Hacken mit DNA

Erstmals haben Forscher mit Hilfe von DNA die Kontrolle über einen Computer übernommen. Der Angriff ist wenig realitätsnah, könnte jedoch an Relevanz gewinnen.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Antonio Regalado

Forschern an der University of Washington in Seattle ist offenbar der erste Hack eines Software-Programms mit Hilfe von DNA gelungen: Nach eigenen Angaben brachten sie Malware in ein genetisches Molekül ein, mit der sie dann die Kontrolle über den Computer übernehmen konnten, mit dem es analysiert werden sollte. Die Forscher sprechen jetzt vom ersten "DNA-basierten Eindringen in ein Computer-System".

Für ihren Hack programmierte die Gruppe um Tadayoshi Kohno und Luiz Ceze bösartige Software in einen kurzen DNA-Strang, der dann online bestellt wurde. Anschließend konnte sie damit die "volle Kontrolle" über einen Computer übernehmen, der die genetischen Daten verarbeiten sollte, nachdem sie von einer DNA-Sequenziermaschine ausgelesen worden waren.

Mehr Infos

Wie die Forscher warnen, könnten sich Hacker eines Tages mit gefälschten Blut- oder Speichel-Proben Zugriff auf Universitätscomputer verschaffen, Informationen aus forensischen Laboren stehlen oder Genom-Daten infizieren, die von mehreren Wissenschaftlern genutzt werden.

Einstweilen ist DNA-Malware in der Praxis nur ein geringes Risiko. Die Forscher räumen ein, dass sie für ihren Versuch die "bestmöglichen" Erfolgschancen schufen, indem sie Sicherheitsfunktionen abschalteten und sogar eine Sicherheitslücke in eine wenig genutzte Bioinformatik-Software programmierten.

"Dieses Eindringen war im Grunde unrealistisch", sagt Yaniv Erlich, Genetiker, Programmierer und Wissenschaftschef der Genealogie-Website MyHeritage.com.

Zuvor hatte Kohno zu den ersten Forschern gehört, denen es gelang, über den Diagnose-Port in die Computer eines Autos einzudringen; später schaffte er es sogar, über Bluetooth anzugreifen und so Zugriff auf Entfernung zu bekommen.

Die DNA-Malware soll in dieser Woche beim Usenix Security Symposium in Vancouver präsentiert werden. "Wir beschäftigen uns mit neu aufkommenden Technologien und fragen, ob sie Sicherheitsgefahren mit sich bringen, damit man sie frühzeitig angehen kann", sagt Peter Ney, ein Doktorand am Security and Privacy Research Lab von Kohno.

Zur Produktion der Malware übersetzte das Team eine einfache Computer-Instruktion in eine kurze Abfolge der DNA-Buchstaben A, G, C und T. Nachdem sie mehrere Kopien dieses Strangs für 89 Dollar bei einem Spezialanbieter bestellt hatten, fütterten die Forscher eine Sequenziermaschine damit. Diese las die Gen-Buchstaben aus und speicherte sie als die binären Zahlen 0 und 1.

Wie Erlich erklärt, wurde bei dem Angriff ein Überlauf-Effekt ausgenutzt: Wenn Daten nicht mehr in einen Pufferspeicher passen, können sie als Computer-Instruktion verstanden werden. In diesem Fall sorgte die Instruktion dafür, dass ein von Kohnos Team kontrollierter Server kontaktiert wurde. Von dem aus war es möglich, die Kontrolle über einen Computer in dem Labor zu übernehmen, der für die Analyse der DNA-Datei genutzt wurde.

Unternehmen, die synthetische DNA-Stränge produzieren und an Wissenschaftler verschicken, achten bereits darauf, möglichst nicht an Terroristen zu liefern. In Zukunft, so schreiben die Forscher, werden sie Bestellungen möglicherweise auch auf Gefahren für Computer überprüfen müssen.

Außerdem weist das Team darauf hin, dass Hacker auch konventionellere Methoden nutzen könnten, um genetische Daten anzugreifen. Der Grund dafür sei, dass diese Daten zunehmend im Internet zu finden und sogar über App-Stores zugänglich seien.

In manchen Fällen werden wissenschaftliche Programme für das Organisieren und Auswerten von DNA-Daten nicht mehr gepflegt. Das kann zu Risiken führen, sagt James Bonfield, Bioinformatik-Experte an der britischen Sanger University. Nach seinen eigenen Angaben stammt das Programm, das die DNA-Hacker verwendeten, von ihm. Er habe "fqzcomp" als Experiment für einen Wettbewerb zur Dateikompression geschrieben, und es sei wahrscheinlich nie zuvor benutzt worden.

(sma)