DNA序列竟被编成恶意软件感染计算机

2017 年 8 月 11 日 安全牛 nana

生物学家DNA的时候，他们尽量不产生或扩散可用于制造毒素或传染病的基因代码片段。但一组生物黑客证明了DNA可携带让人意想不到的威胁——不感染人类或动物，而是感染计算机的病毒。

在8月10日的USENIX安全大会上展示的新研究中，华盛顿大学的研究团队首次展示了将恶意软件编码进实体DNA链的可能性。被编码的DNA序列接受基因测序仪分析时，其结果数据就会变身成一段程序，破坏基因测序软件进而控制底层电脑。

虽然该攻击远未达到间谍或罪犯可实际使用的程度，但随着DNA测序越来越普及和强大，且可由第三方服务在敏感计算机系统上进行，该攻击投入实用的可能性也随时间推移而增加。而且，对网络安全社区而言，它还代表着纯黑客智慧的一种科幻小说式令人印象深刻的壮举。

主管该项目的华盛顿大学计算机科学教授河野忠义，将该技术与在网页或电邮附件中打包进恶意代码的传统黑客攻击相比较，称：“我们知道，如果对手控制了计算机正在处理的数据，就有可能接管该计算机的控制权。这意味着，当你审查计算生物学系统时，你要考虑的不仅仅是网络连接性、U盘和电脑前坐着的操作员，还要考虑他们正在测序的DNA里存储的信息。这是完全不同的一类威胁。”

科幻小说式的黑客攻击

目前为止，该威胁还停留在迈克尔·克莱顿科幻小说情节的程度，还算不上计算生物学家应该关心的问题。但随着基因测序越来越多地被集中式服务处理——通常由拥有昂贵基因测序设备的大学实验室执行，该依托DNA的恶意软件攻击在一步步迈向现实。尤其是在DNA样本来自外部源，很难进行恰当的审查的情况下。

如果黑客确实实现了该攻击，他们就有可能获得宝贵的知识产权，或者污染基因分析结果，比如罪犯DNA检测。公司企业甚至可以在转基因产品的DNA中植入恶意代码，作为保护商业机密的一种方式。在未来，会出现很多有趣，或者说恐怖的此类应用。

然而，不管研究的实际原因是什么，仅仅在DNA片段存储的信息上打造计算机攻击——所谓“漏洞利用”，就代表了华盛顿大学研究团队史诗般的黑客大挑战。研究人员从编写著名的“缓冲区溢出”漏洞利用程序开始，填充计算机内存中为特定数据开辟的存储空间，然后溢出蔓延到另一块内存以植入其恶意指令。

但在实际DNA中编码该攻击，比他们原先预计的要困难。DNA测序，是通过将DNA与DNA基本代码单元(A/T/G/C碱基)绑定的化学物质相混合，再将不同碱基发出的色光摄入DNA分子照片中进行分析。为加速这一过程，百万碱基的图像被分割成数千块数据并行分析。因此，构成攻击的所有数据也必须嵌进数百个碱基中，以增加在测序仪并行处理过程中完好无损的概率。

研究人员以A、T、G、C四种碱基的形式将他们精心构造的攻击发往 Integrated DNA Technologies 公司的DNA合成服务时，他们发现DNA还有其他物理限制。为使DNA样本保持稳定，他们不得不保留一定比例的G-C和A-T配对，因为DNA自然稳定性就取决于这些配对的固定比例。而缓冲区溢出往往需要用同一串数据重复填充，会导致DNA链自行折叠。所有这些意味着，他们不得反复重写漏洞利用代码，找出可以作为实际DNA存活下来的形式，供合成服务最终在手指大小的塑料瓶里发给他们。

其结果，最终就是一段能挺过从实体DNA翻译到数字DNA的攻击软件——藏在用于存储DNA序列的FASTQ中。当该FASTQ文件用常见压缩程序fqzcomp压缩——FASTQ文件因可展开到数GB文本而往往需要压缩，就会用其缓冲区溢出漏洞黑了压缩软件并突破该程序限制，进入运行该压缩程序的计算机内存，执行其携带的任意指令。

遥远的威胁

即便如此，该攻击完全翻译率也仅有37%，因为测序仪的并行处理往往会将其截断，或者遭遇在物理对象上编写代码的噩梦——程序逆向解码。DNA片段可正向也可逆向测序，但代码只能正向解析。研究人员认为，将来的改进版可以将攻击设计成回文模式。

研究人员承认，除了该曲折又不可靠的过程，他们的概念验证中还有踩着作弊边缘的一些抄近道的方式。

他们没有像真实的黑客那样利用fqzcomp压缩程序的现有漏洞，而是直接修改了该程序开源代码来插入他们自己的漏洞，供缓冲区溢出使用。但撇开撰写DNA攻击代码来利用他们人为漏洞版本的fqzcomp，研究人员还对常见DNA测序软件做了调查，发现常用程序中存在3个切实的缓冲区溢出漏洞。此类软件在设计时很多都没考虑过安全因素，意味着未来的黑客可以在更现实的环境中实施该攻击，尤其是当更强大的基因测序仪开始分析可以更好保存漏洞利用代码的更大数据块的时候。

毋庸置疑，基于DNA的任何可能的黑客攻击离我们都还有数年之遥。基因测序设备主流制造商Illumina，在一份回应华盛顿大学报纸的声明中称，“这是一项关于潜在长期风险的有趣研究。我们赞同这项研究的前提，即这不会构成迫在眉睫的威胁，也不是典型的网络安全能力。我们非常警惕，定期对我们的软件和设备进行安全评估。我们欢迎任何研究，只要这些研究能围绕确保DNA合成、测序和处理的安全与隐私，创建关于未来框架与指南的对话。”

但撇开黑客不谈，使用DNA来处理电脑信息正在慢慢成为现实——最近在DNA样本中编码了一段视频的哈佛团队成员赛斯·希普曼说。该存储方法虽然现在还主要是理论上的，但终有一天会让数据能够保存几百年之久——感谢DNA比闪存或硬盘的磁性编码长久得多的结构维持能力。而且，如果基于DNA的计算机存储真的来临，基于DNA的计算机攻击也就不那么遥不可及了。

希普曼说：“读这篇论文的时候我脸上带笑，因为我觉得这真的很聪明。这是不是我们应该从现在就开始审查的东西呢？”随着基于DNA的数据时代可能即将到来，在DNA中植入恶意代码的能力就不仅仅是黑客的小把戏了。

“

在未来的某个时候，当更多信息存储在DNA中，被频繁输入和排序，我们将会庆幸于现在就开始思考这些事情。