DNA測序工具缺乏對網(wǎng)絡(luò)安全風(fēng)險的強有力保護(hù)

DNA測序的快速改進(jìn)引發(fā)了醫(yī)學(xué)和基因測試的激增，這些測試有望揭示從一個人的祖先到健康水平到生活在腸道中的微生物的一切。

華盛頓大學(xué)研究人員的一項新研究分析了常見的開源DNA處理程序的安全衛(wèi)生，發(fā)現(xiàn)了整個領(lǐng)域使用的計算機安全實踐不良的證據(jù)。

該研究將于8月17日在不列顛哥倫比亞省溫哥華舉行的第26屆USENIX安全研討會上展示，研究小組還首次證明了利用惡意計算機代碼破壞計算機系統(tǒng)的可能性 - 盡管仍具有挑戰(zhàn)性 - 儲存在合成DNA中。當(dāng)分析該DNA時，代碼可以成為攻擊運行該軟件的計算機系統(tǒng)的可執(zhí)行惡意軟件。

到目前為止，研究人員強調(diào)，沒有證據(jù)表明惡意攻擊DNA合成，測序和處理服務(wù)。但他們對整個管道中使用的軟件的分析發(fā)現(xiàn)了已知的安全漏洞，這些漏洞可能允許未經(jīng)授權(quán)的各方獲得對計算機系統(tǒng)的控制 - 可能使他們獲得個人信息或甚至操縱DNA結(jié)果的能力。

“我們在計算機安全社區(qū)嘗試做的一件大事就是避免出現(xiàn)這樣的情況，即我們說'拍攝對手，對手就在這里，敲門，我們沒準(zhǔn)備好'，”共同作者Tadayoshi說道。 Kohno，威斯康星大學(xué)Paul G. Allen計算機科學(xué)與工程學(xué)院教授。

“相反，我們寧愿說，'嘿，如果你繼續(xù)目前的軌跡，對手可能會在10年內(nèi)出現(xiàn)。所以，讓我們開始談?wù)勅绾卧趩栴}成為問題之前提高你的安全性，'”Kohno說。他之前的研究引發(fā)了有關(guān)新興技術(shù)漏洞的高調(diào)討論，例如互聯(lián)網(wǎng)汽車和植入式醫(yī)療設(shè)備。

“我們不想讓人們發(fā)出警報或讓患者擔(dān)心基因檢測，這可能會產(chǎn)生非常有價值的信息，”共同作者和艾倫學(xué)校副教授Luis Ceze說。“我們確實想讓人們了解一下，隨著這些分子和電子世界越來越緊密，我們之前就沒有必要考慮過潛在的相互作用。”

在新論文中，來自威斯康星大學(xué)安全與隱私研究實驗室和威斯康星大學(xué)分子信息系統(tǒng)實驗室的研究人員提出了加強DNA合成，測序和處理中計算機安全和隱私保護(hù)的建議。

研究小組確定了一些不同的方式，一個邪惡的人可能會損害DNA測序和處理流。研究人員表示，首先，他們展示了一種科學(xué)上令人著迷的技術(shù) - 雖然可能不是對手可能嘗試的第一件事。

“這仍然有待觀察，但我們想知道，在半現(xiàn)實的情況下，是否可以使用生物分子通過正常的DNA處理來感染計算機，”共同作者和艾倫學(xué)校的博士生Peter Ney說。 。

DNA的核心是編碼核苷酸序列信息的系統(tǒng)。通過反復(fù)試驗，該團(tuán)隊找到了一種方法，包括可執(zhí)行代碼 - 類似于計算機蠕蟲，偶爾會在互聯(lián)網(wǎng)上造成嚴(yán)重破壞 - 合成DNA鏈。

為了為對手創(chuàng)造最佳條件，他們將一個已知的安全漏洞引入到一個軟件程序中，該程序用于分析和搜索DNA序列中出現(xiàn)的原始文件中的模式。

“要明確，涉及到很多挑戰(zhàn)，”共同作者，分子信息系統(tǒng)實驗室的研究科學(xué)家Lee Organick說。“即使有人想要惡意這樣做，它也可能不起作用。但我們發(fā)現(xiàn)它是可能的。”

在可能被證明是一個更具目標(biāo)的對手可以利用的領(lǐng)域，研究團(tuán)隊還發(fā)現(xiàn)了許多用于分析DNA測序數(shù)據(jù)的開源軟件程序中的已知安全漏洞。

有些是用已知易受攻擊的不安全語言編寫的，部分原因是它們最初是由小型研究小組制作的，這些研究小組可能沒有期待太多(如果有的話)對抗性壓力。但是，由于DNA測序的成本在過去十年中急劇下降，開源程序已經(jīng)在醫(yī)療和消費者應(yīng)用中得到更廣泛的采用。

威斯康星大學(xué)分子信息系統(tǒng)實驗室的研究人員正致力于通過編碼合成DNA鏈中的數(shù)字?jǐn)?shù)據(jù)來創(chuàng)建下一代檔案存儲系統(tǒng)。盡管他們的系統(tǒng)依賴于DNA測序，但它并沒有受到本研究中發(fā)現(xiàn)的安全漏洞的影響，部分原因是MISL團(tuán)隊已經(jīng)預(yù)見到了這些問題，并且因為他們的系統(tǒng)不依賴于典型的生物信息學(xué)工具。

解決DNA測序管道中其他地方漏洞的建議包括：遵循安全軟件的最佳實踐，在設(shè)置流程時加入對抗性思維，監(jiān)控誰控制物理DNA樣本，在處理DNA樣本之前驗證DNA樣本的來源，并制定方法檢測DNA中的惡意可執(zhí)行代碼。

“人們可以通過運行標(biāo)準(zhǔn)的軟件分析工具來解決安全問題并推薦修復(fù)工作，這是一些非常低調(diào)的成果，”合著者Karl Koscher說道，他是威斯康星大學(xué)安全與隱私實驗室的研究科學(xué)家。“有些功能已知存在使用風(fēng)險，并且有一些方法可以重寫程序以避免使用它們。這將是一個很好的初始步驟。”