Iki -60% prenumeratai. Išskirtinis gegužės pasiūlymas.
Išbandyti

Programišiai piktybinį kodą sugebėjo įterpti į DNR

Vašingtono universiteto tyrėjai pirmą kartą sugebėjo užkrėsti kompiuterį kenksminga programine įranga, panaudodami DNR. Jie modifikavo populiarią sekoskaitai naudojamą atviro kodo programą taip, kad susidarius tam tikroms sąlygoms ji sukeltų buferio perpildymą — populiarų pažeidžiamumo tipą, leidžiantį kompiuteryje vykdyti norimą kodą.
DNR
DNR / Fotolia iliustr.

Užrašę kenksmingą kodą į DNR sekos kodą tyrėjai sugebėjo užvaldyti DNR analizę atliekantį kompiuterį. Be to, tyrėjai aptiko ir jau egzistuojančius tokio tipo pažeidžiamumus populiarioje programinėje įrangoje, naudojamoje DNR analizavimui. Tyrimas bus pristatytas USENIX saugumo simpoziume, apie kurį praneša „Wired“.

Buferio perpildymo pažeidžiamumas yra dažnai piktavalių programišių naudojama saugumo spraga. Netgi pirmasis savaime plintantis tinklo kirminas naudojo ir šį mechanizmą. Supaprastintai jį galima būtų paaiškinti taip: buferis — kompiuterio atminties sritis, skirta programos duomenų įrašymui. Jeigu programuotojas nenumato įvedamų duomenų dydžio patikrinimo, programa gali pradėti rašyti gaunamus duomenis už jai skirtos atminties srities ribų. Taip įsilaužėlis ar kenkėjiška programa įvedamais duomenimis kompiuteryje gali vykdyti bet kokį norimą kodą.

Tokį patį pažeidžiamumą savo darbe panaudojo ir tyrėjai. Paprastai DNR sekoskaitos duomenys įrašomi FASTQ formatu. Kadangi tokio failo dydis gali išaugti iki gigabaitų, jis dažniausiai glaudinamas specialiomis programomis, tokiomis, kaip atviro išeities kodo programa fqzcomp. Tyrėjai pasinaudojo programos atvirumu ir tyčia joje įdiegė pažeidžiamumą. Paskui jie į DNR atkarpą įrašė kenksmingą kodą. Taip išanalizavęs DNR, kompiuteris pradėjo vykdyti mokslininkų įdiegtą kenksmingą kodą. Be to, jie ištyrė kitas populiarias programas, naudojamas dirbant su DNR, ir aptiko tris jau egzistuojančius jose panašaus tipo pažeidžiamumus.

Mokslininkai pažymi, kad kol kas tokią ataką vykdyti būtų sudėtinga dėl kelių priežasčių. Pavyzdžiui, DNR gali būti nuskaitoma bet kokia kryptimi, tuo tarpu kodas turi būti vykdomas nuosekliai. Nepaisant to, tyrėjai mano, kad tokie pažeidžiamumai atrodo bauginantys, juk potencialiai tokiu būdu piktavaliai gali gauti prieigą prie konfidencialių duomenų ar netgi pakeisti, tarkime, vykdomo tyrimo DNR testavimo duomenis.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą
Reklama
„Lidl“ parduotuvėse – išskirtinės „UEFA EURO 2024“ kortelės: kviečia surinkti visą kolekciją
Reklama
Lauko baldų ekspertas P.Kelbauskis pataria, kaip lengvai įsirengti lauko terasas ir nepermokėti
Reklama
Sutelktinio finansavimo ir tarpusavio skolinimosi platformos – ką reikia žinoti renkantis, kur investuoti
Reklama
Dantų balinimas: kaip pasiekti greitų ir efektyvių rezultatų?
Užsisakykite 15min naujienlaiškius