Jump to content
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Zmanipulowane DNA pozwala na zaatakowanie komputera

Recommended Posts

Badacze z University of Washington udowodnili, że dzięki łatwo dostępnym narzędziom hakerzy mogą dołączyć szkodliwy kod do... zsyntetyzowanych łańcuchów DNA i dzięki temu przejąć kontrolę nad komputerem wykonującym analizę DNA. Szczegóły ataku zostaną zaprezentowane podczas przyszłotygodniowego 2017 USENIC Security Symposium.

Od dziesiątków lat komputery są infekowane za pomocą szkodliwego oprogramowania. Teraz jednak mamy do czynienia z czymś zupełnie nowym. Atak polega bowiem na zainfekowaniu DNA i wykorzystaniu sekwencjonatora do przejęcia kontroli nad podłączonym doń komputerem.

Praca naukowców z UW dowodzi, że biologiczne DNA może zostać wykorzystane do ataku na komputer, stwierdzil profesor Tadayoshi Kohno. Naukowiec ten znany jest też z wcześniejszych prac nad bezpieczeństwem samochodów podłączonych do internetu czy implantów medycznych. Atak za pomocą DNA może posłużyć wielu szkodliwym celom. Możliwe jest przedstawienie fałszywego profilu genetycznego, przez co pacjent będzie niewłaściwie leczony, mogą powstać syntetyczne organizmy szkodliwe dla człowieka, można też wykorzystać go w bardziej tradycyjny sposób, jak uzyskanie dostępu do danych medycznych, kradzieży własności intelektualnej czy zaszyfrowania bazy danych i domagania się okupu.

Profesor Kohno mówi, że gdy przeanalizował szeroko wykorzystywane opensource'owe oprogramowanie wykorzystywane do analizy DNA zauważył, iż jego twórcy nigdy nie wzięli pod uwagę możliwości dołączenia szkodliwego kodu do DNA, zatem nie zastosowali żadnych protokołów, by takiej możliwości zapobiec. Oprogramowaniu brakuje nawet najbardziej podstawowych zabezpieczeń. Naukowiec dodaje, że dotychczas nie są znane przypadki, by hakerzy syntetyzowali złośliwe DNA. Jednak, jako że techniki sekwencjonowania kodu genetycznego są coraz szerzej stosowane, znalezione luki w oprogramowaniu powinny być załatane.


« powrót do artykułu

Share this post


Link to post
Share on other sites

 

 

twórcy nigdy nie wzięli pod uwagę możliwości dołączenia szkodliwego kodu do DNA, zatem nie zastosowali żadnych protokołów, by takiej możliwości zapobiec

 

To nie kwestia braku wyobraźni. To problem niechlujstwa. Nigdy się nie ufa danym wejściowym.

Share this post


Link to post
Share on other sites

 

 

Nigdy się nie ufa danym wejściowym.

Prawda.

 

 

 

To nie kwestia braku wyobraźni. To problem niechlujstwa.

I deadline'ów i efektywności budżetowej. Ale założę się, że brak wyobraźni grał w tym rolę, choć może bardziej ze strony menago. Ten kawałek pracy programistycznej zapewne nie został uwzględniony - menedżer raczej nie brał pod uwagę tego wektora ataku. Widać mało miał styczności z hard s-f ;)

I choć programiści mogli o tym pomyśleć, to mieli ważniejsze rzeczy na głowie od zajmowania się tak mało prawdopodobnym przypadkiem.

Share this post


Link to post
Share on other sites

 

 

Naukowiec dodaje, że dotychczas nie są znane przypadki, by hakerzy syntetyzowali złośliwe DNA. Jednak, jako że techniki sekwencjonowania kodu genetycznego są coraz szerzej stosowane, znalezione luki w oprogramowaniu powinny być załatane.

Synteza DNA to nie jest gotowanie rosołu. Jeszcze dużo czasu upłynie zanim możliwość syntezy złośliwego DNA trafi pod strzechy. Problem rzeczywiście jednak jest. Nie trzeba syntezować DNA, wystarczy zamanipulować strumień danych z chromatografów, czy czym tam oni to DNA analizują. 

 

 

 

Oprogramowaniu brakuje nawet najbardziej podstawowych zabezpieczeń.

Ogólnik. Pics or it didnt happen.

Podstawowe zabezpieczenia daje kompilator. Nie wyobrażam sobie by w oprogramowaniu OS gdziekolwiek jeszcze były proste dziury typu if(a=b).

Przyjmuję, że można zaszkodzić pacjentowi dolewając krowiej krwi do jego próbki DNA i super hiper medyczna AI zaleci coś dziwnego jako kurację, ale przepełnianie buforów i wykonywanie danych za pomocą spreparowanego DNA wydaje mi się nieco przesadne. Oprócz przepełnienia bufora trzeba jeszcze posłać kod wirusa/trojana. Byłoby bardziej wiarygodnie gdyby dokonano faktycznego ataku za pomocą spreparowanych danych wejściowych.

Share this post


Link to post
Share on other sites

Synteza DNA to nie jest gotowanie rosołu. Jeszcze dużo czasu upłynie zanim możliwość syntezy złośliwego DNA trafi pod strzechy.

 

A te wszystkie firmy które syntezują DNA na zlecenie? To nie jest tak że wysyłasz im kod mailem, wpłacasz kasę a oni odsyłają Ci próbkę?

Share this post


Link to post
Share on other sites
A te wszystkie firmy które syntezują DNA na zlecenie? To nie jest tak że wysyłasz im kod mailem, wpłacasz kasę a oni odsyłają Ci próbkę?

Jaką największą długość mogę zamówić?  Trzeba być masta żeby na 150-200 bajtach (bitach?) zmieścić się z czymś sensownym.

 

edit. Tym bardziej spodziewałbym bym się działającego kodu, zamiast wyrażania troski i ogólników. Choć przyznaję, taka forma ataku może być dostępna dla organizacji z dostępem do dużej gotówki.

 

mam nadzieję, że zostanie sklejone. Nie zmieściłem się w czasie na edit. Może należałoby brać do obliczeń moment rozpoczęcia edycji a nie naciskania submit?

 

edit 2:  skleiło! Super.

Edited by Jajcenty

Share this post


Link to post
Share on other sites
Guest Astro

Przy bardzo fajnej dyskusji chłopaków muszę przeprosić, że się wtrącam, ale OS tego rodzaju i deadline? Efektywność budżetowa? Niechlujność?

 

Podejrzewam raczej, że to doskonały sposób na zdobywanie środków finansowych dla otwartoźródłowych łebskich rozwiązań. :D

Dla tych, którzy zarzucają niechlujność proponuję (dla dobra ludzkości) wgryźć się trochę w temat i pomóc po godzinach...

Share this post


Link to post
Share on other sites

Równie dobrze możecie zarzucać niechlujstwo bo:

- skanery tęczówek nie są przygotowane do tego że za n lat ktoś oko sklonuje

- że ktoś używa klucza 256 bitowego a nie 65536 bitowego -  bo kiedyś przecież komputery będą kwantowe

itd.

a ja zapytam, macie gwarancję że np. skanery oczu, obrazu, linii papilarnych są na to odporne?

Bo to jest bliższy problem.

A jeszcze bliższym jest to że niektóre programy rozpoznawania twarzy - mylą ziemniaka z twarzą osoby uprawnionej. O czym zresztą pisałem wcześniej.

I napiszę powtarzając: to dotyczy w mojej opinii większości metod biometrycznych. Aby zachować niski współczynnik odrzuceń twórcy musieli obniżyć poziom wiarygodności - do poziomu ziemniaka :)

Share this post


Link to post
Share on other sites

Ale to co wymieniłeś nie ma nic wspólnego z niechlujstwem, bo oprogramowanie w dalszym ciągu poprawnie będzie działać. Jedynie technologia umożliwi oszukiwanie. Analogią do tego co napisałeś byłoby gdyby sekwenator DNA rozpoznał kogoś za inną osobę. A to nie to samo, co wydzierganie sobie zawiłego wzorku na oku, by wprowadzić wirusa do skanera tęczówki. Co do ziemniaka — to ten sam problem. Winne jest samo przetwarzanie danych. To zupełnie inny rodzaj problemu. No chyba że ten ziemniak faktycznie powoduje nadpisanie czegoś w pamięci i program go rozpoznaje jako twarz.


OK, właśnie przeczytałem, że luki zostały celowo wprowadzone, by przetestować możliwość takiego ataku. Można się rozejść.

Edited by wilk

Share this post


Link to post
Share on other sites
Tylko gwoli ścisłości: http://www.polskiera...dzo-duzo-danych

 

Wiedziałem, że ktoś mi to wyciągnie. :D Ten sam zespół zrobił też coś takiego:   Nagrywarka gifa w E. coli nowsze i spektakularne.

 

Formalnie nie odpowiedziałeś na pytanie: jaką długość mogę zamówić? Co jest dostępne dla wanna be master of all evil?

 

Nie twierdzę, że nie jest możliwe spreparowanie DNA, twierdzę, że nie jest to osiągalne domowymi metodami. Podobnie wiemy, że możliwa jest produkcja układów scalonych ale jakoś nie słychać o fałszerstwach procesorów czy kontrolerów domowymi sposobami. Przecież to szybki szpil jest: produkuję zawirusowane I7 i opycham za półdarmo na serwisach aukcyjnych by już po chwili cieszyć się nieskrępowanym dostępem do setek komputerów. Co stoi na przeszkodzie? Przecież na wiki jest wszystko o tym jak się robi układy scalone ;)

p.s. Tak wiem, są organizacje mające dostateczne środki jak i sposoby wywierania nacisku by przeprowadzić taki atak. 

Edited by Jajcenty

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...