美国华盛顿大学(University of Washington)的研究人员证实,生物黑客(biohacker)只需使用可广泛取得的工具,就能在脱氧核醣核酸(DNA)的合成链中植入恶意软件,从而使其得以接管分析DNA的计算机。研究人员们将在近期于加拿大温哥华举行的2017年USENIX安全研讨会(2017 USENIX Security Symposium)上展示其研究成果。 20170817-DNA-1 图1:美国华盛顿大学的研究人员证实,黑客可能利用储存于DNA中的信息来破坏计算机(来源:Dennis Wise/University of Washington)

利用病毒、蠕虫、特洛伊木马(Trojan horse)、后门程序或其他更糟糕的恶意威胁,造成计算机中毒或瘫痪,一直都属于由不法程序人员所编写的数字软件领域。而今,华盛顿大学的研究人员彻底改变了这个模式,他们以恶意软件感染DNA链、破坏基因测序软件分析,并控制了连接至基因测序仪的计算机。 20170817-DNA-2 图2:从DNA测序计算机的输出包括黑客的漏洞程序代码;每个点代表特定样本中的一条DNA链 (来源:Dennis Wise/University of Washington)

根据华盛顿大学教授Tadayoshi Kohno,黑客已经证明生物DNA可能导致计算机中毒。他较早之前曾经呼吁业界重视连网汽车与植入式医疗装置的脆弱性。如果计算机因此被感染,可能会误导医生为治愈疾病而诠释的遗传特征;可能导致人造器官伤害人类;或是执行一些较传统的恶意软件功能,例如将计算机改装成黑客的奴隶,供其随意的存取个人资料、改变测试结果、窃取知识财产权(IP),或甚至是在勒索软件的攻击中挟持DNA数据库。

Kohno表示,他注意到计算机程序码的1与0类似于编码DNA链的C、G、T和A后,也发现它可能存在的脆弱性。经过一番研究探勘后,他发现开发人员们通常使用广泛可得的开放来源软件分析DNA遗传密码,却从来没想过在合成DNA链编码恶意软件的可能性,因而也就不曾启用安全协议加以预防。尤其是当今所使用的开放来源工具套件中,在其编程中连最常见的安全措施也没有。 20170817-DNA-3 图3:将DNA链测序分解为——胞嘧啶(C)、鸟嘌呤(G)、胸腺嘧啶(T)和腺嘌呤(A)以及更高质量的腺嘌呤(E)后,其分析可能易于导致以恶意软件编码而为黑客打开后门攻击 (来源:Dennis Wise/University of Washington)

Kohno强调,目前还没有黑客真正合成恶意软件DNA的已知案例。随着近年来针对成年人、儿童甚至胚胎的遗传密码进行排序的做法越来越普遍,然而,必须尽快堵住可能导致恶意软件感染的安全漏洞。

华盛顿大学的研究人员在该校的安全和隐私研究实验室(Security and Privacy Research Lab)进行研究,并获得了UW Tech Policy Lab、Short-Dooley Professorship和Torode Family Professorship的资助。

随着这项研究发现的公布,研究团队开始提出一些具体的手段和策略,让进行DNA分析的生命体开发人员能立即建置安全防护机制,以避免黑客入侵并利用现有的漏洞。 20170817-DNA-4 图4:华盛顿大学分子信息系统实验室(Molecular Information Systems Lab)的研究人员Lee Organick、Karl Koscher和Peter Ney正准备测试DNA (来源:Dennis Wise/University of Washington)

同时,在毗邻的分子信息系统实验室中,研究人员正在致力于为合成DNA的定序、分析与储存链打造安全的系统。

2017-ESM-1