生物黑客入侵新手段：藉助DNA鏈編碼惡意軟體

生物學家在合成DNA時並沒有創造和延展危險的基因編碼，這種基因編碼可以用來創造毒素甚至是遺傳病。但是生物黑客卻演示這一過程，這種威脅不是針對人或動物，而是作用於計算機。

來自於華爾頓大學的研究表明惡意軟體可以藉助DNA物理鏈進行編碼，因此，當基因測序儀對其進行分析時，得到的數據結果就會成為一個破壞基因測序軟體，把那個控制底層計算機的程序。雖然這種攻擊對現實的間諜和罪犯來說遠非實際可行，但是研究人員認為隨著時間的推移，他們的擔憂很有可能就會實現。因為DNA測序會變得更為普遍，更為強大，並且會由第三方機構在更為靈敏的電腦系統中操作。這對於網路安全社區來說也更為重要。

華盛頓大學計算機科學專業的教授Tadayoshi Kohno曾領導將該技術與傳統的黑客攻擊，即在網頁或電子郵件附件中的惡意代碼，進行了比較。他說：「我們知道，如果一個攻擊者控制了電腦正在處理的數據，那麼他就很有可能操控這台電腦。這意味著當你關注計算生物學系統的安全性時，你不僅要考慮到網路連接、USB驅動器以及電腦用戶的問題，還要考慮存儲在DNA中的信息的排序情況。這是一個關於考慮不同程度的威脅的問題。」

科幻黑客

目前，這種威脅與其說是關於計算機生物學家的故事，倒不如說是邁克爾·克萊頓小說中的一個情節。但是隨著基因測序越來越多地被集中服務處理——通常由擁有昂貴基因測序設備的大學實驗室管理，DNA傳播的惡意軟體會變得更加逼真。然而尤其是是考慮到DNA樣本來自外部資源，我們難以對其進行適當的審查。

研究人員說，如果黑客成功了，他們可能獲得寶貴的知識產權，或者可能沾染遺傳分析，比如說刑事DNA測試。研究人員表示，公司甚至可能將惡意代碼植入轉基因產品的DNA中，以此保護商業秘密。項目研究人員Peter Ney說：「將來會出現更多的應用，趣味性與危險性並存。」

僅僅依靠存儲在DNA鏈中的信息來構建計算機攻擊的概念（人們稱之為「漏洞利用」）對於華盛頓大學的團隊來說無疑是一項史詩般的挑戰。為此研究人員先是編寫了一個眾所周知的「緩衝區溢出」漏洞，旨在填補計算機內存中用於某一段數據的內存空間，然後泄漏到內存的另一部分，從而建立自己的惡意命令。

在實際DNA中編碼攻擊比他們最初想象的困難得多。DNA測序儀的工作原理是將DNA和與DNA的基本單位中不同的化學物質（化學鹼基a、t、g和c）混合在一起。並且不同的DNA發出不同顏色的光，這些光在DNA分子的照片中得以捕捉。為了加速處理，數百萬個鹼基的圖像被分割成千上萬塊，然後對其進行平行分析。因此，構成攻擊的所有數據必須嵌入幾百個鹼基當中，這樣才能增加DNA在整個測序器并行處理過程中保持不變的可能性。

研究人員將他們精心設計的攻擊以A、T、G和C鹼基的形式整合到DNA合成服務集成DNA技術領域，同時他們發現DNA還會受到其他物理變數的影響。為了保持DNA樣本的穩定性，研究者必須保持特定數量比例的G、C、A和T鹼基，因為DNA的自然穩定性取決於A-T和G-C鹼基配對的常規比例。然而緩衝區溢漏洞經常使用相同的數據串，從而導致了DNA鏈的自身配對。這意味著，該研究小組不得不反覆編製開發代碼，從而找到一種可以像真正的DNA一樣存活的形式，最終合成服務會用郵件的形式把這些代碼發送一個手指大小的塑料瓶內。

這就研發出了一種攻擊軟體，它可以在我們將DNA轉換成數字格式的過程中保留下來。我們把這種軟體為FASTO，並且用它來存儲DNA序列。我們之所以像壓縮fqzcomp這樣的常見壓縮軟體一樣的，也把FASTO文件壓縮起來，是為了避免其擴展到GB的文本，使用緩衝區溢出漏洞來攻擊壓縮軟體然後中斷其程序，從而進入計算機的內存中運行其自己的所有命令。

遙遠的威脅

即使如此，我們也只譯出了攻擊中的百分之三十七，因為測序器的并行處理通常會將其縮短。寫入代碼的另一個危害就是程序向後解碼。(一串DNA可以向任何方向排序，但是代碼只能在一個方向上讀取。研究人員在論文中表明，攻擊的改進版本將會像迴文一樣。)

研究人員說，儘管這一過程曲折且不可靠，但是他們仍然需要採取捷徑來證實那近乎欺騙性的想法。這些研究人員沒有像現實世界的黑客一樣僅僅利用fqzcomp程序的現有漏洞，而是修改了程序的開放源代碼，以此填補自己緩衝區溢出的缺陷。然而除了編寫DNA攻擊代碼來開發fqzcomp中人為製造的易受攻擊的版本外，研究人員還對常見的DNA測序軟體進行了審查，還在公共程序中發現了三個實際的緩衝區溢出漏洞。Ney說：「有很多這樣的軟體並沒有考慮到其安全性。」研究人員說，這表明，將來黑客也許能夠在更現實的環境中擺脫攻擊，尤其是在更強大的基因測序器開始分析更大的數據塊之時，從而更好的保護開發代碼。

不用說，出現任何基於DNA的黑客行為都是好多年之後的事情了。基因測序設備的領先製造商Illumina在回應華盛頓大學論文的聲明中說，「這是關於長期潛在風險的有趣研究。我們同意此次研究的前提，即這不會構成迫在眉睫的威脅，也不是典型的網路安全問題」。公司首席信息安全官Jason Callahan說，「我們很警惕，並且定期評估我們的軟體和工具的保障措施。我們歡迎任何研究，圍繞廣泛的未來框架和準則開展對話，以保障DNA合成、測序和處理過程中的安全並且維護其隱私。」

但是除黑客行為之外，使用DNA來處理計算機信息也正在慢慢變成現實。Seth Shipman是哈佛大學研究小組的一名成員，這個小組最近在DNA樣本中編碼了一段視頻。他說雖然到目前為止這種儲存方法主要是理論上的，但是在快閃記憶體或硬碟驅動器中，DNA保持其結構的能力遠遠大於磁性編碼的能力，因此實現數據保存數百年之久指日可待。如果基於DNA的計算機存儲時代即將到來，那麼基於DNA的計算機攻擊技術聽起來也許就沒有那麼牽強了。

Seth Shipman表示，隨著一個基於DNA數據的時代的慢慢到來，研究者在DNA上植入惡意代碼的能力要超過一個黑客的小把戲。在將來，當更多的信息存儲在DNA中，並進行不斷地輸入和排序時，我們會因為已經開始提前考慮這些事情而感到慶幸。