桑迪亞研究人員發(fā)現(xiàn)個(gè)性化醫(yī)療軟件漏洞

用于基因組分析的一種常見(jiàn)開(kāi)源軟件的弱點(diǎn)使基于DNA的醫(yī)療診斷容易受到網(wǎng)絡(luò)攻擊。

桑迪亞國(guó)家實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)了這一弱點(diǎn)，并通知軟件開(kāi)發(fā)人員，他們發(fā)布了補(bǔ)丁來(lái)解決問(wèn)題。最新版本的軟件也修復(fù)了該問(wèn)題。雖然沒(méi)有人知道這個(gè)漏洞的攻擊，但美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院最近在 軟件開(kāi)發(fā)人員，基因組學(xué)研究人員和網(wǎng)絡(luò)管理員的一份說(shuō)明中對(duì)此進(jìn)行了描述 。

該發(fā)現(xiàn)表明，保護(hù)基因組信息不僅僅是安全存儲(chǔ)個(gè)體的遺傳信息。分析遺傳數(shù)據(jù)的計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)安全也至關(guān)重要，Sandia的生物信息學(xué)研究員Corey Hudson說(shuō)，他幫助揭開(kāi)了這個(gè)問(wèn)題。

個(gè)性化醫(yī)療 - 使用患者遺傳信息指導(dǎo)醫(yī)學(xué)治療的過(guò)程 - 涉及兩個(gè)步驟：對(duì)患者細(xì)胞中的整個(gè)遺傳內(nèi)容進(jìn)行測(cè)序，并將該序列與標(biāo)準(zhǔn)化人類基因組進(jìn)行比較。通過(guò)這種比較，醫(yī)生可以識(shí)別患者中與疾病相關(guān)的特定遺傳變化。

基因組測(cè)序始于將人的遺傳信息切割并復(fù)制成數(shù)百萬(wàn)個(gè)小塊。然后，機(jī)器多次讀取每個(gè)部分，并將部分的圖像轉(zhuǎn)換為構(gòu)建塊的序列，通常由字母A，T，C和G表示。最后，軟件收集這些序列并將每個(gè)片段與其在標(biāo)準(zhǔn)化人類上的位置相匹配基因組序列。個(gè)性化基因組學(xué)研究人員廣泛使用的一個(gè)匹配程序稱為Burrows-Wheeler Aligner(BWA)。

當(dāng)程序從政府服務(wù)器導(dǎo)入標(biāo)準(zhǔn)化基因組時(shí)，Sandia研究人員研究該程序的網(wǎng)絡(luò)安全性發(fā)現(xiàn)了一個(gè)弱點(diǎn)。標(biāo)準(zhǔn)化的基因組序列通過(guò)不安全的通道傳播，這為稱為“中間人”的常見(jiàn)網(wǎng)絡(luò)攻擊創(chuàng)造了機(jī)會(huì)。

在這次攻擊中，攻擊者或黑客可以攔截標(biāo)準(zhǔn)基因組序列，然后將其與惡意程序一起發(fā)送給BWA用戶，惡意程序可以改變從測(cè)序中獲得的遺傳信息。然后惡意軟件可以在基因組映射期間更改患者的原始遺傳數(shù)據(jù)，使得最終分析不正確而無(wú)需任何人知道。實(shí)際上，這意味著醫(yī)生可能會(huì)根據(jù)遺傳分析開(kāi)出一種藥物，如果他們掌握了正確的信息，他們就會(huì)知道這種藥物對(duì)患者無(wú)效或有毒。

同樣使用這種繪圖軟件的法醫(yī)實(shí)驗(yàn)室和基因組測(cè)序公司暫時(shí)容易以同樣的方式惡意改變結(jié)果。Hudson說(shuō)，來(lái)自直接面向消費(fèi)者的基因測(cè)試的信息不受此漏洞的影響，因?yàn)檫@些測(cè)試使用的方法與全基因組測(cè)序不同。

安全cybersleuths

為了發(fā)現(xiàn)這個(gè)漏洞， 伊利諾伊大學(xué)厄巴納 - 香檳分校的Hudson和他的 網(wǎng)絡(luò)安全同事使用Sandia開(kāi)發(fā)的一個(gè)名為Emulytics的平臺(tái)來(lái)模擬基因組圖譜的過(guò)程。首先，他們導(dǎo)入了模擬的遺傳信息，類似于測(cè)序儀。然后他們有兩臺(tái)服務(wù)器向Emulytics發(fā)送信息。一個(gè)提供了標(biāo)準(zhǔn)的基因組序列，另一個(gè)提供了“中間人”攔截器。研究人員繪制了測(cè)序結(jié)果，并比較了有無(wú)攻擊的結(jié)果，看看攻擊是如何改變最終序列的。

“一旦我們發(fā)現(xiàn)這種攻擊可以改變患者的遺傳信息，我們就會(huì)遵循負(fù)責(zé)任的披露，”哈德森說(shuō)。研究人員聯(lián)系了開(kāi)源開(kāi)發(fā)人員，后者隨后發(fā)布了補(bǔ)丁來(lái)解決問(wèn)題。他們還聯(lián)系了公共機(jī)構(gòu)，包括美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組的網(wǎng)絡(luò)安全專家，以便更廣泛地分發(fā)有關(guān)此問(wèn)題的信息。

該研究由桑迪亞 實(shí)驗(yàn)室指導(dǎo)研究和開(kāi)發(fā) 計(jì)劃資助，繼續(xù)測(cè)試其他基因組圖譜軟件的安全漏洞。Hudson說(shuō)，每個(gè)計(jì)算機(jī)程序之間的差異意味著研究人員可能會(huì)發(fā)現(xiàn)類似但不完全相同的問(wèn)題。LDRD資金還支持國(guó)家科學(xué)基金會(huì)計(jì)算生物學(xué)和基因組醫(yī)學(xué)中心的成員資格 。

除了安裝最新版本的BWA外，Hudson和他的同事還推薦其他“網(wǎng)絡(luò)衛(wèi)生”策略來(lái)保護(hù)基因組信息，包括通過(guò)加密通道傳輸數(shù)據(jù)和使用保護(hù)測(cè)序數(shù)據(jù)不被更改的軟件。他們還鼓勵(lì)安全研究人員定期分析開(kāi)源軟件的弱點(diǎn)，以查看基因組程序。Hudson說(shuō)，這種做法在能源網(wǎng)的工業(yè)控制系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施中使用的軟件中很常見(jiàn)，但它將成為基因組安全的新領(lǐng)域。

“我們的目標(biāo)是通過(guò)幫助開(kāi)發(fā)最佳實(shí)踐使系統(tǒng)更安全，”他說(shuō)。