Bio-Hacking: Übernahme eines Computers mittels manipulierter DNA möglich

You do not have permission to view link please Anmelden or Registrieren

Vieles, das gestern noch wie Science Fiction klingt, ist heute schon machbar. So hat eine Gruppe von Forschern, im Team von Tadayoshi Kohno an der

You do not have permission to view link please Anmelden or Registrieren

,

You do not have permission to view link please Anmelden or Registrieren

, dass es möglich ist, schädliche Software in physikalische DNA-Stränge zu codieren und einen Computer mithilfe dieser manipulierten DNA zu übernehmen, berichtete

You do not have permission to view link please Anmelden or Registrieren

. Konkrete Details dazu wird das Team auf dem 26.

You do not have permission to view link please Anmelden or Registrieren

vom 16. bis zum 18. August in Vancouver bekannt geben.



Biohackern ist es nun erstmals gelungen, DNA so zu manipulieren, dass Infektionsgefahr nicht mehr ausschließlich für Lebewesen, sondern auch für Computer besteht; eine biologische Ansteckung technischer Geräte wird nun real. Forscher kodierten dazu in einem DNA-Strang schädliche Software. Wenn ein Gerät das Erbgut dann sequenziert, greift das in der DNA kodierte Programm die Software des Sequenzierautomaten an und gewährt den Angreifern in der Folge vollständigen Fernzugriff auf den Computer. Die Forscher haben dafür eine bekannte Sicherheitslücke einer DNA-Sequenzierungs-Software ausgenutzt.

Allerdings stellt der beschriebene Angriff eher eine Machbarkeitsstudie (Proof-of-Concept) dar, als eine reale Bedrohung, er wäre zudem derzeit völlig unrealistisch: „Wir haben keine Hinweise darauf, dass die Sicherheit der DNA-Sequenzierung oder der DNA-Daten im Allgemeinen derzeit angegriffen wird.“,

You do not have permission to view link please Anmelden or Registrieren

. So wäre der Aufwand, eine entsprechende DNA-Sequenz zu designen, herzustellen und in das gewünschte Sequenziersystem einzuschleusen, weitaus größer als für andere Angriffsstrategien. Das Forscherteam wollte aber dennoch darauf aufmerksam machen, dass diese Angriffsmethode realisierbar sei und dementsprechend von den Entwicklern ernstgenommen werden muss, denn DNA-Sequencing werde mit der Zeit immer alltäglicher und leistungsstärker. Somit wächst auch die Gefahr, dass es zu Missbrauch kommt.

Ulrich Greveler, Professor für Angewandte Informatik und IT-Sicherheit an der Universität Rhein-Waal, sieht ebenso wie die Forscher in Kohnos Arbeitsgruppe ein grundsätzliches Sicherheitsproblem bei Systemen, die auf solche nicht-digitalen Daten zugreifen: „In gleicher Weise wäre denkbar, dass Fingerabdruck- oder Iris-Scanner auf diese Weise gehackt werden. Ein Gerät könnte übernommen werden, um nicht-autorisierte Personen zuzulassen oder weitere Rechner im Netzwerk anzugreifen“, warnt er.

Kohnos Team fand bei ihrer Untersuchung „konkrete Belege für schlechte Sicherheitspraxis im gesamten DNA-Prozessierungssektor“. Auf Grundlage dieser Befunde will die Arbeitsgruppe nun gezielt bessere Bedingungen zur Datensicherheit in der Bioinformatik schaffen.

Der Einsatz von DNA als Datenspeicher der Zukunft wird bereits seit mehreren Jahren erschlossen. So hat die Forschung schon Wege aufgezeigt, die es möglich machen, Daten mit DNA zu übertragen. Im April 2016 demonstrierten Microsoft und die University of Washington eine Technik zum Speichern und Abrufen von digitalen Bildern mit DNA. Forschern der US-Universität Harvard ist es zudem gelungen, einen kurzen Film in der DNA von lebenden Bakterien zu speichern. Diese Forschung zielt darauf ab, DNA zu einem lebensfähigen Speichermedium für digitale Informationen zu machen, indem sie ihre einzigartigen Eigenschaften verwendet, um riesige Mengen an Informationen in winzigen Mengen an Flüssigkeit zu speichern. Derzeit gibt es Überlegungen, wie sich diese Methode als Langzeitspeicher für Cloud-Speicherdienste einsetzen lässt. Allerdings erschwert jedoch neben den hohen Kosten die geringe Übertragungsgeschwindigkeit von 400 Byte pro Sekunde den Einsatz außerhalb des wissenschaftlichen Bereichs zu Studienzwecken.

Bildquelle:

You do not have permission to view link please Anmelden or Registrieren

, thx! (CC0 Public Domain)

You do not have permission to view link please Anmelden or Registrieren

You do not have permission to view link please Anmelden or Registrieren

Autor: Antonia

You do not have permission to view link please Anmelden or Registrieren

 

[BurnerR]

Ja, wenn in 50 bis 100 Jahren Software die DNS einliest den input nicht ordentlich verarbeitet, dann wird das vielleicht sogar relevant werden.

 

[Pleitgengeier]

TLDR: Schlecht programmierte Software ist anfällig für Exploits in zu verarbeitenden Daten.

Nur weil die eingegebenen Daten DNA sind unterscheidet sich das hier trotzdem nicht vom JPEG-Exploit oder einer SQL-Injection

 

[Metal_Warrior]

@BurnerR: Das ist jetzt schon relevant - die gesamte heutige Genetik baut auf Erkenntnissen auf, die durch solche Software ermittelt wurden. Wenn das sich heute als ein praktisch auftretendes Problem entpuppt (also dass die lesenden Programme beispielsweise einer Sequenziereinrichtung Müll bei gewissen Abfolgen liefern), können wir Jahrzehnte der Forschung in die Tonne klopfen bzw. neu machen.

 

[Seedy]

Das klingt nach mehr Scifi als es ist.

Die Meldung ist ungefähr so dramatisch wie:
Computer mittels manipulierten Barcode übernommen.

 

[The_Emperor]

Man kann demnach auch menschliches Erbgut während des Splicings mit geänderter DNA versehen um zB. eine Person ohne Gehirn dafür aber mit zwei Arschlöchern zu produzieren. Hab schon immer gewusst dass Sozialdemokraten aus dem Labor kommen müssen...

 

[Cybercat]

Ich schleuse in meiner DNA Code ein der dem Sequenzierautomaten veranlasst jeden Vaterschaftstest negativ ausfallen zu lassen.
Frauen ich komme.

 

[BurnerR]

@Metal_Warrior stimmt, daran hatte ich gar nicht gedacht, dass sowas gar nicht unbedingt böswillig passieren muss, sondern auch einfach zufällig aufterten kann.
Bleibt die Frage, warum der input nicht sanitized wird (:

 

[Metal_Warrior]

@BurnerR: Es ist wie immer: Daran denkt keiner. Sicher programmieren ist mit Arbeit verbunden, und mit der Notwendigkeit, dass sich der Programmierer bewusst ist, was alles theoretisch Schindluder mit seinem Code treiben kann. Das Bewusstsein existiert schon nicht, du kannst bei Genetikern (und den meisten anderen Wissenschaften) froh sein, wenn irgendjemand überhaupt mehr mit Computern machen kann als Office starten. Also hast du diesen kleinen wertvollen Pool an Leuten, der eine Programmiersprache beherrscht, und wie viele aus diesem Pool kennen sich zusätzlich mit Sicherheit aus? Das ist die Suche nach der Stecknadel im Heuhaufen. Wenn jetzt noch der Fehlerteufel kommt (und der ist immer im Spiel), tja, dann hat man ausgeschissen. Zumal diese Programme ja nicht Allerweltssoftware sind, wer sollte sich da schon um ein Sicherheitsaudit bemühen?

 

[marco]

Mit dem menschlichen Genom oder dessen Entschlüsselung hat die Meldung ja gar nichts zu tun.
Ich glaube einige haben nicht verstanden um was es geht. DNA als Datenspeicher und darin dann Viren setzt voraus das der Computer die DNA auch als normalen Datenspeicherung erkennt.
Sowas wird heute nicht gemacht.
Als Beispiel, wie viel Gefahr geht denn von dem Programmcode eines Virus aus wenn man einen Ausdruck davon einscannt? Oder abfotografiert und als jpg den Rechner übergibt? Oder selbst per OCR den Programmcode in ner PDF ablegt?
Keine.
Der in der DNA gespeicherte Virus wird nur dann gefährlich wenn auf der DNA (das Speichermedium) ein Virus liegt der von einem Rechner auch als Programmcode ausgeführt werden kann.
Und per Tröpfcheninfektion geht da auch nichts .
Den Zusammenhang mit der menschlichen DNA oder besser des menschlichen Genoms zu sehen ist weit hergeholt.

 

[Metal_Warrior]

DNA als Datenspeicher und darin dann Viren setzt voraus das der Computer die DNA auch als normalen Datenspeicherung erkennt. Sowas wird heute nicht gemacht.

Wie, heutzutage wird nicht sequenziert? Was hab ich dann in meinem Studium gemacht?

Als Beispiel, wie viel Gefahr geht denn von dem Programmcode eines Virus aus wenn man einen Ausdruck davon einscannt?

Ich glaube, du hast nicht verstanden, worum es hier geht. Es geht um Input Sanitizing, und dass der Sequenzierautomat bei bestimmten Basenabfolgen auf einmal was völlig anderes macht als er tun sollte. Niemand hat davon gesprochen, Zeus in eine DNA zu packen und dann per Sprühflasche alle Computer damit zu infizieren.

 

[Seedy]

@Metal_Warrior:
Vergleichbar mit einer SQL-Injection?

You do not have permission to view link please Anmelden or Registrieren

 

[drfuture]

Was hier irgendwie nicht steht, ich aber auch spannend finde, dass die sequenzier Machine die Stränge in zufälliger richtig liest und der schadcode deswegen als ambigramm geschrieben werden musste.

 

[virtus]

Bleibt die Frage, warum der input nicht sanitized wird (:

@BurnerR: Es ist wie immer: Daran denkt keiner.

Ich denke, dass genau darin der Hase begraben zu liegen scheint.

Die Frage ist halt immer, woran Programmierer denken, wenn sie eine Software entwickeln. Wenn man davon ausgeht, dass ein Lesegerät nur legitime Inputs, in Form "normaler DNS" erhält, dann muss man keine zusätzlichen Sicherheitsmechanismen implementieren. Gerade in der Forschung geht man nicht zwangsweise von böswilliger Manipulation von Datensätzen aus, sondern davon, dass nur, nach aktuellem Forschungsstand, legitime Daten auftreten.
Wird diese Software 1:1 übernommen und z.B. in Sicherheitssysteme integriert, kann man quasi mit Sicherheit Sicherheitslücken erwarten.

 

[BurnerR]

Kann mir diverse mehr oder minder subtile Szenarien vorstellen.
Es werden nur Symbole ABCD erwartet, aber eines Tages macht mal ein Forscher copy&paste und übergibt nichtdruckbare Zeichen oder übersieht ein "/" im Buchstabensalat, nachdem er aus versehen auf die Tastatur gekommen ist.
Oder irgendwer stellt von Linux auf Windows um.

„In gleicher Weise wäre denkbar, dass Fingerabdruck- oder Iris-Scanner auf diese Weise gehackt werden. Ein Gerät könnte übernommen werden, um nicht-autorisierte Personen zuzulassen oder weitere Rechner im Netzwerk anzugreifen“, warnt er.

Das ist ja auch super spannend und man fragt sich ein wenig, ob außer Nachrichtendiensten jemand sowas überhaupt schonmal auf dem Schirm hatte.

 

[Metal_Warrior]

Wenn man davon ausgeht, dass ein Lesegerät nur legitime Inputs, in Form "normaler DNS" erhält, dann muss man keine zusätzlichen Sicherheitsmechanismen implementieren.

Und genau das ist das Problem: "Normale" DNS gibts nicht. Das Einzige, was an DNS "normal" ist und damit erwartbar, sind hin und wieder Start-/Stopcodons. Das wars. Der Rest ist zwar nicht Zufall, aber nahe dran. Und damit müsste man eigentlich sanitizen. Aber wie gesagt, die Programme haben meistens Genetiker geschrieben, und keine Softwareentwickler.