生物學家DNA的時候，他們盡量不產(chǎn)生或擴散可用于制造毒素或傳染病的基因代碼片段。但一組生物黑客證明了DNA可攜帶讓人意想不到的威脅——不感染人類或動物，而是感染計算機的病毒。

在8月10日的USENIX安全大會上展示的新研究中，華盛頓大學的研究團隊首次展示了將惡意軟件編碼進實體DNA鏈的可能性。被編碼的DNA序列接受基因測序儀分析時，其結(jié)果數(shù)據(jù)就會變身成一段程序，破壞基因測序軟件進而控制底層電腦。

雖然該攻擊遠未達到間諜或罪犯可實際使用的程度，但隨著DNA測序越來越普及和強大，且可由第三方服務(wù)在敏感計算機系統(tǒng)上進行，該攻擊投入實用的可能性也隨時間推移而增加。而且，對網(wǎng)絡(luò)安全社區(qū)而言，它還代表著純黑客智慧的一種科幻小說式令人印象深刻的壯舉。

主管該項目的華盛頓大學計算機科學教授河野忠義，將該技術(shù)與在網(wǎng)頁或電郵附件中打包進惡意代碼的傳統(tǒng)黑客攻擊相比較，稱：“我們知道，如果對手控制了計算機正在處理的數(shù)據(jù)，就有可能接管該計算機的控制權(quán)。這意味著，當你審查計算生物學系統(tǒng)時，你要考慮的不僅僅是網(wǎng)絡(luò)連接性、U盤和電腦前坐著的操作員，還要考慮他們正在測序的DNA里存儲的信息。這是完全不同的一類威脅。”

科幻小說式的黑客攻擊

目前為止，該威脅還停留在邁克爾·克萊頓科幻小說情節(jié)的程度，還算不上計算生物學家應(yīng)該關(guān)心的問題。但隨著基因測序越來越多地被集中式服務(wù)處理——通常由擁有昂貴基因測序設(shè)備的大學實驗室執(zhí)行，該依托DNA的惡意軟件攻擊在一步步邁向現(xiàn)實。尤其是在DNA樣本來自外部源，很難進行恰當?shù)膶彶榈那闆r下。

如果黑客確實實現(xiàn)了該攻擊，他們就有可能獲得寶貴的知識產(chǎn)權(quán)，或者污染基因分析結(jié)果，比如罪犯DNA檢測。公司企業(yè)甚至可以在轉(zhuǎn)基因產(chǎn)品的DNA中植入惡意代碼，作為保護商業(yè)機密的一種方式。在未來，會出現(xiàn)很多有趣，或者說恐怖的此類應(yīng)用。

然而，不管研究的實際原因是什么，僅僅在DNA片段存儲的信息上打造計算機攻擊——所謂“漏洞利用”，就代表了華盛頓大學研究團隊史詩般的黑客大挑戰(zhàn)。研究人員從編寫著名的“緩沖區(qū)溢出”漏洞利用程序開始，填充計算機內(nèi)存中為特定數(shù)據(jù)開辟的存儲空間，然后溢出蔓延到另一塊內(nèi)存以植入其惡意指令。

但在實際DNA中編碼該攻擊，比他們原先預(yù)計的要困難。DNA測序，是通過將DNA與DNA基本代碼單元(A/T/G/C堿基)綁定的化學物質(zhì)相混合，再將不同堿基發(fā)出的色光攝入DNA分子照片中進行分析。為加速這一過程，百萬堿基的圖像被分割成數(shù)千塊數(shù)據(jù)并行分析。因此，構(gòu)成攻擊的所有數(shù)據(jù)也必須嵌進數(shù)百個堿基中，以增加在測序儀并行處理過程中完好無損的概率。

研究人員以A、T、G、C四種堿基的形式將他們精心構(gòu)造的攻擊發(fā)往 Integrated DNA Technologies 公司的DNA合成服務(wù)時，他們發(fā)現(xiàn)DNA還有其他物理限制。為使DNA樣本保持穩(wěn)定，他們不得不保留一定比例的G-C和A-T配對，因為DNA自然穩(wěn)定性就取決于這些配對的固定比例。而緩沖區(qū)溢出往往需要用同一串數(shù)據(jù)重復(fù)填充，會導致DNA鏈自行折疊。所有這些意味著，他們不得反復(fù)重寫漏洞利用代碼，找出可以作為實際DNA存活下來的形式，供合成服務(wù)最終在手指大小的塑料瓶里發(fā)給他們。

其結(jié)果，最終就是一段能挺過從實體DNA翻譯到數(shù)字DNA的攻擊軟件——藏在用于存儲DNA序列的FASTQ中。當該FASTQ文件用常見壓縮程序fqzcomp壓縮——FASTQ文件因可展開到數(shù)GB文本而往往需要壓縮，就會用其緩沖區(qū)溢出漏洞黑了壓縮軟件并突破該程序限制，進入運行該壓縮程序的計算機內(nèi)存，執(zhí)行其攜帶的任意指令。

遙遠的威脅

即便如此，該攻擊完全翻譯率也僅有37%，因為測序儀的并行處理往往會將其截斷，或者遭遇在物理對象上編寫代碼的噩夢——程序逆向解碼。DNA片段可正向也可逆向測序，但代碼只能正向解析。研究人員認為，將來的改進版可以將攻擊設(shè)計成回文模式。

研究人員承認，除了該曲折又不可靠的過程，他們的概念驗證中還有踩著作弊邊緣的一些抄近道的方式。

他們沒有像真實的黑客那樣利用fqzcomp壓縮程序的現(xiàn)有漏洞，而是直接修改了該程序開源代碼來插入他們自己的漏洞，供緩沖區(qū)溢出使用。但撇開撰寫DNA攻擊代碼來利用他們?nèi)藶槁┒窗姹镜膄qzcomp，研究人員還對常見DNA測序軟件做了調(diào)查，發(fā)現(xiàn)常用程序中存在3個切實的緩沖區(qū)溢出漏洞。此類軟件在設(shè)計時很多都沒考慮過安全因素，意味著未來的黑客可以在更現(xiàn)實的環(huán)境中實施該攻擊，尤其是當更強大的基因測序儀開始分析可以更好保存漏洞利用代碼的更大數(shù)據(jù)塊的時候。

毋庸置疑，基于DNA的任何可能的黑客攻擊離我們都還有數(shù)年之遙。基因測序設(shè)備主流制造商Illumina，在一份回應(yīng)華盛頓大學報紙的聲明中稱，“這是一項關(guān)于潛在長期風險的有趣研究。我們贊同這項研究的前提，即這不會構(gòu)成迫在眉睫的威脅，也不是典型的網(wǎng)絡(luò)安全能力。我們非常警惕，定期對我們的軟件和設(shè)備進行安全評估。我們歡迎任何研究，只要這些研究能圍繞確保DNA合成、測序和處理的安全與隱私，創(chuàng)建關(guān)于未來框架與指南的對話。”

但撇開黑客不談，使用DNA來處理電腦信息正在慢慢成為現(xiàn)實——最近在DNA樣本中編碼了一段視頻的哈佛團隊成員賽斯·希普曼說。該存儲方法雖然現(xiàn)在還主要是理論上的，但終有一天會讓數(shù)據(jù)能夠保存幾百年之久——感謝DNA比閃存或硬盤的磁性編碼長久得多的結(jié)構(gòu)維持能力。而且，如果基于DNA的計算機存儲真的來臨，基于DNA的計算機攻擊也就不那么遙不可及了。

希普曼說：“讀這篇論文的時候我臉上帶笑，因為我覺得這真的很聰明。這是不是我們應(yīng)該從現(xiàn)在就開始審查的東西呢?”隨著基于DNA的數(shù)據(jù)時代可能即將到來，在DNA中植入惡意代碼的能力就不僅僅是黑客的小把戲了。

在未來的某個時候，當更多信息存儲在DNA中，被頻繁輸入和排序，我們將會慶幸于現(xiàn)在就開始思考這些事情。