桑迪亞研究人員發(fā)現個性化醫(yī)療軟件漏洞

用于基因組分析的一種常見開源軟件的弱點使基于DNA的醫(yī)療診斷容易受到網絡攻擊。

桑迪亞國家實驗室的研究人員發(fā)現了這一弱點，并通知軟件開發(fā)人員，他們發(fā)布了補丁來解決問題。最新版本的軟件也修復了該問題。雖然沒有人知道這個漏洞的攻擊，但美國國家標準與技術研究院最近在 軟件開發(fā)人員，基因組學研究人員和網絡管理員的一份說明中對此進行了描述 。

該發(fā)現表明，保護基因組信息不僅僅是安全存儲個體的遺傳信息。分析遺傳數據的計算機系統的網絡安全也至關重要，Sandia的生物信息學研究員Corey Hudson說，他幫助揭開了這個問題。

個性化醫(yī)療 - 使用患者遺傳信息指導醫(yī)學治療的過程 - 涉及兩個步驟：對患者細胞中的整個遺傳內容進行測序，并將該序列與標準化人類基因組進行比較。通過這種比較，醫(yī)生可以識別患者中與疾病相關的特定遺傳變化。

基因組測序始于將人的遺傳信息切割并復制成數百萬個小塊。然后，機器多次讀取每個部分，并將部分的圖像轉換為構建塊的序列，通常由字母A，T，C和G表示。最后，軟件收集這些序列并將每個片段與其在標準化人類上的位置相匹配基因組序列。個性化基因組學研究人員廣泛使用的一個匹配程序稱為Burrows-Wheeler Aligner(BWA)。

當程序從政府服務器導入標準化基因組時，Sandia研究人員研究該程序的網絡安全性發(fā)現了一個弱點。標準化的基因組序列通過不安全的通道傳播，這為稱為“中間人”的常見網絡攻擊創(chuàng)造了機會。

在這次攻擊中，攻擊者或黑客可以攔截標準基因組序列，然后將其與惡意程序一起發(fā)送給BWA用戶，惡意程序可以改變從測序中獲得的遺傳信息。然后惡意軟件可以在基因組映射期間更改患者的原始遺傳數據，使得最終分析不正確而無需任何人知道。實際上，這意味著醫(yī)生可能會根據遺傳分析開出一種藥物，如果他們掌握了正確的信息，他們就會知道這種藥物對患者無效或有毒。

同樣使用這種繪圖軟件的法醫(yī)實驗室和基因組測序公司暫時容易以同樣的方式惡意改變結果。Hudson說，來自直接面向消費者的基因測試的信息不受此漏洞的影響，因為這些測試使用的方法與全基因組測序不同。

安全cybersleuths

為了發(fā)現這個漏洞， 伊利諾伊大學厄巴納 - 香檳分校的Hudson和他的 網絡安全同事使用Sandia開發(fā)的一個名為Emulytics的平臺來模擬基因組圖譜的過程。首先，他們導入了模擬的遺傳信息，類似于測序儀。然后他們有兩臺服務器向Emulytics發(fā)送信息。一個提供了標準的基因組序列，另一個提供了“中間人”攔截器。研究人員繪制了測序結果，并比較了有無攻擊的結果，看看攻擊是如何改變最終序列的。

“一旦我們發(fā)現這種攻擊可以改變患者的遺傳信息，我們就會遵循負責任的披露，”哈德森說。研究人員聯系了開源開發(fā)人員，后者隨后發(fā)布了補丁來解決問題。他們還聯系了公共機構，包括美國計算機應急準備小組的網絡安全專家，以便更廣泛地分發(fā)有關此問題的信息。

該研究由桑迪亞 實驗室指導研究和開發(fā) 計劃資助，繼續(xù)測試其他基因組圖譜軟件的安全漏洞。Hudson說，每個計算機程序之間的差異意味著研究人員可能會發(fā)現類似但不完全相同的問題。LDRD資金還支持國家科學基金會計算生物學和基因組醫(yī)學中心的成員資格 。

除了安裝最新版本的BWA外，Hudson和他的同事還推薦其他“網絡衛(wèi)生”策略來保護基因組信息，包括通過加密通道傳輸數據和使用保護測序數據不被更改的軟件。他們還鼓勵安全研究人員定期分析開源軟件的弱點，以查看基因組程序。Hudson說，這種做法在能源網的工業(yè)控制系統和關鍵基礎設施中使用的軟件中很常見，但它將成為基因組安全的新領域。

“我們的目標是通過幫助開發(fā)最佳實踐使系統更安全，”他說。