美國華盛頓大學(University of Washington)的研究人員證實,生物駭客(biohacker)只需使用可廣泛取得的工具,就能在去氧核醣核酸(DNA)的合成鏈中植入惡意軟體,從而使其得以接管分析DNA的電腦。研究人員們將在近期於加拿大溫哥華舉行的2017年USENIX安全研討會(2017 USENIX Security Symposium)上展示其研究成果。

20170816_Hacking-DNA_NT02P1 美國華盛頓大學的研究人員證實,駭客可能利用儲存於DNA中的資訊來破壞電腦 (來源:Dennis Wise/University of Washington)

利用病毒、蠕蟲、特洛伊木馬(Trojan horse)、後門程式或其他更糟糕的惡意威脅,造成電腦中毒或癱瘓,一直都屬於由不法程式人員所編寫的數位軟體領域。而今,華盛頓大學的研究人員徹底改變了這個模式,他們以惡意軟體感染DNA鏈、破壞基因測序軟體分析,並控制了連接至基因測序儀的電腦。

20170816_Hacking-DNA_NT02P2 從DNA測序電腦的輸出包括駭客的漏洞程式碼;每個點代表特定樣本中的一條DNA鏈 (來源:Dennis Wise/University of Washington)

根據華盛頓大學教授Tadayoshi Kohno,駭客已經證明生物DNA可能導致電腦中毒。他較早之前曾經呼籲業界重視連網汽車與植入式醫療裝置的脆弱性。如果電腦因此被感染,可能會誤導醫生為治癒疾病而詮釋的遺傳特徵;可能導致人造器官傷害人類;或是執行一些較傳統的惡意軟體功能,例如將電腦改裝成駭客的奴隸,供其隨意的存取個人資料、改變測試結果、竊取知識財產權(IP),或甚至是在勒索軟體的攻擊中挾持DNA資料庫。

Kohno表示,他注意到電腦程式碼的1與0類似於編碼DNA鏈的C、G、T和A後,也發現它可能存在的脆弱性。經過一番研究探勘後,他發現開發人員們通常使用廣泛可得的開放來源軟體分析DNA遺傳密碼,卻從來沒想過在合成DNA鏈編碼惡意軟體的可能性,因而也就不曾啟用安全協議加以預防。尤其是當今所使用的開放來源工具套件中,在其編程中連最常見的安全措施也沒有。

20170816_Hacking-DNA_NT02P3 將DNA鏈測序分解為——胞嘧啶(C)、鳥嘌呤(G)、胸腺嘧啶(T)和腺嘌呤(A)以及更高品質的腺嘌呤(E)後,其分析可能易於導致以惡意軟體編碼而為駭客打開後門攻擊 (來源:Dennis Wise/University of Washington)

Kohno強調,目前還沒有駭客真正合成惡意軟體DNA的已知案例。隨著近年來針對成年人、兒童甚至胚胎的遺傳密碼進行排序的做法越來越普遍,然而,必須儘快堵住可能導致惡意軟體感染的安全漏洞。

華盛頓大學的研究人員在該校的安全和隱私研究實驗室(Security and Privacy Research Lab)進行研究,並獲得了UW Tech Policy Lab、Short-Dooley Professorship和Torode Family Professorship的資助。

隨著這項研究發現的公佈,研究團隊開始提出一些具體的手段和策略,讓進行DNA分析的?體開發人員能立即建置安全防護機制,以避免駭客入侵並利用現有的漏洞。

20170816_Hacking-DNA_NT02P4 華盛頓大學分子資訊系統實驗室(Molecular Information Systems Lab)的研究人員Lee Organick、Karl Koscher和Peter Ney正準備測試DNA (來源:Dennis Wise/University of Washington)

同時,在毗鄰的分子資訊系統實驗室中,研究人員正在致力於為合成DNA的定序、分析與儲存鏈打造安全的系統。

編譯:Susan Hong

(參考原文:New Security Worry: DNA-borne Malware,by R. Colin Johnson)