Představte si, že někdo vezme malware a zakóduje ho do DNA. Když potom takovou DNA se zlomyslným překvapením osekvenují a analyzují pomocí příslušného softwaru, tak se malware vzbudí, nakazí počítač, a provede něco zlovolného. Může prolomit zabezpečení laboratoře, ohrozit provoz přístrojů nebo ještě hůř – pozměnit výsledky analýz.
Zní to jako scénář kyberpunkového science fiction? Možná, ale výzkumný tým Washingtonské univerzity teď právě na tomhle pracuje. Zatím to ještě nedotáhli až do konce, ale nedávno zaznamenali významný úspěch, když dokázali, že je možné uložit funkční počítačový kód do řetězce syntetické DNA.
Lee Organics z Laboratoře Molekulárních informačních systémů a její kolegové upozorňují, že jejich technologie je jenom vlastně nefunkční prototyp. Upravili totiž počítačový program na zpracování DNA tak, aby byl cíleně zranitelný malwarem ukrytým v sekvenci syntetické DNA. Podle Organicsové museli udělat řadu změn. Není prý vyloučeno, že podobný postup nebude možné ke skutečnému hacku použít. Potvrdili ale každopádně, že alespoň teoreticky je něco takového představitelné. Což je fascinující.
Pokud popustíme uzdu fantazii, časem se mohou objevit uměle upravené vzorky DNA nebo třeba krve, jejichž účelem bude ovládnout a zmanipulovat počítačový systém. Člen výzkumného týmu Luis Ceze zdůrazňuje, že nechtějí vyvolávat paniku, ani odrazovat lidi od genetického testování, které považují za velmi prospěšné a cenné. Jejich cílem bylo hlavně upozornit na to, že když se k sobě blíží světy biologických molekul a elektroniky, tak můžeme očekávat, že se budou objevovat doposud neviděné možnosti i problémy.
Praktickým výstupem týmu Organicsové bylo i to, že zhodnotili bezpečnost softwaru, se dnes běžně používá v bioinformatice. A jejich výsledky jsou v tomto směru poněkud alarmující. Ukázalo se, že řada klíčových programů, s nimiž dnes vědci analyzují biologické molekuly, je napsána v jazyku C nebo C++, a zřejmě trpí celou řadou bezpečnostních rizik.
Možnost hacknutí elektroniky malwarem ukrytým v biologických sekvencích představuje pozoruhodný problém, který až do této doby jen málokdo považoval za reálný. Badatelé poukázali na to, že zatím nejsou známé žádné případy takto postavených hackerských útoků na počítače pro zpracování molekulárních dat. Jak se ale tyto technologie dostanou ven z vědeckých laboratoří, a k tomu už dnes dochází, tak bude nutné tyto počítače náležitě zabezpečit.
Za jak dlouho bychom se mohli dočkat nebezpečného malwaru v biologických sekvencích? Vědci odhadují, že to nemusí trvat ani 10 let. Je tedy pomalu nejvyšší čas, abychom si začali lámat hlavu s tím, jak takovým zlomyslným útokům čelit.
Video: UWEE Research Colloquium: Luis Ceze.
Literatura
University of Washington 10. 8. 2017.
Počítačový super-virus badBIOS komunikuje zvukem
Autor: Josef Pazdera (07.11.2013)
Nakažlivý WiFi virus, co se šíří vzduchem
Autor: Stanislav Mihulka (28.02.2014)
Červ Hajime imunizuje elektroniku proti infekci Mirai
Autor: Stanislav Mihulka (07.05.2017)
Diskuze:
Telefon ze školy
Petr Nejedlý,2017-08-14 03:55:25
Ředitelka: Vážně se vaše dcera jmenuje "; drop table students;"?
Problémy s napadením počítače z emailu spočívají ve složitosti datových formátů a protokolů. Takový obrázek krom pixelů (to je ten obsah, ekvivalent zaznamenané DNA sekvence z našeho příkladu) obalují hlavičky a kontejnery. To co vám zaviruje počítač nejsou ošklivé pixely ale typicky vhodně neplatná hlavička (záporná velikost, odkaz na neexistující extenzi, ...)
V případě zpracování DNA má útočník přístup jen k těm "pixelům", případné hlavičky a kontejnery generuje sám zpracovávající SW bez ohledu na DNA data. Čili útok by odpovídal tomu, že vám někdo před kameru nastaví zákeřný obrázek.
Nicméně si dovedu představit pár reálných útoků obsahem DNA, viz následující dva scénáře:
a) SW ukládá syrové sekvence bez hlaviček do binárního souboru, jeden pár aminokyselin -> 2 bity.
V takovém případě má útočník plnou kontrolu nad celým obsahem následného souboru a pro útok stačí
nějaká známá chyba v "preview parseru" - DNA může kódovat třeba mírně neplatný JPEG, ze kterého
se OS při procházení adresáře pokusí udělat ikonku. Starý dobrý útok přílohou emailu a vcelku
realistická možnost....
b) SW získanou sekvenci analyzuje, rozpoznává nějaké sekvence, na jejich základě se rozhoduje jak dál,
ale obsahuje nějakou logickou chybu podobného ražení, třeba že se dívá napřed aniž by kontroloval
jestli sekvence nekončí. Nebo třeba neošetřuje správně všechny možnosti pokračování. To by ale ten
SW musel být psán docela hloupě. Ostatně jako to původní autoři naschvál udělali aby měli
o čem publikovat...
Technická :-)
Jiří Novák,2017-08-14 20:55:28
Myslíte určitě páry bází, jelikož na aminokyseliny by vám dva bity nestačily.
(Dcera se ve skutečnosti jmenuje 'OR 1=1)
Re: Technická :-)
Josef Hrncirik,2017-08-15 07:13:41
True.
Ale jak se doopravdy jmenuje tajemná baze E v malware? na obr.1?
Re: Re: Technická :-)
Jiří Novák,2017-08-15 08:02:22
Čert ví co to je... Ale asi to nebude báze, protože je to vždycky ob řádek s normální sekvencí ATCG. A překlad do sekvence aminokyselin to asi taky nebude, protože to by nebyla řada éček a áček, ale spíš něco jako LEU ILE ALA a podobně.
Ale co já vím... nejsu genetik.
Ludvík Urban,2017-08-13 10:52:55
Není problém spíš v tom, že si laboratoř pro dekodování DNA pořizují tak čuňácky napsané programy?
To jsou školácké chyby, vyučované už v prváku.
Asi byste si nekoupil auto, které nemá ruční brzdu a které se rozjede hned jak řidič vystoupí.
Na takové úrovni je nejspíš ten software.
Re:
Josef Hrncirik,2017-08-13 11:48:42
Data získaná čtením DNA jdou vždy jednoznačně na výstup o složení (kódu) DNA a nemohou vstoupit do jiného kanálu pro ovládání počítače (běžícího SW), natož tam vstupovat nenápadně a systematicky.
protože tam: A)nesměřují b)neuhodnou otvírací klíč c)neprojdou kontrolou d) max. udělají krátký či trochu delší zjevný nesmysl.
Pokud za tím není Rusko.
Re: Re:
Milan Krnic,2017-08-13 11:59:19
Jak se to vezme.
Memy Richarda Dawkinse se můžeme zavirovat i my, pouhými našimi smysly.
Tak co by to nezvládla umělá inteligence v těch data zpracujících počítačích! :)
Re: Re:
Aleš Kratina,2017-08-13 12:15:12
Pane Hrnčiříku, myslím že nemáte pravdu. Čtení genetického kódu je stejné, jako když Vám někdo pošle zavirovaný mail, také jen text s písmeny a výstupem je "jen obrazovka". Také to dovede vlézt všude možně a zbořit celý PC.
Re: Re: Re:
Milan Krnic,2017-08-13 12:46:58
Zavirovaný mail mi PC neohrozí. Na vině jsem primárně buďto přímo já, uživatel, nebo pak následně, ovšem opět uživatelsky - mou neznalostí, použití nedostatečně zabezpečeného e-mailového klienta anebo prohlížeče anebo operačního systému.
Analogicky dvojice Jehovistů za dveřmi mě svým memem nakazit může nebo nemusí, a to opět záleží primárně na mě.
Re: Re: Re:
Roman Horváth,2017-08-13 18:28:56
Problém čítania DNA s možnosťou nakazenia sa malvérom počas tohto procesu, je ekvivalentný nasledujúcemu problému: Prinesiem si domov nádobu s tekutým dusíkom. Zmeriam jej teplotu digitálnou sondou, ktorá prenáša údaje priamo do počítača. Zrazu mi zmrzne počítač… (Chybou softvéru, ktorý spracúva údaje zo sondy.) Zdá sa to smiešne, ale je to reálna možnosť.
Rovnako je reálne možné, že softvér na čítanie DNA obsahuje chyby, diery, ktoré je možné využiť. Čítanie DNA je predsa len omnoho komplikovanejší proces, než meranie teploty. Otázka je, či tie diery skutočne obsahuje a tiež, na čo presne budú použiteľné (nie je diera ako diera). Avšak s použitým programovacím jazykom to nesúvisí. Toto je mylný dojem. Nie sú „dobré“ alebo „zlé“ programovacie jazyky, podobne ako tie ľudské – v každej ľudskej reči (jazyku) vieme uraziť, pochváliť, argumentovať alebo rozprávať vtipy. Áno, sú tu určité obmedzenia (prejavujúce sa napríklad pri prekladoch medzi rôznymi rečami) plynúce z rozdielnosti jazykov. Rovnako poznáme obmedzenia pri používaní rôznych programovacích „rečí“, ale tie skôr súvisia s integrovanými vývojovými prostrediami, kompilátormi a interpretermi, než so samotnými jazykmi (a to je rozdiel).
Dôležité je (na čo v skutočnosti chceli autori poukázať), že je tu tá možnosť dier. Nikto netvrdí, že tam tie diery sú. Autori sami si softvér úmyselne upravili tak, aby ho mohli napadnúť a robili to všetko s cieľom upozorniť na túto možnosť. Sami nevedia, či tam sú také slabiny, ktoré niekto bude vedieť zneužiť, ale treba rátať s tým, že je to možné a vtedy je už len otázkou času, kedy sa nájde nejaký „špekulant“, ktorý to zneužije.
Re: Re: Re: Re:
Milan Krnic,2017-08-13 19:06:43
Chtěl bych to vidět. Takové teoretické nebezpečí je přeci již aktuální, třeba v čárových kódech, atp. Prakticky je to obdobné, jako s tím zavšivením si PC přes e-mail.
Diskuze je otevřená pouze 7dní od zvěřejnění příspěvku nebo na povolení redakce