当前位置:首页  综合资讯

综合资讯

个性化医疗软件中发现的漏洞

2021-08-30 08:03:20

用于基因组分析的通用开源软件的弱点使得基于DNA的医学诊断容易受到网络攻击。

桑迪亚国家实验室的研究人员发现了这个弱点,并通知软件开发人员,他们已经发布了补丁来解决这个问题。最新版本的软件也解决了这个问题。尽管没有人知道该漏洞的攻击,但美国国家标准与技术研究所最近在一份由软件开发人员、基因组研究人员和网络管理员撰写的说明中描述了这一点。

这一发现表明,保护基因组信息不仅仅是安全地存储个体遗传信息。桑迪亚生物信息学研究员科里哈德森说,用于分析遗传数据的计算机系统的网络安全也至关重要,他帮助解决了这个问题。

个性化医疗——利用患者的遗传信息指导医疗的过程——包括两个步骤:对患者细胞中的全部遗传内容进行测序,并将序列与标准化的人类基因组进行比较。通过这种比较,医生可以识别患者与疾病相关的特定基因变化。

基因组测序始于将人类遗传信息切割和复制成数百万个小片段。然后,机器多次读取每个部分,并将部分图像转换为一系列构建块,这些构建块通常由字母a、t、c和g表示。最后,软件收集这些序列,并将每个片段与其在标准化人类基因组序列上的位置进行匹配。个性化基因组研究人员广泛使用的一种匹配程序叫做布伦斯-惠勒对准器(BWA)。

当该程序从政府服务器导入标准化基因组时,Sandia研究人员在研究该程序的网络安全性时发现了一个弱点。标准化的基因组序列通过不安全的渠道传播,这为被称为“中间人”的常见网络攻击创造了机会。

在这次攻击中,攻击者或黑客可以拦截标准基因组序列,并将其与恶意程序一起发送给BWA用户,恶意程序可以改变从测序中获得的遗传信息。然后,恶意软件可以在基因组作图过程中改变患者的原始基因数据,使最终分析不正确,而没有人知道。事实上,这意味着医生可能会根据基因分析开出一种药物。如果他们有正确的信息,他们会知道药物对患者无效或有毒。

同样使用这种作图软件的法医实验室和基因组测序公司,暂时也容易以同样的方式恶意改变结果。Hudson说,直接面向消费者的基因检测得到的信息不受这种脆弱性的影响,因为这些检测使用的方法与全基因组测序不同。

安全的网络侦探

为了找到这个漏洞,美国伊利诺伊大学厄巴纳-香槟分校的Hudson和他的网络安全同事使用了一个由Sandia开发的名为Emulytics的平台来模拟基因组作图的过程。首先,他们引入了模拟遗传信息,类似于测序仪。然后他们有两台服务器向Emulytics发送信息。一个提供标准基因组序列,另一个提供中间人拦截器。研究人员绘制了测序结果,并比较了有无攻击的结果,以了解攻击如何改变最终序列。

“一旦我们发现这种攻击可以改变患者的基因信息,我们将遵循负责任的披露,”Hudson说。研究人员联系了开源开发者,他们随后发布了补丁来解决这个问题。他们还联系了来自公共机构的网络安全专家,包括美国计算机应急准备小组,以便更广泛地传播关于这个问题的信息。

这项研究由桑迪亚实验室定向研发计划资助,并继续测试其他基因组作图软件的安全漏洞。哈德森说,每个程序之间的差异意味着研究人员可能会在其他程序中发现相似但不完全相同的问题。

除了安装最新版本的BWA,Hudson和他的同事还推荐了其他“网络健康”策略来保护基因组信息,包括通过加密通道传输数据和使用软件来保护测序数据不被更改。他们还鼓励安全研究人员定期分析开源软件的弱点,以查看基因组计划。哈德森说,这种做法在工业控制系统和能源网络关键基础设施中使用的软件中很常见,但它将成为基因组安全的一个新领域。

“我们的目标是通过帮助开发最佳实践来使系统更加安全,”他说。

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。