In synthetisch DNA kun je een virus verstoppen dat via de sequencing-software een computernetwerk infecteert. Het is Tadayoshi Kohno en collega’s van de University of Washington daadwerkelijk gelukt, stellen ze in een paper dat ze volgende week presenteren tijdens een symposium over computerveiligheid in Vancouver.
Kennelijk kun je zo’n synthetische sequentie dusdanig samenstellen dat tijdens de verwerking van de ruwe analysedata per ongeluk een stukje code ontstaat dat er uitziet als een programma. Dankzij een bekende bug in de software, die bij intimi bekend staat als sample bleeding, kan die code ergens terecht komen waar ze niet hoort. Om precies te zijn op een plek waar dingen die er uitzien als een programma, automatisch als zodanig worden opgestart. Waarna de hackers die dat DNA ter analyse hebben aangeboden, ineens toegang tot het hele computernetwerk hebben.
De auteurs geven toe dat het heel erg lastig voor elkaar is te krijgen, dat het ze alleen lukte onder geïdealiseerde lab-omstandigheden en dat kwaadwillende collega’s zich moeten voorbereiden op een mislukking.
Hun echte boodschap is dan ook een andere. Een sequencer leest hetzelfde DNA tientallen keren af, waarbij hij het opknipt in telkens andere korte stukjes. Die worden achteraf weer aan elkaar gepuzzeld, en als niet alle kopieën onderling overeenkomen wordt een deel afgevoerd als vermoedelijke leesfout. Daar is heel veel software voor nodig, en vaak is dat open source-software uit de koker van universitaire onderzoekers die helemaal niet geïnteresseerd waren in cybersecurity. Veiligheidstechnisch zijn die programma’s zo lek als een zeef.
Commerciële partijen, die op dit wetenschappelijke werk voortbouwden, hebben ook nooit de moeite genomen om de gaten te dichten. Om er in te komen, de analyseresultaten naar believen te wijzigen of andere rottigheid uit te halen heeft een handige hacker waarschijnlijk helemaal geen synthetisch DNA nodig.
Het wordt nog gevaarlijker als de plannen worden doorgezet om de vertaling om te keren en computerdata te gaan bewaren in de vorm van synthetisch DNA dat veel langer intact blijft dan een harde schijf of een flashgeheugen. Tegen die tijd kun je beter geen veiligheidslekken meer in je sequencers hebben, stellen de auteurs die bij hun eigen onderzoek in deze richting alvast de nodige maatregelen zeggen te hebben genomen.
Volgens de auteurs zit er overigens veel laaghangend fruit bij in de vorm van beveiligingsproblemen die er door standaardgereedschappen voor software-analyse meteen uit worden gepikt, en die dan makkelijk zijn te verhelpen. Zo’n check is een dus een prima eerste stap.
bron: University of Washington
Nog geen opmerkingen