Skocz do zawartości


Zdjęcie

Zmanipulowane DNA pozwala na zaatakowanie komputera


  • Zaloguj się, aby dodać odpowiedź
10 odpowiedzi w tym temacie

#1 KopalniaWiedzy.pl

Napisano 16 sierpień 2017 - 11:08

Badacze z University of Washington udowodnili, że dzięki łatwo dostępnym narzędziom hakerzy mogą dołączyć szkodliwy kod do... zsyntetyzowanych łańcuchów DNA i dzięki temu przejąć kontrolę nad komputerem wykonującym analizę DNA. Szczegóły ataku zostaną zaprezentowane podczas przyszłotygodniowego 2017 USENIC Security Symposium.

Od dziesiątków lat komputery są infekowane za pomocą szkodliwego oprogramowania. Teraz jednak mamy do czynienia z czymś zupełnie nowym. Atak polega bowiem na zainfekowaniu DNA i wykorzystaniu sekwencjonatora do przejęcia kontroli nad podłączonym doń komputerem.

Praca naukowców z UW dowodzi, że biologiczne DNA może zostać wykorzystane do ataku na komputer, stwierdzil profesor Tadayoshi Kohno. Naukowiec ten znany jest też z wcześniejszych prac nad bezpieczeństwem samochodów podłączonych do internetu czy implantów medycznych. Atak za pomocą DNA może posłużyć wielu szkodliwym celom. Możliwe jest przedstawienie fałszywego profilu genetycznego, przez co pacjent będzie niewłaściwie leczony, mogą powstać syntetyczne organizmy szkodliwe dla człowieka, można też wykorzystać go w bardziej tradycyjny sposób, jak uzyskanie dostępu do danych medycznych, kradzieży własności intelektualnej czy zaszyfrowania bazy danych i domagania się okupu.

Profesor Kohno mówi, że gdy przeanalizował szeroko wykorzystywane opensource'owe oprogramowanie wykorzystywane do analizy DNA zauważył, iż jego twórcy nigdy nie wzięli pod uwagę możliwości dołączenia szkodliwego kodu do DNA, zatem nie zastosowali żadnych protokołów, by takiej możliwości zapobiec. Oprogramowaniu brakuje nawet najbardziej podstawowych zabezpieczeń. Naukowiec dodaje, że dotychczas nie są znane przypadki, by hakerzy syntetyzowali złośliwe DNA. Jednak, jako że techniki sekwencjonowania kodu genetycznego są coraz szerzej stosowane, znalezione luki w oprogramowaniu powinny być załatane.


« powrót do artykułu
  • 0

Reklamy Google

#2 wilk

wilk

    wilk wilkowy

  • Administratorzy
  • 3106 postów
  • LokalizacjaIRCnet

Napisano 16 sierpień 2017 - 12:51

twórcy nigdy nie wzięli pod uwagę możliwości dołączenia szkodliwego kodu do DNA, zatem nie zastosowali żadnych protokołów, by takiej możliwości zapobiec

 

To nie kwestia braku wyobraźni. To problem niechlujstwa. Nigdy się nie ufa danym wejściowym.


  • 0

#3 kwantylek

kwantylek

    Górnik

  • Nowi użytkownicy
  • Pip
  • 8 postów

Napisano 16 sierpień 2017 - 14:21

Nigdy się nie ufa danym wejściowym.

Prawda.

 

To nie kwestia braku wyobraźni. To problem niechlujstwa.

I deadline'ów i efektywności budżetowej. Ale założę się, że brak wyobraźni grał w tym rolę, choć może bardziej ze strony menago. Ten kawałek pracy programistycznej zapewne nie został uwzględniony - menedżer raczej nie brał pod uwagę tego wektora ataku. Widać mało miał styczności z hard s-f ;)

I choć programiści mogli o tym pomyśleć, to mieli ważniejsze rzeczy na głowie od zajmowania się tak mało prawdopodobnym przypadkiem.


  • 0

#4 Jajcenty

Jajcenty

    padawan młody

  • Użytkownicy
  • PipPipPipPipPipPip
  • 3280 postów

Napisano 16 sierpień 2017 - 15:05

Naukowiec dodaje, że dotychczas nie są znane przypadki, by hakerzy syntetyzowali złośliwe DNA. Jednak, jako że techniki sekwencjonowania kodu genetycznego są coraz szerzej stosowane, znalezione luki w oprogramowaniu powinny być załatane.

Synteza DNA to nie jest gotowanie rosołu. Jeszcze dużo czasu upłynie zanim możliwość syntezy złośliwego DNA trafi pod strzechy. Problem rzeczywiście jednak jest. Nie trzeba syntezować DNA, wystarczy zamanipulować strumień danych z chromatografów, czy czym tam oni to DNA analizują. 

 

Oprogramowaniu brakuje nawet najbardziej podstawowych zabezpieczeń.

Ogólnik. Pics or it didnt happen.

Podstawowe zabezpieczenia daje kompilator. Nie wyobrażam sobie by w oprogramowaniu OS gdziekolwiek jeszcze były proste dziury typu if(a=b).

Przyjmuję, że można zaszkodzić pacjentowi dolewając krowiej krwi do jego próbki DNA i super hiper medyczna AI zaleci coś dziwnego jako kurację, ale przepełnianie buforów i wykonywanie danych za pomocą spreparowanego DNA wydaje mi się nieco przesadne. Oprócz przepełnienia bufora trzeba jeszcze posłać kod wirusa/trojana. Byłoby bardziej wiarygodnie gdyby dokonano faktycznego ataku za pomocą spreparowanych danych wejściowych.


  • 0

#5 0pako0

0pako0

    Górnik

  • Użytkownicy
  • Pip
  • 47 postów

Napisano 16 sierpień 2017 - 15:49

Synteza DNA to nie jest gotowanie rosołu. Jeszcze dużo czasu upłynie zanim możliwość syntezy złośliwego DNA trafi pod strzechy.

 

A te wszystkie firmy które syntezują DNA na zlecenie? To nie jest tak że wysyłasz im kod mailem, wpłacasz kasę a oni odsyłają Ci próbkę?


  • 0

#6 Jajcenty

Jajcenty

    padawan młody

  • Użytkownicy
  • PipPipPipPipPipPip
  • 3280 postów

Napisano 16 sierpień 2017 - 16:32

A te wszystkie firmy które syntezują DNA na zlecenie? To nie jest tak że wysyłasz im kod mailem, wpłacasz kasę a oni odsyłają Ci próbkę?

Jaką największą długość mogę zamówić?  Trzeba być masta żeby na 150-200 bajtach (bitach?) zmieścić się z czymś sensownym.


 

edit. Tym bardziej spodziewałbym bym się działającego kodu, zamiast wyrażania troski i ogólników. Choć przyznaję, taka forma ataku może być dostępna dla organizacji z dostępem do dużej gotówki.

 

mam nadzieję, że zostanie sklejone. Nie zmieściłem się w czasie na edit. Może należałoby brać do obliczeń moment rozpoczęcia edycji a nie naciskania submit?

 

edit 2:  skleiło! Super.


Użytkownik Jajcenty edytował ten post 16 sierpień 2017 - 16:34

  • 0

#7 ~Astro

~Astro
  • Goście

Napisano 16 sierpień 2017 - 16:46

Przy bardzo fajnej dyskusji chłopaków muszę przeprosić, że się wtrącam, ale OS tego rodzaju i deadline? Efektywność budżetowa? Niechlujność?

 

Podejrzewam raczej, że to doskonały sposób na zdobywanie środków finansowych dla otwartoźródłowych łebskich rozwiązań. :D

Dla tych, którzy zarzucają niechlujność proponuję (dla dobra ludzkości) wgryźć się trochę w temat i pomóc po godzinach...



#8 thikim

thikim

    Kierownik robót

  • Użytkownicy
  • PipPipPipPipPipPip
  • 4048 postów

Napisano 16 sierpień 2017 - 17:40

Równie dobrze możecie zarzucać niechlujstwo bo:

- skanery tęczówek nie są przygotowane do tego że za n lat ktoś oko sklonuje

- że ktoś używa klucza 256 bitowego a nie 65536 bitowego -  bo kiedyś przecież komputery będą kwantowe

itd.

a ja zapytam, macie gwarancję że np. skanery oczu, obrazu, linii papilarnych są na to odporne?

Bo to jest bliższy problem.

A jeszcze bliższym jest to że niektóre programy rozpoznawania twarzy - mylą ziemniaka z twarzą osoby uprawnionej. O czym zresztą pisałem wcześniej.

I napiszę powtarzając: to dotyczy w mojej opinii większości metod biometrycznych. Aby zachować niski współczynnik odrzuceń twórcy musieli obniżyć poziom wiarygodności - do poziomu ziemniaka :)


  • 0

#9 wilk

wilk

    wilk wilkowy

  • Administratorzy
  • 3106 postów
  • LokalizacjaIRCnet

Napisano 18 sierpień 2017 - 02:42

Ale to co wymieniłeś nie ma nic wspólnego z niechlujstwem, bo oprogramowanie w dalszym ciągu poprawnie będzie działać. Jedynie technologia umożliwi oszukiwanie. Analogią do tego co napisałeś byłoby gdyby sekwenator DNA rozpoznał kogoś za inną osobę. A to nie to samo, co wydzierganie sobie zawiłego wzorku na oku, by wprowadzić wirusa do skanera tęczówki. Co do ziemniaka — to ten sam problem. Winne jest samo przetwarzanie danych. To zupełnie inny rodzaj problemu. No chyba że ten ziemniak faktycznie powoduje nadpisanie czegoś w pamięci i program go rozpoznaje jako twarz.


OK, właśnie przeczytałem, że luki zostały celowo wprowadzone, by przetestować możliwość takiego ataku. Można się rozejść.


Użytkownik wilk edytował ten post 18 sierpień 2017 - 02:43

  • 0

#10 radar

radar

    Lis major

  • Użytkownicy
  • PipPipPipPipPip
  • 1306 postów

Napisano 18 sierpień 2017 - 23:21

Jaką największą długość mogę zamówić? Trzeba być masta żeby na 150-200 bajtach (bitach?) zmieścić się z czymś sensownym.

Tylko gwoli ścisłości:

http://www.polskiera...dzo-duzo-danych


  • 1

#11 Jajcenty

Jajcenty

    padawan młody

  • Użytkownicy
  • PipPipPipPipPipPip
  • 3280 postów

Napisano 19 sierpień 2017 - 07:10

Tylko gwoli ścisłości: http://www.polskiera...dzo-duzo-danych

 

Wiedziałem, że ktoś mi to wyciągnie. :D Ten sam zespół zrobił też coś takiego:   Nagrywarka gifa w E. coli nowsze i spektakularne.

 

Formalnie nie odpowiedziałeś na pytanie: jaką długość mogę zamówić? Co jest dostępne dla wanna be master of all evil?

 

Nie twierdzę, że nie jest możliwe spreparowanie DNA, twierdzę, że nie jest to osiągalne domowymi metodami. Podobnie wiemy, że możliwa jest produkcja układów scalonych ale jakoś nie słychać o fałszerstwach procesorów czy kontrolerów domowymi sposobami. Przecież to szybki szpil jest: produkuję zawirusowane I7 i opycham za półdarmo na serwisach aukcyjnych by już po chwili cieszyć się nieskrępowanym dostępem do setek komputerów. Co stoi na przeszkodzie? Przecież na wiki jest wszystko o tym jak się robi układy scalone ;)

p.s. Tak wiem, są organizacje mające dostateczne środki jak i sposoby wywierania nacisku by przeprowadzić taki atak. 


Użytkownik Jajcenty edytował ten post 19 sierpień 2017 - 07:11

  • 0