Creato il primo virus informatico tramite DNA: è il caso di allarmarsi?

Creato il primo virus informatico tramite DNA: è il caso di allarmarsi?

Per il momento nessun allarme reale, ma i ricercatori suonano il campanello d'allarme: sintetizzando un apposito frammento di DNA con un malware inscritto al suo interno si è riusciti a sfruttare delle vulnerabilità note e prendere possesso dei computer addetti all'analisi del genoma

di Roberto Colombo pubblicato il nel canale Sicurezza
 

Il malware per computer può nascondersi nel DNA

Partiamo da un punto fondamentale, poiché i ricercatori lo asseriscono in modo netto: "le procedure di sequenziamento del DNA non sono assolutamente sotto attacco e non c'è al momento nessun allarme". Una premessa d'obbligo per evitare di creare facili allarmismi, visto che il tema di questa notizia potrebbe sembrare più inquietante di quanto - al momento - sia realmente.

In sintesi è stato possibile creare artificialmente un segmento di DNA tale da agire come malware sulle apparecchiature di analisi, dando pieno accesso a tutte le loro risorse all'hacker autore del codice.
Il sequenziamento del DNA infatti unisce azioni che hanno a che fare con la chimica/biologia e altre che invece sono puramente computazionali. Proprio qui risiede al momento la vulnerabilità del sistema, dato che molte delle apparecchiature per l'analisi dei frammenti di DNA fanno un ampio utilizzo di applicazioni scritte in C e C++: se i programmi non sono scritti a regola d'arte, questi linguaggi prestano il fianco a vulnerabilità ampiamente documentate (e sfruttate).

Probabilmente, non essendo apparecchiature 'esposte' il problema della sicurezza non è stata una delle priorità dei programmatori e il - riuscito - tentativo di intrusione a scopo di ricerca dei tecnici della Paul G. Allen School of Computer Science & Engineering, della University of Washington, vuole proprio rappresentare un campanello d'allarme, prima che il problema possa diventare una reale emergenza.

Secondo i ricercatori, alcune semplici buone pratiche potrebbero ridurre in modo drastico le possibilità di infezione. I ricercatori hanno riscontrato tra i punti deboli dei sistemi di analisi del DNA la mancanza della 'input sanitization', ossia di un controllo preliminare sui dati per scovare codice malevolo prima che questo venga effettivamente elaborato e sortisca quindi il suo effetto. Anche l'uso di funzioni non completamente sicure rappresenta un punto su cui è possibile lavorare per rendere i programmi meno vulnerabili agli attacchi. Terzo punto è l'utilizzo di  buffer statici soggetti a possibili overflow: evitarne l'uso è un'altra delle semplici buone pratiche per mettere maggiormente al sicuro i sistemi.

La ricerca aveva un doppio scopo: da un lato valutare il livello di sicurezza dei sistemi deputati al sequenziamento del DNA, dall'altro valutare l'effettiva possibilità di sintetizzare del DNA che agisse da malware. Entrambe le istanze si sono dimostrare fattibili, ma ciò non significa che il problema sia immediato e possa avere ricadute importanti.

Innanzitutto, sintetizzare del DNA è una procedura non alla portata di tutti, per cui portare avanti un attacco del genere non rientra tra le cose facilmente espletabili. I ricercatori hanno avuto modo di creare il frammento di DNA e sottoporlo così com'era ai sistemi di sequenziamento. Un hacker avrebbe dovuto trovare il modo di creare il codice malevolo, inscriverlo nel DNA e far arrivare in qualche modo il DNA modificato a una macchina di analisi senza destare sospetti. Inoltre, il programma usato per il sequenziamento era appositamente affetto dalla vulnerabilità che i ricercatori avevano individuato come critica: non è detto che i sistemi effettivamente utilizzati nei laboratori la riportino e siano così esposti agli attacchi.

I ricercatori della Paul G. Allen School of Computer Science & Engineering, della University of Washington all'opera
I ricercatori della Paul G. Allen School of Computer Science & Engineering, della University of Washington all'opera

Al momento quindi non c'è nessuna emergenza, ma i ricercatori hanno voluto far suonare un campanello d'allarme prima che sia troppo tardi e tutto ciò che ruota attorno al DNA diventi ancora più sensibile di quanto lo sia oggi. Il futuro che si sta dipingendo davanti a noi farà un utilizzo molto più ampio della genetica e i dati del genoma saranno sempre più 'sensibili' e da proteggere.

A qualcuno potrebbe sorgere la domanda: ma dietro a tutto ciò ci può essere anche un rischio biologico? Assolutamente no, su questo i ricercatori sono categorici: il DNA in questo caso è un semplice vettore, alla pari di un documento PDF, di un'immagine o un video divertente, come avviene per i malware ai quali siamo normalmente abituati. Ad essere infettate sarebbero solo le macchine che analizzano il DNA e non c'è pericolo che il 'virus' abbia effetti sul DNA di organismi viventi. Potrebbe sembrare una precisazione inutile, ma in questo senso i risultati della lettura del DNA sono diversi a seconda del lettore - il silicio e i bit dei computer o il carbonio delle cellule.

I ricercatori dicono anche chiaramente che la loro scoperta non deve essere un freno all'utilizzo, sempre più importante per la cura delle malattie e per la loro prevenzione, dei test genetici: la possibilità di un attacco nella vita reale è - nella pratica - molto più lontana di quanto potrebbe sembrare a prima vista.

In conclusione, gli esperti indicano la via per una maggiore sicurezza e sono gli stessi consigli che valgono per tutti: utilizzare sistemi sempre aggiornati con le ultime patch di sicurezza, oltre a implementare filtri sui dati in ingresso e a utilizzare strategie che minimizzino le vulnerabilità note, come quelle legate all'utilizzo della memoria.
9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Univac17 Agosto 2017, 12:49 #1

Non ho capito, queste macchine leggono il DNA...... e poi lo eseguono pure?
Sta notizia arriva da facebook (o roba del genere) vero?
speyer17 Agosto 2017, 14:51 #2
Queste macchine leggono il DNA (input) ed eseguono su di esso delle analisi per mezzo di software. Manipolando adeguatamente l'input è possibile sfruttare le falle del software per eseguire qualcosa di non previsto.
Unax17 Agosto 2017, 18:14 #3
più che vulnerabilità è una idiozia

un macchinario che esegue analisi non dovrebbe eseguire codice presente nel campione analizzato

in altri casi parleremo di conflitto di interessi :-)

deggial18 Agosto 2017, 09:56 #4
Originariamente inviato da: Unax
più che vulnerabilità è una idiozia

un macchinario che esegue analisi non dovrebbe eseguire codice presente nel campione analizzato

in altri casi parleremo di conflitto di interessi :-)


Certo che (in linea teorica) non dovrebbe eseguire codice presente nel campione analizzato, deve solo analizzarne i dati.

Ma è un po' lo stesso discorso dell'SQL injection senza fare un sanitize dei dati di input: il computer pensa di analizzare dei dati in ingresso, tu (hacker) in mezzo a quei dati nascondi del codice che il computer esegue senza saperlo.
robertogl18 Agosto 2017, 23:50 #5
Originariamente inviato da: deggial
Certo che (in linea teorica) non dovrebbe eseguire codice presente nel campione analizzato, deve solo analizzarne i dati.

Ma è un po' lo stesso discorso dell'SQL injection senza fare un sanitize dei dati di input: il computer pensa di analizzare dei dati in ingresso, tu (hacker) in mezzo a quei dati nascondi del codice che il computer esegue senza saperlo.


Esatto. È chiaro che non dovrebbe farlo, ma infatti è un bug, mica una cosa voluta.
Testicolo_Rotto19 Agosto 2017, 07:44 #6
Ahahahahah. Ahahahah ahahahah sembrava di essere sulla
homepage di MSN o di libero ahahahah ahahahah
eddie8119 Agosto 2017, 14:00 #7
In breve credo che facciano questo con il DNA
https://hackadaycom.files.wordpress...q8jpg.jpg?w=636
Unax20 Agosto 2017, 14:11 #8
è come se uno scanner scansionando una pagina dove ci sta scritto del codice si mettesse ad eseguire il codice stesso invece di creare una immagine del foglio che sta scansionando
Zenida21 Agosto 2017, 15:22 #9
Eppure la notizia è abbastanza chiara è precisa. Ma riepiloghiamo:

Ad oggi l'attacco è ben lontano dalla concretizzazione per diverse ragioni. Innanzitutto, perchè bisogna individuare un macchinario affetto da una falla nota e, successivamente, trasferire il DNA vettore nel processo di analisi. Trascurando le competenze necessarie per produrre il codice malevolo e inserirlo in una molecola biologica.

Queste macchine sono state progettate senza pensare che un giorno avrebbero potuto analizzare del DNA "infetto", di conseguenza, procedono all'analisi usando degli algoritmi incuranti di eventuali injections.

Sì, perchè molto probabilmente il tipo di attacco è quasi sempre un'injection (almeno oggi)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^