Gäbe es einen Preis für den futuristischsten Hack des Jahres, er ginge 2017 wohl an Tadayoshi Kohno und Luiz Ceze. Die Forscher der Universität von Washington haben es mit ihrem Team fertiggebracht, mit präparierter DNA einen Computer zu kapern.

Genauer: Es ist ihnen gelungen, Malware in künstlicher DNA zu verstecken, die jene Computer infiziert, auf denen das Erbgut ausgelesen oder weiterverarbeitet wird. Die technischen Hürden, die sie dabei überwinden mussten, sind so absurd, wie das Angriffsszenario selbst es zur Zeit ist. Aber die Wissenschaftler wollen nach eigenen Angaben frühzeitig auf mögliche Schwachstellen in einer Technologie hinweisen, die in absehbarer Zukunft an Bedeutung gewinnen wird und bisher nicht auf Sicherheit ausgelegt ist.

"Wir wollten verstehen, welche neuartigen Sicherheitsrisiken in der Verbindung von biomolekularer Information und jenen Computersystemen entstehen, die sie analysieren", schreiben Kohno und sein Team. Und zwar möglichst bevor das technische Ökosystem zur DNA-Sequenzierung so weit entwickelt ist, dass nachträgliche Sicherheitsmaßnahmen schwierig zu implementieren sind.

Malware am besten als Palindrom codiert

Angesprochen fühlen sollten sich Institutionen, die mit DNA arbeiten: Universitäten, kommerzielle Forschungseinrichtungen und Polizeilabore etwa, allesamt plausible Ziele von Hackerangriffen. Theoretisch könnten irgendwann Speicherdienste hinzukommen, denn künstliche DNA gilt manchen als Speichermedium der Zukunft.

Drei Stufen hatte das Experiment: Erstens schrieben die Forscher in der Rolle des Angreifers eine Schadsoftware, die eine typische Software-Sicherheitslücke ausnutzt – einen sogenannten Exploit – in Form von Binärcode. Den übersetzten sie in eine DNA-Sequenz aus den bekannten Nukleinbasen Adenin, Thymin, Guanin und Cytosin (A, T, G und C). Diese Sequenz ließen sich vom kommerziellen Dienstleister IDT synthetisieren, für 89 US-Dollar.

Zweitens lasen sie in der Rolle des Opfers diesen DNA-Strang mit einem Sequenzierer wieder aus. Aus A, T, G und C wurden Nullen und Einsen.

Drittens analysierten und verarbeiteten sie die ausgelesene DNA-Sequenz mit einem der dafür üblichen Programme weiter, so wie es das Opfer einer solchen Attacke auch tun würde. Ihr Ziel war es, die Kontrolle über den Computer des Opfers zu übernehmen. Was ihnen schließlich auch gelang: Ihr in die DNA eingeschleuster Exploit erzeugte einen sogenannten Speicherüberlauf (buffer overflow), der vom Computer als Befehl interpretiert wurde und eine Verbindung zum Command-and-Control-Server der Angreifer aufbaute.

Bis es so weit war, mussten die Forscher eine Reihe von Schwierigkeiten überwinden. So musste der Code ihrer Malware kompakt genug sein, um in wenige Hundert Basenpaare zu passen – denn heutige Sequenzierer zerhacken lange DNA-Stränge in kurze Abschnitte und lesen sie parallel aus. Diesen Schritt muss der Schadcode schon mal überstehen. In der Datei, die am Ende entsteht, muss er wieder vollständig und in der richtigen Reihenfolge auftauchen.

Er darf aber auch nicht aus zu vielen Nukleinbasen des gleichen Typs bestehen, denn dann wird der Strang instabil und faltet sich zusammen, wird also unlesbar. Es braucht also immer eine gewisse Minimalverteilung von A, T, G und C. Das ist in etwa so, als ob man einen Artikel schreiben müsste, in dem alle Buchstaben nach einem bestimmten Muster verteilt sind.