Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Wetenschappers voeren exploit uit door middel van malware in dna

Door , 44 reacties

Wetenschappers van de Amerikaanse universiteit van Washington zijn erin geslaagd om een exploit uit te voeren in een programma voor dna-analyse. Om dat te bereiken, encodeerden ze code in een dna-sample en brachten zo een buffer overflow teweeg.

De wetenschappers beschrijven hun werk op een speciaal ingerichte website en in een bijbehorende paper. Daar leggen ze uit dat hun experiment uitging van de beste omstandigheden voor een potentiële aanvaller. Zij kozen de zogenaamde fqzcomp-software als doelwit, die ertoe dient om dna-sequenties te comprimeren. Door de opensourcecode te downloaden waren de wetenschappers in staat om een kwetsbaarheid in te bouwen in de vorm van een statische buffer. Ze merken op dat het programma al wel veel van dit soort buffers bevatte. Beschermingsfuncties als aslr werden uitgezet.

Vervolgens encodeerden ze een dna-sample met kwaadaardige code, die na uitlezen door een sequencer uitgevoerd zou worden op het kwetsbare systeem. De wetenschappers leggen uit dat ze daarvoor steeds 2bit-paren aan nucleotiden koppelden: 00 aan A, 01 aan C, 10 aan G en 11 aan T. Een eerste poging om een exploit te introduceren faalde, mede omdat ook de kleinste shellcode te groot was om in een dna-sequentie onder te brengen. Uiteindelijk lukte het om een 43-byte-exploit te maken, waarmee het doelsysteem verbinding maakte met een zo kort mogelijke domeinnaam en malware binnenhaalde die ervoor zorgde dat het op afstand uitvoeren van code mogelijk was.

  Succesvolle en gefaalde exploit

Met hun onderzoek willen de onderzoekers aantonen dat het mogelijk is om via dna uiteindelijk tot remote code execution te komen. Daarbij willen ze de aandacht vestigen op het feit dat dna-sequentiemachines niet altijd de best practices volgen op beveiligingsgebied. Ze waarschuwen dat hun bevindingen geen reden voor zorgen zijn, omdat er geen soortgelijke actuele dreigingen bestaan. De onderzoekers zien hun werk dan ook als een eerste stap en als aanzet om na te denken over beveiliging in de wereld van sequencing van dna. Hun onderzoek wees uit dat de code die gebruikt wordt in de bijbehorende software, vaak kwetsbaarheden bevat. Ze presenteren hun onderzoek volgende week op de Usenix-conferentie in Vancouver.

Reacties (44)

Wijzig sortering
Wat ging er door de hoofden van deze wetenschappers? Dat als je een stuk opensource software download en er zelf een vulnerability in toevoegd dat je die dan kunt misbruiken?
"Hmn nee dat is te makkelijk, laten we dan de exploit in DNA sequencen. Ja! Dat is cool, dan valt het misschien niet op dat we de caption obvious award zouden moeten krijgen".
Als ik de tekst op de website bekijk, denk ik dat hun doel wel nobel was:
One theme from computer security research is that it is better to consider security threats early in emerging technologies, before the technology matures, since security issues are much easier to fix before real attacks manifest.
Dit zou een open deur moeten zijn, maar laat ons eerlijk zijn, er wordt verdomd veel ontwikkeld (IoT anyone) waarbij allesbehalve aan security gedacht wordt. En het ziet er dan misschien simpel uit wat ze doen, ik zou wel eens een poll willen doen hoeveel er spontaan zelf zouden denken dat Rule #1 van @chuk hierboven van toepassing is op DNA.
Denk heel ver vooruit met dna modificaties op mens en dier, plant. Je zou zou een exploit in iets kunnen inbouwen. Wordt het dna genomen geanalyseerd, hup exploit in de machine.

Denk ook aan de betrouwbaarheid van onderzoeken als een dna analyse apparaat gehackt kan worden en de resultaten dus ook op afstand beÔnvloed kunnen worden.
Denk heel ver vooruit met dna modificaties op mens en dier, plant. Je zou zou een exploit in iets kunnen inbouwen. Wordt het dna genomen geanalyseerd, hup exploit in de machine.
Of natuurlijk reclame voor het bedrijf dat de modificaties heeft ontwikkelt/vermarkt.
Wordt het dna geanalyseerd, hup reclame popup in de machine. :o
ook leuk:
"Beschermingsfuncties als aslr werden uitgezet."
vs.
"Daarbij willen ze de aandacht vestigen op het feit dat dna-sequentiemachines niet altijd de best practices volgen op beveiligingsgebied"

Zelfde onderzoekers: "Botsen met een auto kan zwaar letsel veroorzaken" Ze hebben dit getest door de Airbag uit te schakelen en de gordels door te knippen.
Gekunsteld is het zeker. Aan de andere kant hebben ze echter wel een punt: bij nieuwe technologie is beveiliging iedere keer weer het onderdeel waar het minste aandacht aan wordt besteed. Je zag dat bijv. toen Wifi routers gewone consumentenapparaten werden: even aansluiten en je had een open access point waar iedereen op kon inloggen. Beveiligen kon wel, maar dat moest je expliciet zo instellen. Tegenwoordig is het gelukkig andersom. Later domotica en smart tv's met zwakke beveiliging.

Een DNA apparaat zie ik nog niet zo snel in een doorsnee huishouden verschijnen, maar heb je genoeg van dat soort apparaten in bedrijven en universiteiten, vormen ze mogelijk ook een risico. Besteed je daar geen aandacht aan, dan blijft dat ook zo.
Right. Je maakt hier dus de vergelijking tussen huishoudelijkeapparaten die op het internet staan aangesloten en een stel knuppels die zelf een huis kopen, alle beveiliging uitzet, een gat ergens in de muur maken zo naar de buitenwereld waar ze vervolgens een dief doorheen duwen en het helegebeure raporteren als een fundamentele fout in de manier waarop/waarmee/whatever de huizen gebouwd worden en dus zit volgens hun de fout compleet bij het bouwprocess van het huis in plaats van wat ze met het onderzoek(materiaal) gedaan hebben.

Dat gaat dus niet op, hŤ? Dat is van een mug een olifant maken. Zo kan ik ook onderzoeker spelen en mijn zooi het internet op gooien.

Ps/edit: het klopt overigens wel dat beveiliging een waardig puntje is waar nog veel aan moet worden gedaan bij apparaten die aangesloten staan op het internet. Maar als we die zelfde "nieuwe" router pakken uit je voorbeeld, de beveiliging uitzetten en dan klagen dat er onbevoegde toegang (vanuit de eigenaar z'n ogen, werkelijkheid zegt: "Had je de beveiliging aan moeten houden die je hebt uitgezet.") gebruik wordt gemaakt van de router is natuurlijk onzin. En hetgeen dat hier gebeurd is.

[Reactie gewijzigd door sxbrentxs op 10 augustus 2017 15:50]

Hmm, ze laten zien dat codeinjectie kan via "bijzondere" wegen.
Als je op ALSR moet vertrouwen, ben je eigenlijk al te laat (er wordt al code uitgevoerd).
Daarnaast kunnen er best apparaten zijn die DNA analyseren die niet beschikken over ALSR.
Het is natuurlijk niet geheel ondenkbaar dat criminelen of spionnen ooit dit soort methodes gaan gebruiken om de dna-sequencers om de tuin te leiden en zodoende zelf niet via DNA gematcht te worden. Dit truukje hoeft dan echt niet in hun eigen DNA ingebouwd te zijn, extra DNA op hun huid (in de vorm van speciale bacteriŽn of zo) zou ook moeten werken.
Natuurlijk moeten ze het dan wel doen op een manier die niet opgemerkt wordt. Alleen de sequencer laten crashen is niet genoeg.
Punt is niet dat dit soort dingen kunnen, punt is dat dit is geprobeert door middel van het beveiligingssysteem uit te schakelen en dan even eigen exploits toevoegen aan de machine die gebruiken en dan rapporteren dat er een massive exploit is.

Dat is natuurlijk uit den boze. 8)7
Dit is namelijk ook de reden dat je de security test, klopt. Maar niet door zelf je netgevulde zwembad lek te steken en dan proberen terug te brengen.
Je zou het eerder moeten zien als een proof of concept dan een captain obvious trucje. .

Ze tonen aan dat ook hier amper is stilgestaan bij veiligheid en aangezien je nu ook code kan verwerken in dna krijg je weer hele nieuwe problemen.

De open source aanpassen is nu gedaan Door henzelf maar wie zegt dat er niet gewoon injecties plaatsvinden in laboratoria Door kwaadwillende figuren.
In dat geval zou hetzelfde kwalijke effect worden gecreŽerd en staan we achteraf te kijken en gaan we weer met zn allen naar Rusland of China wijzen omdat Amerika dat roept.

Bottom line. Het is dus vrij simpel te misbruiken en dat hebben ze aangetoond.
Dat er in de echte wereld iets meer kleine stapjes nodig zijn is bijzaak. De root cause is aangewezen.

En in de toekomst zullen er wellicht hele andere soorten code in staan dan alleen de instrumenten laten crashen...
Vervalsen van uitslagen of zelfs het vervalsen van uitslagen die al gedaan worden. Of het instrument aanpassen waardoor valse info gegeven wordt waar dit niet zo hoor.. whatever.. De deur kan met weinig moeite op een kier en dat is het punt hier.

[Reactie gewijzigd door Marty007 op 10 augustus 2017 14:31]

Om Douglas Adams dan maar te citeren: "It rather involved being on the other side of this airtight hatchway".

Jouw scenario verondersteld dat "kwaadwillende figuren" een buffer overflow vulnarability in DNA analyse-software introduceren, en vervolgens DNA malware via die buffer naar binnen schieten.

Maar als je al complete controle over de DAN analyse-software hebt, waarom dan zo moeilijk doen? Dan kun je ook gewoon de malware direct in de executable zelf verpakken. Dan heb je ook geen gedonder met ASLR en dergelijke.

In het algemeen is X geen beveiligingslek, als je X pas kunt doen nadat je de beveiliging al gepaseerd bent. En in dit geval is "remote code execution" geen beveiligingslek, omdat het alleen werkt als je al de mogelijkheid had tot "remote code execution". Vandaar de quote aan het begin. In de HitchHikers Guide to the Galaxy had de hoofdpersoon een geniaal plan om aan boord te komen van een ruimteschip, met maar 1 klein nadeel: het plan werkte alleen als hij al aan de binnenkant van de luchtsluis was 8)7
Idd. Lijkt wel een soort wetenschappelijke clickbait.. Als mensen de termen "dna" en "malware" in een zin zien dan suggereert dat een nieuw soort bio wapen, terwijl het alleen maar gaat om strings in software die dna representeren.
voegt alleen maar aan de titel toe wat tweakers eigenlijk probeerd te bereiken met dit soort nieuwsitems.. clickbait 101.. komt steeeds vaker voor op tweakers... catchy title met duffe en soms zelfs beetje nutteloze inhoud...
Wat er door hun hoofden ging, staat in de paper. Ze wilden in een eerste fase testen of het mogelijk was om DNA te maken dat een systeem kan exploiten. Het doel in die fase was DNA te wijzigen en niet een specifieke sequencer te breken. Als dat niet mogelijk was geweest, zou de input sanitization veel minder een issue geweest zijn, en had het vervolgonderzoek niet eens plaatsgevonden.
Als ik het goed begrijp, gaat het vooral om de volgende zin:
Ze merken op dat het programma al wel veel van dit soort buffers bevatte.
waardoor het inbouwen van extra buffers die niet erg opvalt - en aangezien het OpenSource is, degene die zo'n machine in elkaar zet, ook maar moet hopen dat de persoon die deze software daadwerkelijk implementeerd "stiekem" geen eigen code kan toevoegd - waardoor er straks een serie DNA sequencers zijn die toegankelijk zijn voor iedereen aan wie hij die exploit bloot geeft (lees: verkoopt).

Bovenal vind ik het best aardig bedacht, dat je door een juiste DNA sequentie in te voeren code kunt laten uitvoeren. Hoewel het wellicht een Open Deur is, wil dat niet zeggen dat het dus ook voor iedereen vanzelfsprekend is. Soms als de deur wijd open staat, struikel je alsnog over de drempel...

[Reactie gewijzigd door dwarfangel op 10 augustus 2017 14:51]

Jep, en sites zoals tweakers "Wetenschappers voeren exploit uit door middel van malware in dna"
en nu.nl "Onderzoekers verstoppen malware in DNA" maken er mooie clickbait van. Als ik de tekst goed begrijp gaat het er enkel om dat ze code injecteren d.m.v. modificaties aan het uit te lezen materiaal, in dit geval DNA. Malware heeft er eigenlijk niks mee te maken, enkel dan dat dit een gevolg is van de uitgevoerde exploit.

Exploit != malware

Admin-edit:Spelfouten en/of ander commentaar m.b.t. nieuwsposts horen thuis in
Geachte Redactie.

[Reactie gewijzigd door Bor op 10 augustus 2017 18:10]

Ik dacht dat je een grapje maakte over nu.nl, maar even later zag ik daadwerkelijk deze titel staan. Dit krijg je als stukjesschrijvers, (want journalisten kun je ze al lang niet meer noemen) niet begrijpen wat ze zelf schrijven. Dit is echt heel heel erg.
Heel interessant! Misschien even duidelijk maken dat FASTQ raw is, en de compressor fgzcomp is.

We zijn momenteel binnen MPEG bezig aan een wereldwijde standaard voor de compressie van genomische data en (veilige) exchange ervan: MPEG-G. Ik zal dit de volgende meeting zeker meenemen, zulke zaken moeten ten allen koste worden vermeden! Het is dan misschien wel een beetje ver gezocht en complex maar het kan geen kwaad de huidige ontwerpen even af te checken voor zulke "exploits".

[Reactie gewijzigd door TPar op 10 augustus 2017 13:31]

Waarom houdt MPEG, the Moving Pictures Experts Group, zich bezig met het transport en opslag van DNA informatie?
Kort antwoord: MP3 is ook MPEG :-). Verder werkt MPEG ook aan bvb. Point cloud compressie en dus ook genoomcompressie.

Lang antwoord: wij (de leden van MPEG) hebben tientallen jaren ervaring in de compressie, opslag en transport van data. Gezien de interesse uit de industrie en vele belangrijke genoominstituten en de nood aan een gestandardiseerd en efficient formaat is er enkele jaren geleden beslist om een groep op te richten die zich zal focussen op genoomcompressie en -transmissie, gebruikmakend van onze ervaring. Momenteel ziet het er naar uit dat we met onze effort, de benodigde opslagruimte voor een menselijk genoom zullen kunnen verkleinen met een factor 50 en dit met de toevoeging van random access (In 2 dimensies) en ondersteuning voor tal van andere functionaliteiten. Gezien de grootte van een typische outputfile van 300 GB per menselijk genoom (elke base wordt typisch enkele tientallen keren uitgelezen en er wordt ook additionele data bewaard), is dit best handig :-).

[Reactie gewijzigd door TPar op 10 augustus 2017 15:36]

Kan zijn, maar ik heb weinig behoefte aan een unskippable FBI waarschuwing aan het begin van mijn DNA ;)
Staat nergens in een MPEG-standaard. Wij doen aan compressie, dus niet nutteloze zaken toevoegen ;-)
Rule #1. Als er input in je programma/process kan komen van unknown sources, altijd je input data strict sanitizen.

Of die input in de vorm is van text/spraak/images of... DNA, de regels blijven hetzelfde!
Nou nee. Data sanitizen is nergens voor nodig. Het enige wat je moet doen is data en code gescheiden houden. Dat doet Windows met Data Execution Prevention, dat doet Linux met W^X, dat doet SQL met prepared statements.

Data sanitizen is een hack voor talen die hoog-risico constructies als "eval" gebruiken, die de grens tussen code en (untrusted) data doorbreken. Maar eval is gewoon sex zonder condoom, eval en untrusted data is een one-night stand zonder condoom. Dat los je niet met een washandje op.
Nee. Je data sanitizen is altijd belangrijk. het is 1 laag in meerdere lagen beveiliging.
Laat ik het zo zeggen: Ik ben een C++ developer, ik knikker mijn inkomende data in een std::string. Ik heb dus geen buffer overflows. Wat valt er verder nog te sanitizen?

't Is niet alsof /* in data hetzelfde is als /* in C++ source code. De compiler is de harde scheiding tussen compile time en run time, tussen source code en run-time data. SQL injections zijn het gevolg van het feit dat je een mix van code en data naar een SQL interpreter stuurt.
Rule#2. De uitzondering in regel 1 vervalt. Bekende sources kunnen ook onbetrouwbare input leveren.

Rule#3. Het kan zijn dat er een gat in je systeem/platform of code zit die je niet had verwacht. Deze kan misbruikt zijn om je input sanitize te omzeilen. Daarom valideer altijd of de output strict voldoet aan de structuur en het data volume dat je verwacht.

Doe deze stappen elke keer als data tussen programma units of systemen wordt uitgewisseld.

Zorg dat je unit tests hebt die elke if/else/switch conditie raken. Geen van deze test mag dezelfde output verwachten.

[Reactie gewijzigd door djwice op 10 augustus 2017 14:08]

Hmm, rondlopen met een SQL-injection in je cellen :D
Als je dit via een injectienaald kunt inbrengen, geeft het de term SQL-injection wel een hele nieuwe lading.
Of gewoon met een condoom blijven werken :+
Inderdaad een beetje een misleidende titel! (clickbait? Of de woorden "-analyse systeem" aan het eind weggevallen?))

De eerste zin zegt al iets totaal anders, wat dan weer veel verduidelijkt.

Die reclame voor Ghost in the Shell is wel goed bij dit artikel!
Leuk, noem je je kind niet alleen Little Bobby Tables, maar programmeer je ook een Drop Table commando in zijn dna. :+
Bij veel Open Source software valt het me op dat wijzigingen niet goed gecontroleerd worden. Vaak zijn die groepen allang blij dat er iemand iets toevoegt. Ook is de kwaliteit van de code dusdanig dat het bijzonder moeilijk is om alles te snappen en kunnen hacks zoals deze er tussendoor glippen.

Ik geloof niet dat de geÔnfecteerde Fastq software werkelijk de ronde heeft gedaan overigens. Dit hele verhaal schreeuwt als een vergezochte clickbait en ik snap werkelijk niet waarom we er hier over discussiŽren.
Krijgen we dan computer-virus-virussen, die DNA veranderen om zulke systemen binnen te dringen?
Dit is echt de nieuwe James Bond plottwist. Maak een stuk DNA en transformeer dit in een organisme. Slachtoffer gaat DNA van dit organisme sequencen, DNA sequentie bevat malware. Computer geÔnfecteerd. Mission accomplished, en de liefde van de mooie dame met een master in biochemie gewonnen.
De meest realistische James Bond (en nog steeds actueel - of zelfs actueler dan ooit) is Tomorrow Never Dies 😶
Dus als ik mijn raam openzet (de zelf ingebouwde kwetsbaarheid) en ik gooi een emmer met water naar buiten dan is dat nieuws... (met het raam dicht was het niet mogelijk geweest)

[Reactie gewijzigd door dabronsg op 10 augustus 2017 13:59]

Nee als je je raam zo geprepareerd had dat deze het water door zou laten als je het er tegen aangooid wel ;)
een iets minder cynische versie: we crashen een auto, maar zetten de airbag uit. dat gaat pijn doen, maar het is wel een mooie manier om te zien in hoeverre de kreukelzone je letsel beperkt.
Och
we hadden al the six million dollar man, the hulk, en nog een paar

nog heel ff en ze lopen hire gewoon door de straat


Om te kunnen reageren moet je ingelogd zijn


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*