Comments 45
Я понимаю, что такое атака через переполнение буфера, но в то, что подобное как-то применимо в реальности в случае с ДНК, чесслово, не верю.
На то они и ученые: ставят гипотезы, проверяют, доказывают. Результат: возможно, очень сложно, маловероятно.
p.s. Согласен, допущений очень много, но в принципе не намного больше, чем в сабжевой статье.
то это будет потенциально опасно рендерингом например от какого-нибудь устойчивого к антибиотикам организма
Я думаю, вероятность того, что бактерии сами выработают резистентность к антибиотикам, на несколько порядков выше, чем того, что они сопрут чью-то гифку из ДНК-накопителя, и случайно в ней окажется нужная последовательность.
Шаг 1: ищешь рабочие дырки в опен-сорсе. Находишь.
Шаг 2: синтезируешь днк по сиквенсу.
Шаг 3: Ищешь среди коммерсов, которые потенциально используют этот опен-сорц, тех, кто секвенирует за денюжку. Шлёшь им образец, получаешь шелл-код. Профит.
CSRF найти проще. Но и уровень внимательности к безопасности на этом фронте настолько низкий, что такой шелл не найдут примерно никогда, если сидеть тихой сапой и тупо сливать данные куда-то.
Исследование не имеет практической пользы, потому что авторы не взламывали конкретную программу-секвенсер, которой пользуются биологи. Вместо этого они сами модифицировали программу fqzcomp версии 4.6 (утилита сжатия последовательностей ДНК), добавив известную уязвимость в её исходный код.
Че-то мне это напоминает африканский/молдавский/подставьте-что-то-еще вирус, который просит сам себя распространить и удалить че-то важное.
Ждем серьезных исследований по поводу того, что можно взломать телефон через камеру или микрофон (если, конечно, заранее туда эксплоит внедрить).
В штрих-код эксплойт не завернешь, он фиксированного размера. Вот QR-код — да, уже вектор атаки, и да, пробуют уже ломать.
Что-то такое припоминаю (на кассе сканер штрих-кода подсоединён, как клавиатура), но там надо целую пачку штрих-кодов предъявлять было.
Code128 коды работают (ASCII + Ctrl+символ):
http://hackaday.com/2016/02/17/barcodes-that-hack-devices/
http://web.archive.org/web/20160211043921/http://en.wooyun.io/2016/01/28/Barcode-attack-technique.html Barcode attack technique (Badbarcode)
https://twitter.com/tombkeeper/status/663730674017300480 One of the demos of our talk "BadBarcode: How to hack a starship with a piece of paper". See you in PacSec 2015.
http://www.slideshare.net/mobile/PacSecJP/hyperchem-ma-badbarcode-en1109nocommentfinal
“Toying with Barcodes”, Phenoelit, 24C3 • Barcode driven buffer overflow • Barcode driven format string • Barcode driven SQL injection • Barcode driven XSS
Other Scenarios • Predict and recreate barcodes • Duplicate barcodes • Phishing attacks by QR code
Сколько же времени уйдет, чтобы пересобрать эксплойт, если в нем потребуется подставить другие адреса в памяти для обхода ASLR...
… что можно удалённо заразить компьютер через ДНК(philosoraptor.jpg)
А считается ли заражением компьютера через ДНК допуск к нему криворукого пользователя?
Секвентор, может выдать последовательность нуклеотидов, в обычный текстовый файл(raw), там может быть все что угодно. Но программа функционирует не в секвенаторе, а на компьютере. Любая сегодняшняя программа секвенирования может в лучшем случае интерпретировать значения выданного секвенатором, сделать например выравнивание и определить что за организм ей подсунули или прочитать значение конкретного снипа.
Что-то я не слышал про программы, которые могут компилировать что-либо исполняемое…
Конечно, если предварительно через сеть туда внедрить вирус, который модифицирует программу коренным образом, то и с сиквенсных последовательностей можно что угодно считать, но встает вопрос, зачем тогда секвенатор...??
Учёные изменили программу (опять же вопрос, что там поменяли), отключили кучу в ОС, а потом говорят: «Трагедия, через ДНК можно компьютер заразить». Таким путём можно всё-что угодно через всё что угодно заразить. Чтобы этого не было защиты и ставят.
Аналогично можно сказать, что на самолёт можно бомбу пронести… только для этого нужно убрать металлодетекторы, досмотр и охранников.
Но потенциальная уязвимость не означает наличия реальной уязвимости.
Но, может, подстегнёт разработчиков программ (их руководство) писать аккуратнее (быть требовательнее).
Если б хоть какой-то настоящий секвенсер взломали.
Я б на месте ученых выбрал, в качестве исходника, коды запуска ракет Северной Кореи. «В лабораторных условиях, нам удалось вживить в ДНК и потом успешно применить код-ключ запуска ракеты земля-земля, направленной на Вашингтон»
Но все же я считаю этот эксперимент полезным. Доказана принципиальная возможность взлома, через известный заранее занесенный эксплойт. И это повод внимательней отнестись к безопасности и общей работе с ДНК в будущем, ведь обычно взламывают через дыры которые мы не знаем.
Приводя аналогию: «мы взяли ПРЕДМЕТ и сами ударили себя им по голове. Все получилось. Вывод — ПРЕДМЕТ потенциально может быть использован для удара по голове».
как я понял, ученые доказали возможность взаимодействия "условного ИИ" и "условного организма". Если так, возможен ли теоретический переход "организм"-"ии"-"организм"? когда уже "Подождите, Ваше днк обновляется, процесс может занять несколько месяцев. Не размножайте и не отключайте тело"?
как я понял, ученые доказали возможность взаимодействия «условного ИИ» и «условного организма».
Нет. Ученые с помощью сложного и дорогого эксперимента доказали, что если вместо флешки взять ДНК и девайс для чтения ДНК, то если на ДНК записать то же, что и на флешку, и потом прочесть, то оно будет работать так же, как если это прочесть с флешки. Например, если вы на ДНК запишете фото котика, то прочтете фото котика. А если эксплойт, то прочтете эксплойт, ну а потом вам надо его, конечно же, запустить в подходящей среде. И тогда вас поразит эксплойт из ДНК. Конечно, статью они в журналах опубликуют. Но вы не находите научную ценность данного эксперимента несколько сомнительной?
не нашел аргументов для Вашего категоричного "нет", простите за дилетанство (сложное и дорогое — это относительно). Я правильно Вас понял, что ДНК может выступать носителем информации, с которой можно ее (информацию) считать и записать в другую ДНК (подготовленную)? возможна ли такая ситуация, что мою днк считывает ии, находит уязвимости, находит в базе данных "лечащую" днк, выписывает оттуда процедуру "лечения", записывает ее в мою днк и моя днк… обновляется?
Я правильно Вас понял, что ДНК может выступать носителем информации, с которой можно ее (информацию) считать и записать в другую ДНК (подготовленную)?
Речь в статье шла не о записи чего-то из ДНК в ДНК, а о том, что если переписывать с ДНК информацию в компьютер (есть такая процедура, секвенирование называется), то если в ДНК засунуть вредоносный код, а программа для секвенирования будет иметь уязвимость для выполнения этого кода, то можно заразить компьютер. Поскольку о существовании уязвимостей в программах для секвенирования авторам было неизвестно, равно как и о коде в ДНК, который способен их заразить, они состряпали программу с уязвимостью, написали под неё код в ДНК, ну и уязвили её.
«Теоретически из пистолета можно поразить танк, если попасть в нужное отверстие, ведущее прямо к боекомплекту. Поскольку мы не знаем про такие отверстия, давайте возьмем танк, снимем с него броню, а вот тут подвяжем килограмм тротила. И выстрелим в него. О-па, смотрите, мы поразили танк из пистолета!»
Я считаю что мир меняется и что все возможно.
Почему я должен что-то предлагать
Так надо. Идите и предлагайте, а не разводите тут демагогию.
если я считаю иначе чем остальные, то это не нормально
Нормально. Также абсолютно нормально, если остальные на это будут обращать внимание, спорить с вами, иронизировать, и вообще угнетать вас, наивного выскочку, всеми доступными способами.
Это была краткая лекция о том, как устроен этот несправедливый мир. А теперь шагом марш к тем парням предлагать им кодировать эксплойт в палец и глаз.
Биохакеры закодировали зловред в ДНК, чтобы атаковать софт для секвенирования генома