Новое исследование от исследователей Вашингтонского университета, которые проанализировали гигиену безопасности общих, общедоступных программ обработки ДНК, считает доказательства бедных методов компьютерной безопасности используемыми всюду по области.В исследовании, которое будет представлено 17 августа в Ванкувере, до н.э., на 26-м Симпозиуме безопасности USENIX, команда также продемонстрировала впервые, что это возможно – хотя все еще бросая вызов – чтобы поставить под угрозу компьютерную систему со злонамеренным машинным кодом, сохраненным в синтетической ДНК. Когда та ДНК проанализирована, кодекс может стать выполнимым вредоносным программным обеспечением, которое нападает на компьютерную систему, управляющую программным обеспечением.
До сих пор исследователи подчеркивают, нет никаких доказательств вредоносных атак на синтезирование ДНК, упорядочивание и обработку услуг. Но их анализ программного обеспечения использовал всюду по тому трубопроводу, найденному известными промежутками безопасности, которые могли позволить лишенным полномочий сторонам получать контроль над компьютерными системами – потенциально предоставление им доступ к личной информации или даже способности управлять результатами ДНК.«Одна из больших вещей, которые мы пытаемся сделать в сообществе компьютерной безопасности, состоит в том, чтобы избежать ситуации, где мы говорим, ‘О, стреляйте, противники здесь и стук в нашу дверь, и мы не подготовлены’», сказал соавтор Тэдайоши Коно, преподаватель в Школе Пола Г. Аллена UW Информатики & Разработки.
«Вместо этого мы сказали бы, ‘Эй, если Вы продвигаетесь своя текущая траектория, противники могли бы обнаружиться через 10 лет. Поэтому давайте начнем разговор теперь о том, как улучшить Вашу безопасность, прежде чем это станет проблемой’», сказал Коно, предыдущее исследование которого вызвало высококлассные дискуссии о слабых местах в появляющихся технологиях, таких как подключенные к Интернету автомобили и вживляемые медицинские устройства.«Мы не хотим встревожить людей или заставить пациентов волноваться о генетическом тестировании, которое может привести к невероятно ценной информации», сказал адъюнкт-профессор Школы соавтора и Аллена Луис Сесе. «Мы действительно хотим дать людям головы, что, поскольку эти молекулярные и электронные миры становятся ближе вместе, есть потенциальные взаимодействия, которые мы не должны были действительно рассматривать прежде».В новой газете исследователи от UW Security and Privacy Research Lab and UW Molecular Information Systems Lab предлагают рекомендации усилить меры защиты компьютерной безопасности и частной жизни в синтезе ДНК, упорядочивая и обрабатывая.
Исследовательская группа определила несколько различных способов, которыми низкий человек мог поставить под угрозу ДНК упорядочивающий и обрабатывающий поток. Чтобы начаться, они продемонстрировали технику, которая является с научной точки зрения захватывающей – хотя возможно не первая вещь противник мог бы попытаться, говорят исследователи.
«Еще неизвестно, насколько полезный это было бы, но интересно, будет ли при полуреалистических обстоятельствах возможно использовать биологические молекулы, чтобы заразить компьютер посредством нормальной обработки ДНК», сказал докторант Школы соавтора и Аллена Питер Ни.ДНК в ее сердце, система, которая кодирует информацию в последовательностях нуклеотидов. Методом проб и ошибок команда нашла способ включать выполнимый кодекс – подобный компьютерным червям, которые иногда наносят ущерб в Интернете – в синтетических нитях ДНК.Чтобы создать оптимальные условия для противника, они ввели известную уязвимость безопасности в программу, которую это используется, чтобы проанализировать и искать образцы в сырых файлах, которые появляются из упорядочивающей ДНК.
Когда та конкретная нить ДНК обработана, злонамеренное деяние может получить контроль над компьютером, это управляет программой – потенциально разрешение противнику посмотреть на личную информацию, изменить результаты испытаний или даже всмотреться в интеллектуальную собственность компании.«Чтобы быть ясным, есть много включенных проблем», сказал соавтор Ли Оргэник, исследователь в Molecular Information Systems Lab. «Даже если бы кто-то хотел сделать это злонамеренно, это не могло бы работать.
Но мы нашли, что это возможно».В каком, могло бы оказаться, было бы более богатой целью областью для противника, чтобы эксплуатировать, исследовательская группа также обнаружила, что известные промежутки безопасности во многих общедоступных программах раньше анализировали данные об упорядочивающем ДНК.Некоторые были написаны на небезопасных языках, которые, как известно, были уязвимы для нападений, частично потому что они были сначала обработаны малочисленными исследовательскими группами, которые, вероятно, не ожидали много, если таковые имеются, соперничающее давление.
Но поскольку стоимость упорядочивающей ДНК резко упала за прошлое десятилетие, общедоступные программы были приняты более широко в медицинском – и сосредоточенные потребителями заявления.Исследователи в UW Molecular Information Systems Lab работают, чтобы создать архивные системы хранения следующего поколения, кодируя цифровые данные на берегах синтетической ДНК. Хотя их система полагается на упорядочивающую ДНК, это не страдает от слабых мест безопасности, определенных в существующем исследовании, частично потому что команда MISL ожидала те проблемы и потому что их система не полагается на типичные инструменты биоинформатики.
Рекомендации обратиться к слабым местам в другом месте в трубопроводе упорядочивающего ДНК включают: применение методов наиболее успешной практики для безопасного программного обеспечения, слияние соперничающих взглядов, настраивая процессы, контролируя, кто имеет контроль над физическими образцами ДНК, проверяя источники образцов ДНК, прежде чем они будут обработаны и развивающиеся способы обнаружить злонамеренный выполнимый кодекс в ДНК.«Есть некоторый действительно низко висящий плод там, что люди могли обратиться только бегущими стандартными аналитическими инструментами программного обеспечения, которые укажут на проблемы безопасности и рекомендуют меры», сказал соавтор Карл Кошер, исследователь в UW Security and Privacy Lab. «Есть определенные функции, которые, как известно, опасны, чтобы использовать, и есть способы переписать Ваши программы, чтобы избегать использования их.
Это было бы хорошим начальным шагом».