#30 - 06/2024
Όταν οι βιολόγοι συνθέτουν DNA, υποτίθεται ότι φροντίζουν να μη δημιουργούν ή να μη διαδίδουν ένα επικίνδυνο τμήμα γενετικού κώδικα που θα μπορούσε να χρησιμοποιηθεί για τη δημιουργία μιας τοξίνης ή, ακόμη χειρότερα, μιας μολυσματικής ασθένειας. Όμως μια ομάδα biohackers έδειξε πώς το DNA μπορεί να μεταφέρει μια λιγότερο αναμενόμενη απειλή - μια απειλή που έχει σχεδιαστεί για να μολύνει όχι ανθρώπους ή ζώα αλλά υπολογιστές.
Σε μια νέα έρευνα που σκοπεύουν να παρουσιάσουν στο συνέδριο USENIX Security, μια ομάδα ερευνητών από το πανεπιστήμιο της Ουάσιγκτον έδειξε για πρώτη φορά ότι είναι δυνατόν να κωδικοποιηθεί κακόβουλο λογισμικό σε φυσικές αλυσίδες DNA, έτσι ώστε όταν μια συσκευή ανάλυσης γονιδίων το αναλύει, τα δεδομένα που προκύπτουν να μετατρέπονται σε ένα πρόγραμμα που αλλοιώνει το λογισμικό αλληλούχισης γονιδίων και παίρνει τον έλεγχο του υποκείμενου υπολογιστή. Αν και αυτή η επίθεση απέχει πολύ από την πρακτική εφαρμογή για οποιονδήποτε πραγματικό κατάσκοπο ή εγκληματία, οι ερευνητές υποστηρίζουν ότι θα μπορούσε να γίνει πιο πιθανή με την πάροδο του χρόνου, καθώς η αλληλούχιση του DNA γίνεται πιο συνηθισμένη, πιο ισχυρή και εκτελείται από υπηρεσίες τρίτων σε ευαίσθητα συστήματα υπολογιστών. Και, ίσως πιο σημαντικό για την κυβερνοασφάλεια, αποτελεί επίσης ένα εντυπωσιακό, επιστημονικής φαντασίας κατόρθωμα καθαρής εφευρετικότητας των χάκερ.
«Γνωρίζουμε ότι αν ένας ανταγωνιστής έχει τον έλεγχο των δεδομένων που επεξεργάζεται ένας υπολογιστής, μπορεί δυνητικά να καταλάβει τον υπολογιστή», λέει ο Tadayoshi Kohno, καθηγητής πληροφορικής του πανεπιστημίου της Ουάσιγκτον που ηγήθηκε του έργου, συγκρίνοντας την τεχνική με τις παραδοσιακές επιθέσεις χάκερ που συσκευάζουν κακόβουλο κώδικα σε ιστοσελίδες ή σε συνημμένα μηνύματα ηλεκτρονικού ταχυδρομείου. «Αυτό σημαίνει ότι όταν εξετάζεις την ασφάλεια των συστημάτων υπολογιστικής βιολογίας, δεν σκέφτεσαι μόνο τη συνδεσιμότητα του δικτύου και τη μονάδα USB και τον χρήστη στο πληκτρολόγιο, αλλά και τις πληροφορίες που είναι αποθηκευμένες στο DNA προς αλληλούχιση. Πρόκειται για την εξέταση μιας διαφορετικής κατηγορίας απειλών».
Προς το παρόν, αυτή η απειλή παραμένει περισσότερο σημείο πλοκής σε μυθιστόρημα παρά κάτι που θα έπρεπε να απασχολεί τους βιολόγους. Καθώς όμως η γενετική αλληλούχιση χειρίζεται όλο και περισσότερο από κεντρικές υπηρεσίες - συχνά από πανεπιστημιακά εργαστήρια που κατέχουν τον ακριβό εξοπλισμό αλληλούχισης γονιδίων- αυτό το κόλπο με το κακόβουλο λογισμικό που μεταδίδεται από το DNA γίνεται όλο και πιο ρεαλιστικό. Ιδιαίτερα δεδομένου ότι τα δείγματα DNA προέρχονται από εξωτερικές πηγές, τις οποίες είναι ίσως δύσκολο να ελέγξει κανείς σωστά.
Αν οι χάκερς κατάφερναν να πετύχουν το κόλπο, οι ερευνητές λένε ότι θα μπορούσαν ενδεχομένως να αποκτήσουν πρόσβαση σε πολύτιμη πνευματική ιδιοκτησία ή ενδεχομένως να αλλοιώσουν τη γενετική ανάλυση. Οι εταιρείες θα μπορούσαν ακόμη και δυνητικά να τοποθετήσουν κακόβουλο κώδικα στο DNA γενετικά τροποποιημένων προϊόντων, ως έναν τρόπο προστασίας των εμπορικών μυστικών, προτείνουν οι ερευνητές. «Υπάρχουν πολλές ενδιαφέρουσες -ή απειλητικές μπορεί να είναι μια καλύτερη λέξη- εφαρμογές αυτού του προγράμματος που έρχονται στο μέλλον», λέει ο Peter Ney, ερευνητής του προγράμματος.
Ανεξάρτητα από κάθε πρακτικό λόγο για την έρευνα, ωστόσο, η ιδέα της κατασκευής μιας επίθεσης σε υπολογιστή - γνωστή ως «exploit» - με μόνο τις πληροφορίες που είναι αποθηκευμένες σε μια αλυσίδα DNA αποτελούσε μια επική πρόκληση για την ομάδα του Πανεπιστημίου της Ουάσιγκτον. Οι ερευνητές ξεκίνησαν γράφοντας ένα γνωστό exploit που ονομάζεται «buffer overflow», το οποίο έχει σχεδιαστεί για να γεμίζει τον χώρο στη μνήμη ενός υπολογιστή που προορίζεται για ένα συγκεκριμένο κομμάτι δεδομένων και στη συνέχεια να διαχέεται σε ένα άλλο μέρος της μνήμης για να τοποθετήσει τις δικές του κακόβουλες εντολές.
Αλλά η κωδικοποίηση αυτής της επίθεσης σε πραγματικό DNA αποδείχθηκε δυσκολότερη από ό,τι αρχικά φαντάζονταν. Οι συσκευές αλληλούχισης DNA λειτουργούν αναμειγνύοντας το DNA με χημικές ουσίες που δεσμεύονται διαφορετικά στις βασικές μονάδες κώδικα του DNA - τις χημικές βάσεις A, T, G και C - και εκπέμπουν διαφορετικό χρώμα φωτός, το οποίο αποτυπώνεται σε μια φωτογραφία των μορίων του DNA. Για να επιταχυνθεί η επεξεργασία, οι εικόνες εκατομμυρίων βάσεων χωρίζονται σε χιλιάδες κομμάτια και αναλύονται παράλληλα. Έτσι, όλα τα δεδομένα που αποτελούσαν την επίθεσή τους έπρεπε να χωρέσουν σε μερικές εκατοντάδες από αυτές τις βάσεις, για να αυξηθεί η πιθανότητα να παραμείνουν ανέπαφα καθ' όλη τη διάρκεια της παράλληλης επεξεργασίας του sequencer.
Όταν οι ερευνητές έστειλαν την προσεκτικά σχεδιασμένη επίθεσή τους στην υπηρεσία Integrated DNA Technologies με τη μορφή As, Ts, Gs και Cs, διαπίστωσαν ότι το DNA έχει και άλλους φυσικούς περιορισμούς. Για να παραμείνει σταθερό το δείγμα DNA τους, έπρεπε να διατηρήσουν μια συγκεκριμένη αναλογία Gs και Cs προς As και Ts, επειδή η φυσική σταθερότητα του DNA εξαρτάται από μια κανονική αναλογία ζευγών A-T και G-C. Και ενώ ένα buffer overflow συχνά περιλαμβάνει τη χρήση των ίδιων σειρών δεδομένων επανειλημμένα, κάτι τέτοιο σε αυτή την περίπτωση προκάλεσε την αναδίπλωση του σκέλους του DNA. Όλα αυτά σήμαιναν ότι η ομάδα έπρεπε να ξαναγράψει επανειλημμένα τον exploit κώδικα για να βρει μια μορφή που θα μπορούσε να επιβιώσει και ως πραγματικό DNA, το οποίο η Integrated DNA Technologies θα τους έστελνε τελικά σε ένα πλαστικό φιαλίδιο με το ταχυδρομείο.
Το αποτέλεσμα, τελικά, ήταν ένα λογισμικό επίθεσης που θα μπορούσε να επιβιώσει από τη μετάφραση από το φυσικό DNA στην ψηφιακή μορφή, γνωστή ως FASTQ, που χρησιμοποιείται για την αποθήκευση της αλληλουχίας του DNA. Και όταν αυτό το αρχείο FASTQ συμπιέζεται με ένα κοινό πρόγραμμα συμπίεσης, γνωστό ως fqzcomp, το κακόβουλο λογισμικό παραβιάζει αυτό το λογισμικό συμπίεσης κάνοντας exploit το buffer overflow, ξεφεύγει από το πρόγραμμα και εισχωρεί στη μνήμη του υπολογιστή που εκτελεί το λογισμικό για να εκτελέσει τις δικές του αυθαίρετες εντολές.
Αλλά ακόμα και τότε, η επίθεση μεταφράστηκε πλήρως μόνο στο 37% των περιπτώσεων, καθώς η παράλληλη επεξεργασία του sequencer συχνά την έκοβε ή το πρόγραμμα την αποκωδικοποιούσε ανάποδα. (Μια αλυσίδα DNA μπορεί να αλληλουχηθεί και προς τις δύο κατευθύνσεις, αλλά ο κώδικας προορίζεται να διαβαστεί μόνο προς τη μία. Οι ερευνητές προτείνουν στην εργασία τους ότι μελλοντικές, βελτιωμένες εκδόσεις της επίθεσης θα μπορούσαν να διαμορφωθούν ως παλίνδρομο).
[...]
Πέρα όμως από το χάκινγκ, η χρήση του DNA για το χειρισμό των πληροφοριών των υπολογιστών γίνεται σιγά σιγά πραγματικότητα, λέει ο Seth Shipman, μέλος μιας ομάδας του Χάρβαρντ που πρόσφατα κωδικοποίησε ένα βίντεο σε ένα δείγμα DNA. Αυτή η μέθοδος αποθήκευσης, αν και κυρίως θεωρητική προς το παρόν, θα μπορούσε κάποια μέρα να επιτρέψει τη διατήρηση δεδομένων για εκατοντάδες χρόνια, χάρη στην ικανότητα του DNA να διατηρεί τη δομή του πολύ περισσότερο από ό,τι η μαγνητική κωδικοποίηση στη μνήμη flash ή σε έναν σκληρό δίσκο. Και αν η αποθήκευση των υπολογιστών με βάση το DNA έρχεται, οι επιθέσεις σε υπολογιστές με βάση το DNA ίσως να μην είναι τόσο μακρινές, λέει.
«Διαβάζω για αυτή την έρευνα και την θεωρώ έξυπνη», λέει ο Shipman. «Είναι κάτι για το οποίο θα πρέπει να αρχίσουμε να ελέγχουμε από τώρα; Αμφιβάλλω». Αλλά προσθέτει ότι, με την εποχή των δεδομένων που βασίζονται στο DNA να διαφαίνεται ενδεχομένως στον ορίζοντα, η δυνατότητα τοποθέτησης κακόβουλου κώδικα στο DNA είναι κάτι περισσότερο από ένα κόλπο των χάκερ. «Κάποια στιγμή, όταν περισσότερες πληροφορίες θα αποθηκεύονται στο DNA και θα εισάγονται και θα αλληλουχίζονται συνεχώς», λέει ο Shipman, «θα είμαστε ευτυχείς που αρχίσαμε να σκεφτόμαστε αυτά τα πράγματα».
Πηγή: Wired, Απρίλιος 2017
Πρωτότυπο: https://www.wired.com/story/malware-dna-hack/
Μετάφραση Harry Tuttle