊成員賽斯·希普曼說。該存儲方法雖然現(xiàn)在還主要是理論上的,但終有一天會讓數(shù)據(jù)能夠保存幾百年之久——感謝DNA比閃存或硬盤的磁性編碼長久得多的結(jié)構(gòu)維持能力。而且,如果基于DNA的計算機存儲真的來臨,基于DNA的計算機攻擊也就不那么遙不可及了。
希普曼說:“讀這篇論文的時候我臉上帶笑,因為我覺得這真的很聰明。這是不是我們應(yīng)該從現(xiàn)在就開始審查的東西呢?”隨著基于DNA的數(shù)據(jù)時代可能即將到來,在DNA中植入惡意代碼的能力就不僅僅是黑客的小把戲了。
在未來的某個時候,當(dāng)更多信息存儲在DNA中,被頻繁輸入和排序,我們將會慶幸于現(xiàn)在就開始思考這些事情。