Consiguen escribir malware en... ¡ADN!

Hasta la fecha siempre se ha pensado que modificar el ADN de forma maliciosa ha tenido como objetivo la creación de un arma biológica en forma de toxina o enfermedad infecciosa, pero modificar el ADN para comprometer la computadora que lo está secuenciando es un nuevo vector de ataque que podrían aprovechar los hackers en los próximos años...

Pensarlo por un momento, ahora parece ciencia ficción pero en un futuro próximo la secuenciación genética se hará mucho más cotidiana y un atacante podría aprovecharlo usando muestras falsas de sangre u otras para obtener acceso a equipos universitarios, robar (o modificar) información de laboratorios forenses de la policía o infectar archivos genéticos compartidos por científicos.

Un grupo de investigadores de la Universidad de Washington se dio cuenta de ésto y demostrarán la semana que viene en la conferencia Usenix de Vancouver que, por primera vez, es posible codificar malware en hebras físicas de ADN, de modo que cuando un secuenciador de genes lo analice los datos resultantes se conviertan en un exploit que tome el control del software y la computadora subyacentes. Es lo que ya han denominado la primera "explotación de un sistema informático basada en el ADN".

Básicamente, el ADN está compuesto por nucleóticos que son cuatro moléculas orgánicas Adenina, Timina, Citosina y Guanina, es decir, ATCG respectivamente. Esas 4 letras se van secuenciando en distinto órden y frecuencia a lo largo de distintos genes en las cadenas que se van entrelazando formando las famosas dobles hélices. A grandes rasgos, cuando se secuencia el ADN lo que se está haciendo es trasladar esas secuencias "ATCG" de nucleótidos a formato digital en un formato llamado FASTQ. El fichero en ese formato ocupa varios gigas de texto por lo que normalmente se suele comprimir, en el caso que nos trae mediante el programa fqzcomp. Hackeando ese software de compresión mediante un exploit de desbordamiento de búfer sería posible ejecutar comandos arbitrariamente... y eso fue precisamente el objetivo de los investigadores.

No obstante la dificultad para la realizar el ataque fue máxima e incluso podríamos decir que llegaron a hacer algo de "trampas" porque en lugar de explotar una vulnerabilidad existente en el programa fqzcomp, modificaron el código abierto del programa para insertar su propio fallo permitiendo el desbordamiento del búfer. De todas formas, se trata de la primera prueba de concepto y tenemos que tener siempre en cuenta que los ataques podrían evolucionar y aprovecharse de nuevas vulnerabilidades existentes. De hecho, el equipo de investigadores encontró hasta tres 'buffer overflows' en programas de secuenciación de ADN diferentes.

Por otro lado, los investigadores consiguieron comprar muestras de ADN por sólo $89 pero en seguida se dieron cuenta de que no era nada fácil codificar el malware en ellas. En primer lugar, el ADN tiene algunas limitaciones fisicas: para que la muestra permaneciera estable tenían que mantener una cierta relación de Gs y Cs con As y Ts, porque la estabilidad natural del ADN depende de una proporción regular de pares A-T y G-C. Por dicha razón tuvieron que rescribir el exploit varias veces para que pudiera "encajar" en el ADN real. En segundo lugar, los secuenciadores de ADN trabajan mezclando ADN con sustancias químicas que se enlazan de forma diferente a las unidades básicas de código del ADN -las bases químicas A, T, G y C- y cada una emite un color de luz diferente capturado en una foto de las moléculas de ADN. Para acelerar el procesamiento, las imágenes de millones de bases se dividen en miles de fragmentos y se analizan en paralelo. Así que todos los datos que comprendieron su ataque tuvieron que encajar en sólo unos pocos cientos de esas bases, para aumentar la probabilidad de que se mantendría intacta durante el procesamiento paralelo del secuenciador.

En cualquier caso, superados estos escollos el equipo de investigadores fue capaz de ejecutar comandos en la máquina secuenciando el ADN...

Las empresas que fabrican ADN sintético están ya en alerta y, tal como sugieren los investigadores, pronto se tendrá que empezar a revisar las secuencias de ADN por posibles amenazas informáticas. Pronto también empezaremos a escuchar mucho más el término de ... biohackers.

Paper: http://dnasec.cs.washington.edu/dnasec.pdf

Fuentes:
- Scientists Hack a Computer Using DNA
- DNA Hacking: Malicious Code Written Into A DNA Strand Can Hack A Computer
- Biohackers Encoded Malware in a Strand of DNA

Comentarios