0
0
Pesquisadores demonstraram que é possível criar fios de DNA sintéticos contendo código de computador malicioso que, se seqüenciado e analisado, poderia comprometer um computador.
O principal objetivo de sua pesquisa foi testar software de bioinformática de código aberto comumente usado por pesquisadores para analisar dados de DNA para falhas de segurança, e provar, inequivocamente, que a segurança dessas ferramentas deve ser melhorada antes que os atacantes tenham a chance de explorar as vulnerabilidades.
“Muitos desses [softwares] são escritos em idiomas como C e C++ que são conhecidos por conter vulnerabilidades de segurança, a menos que os programas sejam cuidadosamente escritos”, explicaram.
“Por exemplo, a maioria tinha pouca higienização de entrada e usava funções inseguras. Outros tinham tampões estáticos que podiam transbordar. A falta de higienização de entradas, o uso de funções inseguras e o uso de buffers transbordáveis podem tornar um programa vulnerável aos atacantes; as melhores práticas modernas de segurança de computadores são evitar ou usar com cautela esses construtos programáticos sempre que possível.”
Durante sua pesquisa, eles não exploraram uma vulnerabilidade existente em um programa de processamento de DNA, mas introduziram um semelhante ao que encontraram em sua análise de segurança anterior. Ainda assim, o efeito resultante da exploração baseada em DNA foi cristalino: o software vulnerável forneceu-lhes a capacidade de controlar remotamente o computador no qual foi instalado.
Nenhum perigo imediato
A equipe foi rápida em apontar que as pessoas não devem se preocupar com sua descoberta.
Por um lado, as pessoas não correm o risco de serem afetadas por explorações baseadas em DNA, pois não podem afetar o genoma humano (ou o de outros seres vivos). Em segundo lugar, o fato de que eles conseguiram criar e implantar tal exploração não significa que ela poderia ser facilmente entregue através, por exemplo, de uma amostra de sangue manipulada – há muitas coisas que podem dar errado e tornar a saída do sequenciador de DNA efetivamente inutilizável.
Na verdade, até o seu “ataque” falhou na maioria dos casos.
Eles também queriam tranquilizar a população em geral que não há evidências que acreditem que a segurança do sequenciamento de DNA ou dados de DNA em geral está atualmente ataque.
“No entanto, como as tecnologias de sequenciamento de DNA estão amadurecendo e se tornando mais onipresentes, acreditamos que esses tipos de problemas podem representar um problema crescente no futuro, se não forem resolvidos”, observaram.
“Como pesquisadores de segurança de computadores, estamos interessados em entender os riscos de segurança das tecnologias emergentes, com o objetivo de ajudar a melhorar a segurança das versões futuras dessas tecnologias. A comunidade de pesquisa de segurança descobriu que avaliar os riscos de segurança de uma nova tecnologia enquanto ela está sendo desenvolvida torna muito mais fácil enfrentar e resolver problemas de segurança antes que a pressão adversária se manifeste.”
Por isso, eles instaram a comunidade de sequenciamento de DNA a seguir práticas recomendadas de software seguro ao codificar software sinolítico, especialmente se for usado para fins comerciais ou sensíveis, e a pensar em outras proteções que poderiam castrar tais ataques ( por exemplo, isolamento de aplicativos).
FONTE: HELPNETSECURITY