桑迪亚研究人员发现个性化医疗软件漏洞

用于基因组分析的一种常见开源软件的弱点使基于DNA的医疗诊断容易受到网络攻击。

桑迪亚国家实验室的研究人员发现了这一弱点，并通知软件开发人员，他们发布了补丁来解决问题。最新版本的软件也修复了该问题。虽然没有人知道这个漏洞的攻击，但美国国家标准与技术研究院最近在 软件开发人员，基因组学研究人员和网络管理员的一份说明中对此进行了描述 。

该发现表明，保护基因组信息不仅仅是安全存储个体的遗传信息。分析遗传数据的计算机系统的网络安全也至关重要，Sandia的生物信息学研究员Corey Hudson说，他帮助揭开了这个问题。

个性化医疗 - 使用患者遗传信息指导医学治疗的过程 - 涉及两个步骤：对患者细胞中的整个遗传内容进行测序，并将该序列与标准化人类基因组进行比较。通过这种比较，医生可以识别患者中与疾病相关的特定遗传变化。

基因组测序始于将人的遗传信息切割并复制成数百万个小块。然后，机器多次读取每个部分，并将部分的图像转换为构建块的序列，通常由字母A，T，C和G表示。最后，软件收集这些序列并将每个片段与其在标准化人类上的位置相匹配基因组序列。个性化基因组学研究人员广泛使用的一个匹配程序称为Burrows-Wheeler Aligner(BWA)。

当程序从政府服务器导入标准化基因组时，Sandia研究人员研究该程序的网络安全性发现了一个弱点。标准化的基因组序列通过不安全的通道传播，这为称为“中间人”的常见网络攻击创造了机会。

在这次攻击中，攻击者或黑客可以拦截标准基因组序列，然后将其与恶意程序一起发送给BWA用户，恶意程序可以改变从测序中获得的遗传信息。然后恶意软件可以在基因组映射期间更改患者的原始遗传数据，使得最终分析不正确而无需任何人知道。实际上，这意味着医生可能会根据遗传分析开出一种药物，如果他们掌握了正确的信息，他们就会知道这种药物对患者无效或有毒。

同样使用这种绘图软件的法医实验室和基因组测序公司暂时容易以同样的方式恶意改变结果。Hudson说，来自直接面向消费者的基因测试的信息不受此漏洞的影响，因为这些测试使用的方法与全基因组测序不同。

安全cybersleuths

为了发现这个漏洞， 伊利诺伊大学厄巴纳 - 香槟分校的Hudson和他的 网络安全同事使用Sandia开发的一个名为Emulytics的平台来模拟基因组图谱的过程。首先，他们导入了模拟的遗传信息，类似于测序仪。然后他们有两台服务器向Emulytics发送信息。一个提供了标准的基因组序列，另一个提供了“中间人”拦截器。研究人员绘制了测序结果，并比较了有无攻击的结果，看看攻击是如何改变最终序列的。

“一旦我们发现这种攻击可以改变患者的遗传信息，我们就会遵循负责任的披露，”哈德森说。研究人员联系了开源开发人员，后者随后发布了补丁来解决问题。他们还联系了公共机构，包括美国计算机应急准备小组的网络安全专家，以便更广泛地分发有关此问题的信息。

该研究由桑迪亚 实验室指导研究和开发 计划资助，继续测试其他基因组图谱软件的安全漏洞。Hudson说，每个计算机程序之间的差异意味着研究人员可能会发现类似但不完全相同的问题。LDRD资金还支持国家科学基金会计算生物学和基因组医学中心的成员资格 。

除了安装最新版本的BWA外，Hudson和他的同事还推荐其他“网络卫生”策略来保护基因组信息，包括通过加密通道传输数据和使用保护测序数据不被更改的软件。他们还鼓励安全研究人员定期分析开源软件的弱点，以查看基因组程序。Hudson说，这种做法在能源网的工业控制系统和关键基础设施中使用的软件中很常见，但它将成为基因组安全的新领域。

“我们的目标是通过帮助开发最佳实践使系统更安全，”他说。