桑迪亞研究人員發(fā)現(xiàn)個性化醫(yī)療軟件漏洞

用于基因組分析的一種常見開源軟件的弱點(diǎn)使基于DNA的醫(yī)療診斷容易受到網(wǎng)絡(luò)攻擊。

桑迪亞國家實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)了這一弱點(diǎn)，并通知軟件開發(fā)人員，他們發(fā)布了補(bǔ)丁來解決問題。最新版本的軟件也修復(fù)了該問題。雖然沒有人知道這個漏洞的攻擊，但美國國家標(biāo)準(zhǔn)與技術(shù)研究院最近在 軟件開發(fā)人員，基因組學(xué)研究人員和網(wǎng)絡(luò)管理員的一份說明中對此進(jìn)行了描述 。

該發(fā)現(xiàn)表明，保護(hù)基因組信息不僅僅是安全存儲個體的遺傳信息。分析遺傳數(shù)據(jù)的計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)安全也至關(guān)重要，Sandia的生物信息學(xué)研究員Corey Hudson說，他幫助揭開了這個問題。

個性化醫(yī)療 - 使用患者遺傳信息指導(dǎo)醫(yī)學(xué)治療的過程 - 涉及兩個步驟：對患者細(xì)胞中的整個遺傳內(nèi)容進(jìn)行測序，并將該序列與標(biāo)準(zhǔn)化人類基因組進(jìn)行比較。通過這種比較，醫(yī)生可以識別患者中與疾病相關(guān)的特定遺傳變化。

基因組測序始于將人的遺傳信息切割并復(fù)制成數(shù)百萬個小塊。然后，機(jī)器多次讀取每個部分，并將部分的圖像轉(zhuǎn)換為構(gòu)建塊的序列，通常由字母A，T，C和G表示。最后，軟件收集這些序列并將每個片段與其在標(biāo)準(zhǔn)化人類上的位置相匹配基因組序列。個性化基因組學(xué)研究人員廣泛使用的一個匹配程序稱為Burrows-Wheeler Aligner(BWA)。

當(dāng)程序從政府服務(wù)器導(dǎo)入標(biāo)準(zhǔn)化基因組時，Sandia研究人員研究該程序的網(wǎng)絡(luò)安全性發(fā)現(xiàn)了一個弱點(diǎn)。標(biāo)準(zhǔn)化的基因組序列通過不安全的通道傳播，這為稱為“中間人”的常見網(wǎng)絡(luò)攻擊創(chuàng)造了機(jī)會。

在這次攻擊中，攻擊者或黑客可以攔截標(biāo)準(zhǔn)基因組序列，然后將其與惡意程序一起發(fā)送給BWA用戶，惡意程序可以改變從測序中獲得的遺傳信息。然后惡意軟件可以在基因組映射期間更改患者的原始遺傳數(shù)據(jù)，使得最終分析不正確而無需任何人知道。實(shí)際上，這意味著醫(yī)生可能會根據(jù)遺傳分析開出一種藥物，如果他們掌握了正確的信息，他們就會知道這種藥物對患者無效或有毒。

同樣使用這種繪圖軟件的法醫(yī)實(shí)驗(yàn)室和基因組測序公司暫時容易以同樣的方式惡意改變結(jié)果。Hudson說，來自直接面向消費(fèi)者的基因測試的信息不受此漏洞的影響，因?yàn)檫@些測試使用的方法與全基因組測序不同。

安全cybersleuths

為了發(fā)現(xiàn)這個漏洞， 伊利諾伊大學(xué)厄巴納 - 香檳分校的Hudson和他的 網(wǎng)絡(luò)安全同事使用Sandia開發(fā)的一個名為Emulytics的平臺來模擬基因組圖譜的過程。首先，他們導(dǎo)入了模擬的遺傳信息，類似于測序儀。然后他們有兩臺服務(wù)器向Emulytics發(fā)送信息。一個提供了標(biāo)準(zhǔn)的基因組序列，另一個提供了“中間人”攔截器。研究人員繪制了測序結(jié)果，并比較了有無攻擊的結(jié)果，看看攻擊是如何改變最終序列的。

“一旦我們發(fā)現(xiàn)這種攻擊可以改變患者的遺傳信息，我們就會遵循負(fù)責(zé)任的披露，”哈德森說。研究人員聯(lián)系了開源開發(fā)人員，后者隨后發(fā)布了補(bǔ)丁來解決問題。他們還聯(lián)系了公共機(jī)構(gòu)，包括美國計(jì)算機(jī)應(yīng)急準(zhǔn)備小組的網(wǎng)絡(luò)安全專家，以便更廣泛地分發(fā)有關(guān)此問題的信息。

該研究由桑迪亞 實(shí)驗(yàn)室指導(dǎo)研究和開發(fā) 計(jì)劃資助，繼續(xù)測試其他基因組圖譜軟件的安全漏洞。Hudson說，每個計(jì)算機(jī)程序之間的差異意味著研究人員可能會發(fā)現(xiàn)類似但不完全相同的問題。LDRD資金還支持國家科學(xué)基金會計(jì)算生物學(xué)和基因組醫(yī)學(xué)中心的成員資格 。

除了安裝最新版本的BWA外，Hudson和他的同事還推薦其他“網(wǎng)絡(luò)衛(wèi)生”策略來保護(hù)基因組信息，包括通過加密通道傳輸數(shù)據(jù)和使用保護(hù)測序數(shù)據(jù)不被更改的軟件。他們還鼓勵安全研究人員定期分析開源軟件的弱點(diǎn)，以查看基因組程序。Hudson說，這種做法在能源網(wǎng)的工業(yè)控制系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施中使用的軟件中很常見，但它將成為基因組安全的新領(lǐng)域。

“我們的目標(biāo)是通過幫助開發(fā)最佳實(shí)踐使系統(tǒng)更安全，”他說。